Aangiftebereidheid van Computercriminaliteit bij Bedrijven

Transcriptie

1 Aangiftebereidheid van Computercriminaliteit bij Bedrijven Auteur : Studentnummer : Onderwijsinstelling : Opleiding : Faculteit : Afstudeerrichting : 1 e Begeleider : 2e Begeleider : Bedrijfsbegeleider : In samenwerking : Datum : Ing. J.K.G. Dijk Technische universiteit Eindhoven Techniek en Maatschappij Technologie & Beleid Technology and Policy Analysis Drs. U. Matzat (Faculteit : Technologie & Beleid) Prof. Dr. C.C.P. Snijders (Faculteit : Technologie & Beleid) Drs. M.C. den Dunnen Politie Amsterdam ; Team Digitale Expertise

2 Aangiftebereidheid van Computercriminaliteit bij Bedrijven Auteur: Ing. J.K.G. Dijk Studentnummer: Begeleiders : Drs. U. Matzat - Prof. Dr. C.C.P. Snijders - Drs. M.C. den Dunnen Datum : In samenwerking met de Technische Universiteit Eindhoven & Politie Amsterdam. TU/r, tewhnierhp imiuwrcitri, r+indhnnnn P* L I T I E A 1[fP u t` : J ii4~. J. K.UDijk III

3 Samenvatting De politie in Nederland merkt dat relatief weinig bedrijven aangifte doen van computercriminaliteit terwijl bedrijven aangeven wel last te hebben van computercriminaliteit. Uit onderzoek naar computercriminaliteit bij andere landen blijkt dat computercriminaliteit een veel voorkomende vorm van criminaliteit is waar veel schade door wordt veroorzaakt maar dat weinig bedrijven aangifte doen van computercriminaliteit bij politie of justitie [CSI/FBI, Hierdoor staan de volgende vraagstellingen centraal in dit onderzoek : 1) Wat is de actuele aard en omvang van computercriminaliteit bij bedrijven in Nederland? 2) Wat zijn de factoren die het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit kunnen verklaren? Er bestaan grofweg twee vormen criminaliteit die met computers of IT gepleegd kunnen worden. Computercriminaliteit in de brede zin en computercriminaliteit in de enge zin [National high Tech Crime team, 2006]. De eerste soort is criminaliteit waarbij IT het middel is waarmee de criminaliteit gepleegd kan worden, zoals internetracisme of de verspreiding van kinderporno. Bij computercriminaliteit in de enge zin zijn computers of netwerken het doel van de criminaliteit op zich. Onder deze vorm vallen bijvoorbeeld Hacking, Website Defacement en Verstikkingsaanvallen. Dit onderzoek richt zich expliciet op computercriminaliteit in de enge zin. Om de aard en omvang van computercriminaliteit in Nederland te bepalen zijn ongeveer 3000 bedrijven benaderd om mee te werken aan een internetenquête over computercriminaliteit. Daarvan hebben 327 bedrijven een digitale vragenlijst over computercriminaliteit compleet ingevuld. De resultaten van dit onderzoek geven weer dat computercriminaliteit een actuele vorm van criminaliteit is en dat veel bedrijven last hebben van de verschillende vormen computercriminaliteit. Voornamelijk blijken veel bedrijven last te hebben van Spam. Waarbij 93% van de respondenten hebben aangegeven het jaar voorafgaand aan de enquête met Spam in aanraking te zijn gekomen. 56% van de respondenten is het afgelopen jaar met een Virus, Worm of Trojaans paard in aanraking gekomen. Daarnaast komen bedrijven ook met ernstigere vormen van computercriminaliteit in aanraking. 7.5% ~t~ : :~x~~r. In-. J.K.G. Dijl~ III

4 van de respondenten heeft aangegeven in het jaar voor de enquête één keer of vaker met Hacking zonder diefstal of vernieling van gegevens in aanraking te zijn gekomen en 3.1% van de respondenten is het slachtoffer geworden van Hacking waarbij tevens ook gegevens zijn gestolen of vernield. 6.4% van de respondenten is in een jaar één keer of vaker met een Verstikkingsaanval in aanraking gekomen. 4.4% van de respondenten met Website Defacement, 3.4% van de respondenten met Gijzelsoftware en tenslotte heeft 2.7% van de respondenten aangegeven dat in het jaar voorafgaand aan de enquête één keer of vaker via IT illegaal diensten of producten zijn afgenomen. Verder komen grote bedrijven significant meer in aanraking met computercriminaliteit en komen bepaalde soorten computercriminaliteit meer voor in bepaalde sectoren dan in andere. Zo zijn bedrijven in de ICT sector gevoeliger voor Hacking en worden in deze sector illegaal via IT meer diensten of producten afgenomen. In de financiële sector blijkt significant meer Spam en Spyware voor te komen dan in andere sectoren. Bedrijven in de ICT sector met 6-10 werknemers en die veel in IT beveiliging investeren hebben de grootste kans om met ernstige computercriminaliteit in aanraking te komen. Verder is gebleken dat 4.1% van de computercriminaliteitincidenten waarvan verwacht mag worden dat bedrijven daarvan aangifte doen, daadwerkelijk aangifte wordt gedaan. Dit is relatief weinig computercriminaliteit waarvan daadwerkelijk aangifte wordt gedaan bij politie of justitie. Het probleem dat zich voordoet indien weinig slachtoffers aangifte doen van een strafbaar feit is dat de politie de kwestie hierdoor onderschat [Carach, 1997]. Aan de hand van de literatuur over aangiftegedrag van slachtoffers zijn 12 hypothesen opgesteld welke allen een verband veronderstellen tussen bedrijfskenmerken, delictkenmerken of contextuele factoren en het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit. Uit de empirische toetsing van deze hypothesen blijken alleen de hoogte waarmee een bedrijf in IT beveiliging investeert, de hoogte van de strafmaat die staat op een bepaald soort computercriminaliteitincident en indien de computercriminaliteit Hacking met diefstal of verandering van gegevens betreft, significant van invloed te zijn op het aangiftegedrag van bedrijven. Ook zijn hypothesen getoetst aan de hand van scenario vragen. Daaruit blijkt dat de intentie om aangifte te doen van computercriminaliteit afhangt van de hoogte van de kosten van een incident, en of het slachtoffer een cyberrisk verzekering heeft. Aan de hand van deze bevindingen is een aangiftemodel opgeteld welke de kans dat een bedrijf aangifte zal doen van h~1e~t ; 1 n,o..i. K, G. L) ïck- IV

