CYBERCRIME BEHEERSING VAN CYBERCRIME BIJ NEDERLANDSE KLEIN BANKEN. Auteur: A. Wouda Datum:

Transcriptie

1 2011 CYBERCRIME BEHEERSING VAN CYBERCRIME BIJ NEDERLANDSE KLEIN BANKEN Auteur: A. Wouda Datum:

2

3 CYBERCRIME DE BEHEERSING VAN CYBERCRIME BIJ NEDERLANDSE KLEIN BANKEN If you know the enemy and know yourself, you need not fear the result of a hundred battles. (The Art of War, Sun Tzu) Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Afstudeerrichting: Postgraduate IT auditing opleiding De Boelelaan HV Amsterdam Begeleider Vrije Universiteit: drs. E. Koning RE RA CISA (DNB) Bedrijfsbegeleiders: ir. T.E. Wolffenbuttel RE CIA CISA (SNS REAAL) drs. ing. L.M.C. Kers RE CISSP (SNS REAAL) Auteur: A. Wouda BICT CISSP-ISSAP (SNS REAAL)

4

5 Inhoudsopgave INHOUDSOPGAVE... I VOORWOORD... III 1 INLEIDING EN VERANTWOORDING AANLEIDING ONDERWERP EN DOEL RELEVANTIE ONDERZOEKSVRAGEN METHODOLOGISCHE VERANTWOORDING... 3 Literatuuronderzoek... 3 Casusonderzoek... 4 Relativerende opmerkingen INDELING PROFESSIONALISERING CYBERCRIME INLEIDING CYBERCRIME BEELDVORMING OVER CYBERCRIME DE ONTWIKKELING VAN CYBERCRIME DE ECONOMIE VAN CYBERCRIME ORGANISATIE VAN CYBERCRIME VERSCHIJNINGSVORMEN VAN CYBERCRIME Afscherming met behulp van ICT Identiteitsfraude Marktmanipulatie Afpersing en chantage Hacking Botnets (d)dos Spamming &phising Malware Defacing & pharming Corrupt ICT-personeel, infiltratie criminele ICT ers Inhuur ICT-experts TRENDS IN CYBERCRIME EN ACTUELE DREIGINGEN Politiek Economisch Sociaal-cultureel Technologisch Juridisch CONCLUSIE CYBERCRIME IN DE BANCAIRE SECTOR INLEIDING DE BANCAIRE SECTOR IN NEDERLAND INTERNE ORGANISATIE RISICOBEHEERSING EN INFORMATIESYSTEMEN INTERBANCAIRE ORGANISATIE INVLOED VAN CYBERCRIME... 23

6 3.6 CONCLUSIE RISICOBEHEERSING KLEIN BANKEN INLEIDING RISICOGEBIEDEN EN RELEVANTE DREIGINGEN BEHEERSMAATREGELEN Organisatorische beheersmaatregelen Procedurele beheersmaatregelen Technische beheersmaatregelen CONCLUSIE SCHADE DOOR CYBERCRIME INLEIDING FINANCIËLE SCHADE REPUTATIESCHADE CONCLUSIE SAMENVATTING EN CONCLUSIES INLEIDING SLOTCONCLUSIES REFLECTIE INLEIDING REFLECTIE Onderzoeksproces Onderzoeksresultaten Persoonlijke leerresultaten AANBEVELINGEN VOOR VERVOLGONDERZOEK BIJLAGE A, LITERATUUR... IV BIJLAGE B, TEMPLATE INTRODUCTIEBRIEF... XII BIJLAGE C, TOPIC- EN VRAGENLIJST... XIII BIJLAGE D, ROLLENCOMPLEX... XIV BIJLAGE E, VERSCHIJNINGSVORMEN... XV BIJLAGE F, VERIS - THREAT ACTION... XVI BIJLAGE G, TRENDS... XVII Politiek... XVII Economisch... XVII Sociaal-cultureel... XVIII Technologisch... XIX Juridisch... XXIII Beheersing van cybercrime bij Nederlandse klein banken Inhoudsopgave II

7 Voorwoord Deze scriptie is geschreven in het kader van het afstudeertraject van de Postgraduate IT-audit opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde van de Vrije Universiteit te Amsterdam. In de scriptie die voor u ligt wordt ingegaan op de beheersing van cybercrime bij Nederlandse klein banken. Gezien de heimelijke aard van cybercrime en de potentiële impact hiervan op de bancaire sector, is het verkrijgen van betrouwbare informatie over dit fenomeen een delicate gelegenheid. Daarbij gaat het niet alleen om de mogelijke vrees in de bancaire sector voor reputatieschade, maar ook om het denkbare misbruik van deze informatie door cybercriminelen. Vertrouwen speelt bij het delen van dergelijke informatie dan ook een belangrijke rol. Om inzicht te krijgen in de ware toedracht van cybercrime en de beantwoording van de onderzoeksvragen is bij de totstandkoming van deze scriptie in beperkte mate van vertrouwelijke informatie gebruik gemaakt. Dergelijke informatie is bij het uitwerken van deze scriptie geanonimiseerd en waar mogelijk gegeneraliseerd. In overleg met de examencommissie van de IT-audit opleiding, de begeleiders en de respondenten van dit onderzoek is unaniem overeengekomen deze scriptie publiek beschikbaar te stellen. Het schrijven van deze scriptie en het uitvoeren van het onderzoek heb ik met veel plezier gedaan. Hierbij wil ik een aantal personen bedanken die bewust of onbewust mij hebben geholpen tijdens het onderzoek. Mijn dank gaat uit naar de respondenten voor hun medewerking en enthousiasme, en het delen van hun ervaringen en observaties, die een belangrijke bijdrage hebben geleverd aan de uiteindelijke realisatie van dit onderzoek. Daarnaast wil ik mijn collega s bij SNS REAAL bedanken, voor het stellen van prikkelende vragen, het bieden van adviezen en het aanhoren van mijn onderzoeksvraagstukken en belevingen. Mijn speciale dank gaat uit naar Evert Koning, Tijs Wolffenbuttel en Leon Kers als begeleiders van dit onderzoek. Jullie inzichten, ervaringen en kennis hebben mij geholpen om deze scriptie te verwezenlijken. Jullie kritische en constructieve, maar ook flexibele houding heeft me op het juiste pad gehouden en na elke bespreking weer energie gegeven om enthousiast met het onderzoek door te gaan. Tenslotte wil ik hierbij mijn vrienden en familie bedanken voor hun betrokkenheid en steun. Anne Wouda Alkmaar, augustus 2011 Beheersing van cybercrime bij Nederlandse klein banken Voorwoord III

