Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging www.pwc.nl/forensicservices

Economic Crime Survey Nederland 2014 - deel 2 In samenwerking met de VU Amsterdam Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging www.pwc.nl/forensicservices

2 PwC Bij PwC in Nederland werken ruim 4.300 mensen met elkaar samen vanuit 12 vestigingen. PwC Nederland helpt organisaties en personen de waarde te creëren waarnaar zij op zoek zijn. Wij zijn lid van het PwC-netwerk van firma s in 157 landen met meer dan 184.000 mensen. Wij zien het als onze taak om kwaliteit te leveren op het gebied van assurance-, belasting- en adviesdiensten. Vertel ons wat voor u belangrijk is. Meer informatie over ons vindt u op www.pwc.nl

Voorwoord Algemeen Dit rapport staat geheel in het teken van een bijzondere vorm van (economische) criminaliteit: cybercrime. Door de snelle ontwikkelingen binnen de ICT is deze vorm van criminaliteit helaas niet meer weg te denken uit onze huidige samenleving. Nieuwsberichten over cybercriminaliteit zijn tegenwoordig eerder regel, dan uitzondering. Aan de ene kant zijn door de ontwikkelingen binnen de ICT nieuwe vormen van criminaliteit ontstaan, zoals hacking, illegaal downloaden of de verspreiding van virussen. Daarnaast bestaat een vorm van gedigitaliseerde criminaliteit die in feite de klassieke misdrijven een online impuls heeft gegeven, zoals bedreigingen, afpersingen, witwassen of oplichting via de elektronische snelweg. Door deze ontwikkelingen zijn legio mogelijkheden ontstaan voor criminelen om uw bedrijf schade toe te brengen. Dit rapport is onderdeel van een meeromvattend onderzoek naar economische criminaliteit in Nederland: de Economic Crime Survey Nederland 2014. Gezien de sneltreinvaart waarmee criminelen hun weg vinden binnen cybercriminaliteit leek het ons buitengewoon zinvol een aparte editie aan de ontwikkelingen rondom cybercrime te wijden. Onderzoeksstrategie In samenwerking met prof. dr. Wim Huisman en dr. Adriaan Denkers, beiden verbonden aan de afdeling Criminologie van de Vrije Universiteit Amsterdam, is een vragenlijst samengesteld. De vragen zijn door Onderzoeksbureau Flycatcher via een webbased enquête voorgelegd aan personen die zich in hun dagelijkse werkzaamheden bezighouden met de aanpak, het voorkomen en/of in kaart brengen van economische criminaliteit binnen hun bedrijf. Hierbij zijn de respondenten vragen voorgelegd over de vormen van criminaliteit waar hun organisatie de laatste 24 maanden mee is geconfronteerd, of waarvan men een vermoeden heeft. Daarnaast is speciale aandacht besteed aan cybercrime en de rol van bedrijfsculturen. Ook zijn vragen gesteld over de impact en schade van criminaliteit, de daders van de meest recente economische delicten en de oorzaken. Binnen de doelgroep hebben 875 respondenten de vragenlijst ingevuld. Op basis van de antwoorden van deze experts bieden wij u een zo betrouwbaar mogelijk beeld van economische criminaliteit binnen de BV Nederland en van cybercriminaliteit in het bijzonder. Opvallendste bevindingen op een rij Expertise blijkt van groot belang om cybercriminaliteit binnen organisaties te detecteren. Met name binnen de financiële sector en bij bedrijven die zich bezighouden met informatie en communicatie bevinden zich relatief veel experts op het gebied van cybercrime binnen de organisatie. Deze experts rapporteren beduidend vaker dat hun organisatie slachtoffer is geworden van cybercrime dan niet (functionele) experts. Cybercrime vergt immers een dermate vorm van expertise om te kunnen waarnemen. Binnen de financiële sector en het onderwijs lijken cybercriminelen het meest toe te slaan. Vooral binnen het onderwijs is dit een verontrustend bericht, aangezien deze sector relatief weinig functionele experts bezit. De resultaten laten zien dat een onderscheid gemaakt kan worden tussen destructieve en instrumentele cybercriminaliteit. Bij destructieve cybercriminaliteit, of cybervandalisme, is het beschadigen van het systeem het primaire doel. Bij instrumentele cybercriminaliteit wordt de computer of het systeem als middel gebruikt om andere criminele activiteiten te ontplooien. Organisaties Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 3

die slachtoffer zijn van instrumentele criminaliteit worden doorgaans ook vaker getroffen door andere vormen van criminaliteit, dan bedrijven die slachtoffer worden van destructieve cybercriminaliteit. Met name de financiële sector heeft met beide vormen van cybercriminaliteit te maken. De cybercrimineel is doorgaans een grote onbekende. Bij 85% van de meest ernstige vorm van cybercriminaliteit en 79% van de meest recente vorm van cybercriminaliteit zijn daders van buiten de organisatie betrokken. Wanneer wel bekend is wie de dader is, zijn het vooral mannen met uiteenlopende leeftijden, die geen zakelijke relatie onderhouden met het getroffen bedrijf. Wanneer het een interne dader betreft en deze wordt ontmaskerd, wordt over het algemeen aangifte gedaan. Tegen de externe dader kunnen vaak geen stappen worden ondernomen doordat deze dader onbekend blijft. Organisaties die preventieve maatregelen treffen, lijken vaker slachtoffer te worden van cybercriminaliteit. De controleparadox zou hier mogelijk een rol kunnen spelen: bedrijven die dergelijke maatregelen treffen, detecteren vermoedelijk juist vaker economische criminaliteit. Bedrijven die getroffen worden door destructieve criminaliteit nemen over het algemeen meer preventieve maatregelen, dan organisaties die slachtoffer zijn van de instrumentele variant. Binnen de financiële sector en informatie en communicatie sector worden de meeste preventieve maatregelen genomen. Wat kunt u doen om u te wapenen tegen deze criminele activiteiten? Uiteraard moeten bedrijven blijven investeren in technische middelen om cybercriminaliteit een halt toe te roepen. Daarbij kunt u denken aan het inschakelen van IT-experts en de aanschaf van hardware en software voor de beveiliging van onder andere computernetwerken, websites en cloud-omgevingen. Maar het blijft niet alleen bij het treffen van technische maatregelen. Ook het bewustzijn binnen de gehele organisatie moet worden vergroot. Bedrijven moeten zich realiseren dat deze moderne bedreigingen continu op de loer liggen en niet worden afgevangen door eenmalig technische (voorzorgs)maatregelen te treffen. In de volgende en laatste rapportage van dit drieluik besteden we aandacht aan de rol van bedrijfsculturen bij het voorkomen en constateren van economische criminaliteit. Meer experts Uit de resultaten van dit onderzoek blijkt dat schrikbarend weinig experts op het gebied van cybercriminaliteit werkzaam zijn binnen bepaalde sectoren. Vooral de zorg en het onderwijs springen hier bovenuit. Wij bevelen aan te investeren in specifieke expertise. Meer samenwerking Daarnaast hebben bedrijven en organisaties tegenwoordig meer informatie tot hun beschikking (big data). Het combineren van verschillende databronnen binnen én tussen bedrijven en organisaties kan de mogelijkheid bieden patronen te ontdekken en profielen samen te stellen van (toekomstige) cybercriminaliteit. Actieve overheid Ten slotte moet er in bredere zin ook maatschappelijke aandacht komen voor cybercrime, want in sommige gevallen kan een enkel bedrijf zich niet wapenen tegen aanvallen en is collectieve actie nodig. Dit is een maatschappelijke én internationale aangelegenheid. Hierbij heeft de overheid een taak: cybercrime stopt niet bij de landsgrenzen. Met dit rapport hopen wij u een zo helder mogelijk beeld te verschaffen over cybercriminaliteit. Het onderzoek biedt u een extra handvat om bewust te zijn van de ontwikkelingen rondom deze bijzondere vorm van criminaliteit en alert te kunnen reageren. Amsterdam, september 2014 André Mikkers PwC 4 PwC

