zoeken binnen de website

De e-boef is onder ons

Verslag van de eerste bijeenkomst van de mastercourse 'Cybersecurity voor management en bestuur'

door: Peter Mom | 31 januari 2013

Cybercrime in hoog tempo gedemocratiseerd. Cybercrime is niet meer iets voor hooggespecialiseerde techneuten of pokdalige pubernerds op zolderkamertjes, het is van het volk. Criminaliteit in een gedigitaliseerde wereld. Aangezien de samenleving amper nog een segment kent dat niet is gedigitaliseerd, is cybercrime niets bijzonders meer. Die term heeft zijn langste tijd gehad.

Over een tijdje spreken we niet meer van cybercrime. De terminologie suggereert iets bijzonders: hacking (stiekem gebruik van andermans computer), human engineering (met een smoes een wachtwoord verkrijgen), spoofing (zich voor een ander uitgeven), defacing (het veranderen van webpagina’s), phishing (inloggegevens en rekeningnummers ontfutselen) en skimming (het heimelijk kopiëren van betaalkaartgegevens) zijn termen die de laatste jaren het vocabulaire hebben verrijkt.

Maar anders dan dit jargon doet vermoeden, is cybercrime in hoog tempo gedemocratiseerd. Cybercrime is niet meer iets voor hooggespecialiseerde techneuten of pokdalige pubernerds op zolderkamertjes, het is van het volk. Criminaliteit in een gedigitaliseerde wereld. Aangezien de samenleving amper nog een segment kent dat niet is gedigitaliseerd, is cybercrime niets bijzonders meer. Die term heeft zijn langste tijd gehad.

Master tijdens de eerste bijeenkomst in de mastercourse Cybersecurity voor management en bestuur was Wouter Stol, lector cybersafety aan de Noordelijke Hogeschool Leeuwarden en de Politie Academie in Apeldoorn, en bijzonder hoogleraar politiestudies aan de Open Universiteit in Heerlen. Hij betoogde dat cybercrime vaak weinig voorstelt. Het gaat doorgaans om simpele, alledaagse zaken. De man in scheiding die op de laptop van zijn vrouw de correspondentie met haar advocaat bekijkt, de ex-werknemer die nog eens inlogt bij zijn oude baas, jongeren die in elkaars account rommelen: allemaal hackers.

Wie met een webwinkel bestellingen opneemt en betalingen incasseert, maar vervolgens niet levert, is e-fraudeur. De aan de dijk gezette jongen die zijn ex-vriendin afperst onder dreiging blootfoto’s uit betere tijden op internet te zetten, doet aan cyberafpersen en mogelijk aan het verspreiden van kinderporno. Het is gewone criminaliteit, maar met een computer gepleegd. Dat je op de middelbare school niet meer leert hoe je een brief schrijft, maar wel hoe je een website maakt, illustreert de verspreiding van digitale vaardigheden. En dat de computer de koevoet ging verdringen, was dan ook slechts een kwestie van tijd.

Toch is er betrekkelijk weinig over cybercrime bekend. De ‘Verkenning cybercrime in Nederland 2009’ tracht enig licht op de materie te werpen door het doorvlooien van 665 politiedossiers. Deze gingen over e-fraude (314 zaken), kinderporno (159, meer downloaden dan verspreiden), hacken (139), haat zaaien (40) en cyberafpersen (13). Het meest viel op dat het om vrij alledaagse, low-tech criminaliteit ging. Of het georganiseerde criminaliteit was? Je weet niet of jouw oplichter in clubverband opereert.

Wat er wel over valt te weten, is dat cybercrime zich richt tegen computers, tegen personen en/of op geld. Ook een binnenkort te verschijnen landelijk slachtofferonderzoek onder zo’n 9200 respondenten kan bijdragen aan meer inzicht. Inmiddels loopt tevens een slachtofferonderzoek ‘MKB en cybercrime’, waarbij in navolging van een Noorse studie ook diefstal van ICT-apparatuur wordt meegenomen. Dat lijkt een klassiek vergrijp (diefstal), maar leidt wel tot ongeoorloofde toegang tot een gedigitaliseerde omgeving en kwam in Noorwegen het vaakst voor. Diefstal van notebook of usb-stick, daar helpt geen firewall tegen. Beschikbare cijfers over de omvang van cybercrime zijn hoogstwaarschijnlijk nog geflatteerd. Want welke achteloze computeraar weet of zijn pc in een botnet zit en als softwarerobot virussen verspreidt?