5 computercriminaliteit voorspelt. Het model gaat ervan uit dat bedrijven een kosten/baten afweging maken van de relevante bedrijfskenmerken en delictkenmerken. Contextuele kenmerken blijken niet van invloed te zijn op het aangiftegedrag van bedrijven. Naast deze kenmerken houdt het model ook rekening met de baten van de aangifte. De kosten die een aangifte met zich meebrengen blijken minder van invloed te zijn op het aangiftegedrag van bedrijven. Als de totale baten groter zijn dan de totale kosten voorspelt het model dat het bedrijf aangifte zal doen van computercriminaliteit en als de totale kosten groter zijn dan de totale baten de organisatie geen aangifte zal doen van computercriminaliteit. Met behulp van dit aangiftemodel zijn aanbevelingen gedaan zodat de politie stappen kan ondernemen om het aangiftegedrag van bedrijven te beïnvloeden. Deze aanbevelingen zijn gebaseerd op de hypothesen waarvoor steun is gevonden in de empirische data. Het uitgangspunt van de aanbevelingen is om de baten van een aangifte van computercriminaliteit zo veel mogelijk te verhogen. Hierbij moet onder andere gedacht worden aan het opstellen van een prospect "Computercriminaliteit" en het opzetten van een digitale aangifte website speciaal voor computercriminaliteit. A-11t,~ur ; ín~. J.K.G. Di ~k v

6 Voorwoord Deze scriptie is geschreven om het onderzoek naar aangiftegedrag van bedrijven ten aanzien van computercriminaliteit te presenteren. Een vereiste voor het behalen van universitaire studie : Techniek en Maatschappij, Technology and Policy Analysis aan de Technische Universiteit Eindhoven is om een zelfstandig afstudeeronderzoek uit te voeren. De interessante combinatie van empirisch onderzoek met recht, sociologie en techniek is mede bepalend geweest voor de keuze van dit onderwerp. Bij dezen wil ik Manon den Dunnen bedanken voor haar tijd en moeite als begeleider bij de politie en Dhr. Matzat en Dhr. Snijders voor hun inzet als 1 e en 2e begeleider. _Auteur : lm~~ T,K.G. Dijk VI

7 Inhoudsopgave 1 Inleiding Omschrijving computercriminaliteit Computercriminaliteit en de wet Het Internationale Cybercrime-verdrag De wet computercriminaliteit II Overige wetten gericht op computercriminaliteit Samenvatting computercriminaliteit en de wet Omvang Computercriminaliteit Theorie aangiftegedrag Economische aangiftemodel Psychologisch aangiftemodel (Macro) sociologisch model Multilevel socio-ecologisch aangiftemodel Aangifte modellen samengevat Visie vanuit de praktijk op het aangiftegedrag van bedrijven Hypothesen aangiftegedrag van computercriminaliteit bij bedrijven Uitvoering Keuze respondenten Opmaak adressenbestand Verantwoording enquête Resultaten Overzicht respons op enquête Omvang computercriminaliteit in Nederland Kans om met computercriminaliteit in aanraking te komen Beschrijving aangiftegedrag van bedrijven Overige verbanden Samenvatting aard en omvang computercriminaliteit Toetsing Hypothesen Toetsing hypothesen aan de hand van bedrijfskenmerken Toetsing hypothesen aan de hand van delictkenmerken Toetsing hypothesen aan de hand van scenario's Toetsing overige verbanden in relatie tot aangiftegedrag Samenvatting bivariate regressie Multivariate regressie bedrijfskenmerken en aangiftegedrag Multivariate regressie delictkenmerken en aangiftegedrag Multivariate regressie bedrijfskenmerken, delictkenmerken en aangiftegedrag Aangiftedeterminanten van computercriminaliteit bij bedrijven Praktische relevantie voor verhoging van het aangiftegedrag van bedrijven Adviezen gebaseerd op de significante aangiftedeterminanten Verhogen van de baten van aangifte Discussie Literatuurlijst Bijlagen

8 1 Inleiding De politie in Nederland merkt dat weinig bedrijven aangifte doen van computercriminaliteit, terwijl bedrijven kenbaar maken hier wel last van te hebben. Cybercrime of wel computercriminaliteit kan omschreven worden als die vormen van criminaliteit waarbij computers en IT een essentiële rol spelen voor de uitvoering van het misdrijf [National high Tech Crime team, 2006]. Andere landen dan Nederland zijn al sinds enkele jaren de cybercrime omvang in hun land aan het onderzoeken, zoals Engeland [PriceWaterhouseCoopers, 2006], Australië [Australian High Tech Crime Center, 2006] en de Verenigde Staten [FBI, 2005]. Echter in Nederland zijn dergelijke onderzoeken naar computercriminaliteit nog zeker niet vanzelfsprekend. Uit bovengenoemde onderzoeken komt naar voren dat bedrijven niet alleen last hebben van computercriminaliteit en dat hier hoge kosten uit voortvloeien, maar ook dat weinig bedrijven aangifte doen bij de politie nadat ze met computercriminaliteit in aanraking zijn gekomen. Dit komt overeen met het vermoeden van de Nederlandse politie dat computercriminaliteit in Nederland wel degelijk bestaat alleen dat weinig bedrijven hiervan aangifte doen. Het probleem dat zich voordoet indien weinig slachtoffers aangifte doen van een strafbaar feit is dat de politie de kwestie hierdoor onderschat [Carach, 1997]. Indien de politie enkel afgaat op aangiftecijfers van computercriminaliteit om hun beleid op af te stemmen zal er een scheve verhouding ontstaan tussen de middelen die de politie aan cybercrime besteedt en de middelen die daadwerkelijk nodig zijn. Het is daarom van groot belang dat slachtoffers van computercriminaliteit hiervan aangifte doen bij politie of justitie. Ook kan het melden van computercriminaliteit bij instellingen anders dan de politie een belangrijke bron van informatie zijn. Naast onduidelijkheid over de aard en omvang van computercriminaliteit bij bedrijven in Nederland is tevens niet helder wat de oorzaken zijn dat zo weinig bedrijven aangifte doen van computercriminaliteit, terwijl bedrijven een aanzienlijke schadepost ondervinden door toedoen van de cybercriminelen. Daarbij komt dat meerdere vormen van computercriminaliteit wel degelijk strafbaar zijn in Nederland. Desondanks blijkt de aangiftebereidheid van bedrijven ten aanzien van computercriminaliteit laag. Daarom is het nodig om stappen te ondernemen om meer bedrijven over te laten gaan tot aangifte van computercriminaliteit. Hiervoor moet eerst die factoren achterhaald worden welke bepalend zijn voor het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit. Met behulp van ing.. J.K_G Dij k 2