Inhoud Voorwoord 3 Algemeen 3 Onderzoeksstrategie 3 Opvallendste bevindingen op een rij 3 Wat kunt u doen om u te wapenen tegen deze criminele activiteiten? 4 Meer experts 4 Meer samenwerking 4 Actieve overheid 4 Cybercriminaliteit: hoe vaak komt het voor en wat is de schade? 7 Bevindingen Economic Crime Survey (ECS): Hoe vaak komt het voor en wat is de schade? 7 Omvang cybercriminaliteit 7 Schade door cybercriminaliteit 10 Vormen van cybercriminaliteit 13 Destructieve cybercriminaliteit, of cybervandalisme 13 Fysieke molest 13 Malware 14 Cyberaanvallen 14 Instrumentele cybercriminaliteit 15 Illegaal downloaden 15 Phishing en pharming 15 Cyberspionage 16 Bevindingen ECS: vormen van cybercriminaliteit 16 Werkwijze (modus operandi) 17 Destructieve en instrumentele cybercriminaliteit naar sector 17 Destructieve en instrumentele cybercriminaliteit naar organisatiegrootte 18 Daders van cybercriminaliteit 19 Externe cybercriminelen 19 Interne cybercriminelen 19 Daders van cybercriminaliteit in Nederland 20 Bevindingen ECS: daders van cybercriminaliteit 20 Preventieve maatregelen 23 Preventieve maatregelen in Nederland 23 Bevindingen ECS: preventieve maatregelen 23 Trainingen voor medewerkers 25 Getroffen en voorgenomen maatregelen 26 Schade van cybercriminaliteit en preventieve maatregelen 27 Methodologische verantwoording 28 Procedure 28 Steekproef 29 Respondenten 29 De vragen 32 Achtergrondkenmerken 32 Omvang en schade 32 Detectie en preventie 32 Organisatiecultuur 32 Literatuur 33 Colofon 34 Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 5

Cybercriminaliteit: hoe vaak komt het voor en wat is de schade? Wetenschappers, journalisten en politici zijn het met elkaar eens dat cybercriminaliteit steeds meer organisaties treft en dat het bedrijfsleven en de overheid de negatieve consequenties hiervan steeds nadrukkelijker voelen. De cijfers over de kans dat cybercriminaliteit organisaties treft, en over de consequenties daarvan, lopen echter sterk uiteen. De resultaten uit het eerste deel van de Nederlandse Economic Crime Survey 2014 tonen dat dit niet verwonderlijk is: de mate waarin respondenten aangeven dat hun organisatie is getroffen door cybercriminaliteit blijkt afhankelijk van de functionele expertise van de respondent, de sector en de grootte van de organisatie. Maar liefst 45% van de functionele cybercriminaliteit experts uit de financiële sector meldt dat hun bedrijf de afgelopen twee jaar getroffen is door cybercriminaliteit; van de niet-experts rapporteert slechts 4% slachtofferschap van cybercriminaliteit. Bevindingen Economic Crime Survey (ECS): Hoe vaak komt het voor en wat is de schade? PwC Nederland neemt in het bedrijfsleven om het jaar de Economic Crime Survey af. In 2014 vulden bijna 4.000 respondenten van het panel van Flycatcher de vragenlijst digitaal in. In de survey zijn extra vragen opgenomen over cybercriminaliteit. Deze paragraaf beschrijft, op basis van de antwoorden van deze respondenten, de omvang en de schade van cybercriminaliteit tegen organisaties, waarbij wordt nagegaan wat de invloed is van de expertise van de respondent, de sector waarin de organisatie opereert en de omvang van de organisatie. Omvang cybercriminaliteit Cybercriminaliteit expertise De expertise op het gebied van cybercriminaliteit kan de perceptie ervan beïnvloeden. Om die reden is nagegaan in hoeverre de respondenten in het panel functioneel belast te zijn met het aanpakken, voorkomen of in kaart brengen van cybercriminaliteit. Deze personen zijn cybercriminaliteit experts. Van de respondenten gaf 8,6% aan functioneel belast te zijn met cybercriminaliteit. Naast de expertise op het gebied van cybercriminaliteit gaf 14,0% van de respondenten aan functioneel belast te zijn met het aanpakken, voorkomen of in kaart brengen van andere vormen van economische criminaliteit, maar niet met cybercriminaliteit. De rest van de respondenten (77,4%) gaf aan niet functioneel belast te zijn met het aanpakken, voorkomen of in kaart brengen van economische criminaliteit. Figuur 1 geeft de percentages cybercriminaliteit experts weer per sector. Dit figuur toont dat relatief veel cybercriminaliteit experts werkzaam zijn in financiële instellingen (17%) of in bedrijven die zich bezighouden met informatie en communicatie (17%). Binnen de gezondheids- en welzijnszorg (5%), het onderwijs (5%) en de overheid (6%) zijn relatief weinig cybercriminaliteit experts werkzaam. Omvang cybercriminaliteit en andere vormen van economische criminaliteit Vaak wordt verondersteld dat cybercriminaliteit voor organisaties inmiddels een groter probleem vormt dan andere vormen van economische criminaliteit. Figuur 2 1 toont de omvang van zeven verschillende vormen van economische criminaliteit, uitgesplitst 1 In het vooronderzoek ten behoeve van de Economic Crime Survey is aan 4.960 werkzame volwassen respondenten gevraagd in hoeverre hun bedrijf de afgelopen twee jaar geconfronteerd is met zeven vormen van economische criminaliteit. In het hoofdonderzoek is aan 3.865 respondenten uit hetzelfde panel onder andere gevraagd naar de functionele expertise op het gebied van cybercriminaliteit. De resultaten in figuur 2 zijn gebaseerd op de antwoorden van de 3.269 respondenten die participeerden in zowel het vooronderzoek als het hoofdonderzoek. Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 7