Is de politie een afspiegeling van het volk? Is het ook daar zodanig verschoven naar het werk van alledag, dat cybercrime voor de gemiddelde diender iets normaals is geworden?

Nee, constateert Stol. Kennisgebrek, lastige opsporing en bewijsvoering, capaciteitsproblemen (‘big data’) maken de bestrijding een gecompliceerde opgave. Hetzelfde geldt voor de internationalisering, die gepaard gaat met de digitalisering. Kleine criminaliteit is internationaal geworden. Hacks in Nederland zijn voor 23,4 procent gepleegd vanuit het buitenland, e-fraudezaken leiden in 14,5 procent van de gevallen naar een dader over de grens. Traditionele instrumenten inzetten tegen zulke delicten, zoals het internationaal rechtshulpverzoek, werkt niet. Zaken blijven dus liggen.

Wat wel effectief is, weet ook Stol nog niet precies. Mogelijk helpt het vereenvoudigen en flexibeler organiseren van internationale politiesamenwerking. Eveneens nieuw en nog zonder adequaat antwoord is de trend van verjonging. Het misdrijf verspreiden van kinderporno kent een bijzondere ‘dadergroep’: vier van de tien geregistreerde verdachten zijn 12 tot 24 jaar. Een filmpje van een minderjarig meisje onder de douche dat na het uitgaan van de verkering onder scholieren circuleert: het is kinderporno, maar wat moet je met de ‘dader’? Niemand die het weet, aldus Stol.

Het aangiftepercentage van cybercrime ligt beduidend lager dan dat van de klassieke criminaliteit. Als er dan toch aangifte volgt, weet de diender aan de balie zich gesteund door de ‘Handreiking voor delicten met een digitale component’, op papier en digitaal beschikbaar, die hem helpt bij de opname. Dat is een stap, vindt Stol, maar voordat politiemensen zonder problemen kunnen reageren op hedendaagse digitale criminaliteit, moet nog veel gebeuren.

Stol hield een vrij algemene verhandeling over het nieuwe maatschappelijke fenomeen, maar dat betekent niet dat cybercrime de overheid niet kan treffen. Die overheid tracht zich daartegen te wapenen door de inrichting van het Centrum Informatiebeveiliging & Privacy (CIP), programma 12 van 17 programma’s die in opdracht van de Stuurgroep Compacte Overheid worden uitgevoerd. Het CIP is juni 2012 van start gegaan met UWV, SVB, DUO en Belastingdienst/Toeslagen als founding fathers. Het is een publiek-privaat samenwerkingsverband, dat naast een uit die vier organisaties gevormde vaste kern bestaat uit inmiddels zestien overheidsparticipanten en rond dertig marktpartijen als kennispartner. Het CIP wil een als netwerkorganisatie opgezet expertisecentrum zijn dat kennis, ervaring en schaarse menskracht bundelt.

Directeur Ad Reuijl nam tijdens deel één van de mastercourse de case voor zijn rekening. Hij situeerde zijn organisatie, gericht op zbo’s annex grote uitvoeringsorganisaties, naast de Informatiebeveiligingsdienst (IBD), waarmee het Kwaliteitsinstituut Nederlandse Gemeenten (KING), de lokale overheid bedient. Samengewerkt wordt ook met het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie, dat de landelijke overheid en vitale infrastructuren tot werkgebied rekent. Het forse commitment van UWV aan het CIP laat zich verklaren met de halvering van het budget bij UWV Werkbedrijf, die digitalisering van dienstverlening en klantcontacten urgent maakt, evenals het tegengaan van kwetsbaarheden op dat punt.

Naast het ontsluiten van kennis beoogt het CIP het leveren van concrete diensten aan participanten. Voorbeeld daarvan dat nu in ontwikkeling is: de ondersteuning van ‘emergency response’, waarbij samen met achttien marktpartijen bij een virusaanval zo snel mogelijk informatie wordt verspreid om het virus te bestrijden.

tags: ,