9 deze factoren, of wel aangiftedeterminanten kunnen doelgerichte stappen ondernomen worden om het aangiftegedrag van bedrijven te beïnvloeden. Om deze redenen staan de volgende vragen centraal in dit onderzoek : 1) Wat is de actuele aard en omvang van computercriminaliteit bij bedrijven in Nederland? 2) Wat zijn de determinanten die het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit kunnen verklaren? Het doel van dit afstudeeronderzoek is dus tweeledig. Ten eerste is het belangrijk om de actuele aard en omvang van computercriminaliteit in Nederland te achterhalen. En ten tweede zal dit onderzoek gebruikt worden om een beter inzicht te verschaffen in het aangiftegedrag van slachtofferbedrijven.

10 2 Omschrijving computercriminaliteit Computers en internet beginnen een geïntegreerd onderdeel van onze samenleving te worden. In 2004 heeft 64% van de huishoudens in Nederland een computer met internetverbinding en had maar liefst 95% van de bedrijven in Nederland in 2004 de beschikking over internet [CBS, 2004]. Naar schatting zal het gebruik van computers en internet in de toekomst alleen maar toenemen. En met het toenemende internetgebruik van particulieren en bedrijven, zal ook het aantal misdrijven en overtredingen begaan met of met behulp van computers toenemen. Bij de omschrijving van computergerelateerde vormen van criminaliteit worden twee termen veelvuldig gebruikt ; 1) Computercriminaliteit en 2) Cybercrime. De term cybercrime verwijst naar alle voren van criminaliteit waarbij computers en netwerken een rol spelen [ Dit is een zeer brede omschrijving van misdaden gepleegd met computers. Zo zou bijvoorbeeld het neerslaan van iemand met een laptop ook kunnen vallen onder de noemer cybercrime. Anderzijds kan cybercrime nauwkeurig omschreven worden door te verwijzen naar die vormen van criminaliteit die genoemd worden in het Europese Cybercrime Verdrag [Convention on Cybercrime, Door de brede inhoud van cybercrime wordt er in Nederland vaak gesproken van computercriminaliteit onder de verwijzing naar de wet Computercriminaliteit I& II. Om te spreken van computercriminaliteit moeten computers en netwerken essentieel zijn voor de uitvoering van het delict. Computercriminaliteit wordt daarom vaak gezien als die misdrijven gepleegd met een computer en waarbij het gebruik van IT een essentiële rol speelt bij het uitvoeren van het delict. Er wordt een onderscheid gemaakt tussen twee soorten computercriminaliteit. Computercriminaliteit in de brede zin en computercriminaliteit in de enge zin [ Onder de eerste vorm vallen alle misdrijven waarbij computers het middel zijn waarmee de criminaliteit gepleegd kan worden. Voorbeelden van soorten criminaliteit die hieronder vallen zijn : - Fraude en oplichting via het internet. - Oplichting bij bestelling via internetsites. - Een bedrijf chanteren via . - Iemand beledigen of discrimineren. - Iemand cyberstalken of seksueel lastig vallen via het internet. Aruv'ur, lnc,7..f,k;.g. I)á j k 4

11 - Inbreuken op het auteursrecht. - verspreiding van illegale inhoud zoals kinderporno of extremisme. Computercriminaliteit in de enge zin omvat die vormen van misdrijven die niet zonder tussenkomst of met gebruik van computers of netwerken gepleegd kunnen worden. Hierbij zijn computers of netwerken het doel van de criminaliteit. Over computercriminaliteit in de enge zin zijn nog niet veel rechtzaken in Nederland gevoerd. De bewijsvoering schijnt namelijk erg lastig te zijn. Voorbeelden van computercriminaliteit in de enge zin zijn : - Hacking. - Website Defacement. - Versturen van verstikkingsaanvallen. - Verspreiden van virussen. Een uitvoerige beschrijving van computercriminaliteit in de enge zin wordt gegeven in hoofdstuk Computercriminaliteit en de wet Er zijn verschillende wetten van toepassing op computercriminaliteit en/of cybercrime. Zo staan in het Nederlandse wetboek van strafrecht wetten, welke specifiek van toepassing zijn op computercriminaliteit. [Wijziging in het wetsvoorstel computercriminaliteit II in het wetboek van strafrecht, 2006]. En heeft het wetboek van strafvordering bepalingen welke expliciet van toepassing zijn op de opsporing van computercriminaliteit [Wijziging in het wetsvoorstel computercriminaliteit II in het wetboek van strafvordering, 2006]. Naast deze nationale bepalingen is Nederland in internationaal verband gebonden aan het Europese Cybercrime Verdrag door de ondertekening hiervan in 2001 [Convention on Cybercrime, 2001]. Met de invoering van de wet Computercriminaliteit uit 1993 voldeed Nederland voor een deel aan dit internationale verdrag, maar moest Nederland de wet op een paar punten nog aanpassen. Daarom heeft Nederland per 1 september 2006 de nieuwe wet Computercriminaliteit II ingevoerd. Hierin staat omschreven welke vormen van Attíeur~ { no-..i.k.g. Dijk 5