Figuur 1 Groot- en detailhandel; reparaties in auto s Figuur 2 Percentage functioneel belast met de aanpak, het voorkomen of in kaart brengen van economische criminaliteit, uitgesplitst naar sector en naar cybercrime expertise Financiële instellingen Informatie en communicatie Advisering, onderzoek en overige specialistische dienstverlening Industrie (Semi-) overheidsinstellingen Onderwijs Gezondheids- en welzijnszorg Overig Expert op andere economische criminaliteit Cybercriminaliteit Concurrentievervalsing Corruptie Diefstal van informatie Fraude Diefstal van goederen Diefstal van geld 28% 11% 17% 17% 7% 17% 12% 11% 11% 11% 14% 6% 11% 5% 10% 5% 19% 10% 0% 10% 20% 30% 40% 50% 5% 4% 3% 1% 8% 7% 3% 1% 10% 6% 2% 6% 11% 9% 19% 18% 14% 19% 0% 10% 20% 30% Cybercriminaliteit experts naar de functionele expertise van de respondenten. Daarbij is een onderscheid gemaakt tussen algemene expertise en specifieke expertise. Bij algemene expertise is de respondent wel functioneel belast met de aanpak, het voorkomen of in kaart brengen van economische criminaliteit, maar niet van de betreffende vorm ervan. Bij specifieke expertise is de betrokken respondent functioneel belast met de aanpak, het voorkomen of in kaart brengen van de betreffende vorm van economische criminaliteit Omvang van economische criminaliteit, uitgesplitst naar andere of specifieke expertise op het gebied van de aanpak, het voorkomen of in kaart brengen van de vorm economische criminaliteit 26% 25% 49% 40% 50% 60% Specifieke expertise Algemene expertise Geen functionele betrokkenheid Figuur 2 toont aan dat: Respondenten met specifieke expertise, ten opzichte van andere respondenten, beduidend vaker rapporteren dat hun organisatie in de afgelopen twee jaar is getroffen door die specifieke vorm van economische criminaliteit. Zo geeft de expert op het gebeid van corruptie aan dat deze vorm van criminaliteit in 7% van de gevallen voorkomt. Dit is meer dan de algemene expert (3%) en de niet-expert (1%) aangeven. Dit resultaat suggereert dat specifieke functionele experts beter in staat zijn economische criminaliteit waar te nemen dan anderen binnen de organisatie. Het percentage respondenten dat aangaf dat hun organisatie getroffen was door cybercriminaliteit verschilt relatief veel tussen specifieke experts en anderen. Dit suggereert dat het voor niet experts moeilijk is om cybercriminaliteit waar te nemen, meer dan dat het geval is bij andere vormen van economische criminaliteit. Daarmee lijkt het voor het vaststellen van de omvang van cybercriminaliteit binnen organisaties van groot belang functionele cybercriminaliteit experts binnen de organisatie te raadplegen. Beduidend minder respondenten melden dat hun organisatie slachtoffer is geworden van cybercriminaliteit, dan van diefstal van goederen, diefstal van geld of van fraude. Cybercriminaliteit wordt wel vaker gerapporteerd dan corruptie, concurrentievervalsing of diefstal van informatie. Daarmee nuanceren de resultaten in figuur 2 de opvatting dat cybercriminaliteit inmiddels vaker voorkomt dan andere vormen van economische criminaliteit. Dit neemt niet weg dat de resultaten tonen dat cybercriminaliteit een veelvoorkomende vorm van economische criminaliteit is: ongeveer één op de vijf experts meldt dat het bedrijf gedurende het afgelopen jaar getroffen is. Omvang cybercriminaliteit naar sector Figuur 3 toont de omvang van cybercriminaliteit naar sector en expertise. Dit figuur toont dat er grote verschillen zijn in de gerapporteerde cybercriminaliteit tussen sectoren. Vooral financiële instellingen hebben te maken met digitale economische criminaliteit. Organisaties uit deze sector lijken redelijk goed doordrongen te zijn van hun digitale kwetsbaarheid. De resultaten die zijn weergegeven in figuur 1 tonen immers dat financiële instellingen relatief veel cybercriminaliteit experts in dienst hebben. Van de specifieke functionele experts meldt 45% dat hun financiële organisatie is getroffen door cybercriminaliteit. Ook experts die werkzaam zijn binnen informatie en communicatie (24%), 8 PwC

Figuur 3 Omvang cybercriminaliteit naar sector en functionele expertise Cybercriminaliteit experts Financiële instellingen Informatie en communicatie Onderwijs Advisering, onderzoek en overige specialistische zakel ke dienstverlening Industrie Gezondheids- en welzijnszorg (Semi-) overheidsinstellingen Groot- en detailhandel; reparaties in auto s 4% 8% 7% 9% 5% 4% 6% 10% 7% 3% 7% 3% 10% 6% 7% 7% 3% 4% 14% 13% 19% 19% 24% 0% 10% 20% 30% Expert op andere economische criminaliteit 45% 40% 50% Niet experts het onderwijs (19%) en de specialistische zakelijke dienstverlening (19%) melden relatief vaak dat hun organisatie getroffen is door cybercriminaliteit. Omvang cybercriminaliteit en omvang van de organisatie Figuur 4 toont de frequentie van het aantal cybercriminaliteit incidenten waarmee de organisatie geconfronteerd is naar omvang van de organisatie. Dit figuur toont dat het al dan niet geconfronteerd worden met cybercriminaliteit niet gerelateerd is aan de omvang van de organisatie. Slachtofferschap van cybercriminaliteit wordt gerapporteerd door 21% van de respondenten uit grote organisaties (1.000 personeelsleden of meer), 24% van de respondenten uit middelgrote organisaties (100 tot 999 personeelsleden) en 20% van de respondenten uit kleine organisaties (minder dan 100 personeelsleden). Indien cybercriminaliteit binnen de organisatie voorkomt, rapporteren de respondenten uit grote bedrijven, dat zij vaker slachtoffer worden dan de middelgrote of kleine organisaties. Figuur 4 Frequentie cybercriminaliteit in afgelopen twee jaar, naar omvang van de organisatie 1.000 en meer 9% 3% 9% 100 tot 999 16% 6% 2% 1 tot 99 15% 4% 3% 0% 5% 10% 15% 20% 25% 30% Ten minste 1x Meer dan 5x Meer dan 10x Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 9