8 1 Inleiding en verantwoording 1.1 Aanleiding Cybercrime lijkt zich de laatste jaren te ontwikkelen tot een significante dreiging voor de digitale wereld en de bedrijven die daarvan in grote mate afhankelijk zijn geworden. Het aantal meldingen van cybercrime en de gevolgen voor bedrijven zijn in de afgelopen jaren toegenomen. In mijn werkveld, de financiële sector, heb ik te maken met de risico s van cybercrime voor de bedrijfsvoering en merk ik dat cybercrime steeds meer wordt gezien als een opkomende kritieke bedreiging die beheerst dient te worden. Mijn veronderstelling is dat de organisatie rondom cybercrime steeds doeltreffender aan het worden is, waardoor de toename en mogelijkheden van malware vergroten en de modus operandi zich gaat richten op specifieke kleinere doelwitten (toename van targeted attacks). De verandering van de modus operandi lijkt te worden ingegeven door de maatregelen die worden getroffen door grote banken, waardoor het voor cybercriminelen lastiger wordt succesvol geld te ontvreemden van deze banken. Verder lijkt er door de huidige focus van cybercriminelen op banken met een groot clientèle, minder directe aanleiding voor kleinere banken om zich zorgen te maken en maatregelen te treffen. Door het ontbreken van directe feitelijke dreigingen van cybercrime gericht op klein banken, wordt de kans van optreden bij deze klein banken mogelijk als laag geschat. Deze risico-inschatting wordt wellicht mede beïnvloed door het ontbreken van voldoende kennis op het gebied van ontwikkelingen in cybercrime, het ontbreken van feitelijke gegevens over de omvang en de aard van cybercrime en een gevoelsmatige factor van dat gebeurt ons niet. De klein banken hebben verder inherent minder financiële middelen om geavanceerde maatregelen te treffen. Door de hierboven beschreven facetten zijn klein banken mijns inziens in verhouding tot grote banken een eenvoudiger doelwit en wordt de kans op financiële en reputatieschade als gevolg van de ontwikkelingen van cybercrime juist vergroot. De effecten van reputatieschade kunnen mogelijk een impact hebben op het vertrouwen van klanten in de gehele bancaire sector. 1.2 Onderwerp en doel Bancaire instellingen verkopen in essentie vertrouwen aan klanten en nemen daarbij een deel van de inherente risico s van het bezit van geld over. Naar mate de bancaire sector mee gaat in de wereldwijde digitalisering van informatie en middelen, nemen de daarbij horende risico s voor de banken toe. Bancaire instellingen worden met cybercrime geconfronteerd, simpelweg omdat er iets valt te halen. Het gaat daarbij niet alleen om geld, maar ook om persoonlijke informatie. Financieel gewin is van oudsher het primaire motief van criminelen. Dit werd goed tot uitdrukking gebracht door de legendarische bankrover William Willie Sutton. Op de vraag van de reporter Mitch Ohnstad, waarom Willie banken beroofde, zei hij because that's where the money is (Wikipedia, 2011; NVB, 2010). De verplaatsing van de fysieke geldstromen, via bankkantoren, naar de digitale wereld, wordt door de criminelen op de voet gevolgd. Daarbij vergroot de digitalisering het bereik van de banken naar de klanten en vice versa, maar ook de toegankelijkheid van de banken voor criminelen. Uit het Verizon Data Breach Investigations Report 2010 blijkt, dat international gezien, een derde van de beveiligingsincidenten heeft plaatsgevonden in de financiële sector. Daarbij wordt aangegeven dat mogelijke oorzaken hiervoor liggen in de directe geldstromen voor criminelen en de aanwezigheid van grote volumes gevoelige informatie. Daarnaast geldt binnen onder andere de Amerikaanse regelgeving een meldingsplicht voor beveiligingsincidenten, waardoor onderzoeken worden vereist (Verizon, 2010). Zoals in de vorige alinea s is weergegeven lijkt het logisch te veronderstellen dat cybercrime zich in toenemende mate gaat richten op klein banken. De beheersing van cybercrime bij Nederlandse klein banken is daarmee het centrale onderwerp van dit onderzoek. Beheersing van cybercrime bij Nederlandse klein banken Inleiding en verantwoording 1

9 Door middel van dit onderzoek wil ik: Aantonen in welke mate de ontwikkelingen op het gebied van cybercrime gevolgen hebben voor klein banken. Een voorzet doen voor de bancaire sector als geheel om de impact van de ontwikkelingen tijdig in te schatten en hierop passend te acteren. Tevens beoogt dit onderzoek bij te dragen aan inzicht in relevante en toekomstige dreigingen en mogelijke maatregelen, waar IT-auditors, informatiebeveiligers en (senior) management in de bancaire sector rekening mee kunnen houden bij het uitvoeren van hun functie. 1.3 Relevantie Dit onderzoek zal proberen een bijdrage te leveren op zowel theoretisch als praktisch gebied. Vanuit de ITaudit beroepsgroep wordt over deskundigheid gesproken, als er sprake is van zowel een voldoende theoretisch als praktisch fundament (Praat & Suerink, 2008). Mijns inziens wordt de deskundigheid van de ITauditor, in de context van dit onderzoek, mede bepaald door de kennis op het gebied van criminologie, economie, sociologie, computerwetenschap en informatiemanagement. Deze afzonderlijke aandachtsgebieden zijn veelal binnen hun eigen kader in meer of mindere mate onderzoek aan het uitvoeren met betrekking tot cybercrime. In het theoretisch kader zal dit onderzoek proberen bij te dragen aan een inzicht in de vele facetten die de ontwikkelingen van cybercrime beïnvloeden en de mogelijke impact op de bedrijfsvoering in de bancaire sector. Daarbij wordt geprobeerd een bijdrage te leveren aan het vergroten van de wetenschappelijke kennis op het gebied van cybercrime en deze te aggregeren naar de relevantie gericht op de beheersing van risico s in de bancaire sector. De praktische relevantie van dit onderzoek is gericht op het bieden van adviezen voor het mitigeren van risico s op de meest belangrijke risicogebieden binnen klein banken. Gezien de rol van de bancaire sector in de samenleving en het belang van vertrouwen van de samenleving in de ICT, heeft dit onderzoek indirect een maatschappelijke relevantie. 1.4 Onderzoeksvragen De hoofdvraag van dit onderzoek luidde: Op welke wijze en in hoeverre wordt door de professionalisering van cybercrime, via de organisatie van de interne risicobeheersing binnen banken, de kans op financiële en reputatieschade bij Nederlandse klein banken beïnvloed? De hoofdvraag valt uiteen in de volgende logische deelvragen: 1. (I.) Op welke wijze vindt de professionalisering van cybercrime plaats en (II.) waardoor wordt de kans op schade door cybercrime bij Nederlandse banken beïnvloed? a. I. Wat is cybercrime? b. I. Hoe wordt de perceptie met betrekking tot cybercrime vormgegeven? c. I. Hoe hebben de verschijningsvormen van cybercrime zich ontwikkeld? d. I. Op welke wijze wordt de ontwikkeling van cybercrime gedreven? e. I. Op welke wijze wordt cybercrime georganiseerd? f. I. Welke verschijningsvormen heeft cybercrime? g. I. Welke trends zijn er te onderkennen op het gebied van cybercrime? h. I. Wat zijn de relevante risico s en hoe zijn deze te categoriseren? i. II. Welke externe factoren in de bancaire sector beïnvloeden de kans op schade door cybercrime? j. II. Welke interne factoren in de bancaire sector beïnvloeden de kans op schade door cybercrime? 2. In hoeverre zijn de (I.) ontwikkelingen op het gebied van cybercrime van invloed op de (II.) organisatie van de interne risicobeheersing en de informatiesystemen bij (III.) Nederlandse klein banken? a. III. Welke categorieën instellingen worden binnen de bancaire sector onderkend? Beheersing van cybercrime bij Nederlandse klein banken Inleiding en verantwoording 2