12 criminaliteit vallen onder computercriminaliteit en welke straf de rechter kan opleggen voor een computer gerelateerd delict. Gebruikelijk in het Nederlandse recht is dat de straf die de rechter kan opleggen via de wet aan een maximum is gesteld. De geldboete die ten hoogste door een rechter kan worden opgelegd is gelijk aan het bedrag van de categorie die voor een strafbaar feit is bepaald. De categorie bepaalt de maximale hoogte van de boete. Let wel, de rechter bepaalt de uiteindelijke hoogte van een boete, maar moet zich houden aan dit maximum. In totaal zijn er zes categorieën. Tabel 2.1 geeft een overzicht van de maximale geldboetes per categorie weer. Tabel 2.1 : Overzicht maximale geldboete per categorie op 1 februari 2006 categorie Maximale geldboete in euro's Eerste 335 Tweede Derde Vierde Vijfde Zesde Bron : Artikel 23 lid 4, Wetboek van Strafrecht Het Internationale Cybercrime-verdrag In het Cybercrime-verdrag hebben de landen aangesloten bij de Raad van Europa afgesproken om tot een gemeenschappelijk strafrechtelijk beleid te komen ten aanzien van strafbare feiten verbonden met elektronische netwerken. Dit door het tot stand brengen van passende wetgeving en het versterken van de internationale samenwerking [ Het cybercrime verdrag is het eerste internationale verdrag gericht op computercriminaliteit via internet of andere netwerken. Het verdrag richt zich vooral op inbreuk op copyright, computer gerelateerde fraude, kinderpornografie en overtredingen op het gebied van netwerk beveiligingen [Convention on Cybercrime, 2001 ]. Het voornaamste doel van het verdrag is het beschermen van de samenleving tegen cybercriminaliteit. Dit wil men bereiken door een gezamenlijk beleid te voeren en in het bijzonder door gepaste wetgeving in te voeren en internationale samenwerking na te streven. Het verdrag gaat er dus van uit dat voor een effectieve strijd tegen cybercrime een goede samenwerking tussen de lidstaten vereist is. J.K.G. D i ik 6

13 2.1.2 De wet computercriminaliteit II Per 1 september 2006 is de oude wet computercriminaliteit I aangepast en is de wet computercriminaliteit 11 van kracht gegaan. Hiermee is het wetboek van strafrecht, het wetboek van strafvordering en enige andere wetten in overeenstemming gebracht met de eisen die uit het Cybercrime-verdrag voortvloeien [Memorie van toelichting : kamerstukken II 2004/2005]. Samengevat zijn de belangrijkste wijzigingen van de oude wet Computercriminaliteit : - De maximale straf voor veel delicten is verhoogd. Dit maakt het mogelijk om een verdachte in voorlopige hechtenis te nemen. - Naaste de misdrijven en de wetten zijn ook de opsporingsmethoden en het verzamelen van bewijs aangepast. - Als gevolg van de aanpassingen aan de wet computercriminaliteit kunnen Nederlanders die in het buitenland bepaalde vormen van computercriminaliteit begaan, ook in Nederland strafbaar worden gesteld. Dit is een gevolg van het voldoen aan het Cybercrime-verdrag. Omdat niet alle wetten beschreven in de wet Computercriminaliteit II van toepassing zijn op computercriminaliteit bij bedrijven, zullen niet alle artikelen uit deze wet hier behandeld worden. Voor de nieuwsgierige lezer verwijs ik naar [Wijzigingen van het wetsvoorstel computercriminaliteit ll in het wetboek van strafrecht, 2006]. De wet computercriminaliteit II wordt hier behandeld om toe te lichten welke vormen van criminaliteit voor dit onderzoek onder computercriminaliteit verstaan worden. Alleen die vormen van computercriminaliteit die hier beschreven staan zullen voor dit onderzoek erkend worden als relevante soorten computercriminaliteit. Bij de bespreking van de wet computercriminaliteit II is het nuttig eerst enkele termen te behandelen die veelvuldig terugkomen in de uitleg van de wetteksten. "geautomatiseerd werk": Is een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen [art 80, WvSr]. "Gegevens": Onder gegevens wordt verstaan iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor overdracht, interpretatie of verwerking door personen of geautomatiseerde werken [Artikel 80, WvSr]. Dijk 7

14 "Computervredebreuk" : Is het opzettelijk en wederrechtelijk (zonder toestemming) binnendringen in een computersysteem of netwerk [Artikel 138a, WvSr]. Onder de huidige wetgeving ten aanzien van computercriminaliteit zijn de volgende vormen relevant voor dit onderzoek als wel strafbaar onder de wet Computercriminaliteit II : Hacking [ Artikel 138a] Op Hacking of wel computervredebreuk (computerinbraak) staat een gevangenisstraf van ten hoogste 1 jaar en een geldboete van de vierde categorie. Hacking of computervredebreuk is het opzettelijk en wederrechtelijk (zonder toestemming van de eigenaar) binnendringen in een computersysteem [ Er is sprake van binnendringen van een werk indien toegang wordt verworven door het doorbreken van een beveiliging, een technische ingreep, met behulp van valse signalen of een valse sleutel of door het aannemen van een valse hoedanigheid. De hoogte van de maximale straf is aanzienlijk verhoogd van 6 maanden naar 12 maanden of geldboeten van de derde categorie naar de vierde. Verder is met een gevangenis straf van ten hoogste 4 jaren of een geldboete van de vierde categorie strafbaar indien het geautomatiseerde werk waarin de dader zich wederrechtelijk bevindt wordt overgenomen of vastgelegd. Dit komt erop neer dat de straf vele malen hoger is indien de hacker niet alleen wat rondgesnuffeld op een gehackte computer maar ook daadwerkelijk gegevens steelt of verandert. (D)dos [Artikel 138b] Op het opzettelijke en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmeren door daaraan gegevens aan te bieden of toe te zenden, staat een gevangenisstraf van ten hoogste van een jaar of een geldboete van de vierde categorie. Een (Distributed) Denial Of Service-attack of in het Nederlands een verstikkingsaanval is onder de nieuwe computercriminaliteitwet apart strafbaar gesteld. Bij een dergelijke aanval worden zoveel gegevens gestuurd naar een systeem dat deze niet meer normaal kan functioneren. Voorbeelden van een dergelijke aanval is het volstoppen van iemands mailbox met ongelofelijk veel of grote berichten of het massaal versturen 8