Figuur 5 Relatieve schade, opgelopen en verwacht als gevolg van cybercriminaliteit, corruptie, concurrentievervalsing, informatiediefstal en diefstal van geld of goederen of fraude Diefstal van geld of goederen, of fraude Informatiediefstal Cocurrentievervalsing Corruptie Cybercriminaliteit 1,0 2,0 3,0 4,0 Verwachte schade 2,6 2,6 2,4 2,5 2,6 2,3 3,5 3,3 3,9 4,3 Opgelopen schade 5,0 Schade door cybercriminaliteit In de Economic Crime Survey die PwC in 2014 heeft afgenomen onder werknemers die functioneel belast zijn met één of meerdere vormen van economische criminaliteit, is aan de respondenten gevraagd vijf verschillende vormen van economische criminaliteit te rangordenen naar de ernst van de opgelopen schade gedurende de afgelopen twee jaar en naar de te verwachten schade in de komende twee jaar. Figuur 5 geeft de gemiddelde antwoorden van de respondenten op deze vragen weer. Daarbij geeft een hogere score, maximaal een vijf en minimaal een één, aan dat respondenten de ernst van cybercriminaliteit hoger achten dan de ernst van andere vormen van economische criminaliteit. Figuur 6 Relatieve schade, opgelopen en verwacht, als gevolg van cybercriminaliteit bij experts en niet experts van cybercriminaliteit, waarvan de organisatie wel of niet is geconfronteerd met cybercriminaliteit Expert Niet expert Expert Niet expert 1,6 1,5 1,7 2,2 Wel cybercriminaliteit 3,2 3,8 Opgelopen schade 3,8 Verwachte schade 3,2 1,0 2,0 3,0 4,0 5,0 Geen cybercriminaliteit Gemiddeld geven respondenten aan dat zij de gedurende de afgelopen twee jaar opgelopen schade als gevolg van cybercriminaliteit beduidend lager inschatten (Gemiddelde = 2,3) dan die als gevolg van andere vormen van economische criminaliteit. De opgelopen schade als gevolg van diefstal van geld of goederen of fraude schatten de respondenten relatief het hoogst in (Gemiddelde = 4,3). Deze resultaten nuanceren de berichtgeving over de impact van cybercriminaliteit voor organisaties. Wel schatten de respondenten de relatieve schade als gevolg van cybercriminaliteit gedurende de komende twee jaar wat hoger in (Gemiddelde = 2,6). Dit neemt niet weg dat ook voor de komende twee jaar de gevolgen van cybercrime beduidend lager worden ingeschat, dan de schade van diefstal van geld of goederen of fraude. Figuur 7 Relatieve schade door cybercriminaliteit in de afgelopen twee jaar en relatieve verwachte schade in de komende twee jaar naar sector Overig Groot- en detailhandel; reparaties in auto s Gezondheids- en welzijnszorg Industrie Advisering, onderzoek en overige specialistische zakel ke dienstverlening (Semi-) overheidsinstellingen Onderwijs Financiële instellingen Informatie en communicatie 1,9 1,9 1,7 2,4 2,2 2,1 2,5 2,2 2,6 2,7 2,6 3,1 3,1 2,7 3,1 3,8 3,8 3,5 1,0 2,0 3,0 4,0 5,0 Verwachte schade Opgelopen schade Figuur 6 toont dat respondenten uit organisaties die geconfronteerd waren met cybercriminaliteit de opgelopen en verwachte relatieve economische schade van cybercriminaliteit beduidend hoger inschatten dan respondenten uit bedrijven waar geen cybercriminaliteit heeft plaatsgevonden. Daarnaast schatten cybercriminaliteit experts zowel de opgelopen als de verwachte relatieve schade van cybercriminaliteit beduidend hoger in dan respondenten die zich niet functioneel bezighouden met cybercriminaliteit. Figuur 7 geeft de relatieve opgelopen en verwachte schade weer per sector. Dit figuur toont dat de relatieve schade, zowel opgelopen als verwacht, vooral hoog wordt ingeschat in de informatie en communicatie sector en bij financiële instellingen. De opgelopen en verwachte schade van cybercriminaliteit is daarentegen relatief laag in de gezondheids- en welzijnszorg, de groot- en detailhandel en overige sectoren. 10 PwC

Figuur 8 Relatieve schade door cybercriminaliteit in afgelopen twee jaar en relatieve verwachte schade in de komende twee jaar naar omvang van de organisatie 1.000 en meer 100 tot 999 1 tot 99 2,6 2,3 2,4 2,3 2,3 2,8 1,0 2,0 3,0 4,0 5,0 Verwachte schade Opgelopen schade Figuur 8 toont de relatieve opgelopen en verwachte schade als gevolg van cybercriminaliteit naar omvang van de organisatie. Dit figuur toont dat de relatieve inschatting van de gevolgen van cybercriminaliteit over de afgelopen twee jaar niet verschilt tussen grote, middelgrote en kleine organisaties. Wel rapporteren de respondenten uit de kleinere organisaties, met minder dan 100 personeelsleden, in de toekomst relatief meer schade te zullen ondervinden van cybercriminaliteit dan de respondenten die werkzaam zijn bij grotere ondernemingen. Figuur 9 Omvang van de schade van economische criminaliteit uitgesplitst naar aard, bij respondenten waarvan de organisatie wel of niet is geconfronteerd met cybercriminaliteit Aandelenkoers Relatie met de autoriteiten Zakenrelaties Reputatie Arbeidsmoraal Controle/eisen autoriteiten Managementtijd 1,6 2,2 2,2 2,0 2,2 Wel cybercriminaliteit 2,3 2,5 2,6 2,5 2,5 2,8 2,6 3,0 3,0 1,0 2,0 3,0 4,0 Geen cybercriminaliteit Figuur 9 toont de aard van de gevolgen van economische criminaliteit, uitgesplitst naar respondenten die wel en niet hadden aangegeven dat hun organisatie geconfronteerd was met cybercriminaliteit. Dit zijn inschattingen van de gevolgen die de organisatie ondervindt van alle vormen van economische criminaliteit. De resultaten in figuur 9 tonen dat meer respondenten uit organisaties die in de afgelopen twee jaar getroffen zijn door cybercriminaliteit, dan andere respondenten rapporteren, dat hun organisatie te lijden heeft gehad van controles en eisen die door de autoriteiten worden gesteld, een aantasting van de reputatie en een aantasting van zakenrelaties. Daarbij melden respondenten uit beursgenoteerde ondernemingen vaker een aantasting van de aandelenkoers wanneer de organisatie getroffen is door cybercriminaliteit. Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 11

Vormen van cybercriminaliteit Er kan een onderscheid worden gemaakt tussen destructieve en instrumentele cybercriminaliteit. Beide vormen van cybercriminaliteit komen ongeveer even vaak voor. Bij destructieve cybercriminaliteit, of cybervandalisme, richt de crimineel zich op het vernielen van de computer of het systeem. Daarbij maakt de crimineel vaker dan bij instrumentele cybercriminaliteit gebruik van hacken en virussen. Bij instrumentele cybercriminaliteit lijken criminelen, meer dan bij cybervandalisme, gebruik te maken van cyberspionage, informatiediefstal, illegaal downloaden en het illegaal onderscheppen van informatie. Daders van instrumentele cybercriminaliteit gebruiken de computer of het systeem om hun misdrijven uit te voeren. Organisaties die getroffen worden door instrumentele cybercriminaliteit worden doorgaans ook getroffen door andere vormen van economische criminaliteit. Om beter vat te krijgen op cybercriminaliteit onderscheiden wetenschappers dikwijls verschillende categorieën van cybercriminaliteit (zie bijvoorbeeld: Zhang e.a. (2012), of Erp, Stol, en Van Wilsem, (2013)). Hier onderscheiden wij twee vormen van cybercriminaliteit: 1. destructieve cybercriminaliteit, of cybervandalisme, waarbij de computer of het ICTnetwerk doelwit zijn van de crimineel; en 2. instrumentele cybercriminaliteit, waarbij de crimineel de computer of het ICT-netwerk gebruikt om de delicten te faciliteren. Destructieve cybercriminaliteit, of cybervandalisme Veel van de computercriminaliteit richt zich op het vertragen, beschadigen of vernietigen van de computer of het netwerk. Dit kan bijvoorbeeld gebeuren aan de hand van fysieke molest, door computers te infecteren met malware of door het uitvoeren van cyberaanvallen op computers of systemen. De gevolgen van zulk cybervandalisme kunnen voor organisaties zeer groot zijn. Fysieke molest Vanaf de jaren 60 tot ongeveer de jaren 80 van de vorige eeuw betrof een belangrijk deel van de cybercriminaliteit het beschadigen van computers of systemen door geautoriseerde rancuneuze of hebzuchtige medewerkers, dan wel door activisten of terroristen. In veel gevallen beschadigden medewerkers de fysieke computers. Een aangrijpend voorbeeld hiervan is het verhaal van de vereenzaamde nachtbewaker Alfred de saboteur. Na een serie van 56 onverklaarbare computercrashes in 1970-1972 bij National Farmers Union Service Corporation van Denver liep hij bij de 57 e crash tegen de lamp, door de beelden van in het geheim opgehangen beveiligingscamera s. Hij bleek, nadat hij intens had genoten met het menselijke contact van het in allerijl ingevlogen crisisteam naar aanleiding van de eerste spontane crashes, vervolgens eigenhandig de Burroughs B3500 computer met behulp van zijn autosleutel te lijf te zijn gegaan. Hoewel dergelijke fysieke computer molest onschuldig aandoet, zijn de gevolgen voor de betrokken organisaties dikwijls aanzienlijk (Kebay, 2008). Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 13