10 b. II. Hoe zijn de interne risicobeheersing en de informatiesystemen bij "klein" banken georganiseerd? c. II. Hoe is de risicobeheersing met betrekking tot cybercrime interbancaire georganiseerd? d. I. Waaruit bestaan de ontwikkelingen op het gebied van cybercrime? 3. Op welke wijze kunnen klein banken hun risicobeheersing toespitsen, door het treffen van (I.) additionele beheersmaatregelen, op de (II.) meest belangrijke risicogebieden als (III.) gevolg van cybercrime? a. II. Wat zijn de belangrijkste risicogebieden als gevolg van cybercrime binnen "klein" banken? b. III. Welke relevante risico s van cybercrime zijn van invloed op de belangrijkste risicogebieden? c. I. Welke (primaire) beheersmaatregelen tegen cybercrime zijn er op de belangrijkste risicogebieden getroffen? d. I. Welke additionele beheersmaatregelen kunnen er worden getroffen om de relevante risico s van cybercrime binnen de belangrijkste risicogebieden te mitigeren? 4. In hoeverre zijn de ontwikkelingen op het gebied van cybercrime van invloed op mogelijke financiële en reputatieschade door cybercrime bij Nederlandse klein banken? a. Wat is de huidige financiële schade van cybercrime? b. Op welke wijze wordt door banken omgegaan met reputatieschade? 1.5 Methodologische verantwoording Het onderzoekgebied van cybercrime is relatief nieuw en bijzonder complex. Hierdoor is beperkte kennis en data beschikbaar, waardoor het zich, mede gezien de probleemstelling, minder leent voor een kwantitatief onderzoek. Gezien de kwalitatieve onderzoeksvragen lag een kwalitatieve methodiek voor de hand. Daarbij is een holistische benadering gekozen, waarbij het onderwerp als fenomeen en in context als geheel zijn beschouwd. Dit onderzoek belicht omtrent het onderwerp diverse perspectieven, waaronder de economisch, technologisch, historische en maatschappelijke context. Gezien de beoogde theoretische en praktische relevantie van dit onderzoek, is een multimethode aanpak (zoals omgeschreven in Basisboek kwalitatief onderzoek (Baarda, Goede, & Teunissen, 2009)) als vorm van triangulatie gehanteerd. Daarbij zijn diverse dataverzamelingstechnieken toegepast en is gebruik gemaakt van verschillende databronnen. Het onderzoek heeft plaatsgevonden in de periode juli 2010 tot en met maart De multimethode aanpak van dit onderzoek valt uiteen in zowel een literatuur- als casusonderzoek. Gezien de heimelijke aard van cybercrime is een direct waarneming niet altijd mogelijk, daarom is een multimethode aanpak waardevol. Het onderzoek is gestart met het uitvoeren van een literatuurstudie, daarna is het casusonderzoek uitgevoerd. Naar aanleiding van informatie uit het casusonderzoek is op onderdelen additionele literatuur bestudeerd, welke in dit onderzoek is verwerkt. Literatuuronderzoek Het doel van het literatuuronderzoek was nader inzicht te krijgen in de ontwikkelingen en professionalisering van cybercrime, zoals deze in de literatuur zijn beschreven. Tevens had het literatuuronderzoek als doel trends te identificeren die mogelijk cybercrime beïnvloeden. Als onderdeel van literatuuronderzoek is gebruik gemaakt van nationale en internationale literatuur op het gebied van cybercrime. Daarbij zijn diverse bronnen gehanteerd uit de hoofdstromingen (zie paragraaf 2.3 Beeldvorming over cybercrime), waaruit de kennis en literatuur over cybercrime ontstaan. Daarbij is gebruik gemaakt van mediatheken, boeken, artikelen, rapporten en relevante publicaties. Tevens zijn tijdens het literatuuronderzoek interbancaire publicaties gehanteerd. Als onderdeel van de literatuurstudie is webresearch toegepast. De ontwikkeling van cybercrime is mede bepaald op basis van bestaande trendrapportages van organisaties uit de overheid, de wetenschap en het bedrijfsleven. Een verdere duiding van de relevante trends heeft plaatsgevonden in het casusonderzoek. De keuze voor de trendrapportage en bronnen, is onder andere op basis van de marktonderzoeken over Managed Security Services (MSS) van Forrester en Gartner gebaseerd (Kark, 2010; Caspers & Scholtz, 2010). Daarbij zijn de rapportages van de Europese markleiders, op het gebied van MSS, als uitgangspunt gehanteerd. De marktleiders hebben immers door hun grotere klantenkring een ruimer gezichtsveld op de problematiek van cybercrime dan kleinere ondernemingen. Deze rapportages zijn Beheersing van cybercrime bij Nederlandse klein banken Inleiding en verantwoording 3

11 aangevuld met rapportages die binnen de bancaire sector worden gebruikt. Tijdens het literatuuronderzoek is onder andere gebruik gemaakt van de volgende bronnen: Bedrijfsleven; Symantec, Verizon, RSA, SecureWorks, HP, Ernst & Young, Gartner Research Overheid/non-business; GOVCERT.NL, WODC, APWG, ENISA, KLPD, ISF, IC3 Wetenschappelijk; Onderzoeken en publicaties van universiteiten, vaktijdschriften. Een volledige overzicht van de gebruikte literatuur is weergegeven in Bijlage A, Literatuur. Casusonderzoek Ter aanvulling op het literatuuronderzoek is een casusonderzoek uitgevoerd. Het doel van het casusonderzoek was tweeledig. Enerzijds was het een toetsing, van de in de literatuur beschreven ontwikkelingen op het gebied van cybercrime, aan de ervaringen en observaties van experts binnen de bancaire sector. Anderzijds had het casusonderzoek als doel de belangrijkste risicogebieden en beheersmaatregelen in kaart te brengen in relatie tot de diverse verschijningsvormen van cybercrime en de daar bijhorende risico s. Het onderwerp van dit onderzoek betreft klein banken. Een nadere analyse over de bancaire instellingen in Nederland en de afbakening van het begrip klein banken zijn beschreven in paragraaf 3.2 De bancaire sector in Nederland. Op basis van deze analyse heeft het casusonderzoek zich gericht op vier klein banken in Nederland. Dit betreft 44 procent van de totale populatie klein banken met een overeenkomstig risicoprofiel qua dreiging van cybercrime. Tevens is gebruik gemaakt van een referentdoelgroep, die uit een groot bank bestond en daarmee 33 procent van de totale populatie van groot banken vertegenwoordigt. Voor het casusonderzoek zijn interviews met sleutelpersonen en deskundigen op het gebied van cybercrime binnen deze vijf banken gehouden. Daarnaast zijn twee interviews gehouden met sleutelpersonen binnen interbancaire en sector overstijgende samenwerkingsverbanden. De sleutelpersonen en deskundigen zijn in overleg met de bedrijfsbegeleiders geselecteerd. Door middel van een introductiebrief (zie Bijlage B, Template introductiebrief), zijn de betreffende sleutelpersonen en deskundigen gevraagd om mee te werken aan dit onderzoek. Van alle beoogde respondenten is een positieve reactie ontvangen. Uiteindelijk heeft één interview geen doorgang gevonden, omdat deze door de respondent is geannuleerd. In totaal hebben met negen respondenten interviews in de periode januari tot en met maart 2011 plaatsgevonden. Er is gekozen voor het houden van open interviews op basis van een topic- en vragenlijst (zie Bijlage C, Topicen vragenlijst). Dit is mede ingegeven door de vertrouwelijke aard omtrent cybercrime in de bancaire sector en het belang van dit onderzoek van het delen van de ervaringen en observaties van de respondenten. Door het houden van open interviews zijn de respondenten in de gelegenheid gebracht het verhaal achter het verhaal te vertellen. De topic- en vragenlijst is gebaseerd op de onderzoeksvragen en vormt daarmee een logische volgordelijkheid. Vooraf aan het interview is de topic- en vragenlijst naar de respondenten opgestuurd. Deze lijst is als leidraad voor de interviews gehanteerd. Tijdens de interviews is geen gebruik gemaakt van opnameapparatuur. Mijn bedrijfsbegeleiders hebben me er opgewezen dat uit hun eigen ervaringen is gebleken dat het gebruik van opnameapparatuur mogelijk enig terughoudend gedrag bij de respondenten teweeg kon brengen. De tijdsduur per interview varieerde van 1,5 uur tot drie uren. Naar aanleiding van het interview is in de meeste gevallen een concept gespreksverslag, ter review en feedback, naar de respondent gestuurd. Eventuele additionele communicatie met de respondenten heeft via de plaatsgevonden. Bij het analyseren van de resultaten van het casusonderzoek is gezocht naar intersubjectiviteit, waarbij de respondenten een gezamenlijk gedeelde perceptie hebben. De intersubjectiviteit is in deze scriptie gebruik voor het generaliseren van uitspraken over de onderzoeksgroep. Aanvullend op het casusonderzoek is informatie verkregen door het bezoeken van seminars. Te weten het seminar Cybercrime & Skimming op 28 oktober 2009 georganiseerd door de NVB te Amsterdam (zie reportage Cybercrime (NVB, 2009)), InfoSecurity in november 2010 in Utrecht en het Fox-IT symposium Cybercrime in februari 2011 in Delft. Tevens is informatie verkregen over het GOVCERT.NL symposium in november 2010 te Rotterdam. Beheersing van cybercrime bij Nederlandse klein banken Inleiding en verantwoording 4