15 van nepverzoeken aan websites. Om schuldig te zijn aan een dergelijke aanval moet wel sprake zijn van opzettelijke belemmering. Tegenwoordig worden vaak meerdere computers ingeschakeld om een Denial of Service Aanval uit te voeren. Vandaar de term "Distributed" Denial Of Service Attack. Deze zogenaamde "zombie" computers maken het mogelijk meer gegevens te versturen dan één afzonderlijke computer aankan. Ook is het op deze manier moeilijker de dader te traceren. Gegevens diefstal [Artikel 139C lidl] Het opzettelijk en wederrechtelijk met een technisch hupmiddel aftappen of opnemen van gegevens die voor iemand anders bedoeld zijn, is strafbaar met 1 jaar gevangenisstraf of een geldboete van de vierde categorie. Sexies; Opzettelijk vernielen van geautomatiseerd werk [Artikel 161 ] Op het opzettelijk vernielen, beschadigen of onbruikbaar maken van enig geautomatiseerd voor telecommunicatie of openbare telecommunicatiedienst staat een gevangenisstraf van ten hoogste een jaar gevangenisstraf of een geldboete van de vijfde categorie. Deze wet is dus gericht op netwerken en internetproviders. Bijvoorbeeld wanneer een internetprovider slachtoffer is van een verstikkingsaanval, kan dat ook gerekend worden onder het verhinderen of bemoeilijken van een openbare telecommunicatiedienst [Artikel 161 lidl]. Indien als gevolg van het vernielen gevaar voor goederen of het verlenen van diensten ontstaat zelfs zes jaren gevangenis straf of een geldboete van de vijfde categorie opgelegd kan worden. Zelfs maximaal 9 jaar als daardoor een levensbedreigende situatie ontstaat en 15 jaren gevangenisstraf als door het opzettelijk vernielen van het geautomatiseerde werk iemand de dood tot gevolg had. Naast het eigenlijke vernielen van het geautomatiseerde werk stelt artikel 161 lid2 met een gevangenisstraf van ten hoogste een jaar of een geldboete van de vijfde categorie ook strafbaar het vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins tot de beschikking stellen van een technische hulpmiddel dat hoofdzakelijk geschikt gemaakt is of ontworpen voor het opzettelijk vernielen van een geautomatiseerd werk. Of een zelfde straf indien iemand een wachtwoord, toegangscode of vergelijkbaar gegeven waardoor toegang kan Au?eiw : 1nt. 3KG. Dijk 9

16 worden gekregen tot geautomatiseerd werk of deel daarvan, verkoopt, verwerft of verspreid of anderszins ter beschikking stelt of voor handen heeft met als doel om daarmee opzettelijk geautomatiseerde werken te vernielen, beschadigen of onbruikbaar te maken. Dus niet alleen het daadwerkelijk vernielen van een geautomatiseerd werk is strafbaar onder deze wet, maar ook het aanbieden van software en dergelijke die het mogelijk maken om een werk te vernielen zijn bij wet verboden. Vernielen of onbruikbaar maken van computers of gegevens komen relatief veel voor [ Gegevens worden namelijk vaak vernield door de computerinbreker die zijn sporen wil wissen. Opzettelijk vernieling computergegevens [Artikel 350a] Indien iemand opzettelijk of wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, verwerkt, overdraagt, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, kan een gevangenisstraf van ten hoogste 2 jaren riskeren of een geldboete van de vierde categorie. Hieronder valt bijvoorbeeld het defacen van een website. Indien door het veranderen van de gegevens deze gegevens ernstige schade hebben opgelopen de gevangenis straf verdubbeld wordt of een geldboete van de vierde categorie opgelegd kan worden. Het opzettelijk vernielen van opgeslagen of verwerkte gegevens via computervredebreuk is onder artikel 350a lid 2 apart strafbaar gesteld met een gevangenisstraf van 4 jaar of geldboete van de vierde categorie. Onder Artikel 350a lid 3 valt ook het opzettelijk en wederrechtelijk ter beschikking stellen of verspreiden van gegevens die zijn bestemd om schade aan te richten in een geautomatiseerd werk. Dit wordt ook wel het ter beschikking stellen of verspreiden van virussen genoemd. Hier staat een gevangenis straf op van ten hoogste vier jaren of een geldboete van de vijfde categorie. Ook de verspreiding van " kwaadaardige" software als virussen, wormen, Trojaanse paarden, rootkits en spyware vallen nu onder dit artikel. 10

17 2.1.3 Overige wetten gericht op computercriminaliteit Naast de wet computercriminaliteit II behandelt het wetboek van strafrecht nog andere artikelen die specifiek van toepassing zijn op computercriminaliteit of cybercrime en welke relevant zijn voor onderzoek naar aangiftebereidheid van computercriminaliteit bij bedrijven. Hierbij moet gedacht worden aan het versturen van Spam, of het afnemen van elektronische diensten zonder daarvoor te betalen. Spam [Artikel 11.7 telecommunicatiewet 1998] Spam is ongevraagde reclame, via de . Omdat veel mensen hier helemaal niet op zitten te wachten en het versturen van spam voor problemen kan zorgen bij de internetaanbieders is het versturen van spam via , sms en andere media aan particulieren verboden. Om schuldig te zijn aan het versturen van Spam, moet de handeling aan een paar eisen voldoen. Er moet sprake zijn van automatische overdracht zonder menselijke tussenkomst, voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden. Het gebruik van elektronische contactgegevens is wel toegestaan indien de verzender kan aantonen dat de desbetreffende abonnee daarvoor vooraf toestemming heeft verleend. Als de zender de contactgegevens heeft verkregen bij de verkoop van een product mag de zender wel elektronische berichten versturen als deze over soortgelijke producten of diensten gaan. De wet voorziet alleen een verbod op ongevraagde reclame aan natuurlijke personen. Het versturen van spam aan bedrijven is hierdoor nog wel toegestaan ( Diensten afnemen zonder te betalen [Artikel 326c, WvSr] Hij die met het oogmerk niet volledig te betalen, door een technische ingreep of met behulp van valse signalen, gebruik makend van een dienst die via telecommunicatie aan het publiek wordt aangeboden, wordt gestraft met een gevangenisstraf van ten hoogste vier jaren of een geldboete van de vijfde categorie. Straffen voor het aanbieden van deze diensten zijn ook niet mis; 2 jaren gevangenisstraf of een geldboete van de vierde categorie. Bepaalde telecomdiensten worden tegen betaling aangeboden. Denk bijvoorbeeld aan betaaltelevisie of toegang tot het internet. Soms is het mogelijk om gebruik te maken van die diensten zonder daarvoor te betalen. Maar het gebruik daarvan is wel degelijk strafbaar. irig. 1.K.G. Dijk 11