Malware Een meer geavanceerde manier om computers of systemen aan te vallen betreft het gebruik van zogenaamde malware. Vanaf het begin van de jaren 80 van de vorige eeuw ontwikkelden vooral wetenschappers voor het eerst malware, een term die ontstaan is uit de Engelstalige term malicious software. Er zijn vele verschillende vormen van malware. De bekendste zijn: een computervirus, een computerprogramma dat zich vasthecht aan een bestand en daarna schade kan aanrichten aan bestanden of de opgeslagen gegevens; een computerworm, een zichzelf verspreidend computerprogramma dat via de open poorten van computers binnendringt en zichzelf zo verspreid. Het verschil tussen een computerworm en een computervirus is dat de computerworm zich niet hoeft te nestelen in een bestand, maar zichzelf verspreid over het netwerk. Een computervirus doet een gerichte aanval op een computer, terwijl de computerworm juist schade aan het netwerk toebrengt. In 1999 verschenen de eerste virussen die zich na besmetting verstopten en de geïnfecteerde computer tot slaaf, of zombie, maakte (Hancock, 2000). Met behulp van deze virussen kan een extern persoon, via de master-computer, de computers van de slaven desgewenst functies laten uitvoeren. Een door een master beheerde groep van dergelijke zombiecomputers vormt een zogenaamd botnet. Met behulp van een botnet kan de beheerder ervan spam versturen, creditcardnummers en wachtwoorden verzamelen en websites platleggen. Cybercriminelen verhuren volgens Herbert Blankesteijn (NRC Handelsblad, 2014) botnets, waarmee bijvoorbeeld bedrijven in staat zouden worden gesteld om de website van hun concurrenten te vertragen of uit de lucht te halen. Cyberaanvallen Om een computersysteem te vertragen, stil te leggen of te beschadigen, maken cybercriminelen gedurende het afgelopen decennium steeds vaker gebruik van cyberaanvallen. Met behulp van een aanval zorgt de cybercrimineel ervoor dat de aangevallen computer te druk is met het verwerken van de opgegeven opdrachten zodat deze niet meer in staat is de normale functies uit te oefenen. Theoretisch kunnen deze aanvallen vier verschillende doelstellingen hebben: het gedurende de aanval, oftewel kortstondig, vertragen van de computer van het slachtoffer; het laten crashen van de computer van het slachtoffer, waarna deze opnieuw moet worden opgestart; het onherstelbaar beschadigen van de hardware van de computer; of het langdurig (ongemerkt) vertragen van de computer van het slachtoffer (Mirkovic & Reiher, 2004). Een dergelijke aanval vanuit één computer wordt een DoS (Denial of Service)-attack genoemd. Waarschijnlijk bestaat de eenvoudigste DoS-aanval uit door het toezenden van grote hoeveelheden pingberichten naar de computer van het slachtoffer. Als een computer een pingbericht ontvangt, stuurt deze een ping terug. Een pingbericht wordt gebruikt om na te gaan of een andere computer bereikbaar is voor communicatie. Door met een krachtigere computer dan die van het slachtoffer bijzonder veel pingberichten naar een computer van het slachtoffer te sturen, kan het ontvangen en terugsturen van pingen, te veel geheugencapaciteit vergen van de computer van het slachtoffer, waardoor het systeem uiteindelijk overbelast raakt. Steeds regelmatiger verschijnen in de media berichten over systeemaanvallen die worden uitgevoerd met behulp van een omvangrijk botnet; een zogenaamde distributed denial of service (DDoS) attack. Het gebruik van een botnet maakt het mogelijk om zeer grote computersystemen, zoals van multinationals of overheden effectief aan te vallen. De cyberaanvallen van de hacktivisten-groep Anonymous hebben de DDoS aanvallen met de destructieve mogelijkheden van het gebruik van botnets verdere bekendheid gegeven onder het bredere publiek (Serracino-Inglott, 2013). DDoS aanvallen zijn nog steeds zeer actueel. Gedurende de eerste helft van 2013 waren Nederlandse banken slachtoffer van zulke aanvallen, waardoor de sites van deze banken voor langere tijd niet beschikbaar waren voor klanten (zie bijvoorbeeld Trouw, 2013). Ook Ideal en DigiD kregen in dezelfde periode DDoS aanvallen te verduren. 14 PwC

Instrumentele cybercriminaliteit Cybercriminaliteit bestaat niet louter uit digitaal vandalisme, waarbij computers of systemen worden vernield of onbruikbaar gemaakt. Cybercriminelen richten zich ook op diefstal van geld, informatiediefstal, goederen, informatie of kennis of op het afpersen van bedrijven. De gereedschappen die cybercriminelen daarvoor gebruiken kunnen hetzelfde zijn als die gebruikt worden bij het intentioneel schade toebrengen aan computers of systemen. Zo kan spyware worden gebruikt om toegang te verkrijgen tot informatie, of kan een DDoS aanval worden uitgevoerd om bedrijven te chanteren tot het betalen van protectiegeld. In veel gevallen gebruiken criminelen de computer of het netwerk om geheime of vertrouwelijke informatie te ontfutselen. Met behulp van deze informatie kunnen zij vervolgens de beoogde delicten plegen. Om de geheime informatie te ontfutselen, kunnen zij gebruik maken van social engineering en van specifieke malware die vervaardigd is om informatie te verkrijgen. Illegaal downloaden Het illegaal downloaden is momenteel sterk geassocieerd met digitale piraterij waarbij auteursrechtelijk materiaal via het internet op illegale wijze wordt verkregen (Williams, Nicholas, & Rowlands, 2010). Door de technologische ontwikkelingen gedurende de laatste decennia zijn steeds meer individuen in staat om zelf via het internet muziek, films en tv-series, software en elektronische boeken te downloaden, zonder voor deze producten te betalen. Dit downloaden gebeurt vaak via peer-to-peer-netwerken waarbij meerdere gebruikers (peers) bestanden onderling uitwisselen. Voorheen werd hiervoor vaak gebruik gemaakt van open source software zoals Limewire, Kazaa of Napster. Tegenwoordig komen veel illegale downloads tot stand door Torrents, die via torrentsites zoals de tijdelijk verboden geweest zijnde site The Pirate Bay kunnen worden gedownload. Volgens Bastiaan Leeuw (2012) zijn er binnen Nederland 4.7 miljoen Nederlanders die illegaal downloaden. Het is echter niet alleen de amusementssector die getroffen kan worden door het illegaal downloaden van documenten en bestanden. Wanneer een cybercrimineel zich toegang verschaft tot het ICTnetwerk van een organisatie is het mogelijk dat hij illegaal bestanden downloadt, wat vele nadelige gevolgen voor een organisatie kan hebben. Ook een eigen medewerker met kwade bedoelingen die illegaal bestanden van het bedrijfsnetwerk downloadt, kan het bedrijf ernstig schade toebrengen. Phishing en pharming Phishing en pharming maken gebruik van social engineering. Social engineering kan opgevat worden als digitale flessentrekkerij. Om zichzelf toegang tot het netwerk te verschaffen, maken computercriminelen middels social engineering gebruik van de zwakste schakel in de beveiliging van de computer: de gebruiker. Met behulp van via de gebruiker verkregen informatie, zoals toegangscodes en wachtwoorden, kan de computercrimineel zich eenvoudig toegang verschaffen tot de digitaal beschikbare buit. Om het vertrouwen van het slachtoffer te winnen, maken cybercriminelen vaak gebruik van persoonlijke informatie. Deze informatie kunnen zij verworven hebben via persoonlijk contact, sociale media, het internet, of in sommige gevallen via dumpster diving. Hieronder verstaat men het uit kopieerapparaten, vuilnisbakken, containers of afvalbakken verzamelen van persoonlijke informatie. Twee methoden van social engineering waarmee grote groepen slachtoffers kunnen worden getroffen, zijn phishing en pharming (Han, Cao, Bertino, & Yong, 2012). Phishing is het verleiden van slachtoffers door middel van elektronische berichten, meestal e-mailberichten, om informatie prijs te geven, aan de hand waarvan de cybercrimineel voordeel kan verwerven. Dit betekent in de praktijk doorgaans dat het slachtoffer een e-mail bericht ontvangt waarin deze wordt uitgenodigd om op een site toegangscodes en wachtwoorden in te voeren. Het e-mail bericht is dusdanig opgesteld dat het slachtoffer veronderstelt dat de site betrouwbaar is. Nadat het slachtoffer de informatie heeft ingevoerd, beschikt de cybercrimineel over deze informatie, waarna deze daar vervolgstappen mee kan ondernemen (Khonji, Iraqi, & Jones, 2013). Pharming wordt doorgaans gezien als een specifieke vorm van phishing, waarbij de cybercrimineel een site opmaakt die volkomen overeenkomt met de site waar een slachtoffer naar op zoek is, bijvoorbeeld de site van een bank. Als het argeloze slachtoffer de toegangscode en het wachtwoord voor de betreffende site intoetst, beschikt de cybercrimineel over deze informatie. Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 15