12 Relativerende opmerkingen In het wetenschappelijk onderzoeksveld van cybercrime geldt een aantal algemene beperkingen. Deze beperkingen komen veelvuldig terug in de wetenschappelijke literatuur. Een van de methodologische problemen is bijvoorbeeld het gebrek aan consensus over de term cybercrime in de wetenschappelijke literatuur. Hierdoor zijn onderzoeksresultaten van de diverse onderzoeken lastig te vergelijken. Daarnaast is er een gebrek aan betrouwbare empirische onderzoeken, naar de verschillende vormen en de dynamiek van cybercrime. Dit kan mogelijk worden veroorzaakt door de beperkte toegang tot betrouwbare en vergelijkbare (statistische) informatie, ten behoeve van analyses. Het gebrek aan kwantitatieve data belemmert niet alleen het inzicht in de ontwikkeling van cybercrime, maar beperkt ook het meten van het effect van maatregelen (GOVCERT.NL, 2010). Tevens zorgen de multidisciplinaire eigenschappen van cybercrime ervoor, dat het definiëren van onderzoeksparadigma s op het gebied van cybercrime wordt bemoeilijkt. Hierdoor kan de mondiale invloed en impact van cybercrime lastig worden bepaald. Daarnaast kan de invloed van de media mogelijk een verstoord beeld van cybercrime creëren, omdat het zich meer richt op de excessen en sensatie dan een algemeen gangbaar beeld (Sandywell, 2010; Clough, 2010; Wall D., 2007). Door gebruik te maken van diverse bronnen uit verschillende stromingen (zie paragraaf 2.3 Beeldvorming over cybercrime) en interbancaire (vertrouwelijke) informatie over de feitelijke toedracht van de verschijningsvormen van cybercrime, is getracht in dit onderzoek de hierboven genoemde opmerkingen te mitigeren. In additie op de hierboven genoemde algemene opmerkingen, geldt dat een beperkte hoeveel tijd, 200 uren, beschikbaar was voor het uitvoeren dit onderzoek. Gezien de brede strekking van het onderzoeksgebied en de complexiteit omtrent cybercrime, is daarmee geen diepgaande analyse uitgevoerd op onderdelen die niet directe relevant waren voor het beantwoorden van de onderzoekvragen. Daarnaast is bij het casusonderzoek gebruik gemaakt van een deelwaarneming, daarmee is niet de volledige populatie van klein banken onderzocht. 1.6 Indeling In hoofdstuk twee wordt de professionalisering van cybercrime beschreven in relatie tot de bancaire sector. Daarbij wordt onder andere inzicht gegeven in de historische en economische ontwikkelingen op het gebied van cybercrime. Hoofdstuk twee is overwegend op het literatuuronderzoek gebaseerd, aangevuld met informatie uit het casusonderzoek. In hoofdstuk drie wordt weergegeven in hoeverre de ontwikkelingen op het gebied van cybercrime, zoals beschreven in hoofdstuk twee, van invloed zijn op de organisatie van de risicobeheersing en informatiesystemen. Het vierde hoofdstuk beschouwt de ontwikkelingen van cybercrime en de risicobeheersing bij klein banken, om aan te geven op welke wijze additionele maatregelen op de belangrijkste risicogebieden kunnen worden getroffen. Hoofdstuk vijf geeft inzicht in de financiële en reputatieschade bij klein banken, als gevolg van de ontwikkelingen van cybercrime. Hoofdstuk drie, vier en vijf zijn voornamelijk op het casusonderzoek gebaseerd en eventueel aangevuld met literatuur. Het zesde hoofdstuk bevat de samenvatting en slotconclusies van dit onderzoek. Een persoonlijke reflectie op dit onderzoek staan in het laatste hoofdstuk beschreven. Hoofdstuk 3 Analyse van de ontwikkelingen cybercrime in de Nederlandse bancaire sector. Deelvraag 2 Hoofdstuk 2 Beschrijving van de professionalisering van cybercrime. Deelvraag 1 Hoofdstuk 4 Beschouwing van de risicobeheersing bij klein banken op de meest belangrijke risicogebieden. Deelvraag 3 Hoofdstuk 6 Slotconclusies van het onderzoek. Hoofdvraag Hoofdstuk 5 Analyse en beschouwing van de gevolgen van cybercrime op mogelijk financiële en reputatieschade. Deelvraag 4 Figuur 1 Schematische weergave indeling en samenhang Beheersing van cybercrime bij Nederlandse klein banken Inleiding en verantwoording 5

13 2 Professionalisering cybercrime 2.1 Inleiding Dit hoofdstuk beschrijft op welke wijze de professionalisering van cybercrime plaatsvindt. Daarbij is een definitie van cybercrime voor de afbakening in de scope en reikwijdte van het onderzoek een essentieel element. Om de professionalisering van cybercrime in een historisch perspectief te kunnen plaatsen is een nadere beschouwing over de totstandkoming van de perceptie van cybercrime een randvoorwaarde. Dit hoofdstuk beschrijft vervolgens de economische drijfveren van cybercrime en de relatie met de organisatie van cybercrime. Vervolgens wordt een beschrijving gegeven van de relevante verschijningsvormen van cybercrime. Deze relevantie wordt mede bepaald door de invloed van de verschijningsvormen van cybercrime op de bedrijfsvoering in de bancaire sector. Dit hoofdstuk sluit af met een beschrijving van trends die cybercrime in de bancaire sector beïnvloeden en een analyse over de mate waarin deze trends de kans op schade door cybercrime bij Nederlandse banken beïnvloeden. 2.2 Cybercrime Het begrip cybercrime spreekt naar de verbeelding van personen, waardoor een ieder een eigen beeld heeft van het begrip cybercrime welke wordt versterkt door het ontbreken van een gemeenschappelijke definitie. In de literatuur zijn er verschillende pogingen ondernomen om het begrip nader te bepalen en een eenduidige definitie het begrip cybercrime op te stellen. Een internationaal geaccepteerde en eenduidige definitie van cybercrime is er tot op heden niet (Kshetri N., 2010). In de Nederlandse literatuur wordt de term cybercrime ook wel aangeduid met computercriminaliteit, cybercriminaliteit en/of high-tech crime (Hulst & Neve, 2008). In de literatuur is enige consensus met betrekking tot het overkoepelende karakter van het begrip cybercrime, waarbij duidelijk wordt dat het gaat om een criminaliteitsvorm waarbij ICT een wezenlijke rol speelt (Leukfeldt, Domenie, & Stol, 2010). De definities van cybercrime van de KLPD en GOVCERT.NL overlappen grotendeels, waarbij het volgens de KLPD ook kan gaan over een strafwaardig gedraging. De definitie van cybercrime volgens de KLPD, zoals beschreven door Mooij & Werf; Elke strafbare en strafwaardige gedraging, voor de uitvoering waarvan het gebruik van geautomatiseerde werken bij de verwerking en overdracht van gegevens van overwegende betekenis is. (Mooij & Werf, 2002). Een relevante vraag die vaak wordt gesteld in de afbakening en definitie van cybercrime, is de vraag of het gaat om een nieuwe vorm van criminaliteit of dat het gaat om een traditionele criminaliteitsvorm in een nieuw jasje. Een dergelijk onderscheid is met name relevant voor de bestrijding van cybercrime en de toepassing van de wetgeving, zowel nationaal als internationaal, op de verschijningsvormen van cybercrime. Op basis van deze vraag wordt cybercrime, in zowel in de internationale als de Nederlandse literatuur, veelal onderverdeeld in subcategorieën, zoals; cybercrime in enge zin, waarbij ICT zowel het instrument als het doelwit is van criminele activiteiten; cybercrime in ruime zin, waarbij ICT als instrument een wezenlijke rol speelt voor het plegen van een delict, maar niet het doelwit is (Leukfeldt, Domenie, & Stol, 2010). Bij cybercrime gaat het om die criminele gedragingen, waarbij ICT van overwegende betekenis is en die dus niet of moeilijk zonder ICT zouden kunnen plaatsvinden. In de literatuurinventarisatie van het WODC over high-tech crime, wordt cybercrime in enge zin ook wel computercriminaliteit genoemd en cybercrime in ruime zin cybercriminaliteit (Hulst & Neve, 2008). Bij cybercrime in ruime zin is er sprake van digitalisering van traditionele criminaliteit en niet van nieuwe vormen van criminaliteit (GOVCERT.NL, 2010; Hulst & Neve, 2008). Een andere mogelijke categorisering die in de literatuur wordt gehanteerd, is het onderscheid tussen criminaliteit met betrekking tot de integriteit van computers, criminaliteit door het gebruik van computers en criminaliteit die is gericht op de content op computers (Clough, 2010; Wall D., 2007; Wall D., 2010). Beheersing van cybercrime bij Nederlandse klein banken Professionalisering cybercrime 6