18 2.1.4 Samenvatting computercriminaliteit en de wet Uit tabel 2.2 blijkt dat bedrijven met een breed scala aan soorten computercriminaliteit te maken kunnen krijgen en dat niet voor alle soorten computercriminaliteit even hoge straffen opgelegd kunnen worden. Verder staan er in de regel relatief hoge straffen op het plegen van computercriminaliteit. Tabel 2.2: Overzicht verschillende soorten com utercriminaliteit Soort Omschrijving Wetsartikel Maximale strafmaat computercriminaliteit (WvSr) (gevangenisstraf, geldboete) Hacking met diefstal of Computervredebreuk 138a lidl 1 jaar of verandering van Standaard. 4e categorie gegevens Hacking zonder Computervredebreuk en 138 lid2 4 jaar of diefstal of verandering diefstal/verandering 4e categorie van gegevens gegevens. Virus verspreiding Programma's die bestemd 350a lid 3 4 jaar of zijn om schade aan te 5e categorie richten in een geautomatiseerd werk en zichzelf al dan niet autonoom verspreiden. Website defacement Vernielen opgeslagen of 350 lid 1 2 jaar of verwerkte gegevens. 4e categorie Verstikking aanvallen Massale nepverzoeken aan 138b 1 jaar of (Dos-attack) website sturen of versturen 4e categorie mailbombs. Versturen Spam Via massaal reclame Artikel Jaar of versturen. telecommuni- 4e categorie catiewet 1998 Via IT illegaal diensten Illegaal via IT reizen boeken Artikel 326c 4 jaar of of producten afnemen zonder te betalen. 5e categorie Installeren Via IT de toegang tot 350 lid 1 4 jaar of gijzelsoftware systemen belemmeren. 5e categorie Bron : Wetboek van Strafrecht 2.2 Omvang Computercriminaliteit Andere landen dan Nederland zijn al langer bezig met het onderzoeken van de computercriminaliteitproblematiek in hun land. Zo loopt er in de VS een jaarlijks onderzoek naar computercriminaliteit bij bedrijven [CSI/FBI, 2005]. Het meest recente onderzoek van de CSI/FBI naar dit onderwerp is de Computer Crime and.~~., Lrt l, ~ i.. k. C,. IL

19 Security Survey 2005 en is het tiende onderzoek naar computercriminaliteit in de VS. Zevenhonderd bedrijven of instellingen hebben meegewerkt aan dit onderzoek en hebben de enquête over computercriminaliteit ingevuld. De belangrijkste vindingen uit dit onderzoek zijn dat virusaanvallen gezorgd hebben voor de grootste financiële schade van alle soorten computercriminaliteit in Vijfennegentig procent van de respondenten ' die vragen hebben beantwoord over website incidenten hebben aangegeven afgelopen jaar meer dan tien website incidenten te hebben meegemaakt! Gemiddelde verliezen voor bedrijven die aan de enquête hebben meegewerkt veroorzaakt door computercriminaliteit wordt geschat op ongeveer tweehonderdduizend Amerikaanse Dollar per bedrijf per jaar. Twintig procent van de bedrijven heeft aangegeven het afgelopen jaar aangifte te hebben gedaan van computerinbraken bij justitie. De reden die de meeste bedrijven hebben opgeven om geen aangifte te doen bij politie of justitie was om imagoschade te voorkomen. Naast het coóperatieve jaarlijkse onderzoek van de FBI/CSI heeft de FBI ook afzonderlijk een grootschalig onderzoek laten verrichten naar computercriminaliteit in de VS, met de 2005 FBI Computer Crime Survey [FBI, 2005]. Meer dan tweeduizend organisaties hebben een enquête ingevuld en teruggestuurd uit vier staten van de VS. De belangrijkste vindingen uit dit onderzoek zijn onder meer dat zevenentachtig procent van de respondenten aangaf dat ze het afgelopen jaar met enige vorm van computercriminaliteit in aanraking te zijn gekomen. Veel van de bedreigingen kwamen van binnen de eigen organisatie. Echter minder dan één op de tien organisaties die in aanraking zijn gekomen met computercriminaliteit had daadwerkelijk aangifte gedaan bij justitie. Ook in Australië is het besef gekomen voor de noodzaak van een onderzoek naar computercriminaliteit om een totaalbeeld van de cybercrimeproblematiek in hun land te verkrijgen. Daarom wordt in Australië in opdracht van het Australian High Tech Crime Center al vijf jaar een jaarlijks onderzoek naar computercriminaliteit bij bedrijven gehouden [Australian High Tech Crime Center, 2006]. Aan dit onderzoek hebben 389 respondenten meegewerkt en lijkt inhoudelijk veel op het langlopende onderzoek van de FBI/CSI. De meest interessante vindingen uit dit onderzoek uit Australië zijn onder meer dat tweeëntwintig procent van de respondenten het afgelopen jaar in aanraking zijn gekomen met een elektronische aanval. In 2006, Au!w.>_-,. IngT.K.G Dijk 13