Cyberspionage Met de introductie van computers richten industriële spionnen zich op de informatie die daarin is opgeslagen. Aanvankelijk gebeurde dit vooral door collega s, schoonmakers, of installateurs die onbewaakte computers in kantoren leegtrokken. Ook richtten spionnen zich op het al dan niet tijdelijk bemachtigen van laptops. Na de ontwikkeling van het computervirus en worm, werd het eerste Trojaanse paard aangetroffen in 1986. Een Trojaans paard is een functie dat verborgen in een programma zit en ervoor zorgt dat men de geïnfecteerde computer kan binnendringen. Het eerste Trojaanse Paard was verstopt in de nieuwste versie van een populair Word-programma. De nietsvermoedende gebruikers van het programma bemerkten tot hun schrik dat het Trojaanse Paard de harde schijf van hun computer formatteerde en daarbij alle bestanden verwijderde. De recente Trojaanse paarden zijn doorgaans gericht op het vrijgeven van informatie en computeractiviteiten, waarmee het gebruik van deze paarden meer instrumenteel lijkt, gericht op het faciliteren van fraude, identiteitsdiefstal en afpersing (Hughes & DeLone, 2007). In het afgelopen decennium lijken er zich steeds meer vormen van malware ontwikkeld die gericht zijn op het binnenhalen van persoonlijke of gevoelige informatie. In 2005 arresteerde de Israëlische Figuur 10 Frequenties van vormen van destructieve en intrumentele cybercriminaliteit politie 21 executives vanwege het inhuren van privédetectives om spyware te installeren bij concurrenten. In 2009 beschuldigde Starwood hotels een manager van het Hilton van het illegaal kopiëren van documenten, waaronder concurrentiegevoelige informatie, zoals een marktstudie en het ontwerp van een nieuwe hotelformule. In 2014 bleken studenten van de Haagse Hogeschool tentamens digitaal te stelen en door te verkopen. Bevindingen Economic Crime Survey: vormen van cybercriminaliteit Aan de 194 respondenten die in de Economic Crime Survey hadden aangegeven dat hun organisatie gedurende de afgelopen twee jaar slachtoffer was geworden van cybercriminaliteit, is gevraagd waar de cybercriminaliteit zich op richtte. Daarbij hadden zij de mogelijkheid om één of meer van zes doelen te kiezen. Drie van deze doelen waren destructief (stilleggen van het systeem, vertragen van het systeem en binnendringen in het systeem) en drie waren instrumenteel van aard (diefstal van geld of goederen, informatiediefstal en manipuleren van informatie). Voor deze zes doelen is gekozen, omdat deze doorgaans goed waar te nemen zijn voor de betrokkenen en omdat ze op zichzelf exemplarisch zijn voor destructieve en instrumentele cybercriminaliteit. Dit betekent niet dat met deze vragen de twee vormen van cybercriminaliteit elkaar uitsluiten; destructieve cybercriminaliteit kan gebruikt worden voor instrumentele doelen en instrumentele cybercriminaliteit kan leiden tot destructie. In die situaties zouden respondenten items uit beide categorieën aanvinken. De antwoorden van de respondenten zijn weergegeven in figuur 10. Stilleggen systeem Destabiliseren systeem Binnendringen systeem Manipulatie informatie 15% 23% 23% Destructieve cybercriminaliteit 55% Figuur 10 toont aan dat iets meer dan de helft van de respondenten aangeeft dat de cybercriminaliteit gericht was op het binnendringen van het systeem, bijna een kwart geeft aan dat de cybercriminaliteit gericht was op het destabiliseren van het systeem en 15% geeft aan dat cybercriminelen probeerden het systeem stil te leggen. In totaal geeft 63% aan dat ten minste één van deze drie vormen van destructieve cybercriminaliteit binnen hun bedrijf aan de orde was. Informatiediefstal Diefstal geld of goederen 28% 27% Instrumentele cybercriminaliteit 0% 10% 20% 30% 40% 50% 60% Met betrekking tot de instrumentele cybercriminaliteit toont figuur 10 dat rond een kwart van de respondenten heeft aangegeven dat de cybercriminaliteit uit de afgelopen twee jaar bedoeld was om geld en goederen te stelen, informatie te ontfutselen of informatie te manipuleren. In 16 PwC