14 De keuze voor de definitie van cybercrime is sterk afhankelijk van de toepassing in het kader waarvan de definitie wordt gehanteerd (Faber, Mostert, Faber, & Vrolijk, 2010). De toepassing van cybercrime, zoals die in deze scriptie is beoogd, richt zich primair op de bancaire sector in relatie tot het IT-audit vakgebied. Het is hierbij in mindere mate van belang om in de definitie van cybercrime al een onderscheid te maken op basis van de criminaliteitsvorm, aangezien dit geen additioneel inzicht geeft in de aanwezige risico s en de mogelijk maatregelen. Er is om deze reden gekozen aan te sluiten bij de internationaal gangbare en praktische definitie van cybercrime, om daarna te concentreren op de relevante verschijningsvormen van cybercrime in de bancaire sector. Het begrip cybercrime is in deze scriptie gedefinieerd als, alle vormen van criminaliteit waarbij ICT een wezenlijke rol speelt (Leukfeldt, Domenie, & Stol, 2010). Deze definitie sluit onder andere aan bij de gehanteerde definitie in het recente onderzoek Verkenning cybercrime in Nederland Gezien de ruime strekking van het begrip cybercrime is het belangrijk een onderscheid te maken naar de verschijningsvormen van cybercrime die van invloed zijn op de bancaire sector. Om daarmee de relevante risico s voor de diverse actoren in deze sector nader te kunnen onderzoeken. Om zowel cybercrime als de verschijningsvormen in context te kunnen plaatsen, is het relevant om eerst nader te kijken naar de beeldvorming van cybercrime en het ontstaan van kennis hierover. 2.3 Beeldvorming over cybercrime De vormgeving van de perceptie over cybercrime wordt beïnvloed door diverse factoren. Volgens David Wall kan het ontstaan van kennis en literatuur over cybercrime, op hoofdlijnen in vier stromingen worden onderscheiden. Namelijk een; stroming voor de vorming van wetgeving, academische stroming, stroming van experts, populaire en emotionele stroming (media). Kennis en literatuur over cybercrime uit het perspectief van wetgeving is primair gericht op het debatteren en opstellen van regels (wetgeving) over de grenzen van acceptabel en onacceptabel gedrag. Het perspectief van de academische stroming onderzoekt diverse facetten, waaronder criminologie, sociologie, computer wetenschap en informatiemanagement, van cybercrime met als doel het begrijpen van de feitelijkheden. De experts stroming is gericht op het onderzoeken en begrijpen van trends in cybercrime met als doel het verklaren en aanbieden van oplossingen. De populaire en emotionele stroming reflecteert de beeldvorming van de gemiddelde persoon over cybercrime. Deze stroming heeft invloed op de economische markten en beïnvloed ook de vorming van sociale waarden en eventueel de wetgeving. Deze stroming is veelal op populaire media gebaseerd, die in gaat op emotionele impulsen in plaats van rationele overwegingen (Wall D., 2007; Wall D. S., 2008). De perceptie over cybercriminaliteit en ICT wordt mede beïnvloed door de filmindustrie. Waarbij cybercriminelen (hackers) populair worden afgeschilderd als helden, maar ook als staatscriminelen en terroristen (Webber & Vass, 2010; Brown, 2010). Majid Yar geeft aan dat de publieke perceptie en opinie een belangrijke rol speelt in het vormgeven van openbare orde. En dat een gedeelde opinie en perceptie een doorslaggevende invloed kan hebben op het gedrag van mensen. Een belangrijke factor die de perceptie van mensen beïnvloed is de angst om slachtoffer te worden. De inschatting van iemand zijn/haar eigen kwetsbaarheid wordt vormgegeven door persoonlijke ervaringen, lokale gebeurtenissen, informatie van horen en zeggen en media-aandacht. De angst van het slachtoffer worden van (cyber-) criminaliteit is vaak niet op objectieve informatie gebaseerd. Veelal zijn de publieke percepties over het risico niet proportioneel, vergeleken met de feitelijke kans om slachteroffer te worden. Een mogelijke oorzaak kan liggen in sensationele media aandacht (Yar, 2010). De publieke perceptie en opinie over cybercrime zijn van groot belang voor het vertrouwen van klanten in de bancaire dienstverlening. In essentie verkopen banken het vertrouwen dat er goed met het geld van de klanten wordt omgegaan. Tevens wordt er veel geld bespaard door de steeds hogere mate van automatisering, zoals het internetbankieren, waardoor traditionele bankkantoren kunnen worden gesloten. Het beïnvloeden van de publieke perceptie over de feitelijke risico s van cybercrime is daarmee een belangrijk aspect voor de gehele financiële sector. Niet alleen de publieke perceptie is een belangrijke factor bij de beeldvorming over cybercrime in de bancaire sector. Ook de perceptie bij het senior management in deze sector over de feitelijke risico s is van belang, zodat een Beheersing van cybercrime bij Nederlandse klein banken Professionalisering cybercrime 7