20 negenentwintig procent van de aanvallen werden gepleegd door medewerkers uit de eigen organisatie. De grootste financiële schade werd veroorzaakt door diefstal van of inbreuk op eigendomsgegevens of vertrouwelijke gegevens met een jaarlijkse gemiddelde geschatte schade van twee miljoen dollar per bedrijf. Gemiddeld gaven de respondenten aan een jaarlijkse schadepost van $ ,- te hebben door toedoen van computercriminaliteit. Van de organisaties die in de voorafgaande twee maanden in aanraking zijn gekomen met computercriminaliteit koos negenenzestig procent ervoor om geen aangifte te doen. Terwijl tweeëntwintig procent aangifte deed bij een Australische Wetshandhavingorganisatie. Binnen Europa heeft Engeland de uitvoerigste onderzoeken laten verrichten naar IT beveiligingsincidenten en computercriminaliteit [PriceWaterHouseCoopers, 2006]. De Information Security Breaches Survey 2006, is het achtste onderzoek naar IT beveiliging sinds 1991 verricht door PriceWaterHouseCoopers in opdracht van het "Departent of Trade and Industry" van Engeland. Bij ongeveer duizend bedrijven is een telefonische enquête afgenomen. De belangrijkste vindingen uit hun laatste onderzoek zijn dat tweeënzestig procent van de Engelse bedrijven veiligheidsincidenten hebben meegemaakt in het jaar van de enquête. Tweeëndertig procent van de grote bedrijven die gereageerd hebben op de Survey geven aan in het afgelopen jaar last te hebben gehad van één of meer ernstige vormen van computercriminaliteit. Voor het gemiddelde bedrijf in de Uk staat dit op zeven procent Ook in Nederland zijn acties ondernomen om dergelijke onderzoeken naar computercriminaliteit op te zetten. Het National High Tech Crime Center heeft een start gemaakt met een dergelijke opzet [National High Tech Crime Center, 2006]. Maar dergelijke onderzoeken zijn in Nederland zeker nog niet de norm. Zoals het High Tech Crime Team zelf aangeeft is hun onderzoek een nultelling toegespitst op de Nederlandse situatie. Echter door een zeer lage respons (zeven procent) kunnen geen significante uitspraken over de resultaten gedaan worden. Wel kunnen de resultaten indicaties geven van de omvang van computercriminaliteit in Nederland. Vierenvijftig procent van de respondenten gaf aan in aanraking te zijn gekomen met enige vorm van High Tech Crime. Waarvan ongeveer eenderde deel hacking, ddos, phishing en bedrijfsspionage betrof. Zevenendertig procent van de respondenten bleek geen slachtoffer te zijn geweest of had dit niet in de gaten gehad. Drieënveertig,~í~tM ~;,In«JKG. Dijk 14

21 van de vijftig bedrijven hadden schade, variërend van imagoschade tot productiviteitsschade en financiële schade, tengevolge van enige vorm van High Tech Crime. De omvang van de financiële schade liep uiteen van minder dan duizend euro (8%) tot meer dan honderdduizend euro (16%), waarvan vier procent zelfs meer dan vijfhonderdduizend euro. Slechts acht respondenten hadden aangifte gedaan bij het Openbaar Ministerie of Politie. De redenen om geen aangifte te doen varieerden van negatieve publiciteit tot onbekendheid met het gegeven dat aangifte gedaan kon worden. Twijfels over een goede afloop van een justitieel opsporingsonderzoek en onbekendheid met het gegeven dat politie en justitie interesse in deze incidenten zouden hebben, werden het meest opgegeven. Naast het onderzoek van het National High Tech Crime Team is in Nederland ook door Ernst & Young sinds 2001 een twee maandelijks onderzoek onder gemiddeld ruim zeshonderd Nederlandse directeuren, managers en professionals uit het bedrijfsleven uitgevoerd [Ernst & Young, 2005]. Niet elke keer wordt er aandacht geschonken aan computercriminaliteit bij het tweemaandelijkse ICT onderzoek, maar worden ook onderwerpen als privé-internetten tijdens werkuren, invloeden ICT tijdens vakantie en dergelijke besproken. Ook jammerlijk is dat niet bij eik onderzoek expliciet wordt vermeld hoeveel respondenten nu daadwerkelijk hebben deelgenomen aan een onderzoek. Het is daardoor lastig om concrete uitspraken te baseren op de resultaten. Ook is er bepaalde vorm van selectiviteit bij de keuze van de respondenten. Desondanks kunnen uit de resultaten van het laatst gepubliceerde rapport ten aanzien van computercriminaliteit "Resultaten ICT Barometer Over Computerbeveiliging en Cybercrime 2005" de volgende bevindingen worden opgemerkt. Vijftien procent van de ondervraagde bedrijven had in de maand voorafgaand aan het onderzoek last gehad van een computervirus en twee procent van de bedrijven heeft in die periode last gehad van computerinbraak. Zesenvijftig procent van de ondervraagde organisaties gaf aan het afgelopen jaar last van te hebben gehad van worm of virus. Elf procent van de bedrijven gaf aan Inbraak in hun computersystemen te hebben meegemaakt. Indien bedrijven het slachtoffer zijn geworden van computercriminaliteit stellen de meeste bedrijven een eigen onderzoek in (51 %), en stapt maar een klein deel van de bedrijven naar politie of justitie (6%).

22 Tabel 2.3 geeft een samenvatting weer van de belangrijkste feiten uit de besproken onderzoeken uit de verschillende landen. Uit deze onderzoeken naar computercriminaliteit kan opgemaakt worden dat computercriminaliteit een actuele vorm van misdaad is waar momenteel grote financiële kosten uit voortvloeien. Dat virussen en wormen zorgen voor het grootste deel van de ondervonden computercriminaliteit. Maar ook dat bedrijven aangeven met ernstigere voren van computercriminaliteit in aanraking te zijn gekomen. Verder doen relatief weinig bedrijven aangifte van computercriminaliteit. En is het aantal bedrijven dat bereid is om mee te werken aan een enquête naar computercriminaliteit laag. Een lage respons heeft als nadeel dat minder harde uitspeken gedaan kunnen worden over de gehele populatie bedrijven. Er kunnen namelijk belangrijke verschillen bestaan tussen de bedrijven die wel en die niet mee hebben gewerkt aan het onderzoek. Zo kan bijvoorbeeld beredeneerd worden dat bedrijven die het slachtoffer zijn geworden van computercriminaliteit eerder aan een onderzoek naar computercriminaliteit meewerken dan bedrijven die hier nog nooit mee zijn geconfronteerd. Autcur : ki~,. J. K.G. Dijk 16