Figuur 11 Gebruikte modus operandi naar aard van de cybercriminaliteit (destructief, instrumenteel of beide) Cyberspionage Identiteitsdiefstal Intentionele beschadiging systeem of computer Illegaal onderscheppen gegevens Hacken of hacktivisme Illegaal downloaden Virussen Phishing of pharming Industrie Groot- en detailhandel; reparaties in auto s Informatie en communicatie 16% 18% 37% 41% 46% 48% 37% 43%52% 27% 43% 57% 57% 49% 63% 34% 44% 63% 76% 63% 76% 57% 59% 80% 0% 20% 40% 60% 80% 100% Destructief Instrumenteel Beide Figuur 12 Verdeling instrumentele en destructieve cybercriminaliteit naar sector 35% 40% 25% 46% 36% 18% 41% 46% 14% totaal geeft 62% van de respondenten aan dat ten minste één van de drie vormen van instrumentele cybercriminaliteit gedurende de afgelopen twee jaar binnen hun bedrijf aan de orde was. Werkwijze (modus operandi) De respondenten zijn gevraagd naar de methode van de cybercriminaliteit die hun organisatie gedurende de afgelopen twee jaar heeft getroffen. Daarbij zijn acht verschillende methoden voorgelegd. Nagegaan is in hoeverre respondenten, waarvan de organisaties in de afgelopen twee jaar getroffen zijn door destructieve cybercriminaliteit (35%), instrumentele cybercriminaliteit (36%) of door beide vormen van cybercriminaliteit (29%), deze methoden rapporteren. Figuur 11 toont aan dat het verspreiden van virussen en hacken of hacktivisme vaker worden gebruikt om destructieve cybercriminaliteit te plegen dan instrumentele cybercriminaliteit. Voor de overige zes vormen geldt het omgekeerde, waarbij met name cyberspionage en identiteitsdiefstal aanzienlijk vaker worden gebruikt voor instrumentele cybercriminaliteit. Voor bijna alle verschillende methoden geldt wel dat ze het vaakst gerapporteerd worden wanneer een bedrijf van beide soorten cybercriminaliteit slachtoffer is geworden. Financiële instellingen Advisering, onderzoek en overige specialistische dienstverlening 27% 23% 50% 58% 42% Destructieve en instrumentele cybercriminaliteit naar sector (Semi-) overheidsinstellingen 29% 29% 41% Onderwijs 12% 47% 41% Gezondheids- en welzijnszorg 42% 42% 16% Overig 42% 29% 29% 0% 50% 100% Instrumenteel Destructief Beide Onderzocht is in hoeverre bedrijven uit bepaalde sectoren vaker slachtoffer worden van instrumentele cybercriminaliteit of van destructieve cybercriminaliteit, of van beide vormen van cybercriminaliteit. Figuur 12 toont, voor de bedrijven die slachtoffer zijn geworden van cybercriminaliteit, per sector de omvang van instrumentele en destructieve cybercriminaliteit. Uit figuur 12 blijkt dat financiële instellingen en (semi-) overheidsinstellingen het vaakst slachtoffer worden van instrumentele cybercriminaliteit. Bij de financiële instellingen die getroffen zijn door cybercriminaliteit ging het in 77% (27% alleen instrumenteel, 50% beide) van de gevallen om instrumentele cybercriminaliteit, terwijl dit percentage bij (semi-) overheidsinstellingen 70% is. Binnen alle sectoren werd minimaal de helft van de slachtoffers van cybercriminaliteit getroffen door instrumentele cybercriminaliteit. Figuur 12 toont daarnaast aan dat organisaties binnen het onderwijs vaak slachtoffer worden van destructieve cybercriminaliteit: in totaal is 88% (47% destructief, 41% beide) van de slachtoffers binnen het onderwijs slachtoffer geworden van een destructief delict. Ook financiële Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 17

Figuur 13 Verdeling instrumentele en destructieve cybercriminaliteit naar bedrijfsgrootte instellingen (73%) en (semi-) overheidsinstellingen (70%) worden relatief vaak getroffen door destructieve cybercriminaliteit. 1-99 werknemers 39% 45% 16% Destructieve en instrumentele cybercriminaliteit naar organisatiegrootte 100-999 werknemers Meer dan 1.000 werknemers Wel specialist cybercrime Geen specialist cybercrime 40% 23% 37% 26% 38% 36% 0% 20% 40% 60% 80% 100% Instrumenteel Destructief Beide Figuur 14 Verdeling instrumentele en destructieve cybercriminaliteit specialisme 37% 34% 29% 31% 40% 29% 0% 20% 40% 60% 80% 100% Instrumenteel Figuur 15 Slachtofferschap van economische criminaliteit naar type cybercriminaliteit Concurrentievervalsing Diefstal van informatie Corruptie Diefstal van geld, goederen en fraude 17% 28% 23% 22% 32% 28% Destructief 34% 36% 41% 44% 47% Beide 49% 0% 10% 20% 30% 40% 50% 60% Beide Destructief Instrumenteel Onderzocht is of bedrijven van verschillende grootte ook verschillen in de soorten cybercriminaliteit waardoor ze getroffen worden. Figuur 13 laat zien dat relatief kleine bedrijven, met minder dan 100 medewerkersvaker slachtoffer worden van instrumentele (39%) of destructieve cybercriminaliteit (45%), terwijl het slachtofferschap van beide soorten cybercriminaliteit bij de kleinere organisaties wat minder vaak voorkomt (16%). Middelgrote bedrijven worden het vaakst slachtoffer van instrumentele cybercriminaliteit. In totaal zijn 77% (40% destructief, 37% beide) van de bedrijven met 100 tot 999 medewerkers getroffen door deze vorm van cybercriminaliteit. De grootste bedrijven worden daarentegen juist vaker getroffen door destructieve cybercriminaliteit. Daarnaast is onderzocht of specialisten op het gebied van cybercriminaliteit vaker slachtofferschap van instrumentele of destructieve cybercriminaliteit rapporteren dan specialisten op het gebied van andere vormen van economische criminaliteit. Figuur 14 toont aan dat er slechts kleine verschillen zijn: cybercriminaliteit-specialisten rapporteren iets vaker instrumentele cybercriminaliteit (66% in totaal) terwijl de specialisten op andere gebieden iets vaker destructieve cybercriminaliteit (69% in totaal) rapporteren. Tot slot is in deze paragraaf onderzocht of bedrijven die slachtoffer worden van verschillende vormen van cybercriminaliteit ook verschillen in de mate waarin ze slachtoffer worden van andere vormen van economische criminaliteit. Figuur 15 toont aan dat de bedrijven die slachtoffer worden van instrumentele cybercriminaliteit het vaakst getroffen worden door andere vormen van economische criminaliteit (tussen de 41 en 49%). Bedrijven die getroffen zijn door destructieve cybercriminaliteit worden juist het minst vaak slachtoffer van andere vormen van economische criminaliteit (tussen de 17% en 28%). Een verklaring voor deze bevindingen is dat de doelen van instrumentele cybercriminaliteit, zoals diefstal van geld of informatie, ook bereikt kunnen worden via traditionele criminaliteit. De doelen van destructieve cybercriminaliteit, zoals het stilleggen en destabiliseren van het ICT systeem, kunnen dat niet. 18 PwC