15 gedegen besluitenvorming kan plaatsvinden over te nemen mitigerende maatregelen. Om tot een goede besluitvorming te kunnen komen is kennis van de informatie uit de hierboven beschreven stromingen noodzakelijk. De informatie uit deze stromingen zal op evenwichtige wijzig in het perspectief van de bedrijfsvoering in de bancaire sector moeten worden geplaatst. In dit perspectief moet rekening worden gehouden met de relevante dreigingen en de ontwikkelingen van de diverse verschijningsvormen van cybercrime. 2.4 De ontwikkeling van cybercrime Elke verschijningsvorm van cybercrime kent zijn specifieke ontwikkelingen, die door verschillende factoren wordt beïnvloed. Op hoofdlijnen is er een aantal generieke factoren die de ontwikkeling van cybercrime in algemene zin bepalen. Wall geeft aan dat de ontwikkeling van cybercrime met name ligt in de groei van de netwerken, door middel van de convergentie van technologieën, het toenemende belang van informatieoverdracht en de tussenhandel hierin, en de globalisering (Wall D., 2007). Als de ontwikkeling van cybercrime in tijd wordt uitgezegd, dan zijn hierin drie generaties te typeren. De eerste generatie cybercrime bevat misdrijven waarbij computers worden gebruikt voor het plegen van traditionele vormen van criminaliteit. Deze generatie cybercrime is nog steeds beperkt tot een geografische locatie. De tweede generatie cybercrime bevat misdrijven die meerdere netwerken omvat en door de globalisering van internet een landsgrens overschrijdend kenmerk heeft. Daarbij geldt dat de tweede generatie cybercrime kan worden gekenmerkt door het hybride of adaptieve karakter. De derde generatie cybercrime onderscheidt zich van de voorgaande generaties, doordat het geheel door technologie wordt gefaciliteerd en uitgevoerd. Misdrijven in de derde generatie van cybercrime karakteriseren zich door de gedistribueerde en geautomatiseerde kenmerken (Wall D., 2007; Wall D., 2010). Deze karakteristieken van de derde generatie dragen bij aan steeds complexere vormen van cybercrime en de daarbij horende criminele organisatie. De ontwikkeling van cybercrime wordt beïnvloed door technologische veranderingen, die mede worden versterkt door de globalisering die het internet met zich mee brengt. Zowel de technologische veranderingen als de ontwikkeling van cybercrime worden gedreven door economische veranderingen. De economische veranderingen beïnvloeden de mensen en hun motivaties. Er bestaat een duidelijke relatie tussen verslechterende economische omstandigheden en een toename van criminele activiteiten (Clough, 2010). Het is daarom belangrijk de economische context met betrekking tot cybercrime te verduidelijken, om een beter begrip te krijgen over de ontwikkeling en de drijfveren van cybercrime. 2.5 De economie van cybercrime Cybercrime wordt in de literatuur vanuit verschillende vakgebieden en disciplines onderzocht, hierdoor ontstaan er diverse dimensies om de ontwikkeling van cybercrime te doorgronden. Initieel werd onderzoek naar criminaliteit in de digitale wereld, met name bekeken uit een technologisch perspectief. Daarbij werden de technologische oorzaken en gevolgen in relatie tot cybercrime bestudeerd. Aanvullend hierop werden de sociologische aspecten en met name de motivaties achter het plegen van cybercrime nader onderzocht. Een belangrijke constatering daarbij is de verschuiving in de motivaties van cybercriminelen. Initieel was de motivatie tot het plegen van cyberdelicten voornamelijk gedreven door het vergaren van kennis en het verkrijgen van waardering en status (Clough, 2010). Het verkrijgen van persoonlijke winst, zowel financieel als psychologisch, was ook in de begin jaren van het internet een belangrijke drijfveer. Maar gezien de technologische beperkingen, de beperkte verspreiding van kennis en de lage graad van globalisering, was het lastig financieel gewin te behalen door het plegen van cybercrime. Door het toenemen van technologische mogelijkheden en de globalisering zijn veel bedrijven verbonden met het internet voor het aanbieden van diensten en productie. Deze facetten versterken de mogelijkheid op het behalen van financieel gewin en hierdoor heeft er een duidelijke kanteling plaats gevonden in de primaire drijfveer voor het plegen van cybercrime. Deze kanteling wordt onderschreven door de United States Secret Service (USSS) (Verizon, 2010). De verschuiving van hacking for fun naar hacking for profit geeft daarmee een grotere economisch perspectief aan cybercrime. De essentie voor het plegen van een cybercrime ligt in de economische benadering van de cybercrimineel, die simpel weg een kosten- batenanalyse uitvoert (Kshetri N., 2006; Becker, 1995). Kshetri geeft aan dat Beheersing van cybercrime bij Nederlandse klein banken Professionalisering cybercrime 8

16 cybercrime wordt gepleegd indien, zowel de financiële als de psychologische winst groter zijn dan de psychologische kosten en het verwachte strafeffect. Daarbij bestaat het strafeffect uit de kosten bij veroordeling, de waarschijnlijkheid op arrestatie en de waarschijnlijkheid op veroordeling. Ten opzichte van traditionele criminaliteit is het zeer waarschijnlijk dat het psychologisch kosteneffect, uitgedrukt in een schuldgevoel, lager is in het geval van cybercrime. Dit wordt onder meer veroorzaakt door de nieuwheid van de technologie, het ontbreken van eenduidige gedragscodes en richtlijnen en het ontbreken van een eenvoudig identificeerbaar slachtoffer (Kshetri N., 2010). Daarnaast lijkt de cybercrimineel door gebruik te maken van een pseudo-identiteit, de digitale identiteit van de crimineel, de perceptie van anonimiteit te hebben. Voor de bestrijding van cybercrime is het belangrijk te realiseren dat de motivatie om over te gaan op cybercrime niet uitsluitend financieel is gedreven, maar dat ook psychologische aspecten in overweging worden genomen. De factoren die Kshetri beschrijft zijn de basisprincipes waarop de economie van cybercrime is gebaseerd. Het inherente gebruik van ICT bij cybercrime, zorgt ervoor dat de economische principes met betrekking tot de ICT-markt ook van toepassing zijn op de economie van cybercrime. Het onderzoeksgebied naar de economische facetten van cybercrime is relatief jong, met name het ontbreken van goede maatstaven en beschikbare informatie bemoeilijkt dergelijk onderzoek. Er zijn verschillende manieren om de economie van cybercrime te moduleren. Een veel gebruikte methode is het toepassen van een vraag en aanbod model, waarbij de criminele activiteiten worden onderzocht (Franklin, Paxson, Perrig, & Savage, 2007). Eeten en Bauer maken gebruik van een marginale analyse in hun onderzoek naar de economische aspecten van malware (Eeten & Bauer, 2008). In hun onderzoek wordt door middel van een conceptueel model aangeven op welke wijze de markt voor cybercrime en beveiliging elkaar beïnvloeden. Deze samenhang wordt in de onderstaande afbeelding weergegeven. Cybercrime MK C MB B Beveiliging MK B MB C 0% Beveiligingsschendingen 100% MB C = marginale baten van cybercrime MK C = marginale kosten van cybercrime 0% Beveiliging 100% MB B = marginale baten van beveiliging MK B = marginale kosten van beveiliging Figuur 2 Markten van cybercrime en beveiliging (Eeten & Bauer, 2008) Het is aannemelijk dat voor de markt van cybercrime geldt dat een hoger niveau van beveiligingsschendingen alleen mogelijk is door het vergroten van de kosten. Bovendien is het waarschijnlijk dat de extra kosten meer dan evenredig zullen toenemen, naarmate de omvang van de beveiligingsschendingen toeneemt. Tevens geldt dat de marginale baten van extra beveiligingsschendingen een dalende functie zijn van het niveau van beveiligingsschendingen. Dit is gebaseerd op het feit dat de meest lucratieve misdaden eerst worden gepleegd en dat bij extra criminele activiteiten de opbrengst resulteert in lagere marginale baten. GOVCERT.NL schrijft in hun trendrapport dat hightech cybercriminelen meer winst maken dan hun lowtech collega s. De hightech specialisten bezitten door hun kennisvoorsprong als eersten de interessantste doelwitten; de grotere groep die daarna komt, verdient gemiddeld minder aan de overblijvende doelwitten (GOVCERT.NL, 2010). Beheersing van cybercrime bij Nederlandse klein banken Professionalisering cybercrime 9