23 Tabel 2.3: Overzicht relevante feiten uit verscheidene onderzoeken naar computercriminaliteit Onderzoek Land Respons Omvang Beschrijving Aangifte bij ( respondenten/ computer omvang computer justitie benaderde criminaliteit criminaliteit (% slachtoffers) organisaties) % respondenten) CSI/FBI, ( 2005) USA 700/ % Ongeautoriseerd 20% 14% gebruik computersystemen afgelopen 12 maanden FBI, (2005) USA 2066/ % Enige soort 9.1% 8,6% computer beveiligingsincident afgelopen 12 maanden Australian High Australië 389/ % Elektronische 22% Tech Crime 17% aanval die de Center, ( 2006) integriteit of betrouwbaarheid van het computersysteem heeft aangetast Afgelopen 12 maanden PriceWaterhouse Engeland 1001/?* 62% Enige vorm van?* Coopers, ( 2006)? /a* veiligheidsincident afgelopen 12 maanden National High Nederland 50/711 54% Enige vorm van 29,6% Tech Crime 7% High Tech crime Center, 2006 Ernst&Young, Nederland?* 11% Computerinbraak 6% 2005 ooit * Deze waarde wordt niet in de publicatie vermeld.. Dijk 17

24 3 Theorie aangiftegedrag Uit de literatuur blijkt dat computercriminaliteit een actuele vorm van criminaliteit is waar hoge kosten uit voortvloeien, maar waarvan relatief weinig bedrijven aangifte doen. Maar waarom wordt van sommige delicten wel aangifte gedaan bij politie of justitie en waarom van andere niet? Bijvoorbeeld van de 4,6 miljoen delicten die naar schatting in Nederland in 2004 zijn gepleegd, is maar 1,6 miljoen delicten gemeld bij de politie [Gaudriaan, 2006]. Van de door de burgers ondervonden delicten blijft hierdoor een groot deel verborgen voor de politie. Maar wat zijn dan de factoren die verklaren waarom van het ene delict wel aangifte wordt gedaan en van het andere niet? In de jaren 70 is men begonnen met het uitvoeren van empirische studies naar determinanten van aangiftegedrag en sindsdien zijn er verschillende theorieën ontstaan over het aangiftegedrag van slachtoffers. Grofweg zijn er drie stromingen te herkennen binnen de aangifteliteratuur. Het Economische model, het Psychologische model en het Sociologische model. Elke stroming heeft zo zijn eigen interpretatie van een aangiftemodel, beïnvloed door de achtergrond van de desbetreffende wetenschappers. 3.1 Economische aangiftemodel Het meest gebruikte model dat het aangiftegedrag van slachtoffers in het algemeen probeert te verklaren is het economische aangiftemodel [Skogan, 1984]. Dit model gaat ervan uit dat het slachtoffer een rationele beslissing maakt bij de keuze om al dan niet aangifte te doen van een delict. Centraal staat in dit aangiftemodel een kosten/batenafweging die slachtoffers verondersteld worden te maken. Slachtoffers zijn blijkbaar meer geneigd een delict bij de politie te melden naarmate de kosten van het melden laag zijn en de te verwachten resultaten hoog. Als de verwachte kosten hoger zijn dan de verwachte baten zal het slachtoffer in de regel geen aangifte doen bij de politie. Andersom geldt dat slachtoffers eerder geneigd zijn aangifte te doen van een delict naarmate de baten hoger zijn dan de kosten. In dit kosten/batenmodel staat hierdoor de ernst van het delict centraal. Onder verwachte kosten van het doen van aangifte kunnen vallen de tijd en moeite die het kost om aangifte te doen maar ook schaamte voor wat er gebeurt is. Ook angst voor represailles van de dader (r~~.j.x Cs. Dijk 18

25 kunnen ervoor zorgen dat het slachtoffer minder snel over gaat tot het doen van aangifte. Naast de kosten spelen in het economische model de baten ook een belangrijke rol bij de overweging om al dan niet aangifte te doen van een delict. Baten kunnen zijn om de gebeurtenis te doen stoppen of om herhaling te voorkomen. Ook het gevoel van gerechtigheid kan een bevredigend resultaat zijn van de aangifte. Daarnaast kunnen slachtoffers aangifte doen om anderen te beschermen, of omdat een bewijs van aangifte nodig is om in aanmerking te komen voor een financiële compensatie in het geval men verzekerd is voor de geleden schade. Overige verwachte baten die een rol kunnen spelen in dit model bij de overweging om wel of geen aangifte te doen van een delict zijn bijvoorbeeld dat de politie ervoor kan zorgen dat de gestolen goederen terug kunnen komen. Of dat de dader gepakt zal worden en een schadevergoeding aan het slachtoffer zal betalen. Ook kan verwachte emotionele ondersteuning een reden zijn voor het doen van aangifte in het economische model. Indien het slachtoffer het gevoel heeft dat de kans klein is dat de politie de zaak serieus neemt of dat de politie weinig aandacht geeft aan de zaak, zijn de verwachte voordelen van de aangifte laag. Opvallend is dat uit onderzoek blijkt dat de houding tegenover de politie, slechte verwachtingen of slechte ervaringen met de politie in het algemeen niet of maar zeer weinig van invloed zijn op de beslissing om wel of geen aangifte te doen [Skogan, 1984]. Daartegenover staat dat het aangiftegedrag van mensen zeer gevoelig is voor de manier waarop de politie een aangifte afhandelt [Dijk van, 1982]. 3.2 Psychologisch aangiftemodel Naast het economische model ten aanzien van aangiftegedrag van slachtoffers wordt ook het psychologische model gebruikt om aangiftegedrag van slachtoffers te voorspellen [Ruback et al, 1984] & [Greenberg et al, 1992]. Het verschil met het economische model is dat het psychologische model extra factoren erkent die een rol spelen naast de kosten/baten afweging. Zo wordt er in het psychologisch aangiftemodel uitgegaan van een cognitief besluitvormingsmodel. Persoonlijke eigenschappen van het slachtoffer als wel het sociale netwerk van het slachtoffer spelen in dit aangiftemodel een rol bij de beslissing om al dan niet aangifte te doen van een delict. Echter houdt dit model geen rekening met een bredere sociale Aufz~ :.xr. 17.L. 1.K.G. Dijk 19