Daders van cybercriminaliteit Respondenten melden dat, in zoverre de daders bekend zijn, externe cybercriminelen verantwoordelijk zijn voor 85% van de meest ernstige cybercriminaliteit en 79% van de meest recente cybercriminaliteit. Externe daders zijn relatief vaak individuen die geen zakelijke relatie met de organisatie hebben. Interne daders riskeren aangifte, terwijl bij externe daders vaker geen stappen worden ondernomen. Over de daders van cybercriminaliteit meldt de literatuur opvallend weinig. Een belangrijke reden voor het ontbreken van deze kennis is dat cybercriminelen relatief zelden ontmaskerd worden. De resultaten van het onderzoek van Kjaerland (2006) tonen bijvoorbeeld dat de dader onbekend was bij 64% van de onderzochte incidenten. In dit hoofdstuk bespreken we de kenmerken van daders van cybercriminaliteit en de uitkomsten van het onderzoek naar de stappen die tegen de daders worden ondernomen. We onderscheiden twee typen cybercriminelen: de in- en externe. Externe cybercriminelen De bestaande onderzoeken naar cybercriminelen richten zich met name op hackers en laten zien dat er niet één profiel van hackers bestaat, maar dat verschillende typen hackers te onderscheiden zijn. Er bestaan verschillende classificaties meestal gebaseerd op de motivatie en expertise van de hackers. Europol (2003) en Dasselaar (2005) onderscheiden zes soorten hackers: White hats: hackers die hun technologische expertise gebruiken voor legale en constructieve doeleinden. Black hats of crackers: hackers die hun technologische expertise gebruiken voor illegale doeleinden. Grey hats: hackers die tussen de white hats en black hats in vallen, bijvoorbeeld doordat ze een computer illegaal hacken voor constructieve doeleinden (zoals het testen van de beveiliging). Hacktivists: hackers die ICT gebruiken voor hun ideologische doeleinden. Script kiddies: wannabee hackers met weinig technologische expertise. Door technieken van anderen te gebruiken kunnen ze toch veel schade aanrichten. Political or religious extremists: hackers die ICT gebruiken om terroristische daden te plegen. Zoals blijkt uit de categorieën hacktivists en political or religious extremists opereren hackers niet altijd zelfstandig, maar kunnen ze deel uitmaken van ideologische of terroristische groeperingen. Ook kunnen hackers gerekruteerd en ingezet worden door overheden, concurrerende bedrijven of criminele organisaties. Interne cybercriminelen Interne daders van cybercriminaliteit, of insiders, worden doorgaans gedefinieerd als individuen met rechtmatige toegang tot het ICT-systeem van een bedrijf (Hunker & Probst, 2011). Volgens deze definitie kunnen er verschillende soorten interne cybercriminelen zijn, bijvoorbeeld gefrustreerde medewerkers, aannemers en leveranciers die werken voor het bedrijf of ex-werknemers bij wie de toegangsrechten tot het systeem nog niet zijn ingetrokken. De mogelijkheid bestaat ook dat een delict wordt gepleegd door zowel een interne als een externe dader. Externe daders kunnen bijvoorbeeld werknemers ronselen om te helpen om een delict tegen een bedrijf te plegen, zodat ze gemakkelijker toegang hebben tot het ICT-systeem van het bedrijf. Er zijn verschillende redenen om te verwachten dat een aanzienlijk deel van de cybercriminaliteit tegen bedrijven (mede) wordt veroorzaakt door interne Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 19

daders. Allereerst blijkt uit empirische studies dat de eigen medewerkers van bedrijven verantwoordelijk zijn voor een groot deel van de traditionele economische misdaden waardoor bedrijven worden getroffen. Uit de Global Economic Crime Survey van PwC (2014) blijkt, bijvoorbeeld, dat bij 56% van de organisaties die economische criminaliteit hebben ervaren, de dader een insider was. Vaak wordt betoogd dat bepaalde soorten cybercriminaliteit, met name instrumentele cybercriminaliteit, oude wijn in nieuwe zakken is en in feite traditionele misdaden zijn die gepleegd worden met nieuwe hulpmiddelen en technieken. Daarom kan verwacht worden dat werknemers tegenwoordig, in toenemende mate, cybercriminaliteit in plaats van traditionele criminaliteit plegen tegen hun werkgever. Bovendien zou cybercriminaliteit tegen bedrijven vaak door insiders gepleegd kunnen worden, omdat zij makkelijker toegang hebben tot de ICT-systemen van de bedrijven en meer kennis kunnen hebben van de (zwakke punten in de) ICT-infrastructuur en -beveiliging van hun bedrijven. Ook kunnen de interne daders een beter beeld hebben van de potentiële opbrengsten wanneer het delict tegen de eigen werkgever wordt gepleegd. Daders van cybercriminaliteit in Nederland In Nederland is er nog maar betrekkelijk weinig onderzoek naar de kenmerken van cybercriminelen gedaan. Leukfeldt, Domenie en Stol (2010) rapporteren in hun verkenning van cybercriminaliteit in Nederland dat de motivatie van cybercriminelen om delicten te plegen aan het verschuiven is. In de literatuur vonden zij een verschuiving van hacking for fame naar hacking for fortune. Zelf vonden zij in hun onderzoek naar verdachten van verschillende vormen van cybercriminaliteit, dat cybercriminaliteit niet langer alleen het domein is van gevorderde computerexperts maar dat het steeds meer van het Figuur 16 Interne en externe daders van de meest recente en meest ernstige cybercriminaliteit Intern Extern Zowel intern als extern 8% 12% 8% 9% 0% 20,% 40% 60% 80% 100% Meest ernstig Meest recent 85% 79% volk is. Zij merkten daarbij ook een verschuiving naar hacking for revenge op, waarbij bijvoorbeeld ex-geliefden elkaar hacken. Het overgrote deel van de verdachten van diverse vormen van cybercriminaliteit in dit onderzoek waren mannen, jonger dan 45 jaar. Ruiter en Bernaards (2014) vergeleken de verdachten van computervredebreuk met verdachten van andere criminaliteit. Zij concludeerden dat beide groepen verdachten niet veel van elkaar verschillen. Zo werd er geen significant verschil gevonden wat betreft etniciteit en geslacht en toont ook het leeftijdscriminaliteitsverloop van beide groepen sterke gelijkenissen. Deze studies richten zich echter op cybercriminaliteit in het algemeen en bevatten hierdoor ook veel zaken die gericht zijn op individuen. Er kunnen op basis van deze studies dus geen uitspraken worden gedaan van de daders van cybercriminaliteit die specifiek gericht is op bedrijven. Bevindingen Economic Crime Survey: daders van cybercriminaliteit Externe en interne daders In de survey zijn op twee manieren vragen gesteld over daders van cybercriminaliteit. Allereerst is aan alle respondenten, wiens bedrijf minstens één keer in de afgelopen 2 jaar slachtoffer is geworden van cybercriminaliteit, gevraagd naar de daders van de meest recente cybercriminaliteit waarvan hun organisatie slachtoffer is geworden. Daarnaast zijn aan alle respondenten vragen gesteld over de daders van het meest ernstige economische delict waarvan de organisatie gedurende de twee voorafgaande jaren slachtoffer is geworden. Bij deze vragen gaven zeventig respondenten aan dat een vorm van cybercriminaliteit het meest ernstige delict was. In de meeste gevallen was deze meest ernstige cybercriminaliteit hacken of hacktivisme (20 keer genoemd), gevolgd door phishing en pharming (19), het verspreiden van virussen (12) illegaal downloaden van bestanden, illegaal onderscheppen van computergegevens, intentionele schade toegebracht aan/aanval op computersystemen of gegevens (allen 5) en online identiteitsdiefstal (4). Bij zowel de meest recente cybercriminaliteit als het meest ernstige delict is allereerst gevraagd of de dader een interne of een externe dader was. Figuur 16 toont aan dat in beide gevallen de dader meestal een externe dader is. Daarnaast blijkt er in een klein aantal gevallen een in- en externe dader samen te werken. 20 PwC