17 Voor de markt van cybercrime geldt dat de marginale kosten over de gehele breedte naar beneden schuiven door technologische veranderingen en globalisering. Ervan uitgaande dat andere factoren ongewijzigd blijven, zal een reductie in de marginale kosten van criminaliteit resulteren in een hoger niveau van beveiligingsschendingen en vice versa (Eeten & Bauer, 2008). Voor de markt van beveiliging is het aannemelijk dat een hoger niveau van beveiliging alleen kan worden bereikt bij hogere marginale kosten. Tevens geldt dat de marginale baten van de beveiliging zullen afnemen. Tot op zekere hoogte houden beide markten elkaar in evenwicht, dit wordt mede ingegeven doordat de markt van beveiliging op zoek is naar een optimum tussen de kosten en de baten van beveiliging. Er is een asymmetrie in de effecten van beide markten op elkaar. Aan de ene kant, kan een verhoogd niveau van beveiligingsschendingen wel of niet van invloed zijn op het niveau van beveiliging. Echter, voor beide markten zal het waarschijnlijk leiden tot hogere kosten van het handhaven van een zekere mate van beveiliging. Aan de andere kant, zal een hoger niveau van beveiliging veranderingen in de markt van cybercrime veroorzaken. Door het verhogen van de marginale kosten van beveiligingsschendingen en tevens het verminderen van de marginale baten. Beide effecten zullen elkaar wederzijds versterken en dus bijdragen tot een lager niveau van beveiligingsschendingen. Naar mate de variabelen in beide markten continue wijzigen, zijn de uitkomsten van de resulterende dynamische aanpassingen moeilijk te moduleren, hoewel de hierboven beschreven veranderingsrichtingen robuust lijken te zijn (Eeten & Bauer, 2008). De markt van cybercrime heeft de economische kenmerken van de ICT markt. Daarbij worden veel informatieproducten (malware) geproduceerd onder de condities van hoge vaste, maar lage marginale, kosten. Om een grotere marktpenetratie te bereiken wordt onder andere gebruik gemaakt van product- en prijsdifferentiatie, `first mover voordelen en versiebeheer (Varian, 2003). Een voorbeeld hiervan is de Zeus malware, die gebruik maakt van een licentiesysteem, daarnaast kunnen diverse modules met extra functionaliteiten worden aangeschaft (SecureWorks, 2010). Tevens geldt dat veel producten en diensten (Crimeware as a Service) in de cybercrime markt worden gekenmerkt door positieve netwerkeffecten. Het netwerkeffect lijkt de bereidheid te verhogen tot het betalen van de marktprijs als gevolg van de hoge verwachte verkopen en winst (Economides, 1995). Een dienst bestaat uit meerdere componenten en de invloed die deze componenten op elkaar uitoefenen kunnen zich uiten in positieve netwerkeffecten (Bauer & Eeten, 2009). Vanuit het perspectief van de cybercrimineel kan dit worden bereikt door het samenvoegen van verschillende componenten, zoals een botnet herder, spammer en harvester, tot een dienst voor het effectief verspreiden van phishing berichten. Kshetri maakt voor het verklaren van de groei in cybercrime gebruik van een economische analyse gebaseerd op rendementsverhoging. Het principe van rendementsverhoging gaat uit van schaalvoordelen, kostenverlaging en feedback mechanismen die leiden tot een verder succes van reeds succesvolle ondernemingen. In zijn analyse laat Kshetri zien hoe externaliteit mechanismen in relatie staan tot de zelfversterkende feedbacksystemen die rendementverhogingen voortbrengen voor criminele activiteiten door cybercrime (Kshetri N., 2009). De conceptueel modellen van Eeten & Bauer en van Kshetri geven inzicht op welke factoren maatregelen kunnen worden getroffen en hoe deze maatregelen de algehele uitkomsten kunnen beïnvloeden. Dergelijke maatregelen kunnen zijn gericht op de markt van cybercrime en/of de markt voor beveiliging en op de vele actoren (bv. eindgebruikers, bedrijven, overheidinstellingen, criminele organisaties, etc.) in deze markten die elkaar beïnvloeden. Zowel de technologische als de economische ontwikkelingen heeft de organisatievorm van cybercrime veranderd en geprofessionaliseerd en vice versa. Aan de ene kant heeft de organisatievorm van cybercrime bijgedragen aan een serieuze industrie van cybercrime, waarbij criminelen zich zijn gaan specialiseren en daarmee bijdragen aan een enorme productiviteitsverhoging van cybercrime (Moore, Clayton, & Anderson, 2009). Aan de andere kant hebben de technologische en economische ontwikkelingen de communicatie mogelijkheden vergroot, waardoor het bereik van cybercrime is uitgebreid en effectiever door cybercriminelen kan worden samengewerkt. Beheersing van cybercrime bij Nederlandse klein banken Professionalisering cybercrime 10

18 2.6 Organisatie van cybercrime Het internet heeft ervoor gezorgd dat één persoon een mondiaal bereik heeft voor het plegen van criminele activiteiten. Tevens draagt het internet bij aan een grote (geautomatiseerde) herhaalbaarheid, waarbij deze activiteiten kunnen worden uitgevoerd. Hierdoor ontstaat een criminaliteitsvorm, waarbij grote massa s potentiële slachtoffers kunnen worden bereikt, waarbij de impact voor een individueel slachtoffer mogelijk laag is. De bestrijding van criminaliteit met deze karakteristieken is complex en wordt bemoeilijkt, doordat het veelal landsgrensoverschrijdend en daarmee over meerdere jurisdicties plaatsvindt (Wall D., 2007; Leukfeldt, Domenie, & Stol, 2010). Brenner speculeert in haar artikel over de organisatiestructuren van cybercrime over een verschuiving, van in de fysieke wereld aanwezige hiërarchische en groepsstructuren, naar een organisatiestructuur van een zwerm. Deze structuur wordt gekenmerkt door het vluchtige (fluïde) en zijdelingse karakter van de onderlinge relaties tussen individuen. Daarbij werken individuen voor een beperkte periode samen voor het uitvoeren van een specifieke taak, waarna ieder individu zijn eigen weg gaat (Brenner, 2002). Het ontbreekt vaak aan voldoende bewijs voor het aantonen van de veronderstelde relatie tussen cybercrime en georganiseerde misdaad (Wall D., 2008). Uit de Verkenning Cybercrime in Nederland 2009 is gebleken dat veel kleine delicten worden gepleegd, door min of meer alledaagse verdachten die individueel opereren. En dat een aantal groeperingen zich bezig houdt met georganiseerde cybercrime. Daarmee is dit te vergelijken met de klassieke criminaliteit (Leukfeldt, Domenie, & Stol, 2010). Hoewel er in de literatuur beperkte kennis is over dadergroepen en organisatiestructuren van cybercrime, zijn er aanwijzingen dat zowel traditionele criminele organisatiestructuren bij cybercrime betrokken zijn, die de benodigde expertise extern inhuren. Als nieuwe fluïde organisatiestructuren, waarbinnen experts deeltaken verrichten en hun krachten bundelen (Hulst & Neve, 2008). Deze waarneming onderschrijft de trend naar diversificatie van taken, zoals dit in 2006 door het KLPD werd gesignaleerd. Waarbij verschillende criminaliteitsvormen in combinatie met elkaar worden gepleegd met een trend naar taakspecialisatie (Boerman & Mooij, 2006). De KLPD geeft in een publieke rapportage over haar aandachtsgebieden in Nederland aan, dat met betrekking tot cybercrime de samenwerkingsverbanden tussen cybercriminelen regelmatig virtueel zijn. Daarbij kennen cybercriminelen elkaar van forums en alleen bij de bijnaam. Het criminele bedrijfsproces is dermate wijd vertakt dat cybercriminelen moeten samenwerken. De internationale dadergroepen van cybercrime komen overeen met traditionele criminaliteitsvormen (KLPD, 2010). In de jaarlijkse publicatie van Verizon in samenwerking met de USSS wordt aangegeven dat er een grote diversiteit bestaat in de criminele groeperingen die zich bezig houden met cybercrime. Twee kenmerken die effectieve cybercrime organisaties onderscheiden, zijn de organisatiestructuur en de toegang tot goed ontwikkelde criminele infrastructuur. Dit komt met name tot uiting in online forums, waarbij lidmaatschap van de organisatie wordt beheerd door een kleine groep individuen. Waarbij informele autoriteitsstructuren worden versterkt door formele reputatiesystemen, waarbij leden elkaar beoordelen op hun betrouwbaarheid. Voor veel online forums geldt dat individuen die een dienst of een product willen aanbieden onderworpen worden aan een formeel beoordelingsproces door een senior lid van de organisatie. De online forums dienen als business platform voor het combineren van criminele diensten, waarbij de participatie van een groot aantal verschillende en betrouwbare criminele diensten de ontwikkeling in de organisatie versterkt. Leden en hun diensten van dergelijke forums kunnen worden gecategoriseerd in onder andere, hackers, spammers, bot herders, malware ontwikkelaars, hardware providers, etc. (Verizon, 2010). In Bijlage D, Rollencomplex wordt een beeld gegeven van de verschillende diensten, de bijhorende rollen en de onderlinge relaties in de organisatie cybercrime, met betrekking tot de verschijningsvorm phishing (Faber, Mostert, Faber, & Vrolijk, 2010). 2.7 Verschijningsvormen van cybercrime Om een beter inzicht te krijgen in cybercrime kan een indeling naar de diverse verschijningsvormen van cybercrime hierbij helpen. In de literatuurstudie van het WODC wordt een indeling op basis van een achttal strategisch thema s gehanteerd, waarbinnen diverse verschijningsvormen zijn gecategoriseerd (zie Bijlage E, Verschijningsvormen) (Hulst & Neve, 2008). Daarbij wordt opgemerkt dat de diverse verschijningsvormen van cybercrime in elkaar overlopen en veelal juist in combinatie worden toegepast. Desondanks is het mijns Beheersing van cybercrime bij Nederlandse klein banken Professionalisering cybercrime 11

19 inziens zinvol een dergelijke indeling te hanteren, om de afzonderlijke componenten nader van elkaar, maar ook in context, te kunnen onderzoeken en begrijpen. Niet alle verschijningsvormen van cybercrime zijn relevant voor de bancaire sector. De relevantie wordt met name bepaald door de mogelijk impact van de verschijningsvorm op de bedrijfsvoering binnen de bancaire sector en de kans van optreden van de betreffende verschijningsvorm van cybercrime. Op grond van deze facetten, de bestudeerde literatuur (zie Bijlage A, Literatuur) en de indeling zoals door het WODC gehanteerd, acht ik de volgende verschijningsvormen van cybercrime relevant voor de bancaire sector; Afscherming met behulp van ICT Identiteitsfraude Marktmanipulatie Afpersing en chantage Hacking Botnets (d)dos aanval Spamming (/phising) Malware Defacing (pharming) Corrupt ICT-personeel & infiltratie criminele ICT ers Inhuur ICT-experts. In Bijlage E, Verschijningsvormen is een schematisch weergave opgenomen van de hierboven beschreven selectie. In de volgende paragrafen worden de individuele verschijningsvormen nader toegelicht. Afscherming met behulp van ICT Volgens van der Hulst is er sprake van afscherming wanneer ICT wordt gebruikt om de communicatie binnen het criminele circuit op innovatieve wijze af te schermen, bijvoorbeeld door gebruikt te maken van encryptie (Hulst & Neve, 2008). In bepaalde publieke virtuele omgevingen, zoals chatrooms, veilingsites, P2Pnetwerken, is het mogelijk om afgeschermd met elkaar te communiceren (Morris, 2004). Afschermingtechnieken kunnen echter ook verder gevorderde technische vaardigheden vereisen, zoals bij steganografie. Bij steganografie wordt niet alleen de inhoud van een boodschap afgeschermd met andere informatie, maar het hele bestaan van de boodschap wordt afgeschermd (Gordon, Hosmer, Siedsma, & Rebovich, 2002). Door gebruik te maken van versleuteling kan informatie tussen het bedrijfsnetwerk en de buitenwereld ongezien worden verzonden. Hierdoor is het tevens lastig achteraf vast te stellen welke informatie is verzonden. Cybercriminelen kunnen op deze manier vertrouwelijke interne informatie vanaf het interne bedrijfsnetwerk via reguliere systemen, zoals interne proxy servers, naar het internet versturen. Identiteitsfraude Identiteitsfraude is frauderen door iemands identiteit over te nemen. Vaak is dit het gevolg van identiteitsdiefstal. Bij identiteitsfraude misbruiken criminelen persoonlijke gegevens die ze hebben bemachtigd via social engineering of phishing. Het verkrijgen van de identiteitsgegevens is meestal geen doel op zich, maar dient om andere criminele delicten mee mogelijk te maken (Hulst & Neve, 2008). Bijvoorbeeld om bankrekeningen te openen op naam van deze persoon, waarnaar crimineel geld kan worden doorgesluisd. Of om aankopen op krediet te doen (NVB, 2010). Social engineering staat voor het onder valse voorwendselen verkrijgen van vertrouwelijke informatie of ongeoorloofd een bedrijf binnenkomen, en benadrukt de menselijke betrokkenheid bij het verkrijgen van deze toegang of gevoelige informatie (Hulst & Neve, 2008). Identiteitsfraude in combinatie met social engineering wordt door cybercriminelen gebuikt voor het werven van money mules (katvangers) via het internet, , chat, brief of telefoon. Daarbij wordt iemand gevraagd, vaak met een mooi verhaal, of er gebruik mag worden gemaakt van de bankrekening van de betreffende persoon om daarop geld te storten. Vervolgens wordt de persoon gevraagd het geld over te storten naar andere (vaak buitenlandse) rekeningnummers. Een percentage van het geld mag de katvanger houden als vergoeding. De meeste katvangers kunnen hun rekening maar één keer gebruiken voor het doorsluizen van Beheersing van cybercrime bij Nederlandse klein banken Professionalisering cybercrime 12

20 illegaal geld, voordat deze door de bank wordt afgesloten. Daardoor zijn goede katvangers schaars. Het werven van nieuwe money mules is van groot belang voor de crimineel (NVB, 2010). Marktmanipulatie Marktmanipulatie is een verschijningsvorm van cybercrime waarbij veelal sprake is van handel met voorkennis, of betreft het manipuleren van aandelenprijzen door het verspreiden van (onjuiste) informatie en geruchten in chatrooms, internetforums en via (Amersfoort, Smit, & Rietveld, 2002). Het manipuleren van aandelenkoersen staat ook wel bekend als pump n dump of trash and cash oplichting (Morris, 2004). Bij positieve manipulatie worden aandelen direct na het stijgen van de aandelenprijzen verkocht met grote winst (pump n dump). Of omgekeerd worden aandelen bij negatieve manipulatie direct na het zakken van de aandelenprijzen gekocht en na stabilisatie van het aandeel weer verkocht met grote winst (short-selling). Door het verspreiden van dergelijke informatie kan via aandelen- en optiehandel met voorkennis veel winst worden behaald (Hulst & Neve, 2008). Afpersing en chantage Afpersing is het op illegale wijze verkrijgen van geld of goederen van een persoon of organisatie door middel van dreiging en/of geweld (Morris, 2004). De cybercrime verschijningsvorm van afpersing is meestal gelegen in het dreigen met: een ddos aanval (zie paragraaf (d)dos), het beschadigen van essentiële gegevens of het publiekelijk maken van gevoelige informatie. Vaak worden onder dreiging van een ddos aanval geld of goederen geëist van bedrijven die voor de bedrijfsvoering sterk afhankelijk zijn van het internet, zoals de bancaire sector. Indien niet wordt betaald, gaat de website uit de lucht met mogelijk financiële en reputatieschade als gevolg (Hulst & Neve, 2008). Hacking Er is sprake van hacking wanneer iemand zich op ongeautoriseerde wijze van buitenaf toegang verschaft tot ICT componenten, zoals computers, netwerken, servers of informatiesystemen. Er worden verschillende technieken van hacking gebruikt om toegang te krijgen tot de ICT componenten. Dit varieert van het raden van wachtwoorden tot het uitbuiten van beveiligingslekken in software en computersystemen (Hulst & Neve, 2008). Botnets Een botnet is een verzameling van geïnfecteerde zombiecomputers. Botnets worden veelvuldig ingezet voor ddos aanvallen (zie paragraaf (d)dos), maar ze worden ook gebruikt voor phishing, spamming en identiteitsfraude via het internet. Een botnet bestaat uit meerdere bots die ongemerkt automatisch werk kunnen uitvoeren. Computers die besmet zijn met een bot kunnen zonder medeweten van de gebruiker op afstand worden bestuurd (Choo, 2007). Botnets nemen een centrale plaats in bij de aanvalsmethoden van cybercrime. Een botnet verstuurt bijvoorbeeld spam om gebruikers te lokken naar een besmette website. Via een besmette website kan malware worden geïnstalleerd met een exploit door misbruik te maken van een kwetsbaarheid in software van de eindgebruiker. De malware kan de besmette computer tot een bot maken en daarmee onderdeel van een botnet. De malware kan gegevens inzien op de computer en meekijken welke handelingen de gebruiker uitvoert. Gegevens worden van de computer afgevangen en opgeslagen op een door de aanvaller bepaalde locatie (drop zone). De Command & Control (C&C) servers zorgen voor updates van een bot met verbeterde functionaliteit. In onderstaande figuur staat de wijze waarop de belangrijkste aanvalsmethoden met elkaar samenhangen (GOVCERT.NL, 2010). Beheersing van cybercrime bij Nederlandse klein banken Professionalisering cybercrime 13