Aangiftebereidheid van Computercriminaliteit bij Bedrijven
Auteur
:
Ing. J .K.G . Dijk
Studentnummer
:
0549769
Onderwijsinstelling :
Technische universiteit Eindhoven
Opleiding
:
Techniek en Maatschappij
Faculteit
:
Technologie & Beleid
Afstudeerrichting
:
Technology and Policy Analysis
1 e Begeleider
:
Drs . U . Matzat (Faculteit : Technologie & Beleid)
2e Begeleider
:
Prof . Dr. C .C .P. Snijders (Faculteit : Technologie & Beleid)
Bedrijfsbegeleider :
Drs . M.C. den Dunnen
In samenwerking
:
Politie Amsterdam ; Team Digitale Expertise
Datum
:
08-2007
Aangiftebereidheid van Computercriminaliteit bij Bedrijven
Auteur: Ing . J .K.G. Dijk Studentnummer: 05497969 Begeleiders : Drs . U . Matzat - Prof . Dr . C.C.P. Snijders - Drs . M .C. den Dunnen Datum: 27-08-2007 In samenwerking met de Technische Universiteit Eindhoven & Politie Amsterdam .
TU/r,•
tewhnierhp imiuwrcitri, r+indhnnnn
A 1[fP u t` : J ii4~ . J . K . U Dijk
P* L I T I E
III
Samenvatting De politie in Nederland merkt dat relatief weinig bedrijven aangifte doen van computercriminaliteit terwijl bedrijven aangeven wel last te hebben van computercriminaliteit . Uit onderzoek naar computercriminaliteit bij andere landen blijkt dat computercriminaliteit een veel voorkomende vorm van criminaliteit is waar veel schade door wordt veroorzaakt maar dat weinig bedrijven aangifte doen van computercriminaliteit bij politie of justitie [CSI/FBI, 20051 . Hierdoor staan de volgende vraagstellingen centraal in dit onderzoek :
1) Wat is de actuele aard en omvang van computercriminaliteit bij bedrijven in Nederland? 2) Wat zijn de factoren die het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit kunnen verklaren?
Er bestaan grofweg twee vormen criminaliteit die met computers of IT gepleegd kunnen worden . Computercriminaliteit in de brede zin en computercriminaliteit in de enge zin [National high Tech Crime team, 2006]. De eerste soort is criminaliteit waarbij IT het middel is waarmee de criminaliteit gepleegd kan worden, zoals internetracisme of de verspreiding van kinderporno . Bij computercriminaliteit in de enge zin zijn computers of netwerken het doel van de criminaliteit op zich . Onder deze vorm vallen bijvoorbeeld Hacking, Website Defacement en Verstikkingsaanvallen . Dit onderzoek richt zich expliciet op computercriminaliteit in de enge zin . Om de aard en omvang van computercriminaliteit in Nederland te bepalen zijn ongeveer 3000 bedrijven benaderd om mee te werken aan een internetenquête over computercriminaliteit . Daarvan hebben 327 bedrijven een digitale vragenlijst over computercriminaliteit compleet ingevuld . De resultaten van dit onderzoek geven weer dat computercriminaliteit een actuele vorm van criminaliteit is en dat veel bedrijven last hebben van de verschillende vormen computercriminaliteit . Voornamelijk blijken veel bedrijven last te hebben van Spam . Waarbij 93% van de respondenten hebben aangegeven het jaar voorafgaand aan de enquête met Spam in aanraking te zijn gekomen . 56% van de respondenten is het afgelopen jaar met een Virus, Worm of Trojaans paard in aanraking gekomen . Daarnaast komen bedrijven ook met ernstigere vormen van computercriminaliteit in aanraking . 7.5% ~t~ ::~x~~r . In- . J .K .G . Dijl~
III
van de respondenten heeft aangegeven in het jaar voor de enquête één keer of vaker met Hacking zonder diefstal of vernieling van gegevens in aanraking te zijn gekomen en 3 .1% van de respondenten is het slachtoffer geworden van Hacking waarbij tevens ook gegevens zijn gestolen of vernield . 6 .4% van de respondenten is in een jaar één keer of vaker met een Verstikkingsaanval in aanraking gekomen . 4.4% van de respondenten met Website Defacement, 3 .4% van de respondenten met Gijzelsoftware en tenslotte heeft 2 .7% van de respondenten aangegeven dat in het jaar voorafgaand aan de enquête één keer of vaker via IT illegaal diensten of producten zijn afgenomen . Verder komen grote bedrijven significant meer in aanraking met computercriminaliteit en komen bepaalde soorten computercriminaliteit meer voor in bepaalde sectoren dan in andere . Zo zijn bedrijven in de ICT sector gevoeliger voor Hacking en worden in deze sector illegaal via IT meer diensten of producten afgenomen . In de financiële sector blijkt significant meer Spam en Spyware voor te komen dan in andere sectoren . Bedrijven in de ICT sector met 6-10 werknemers en die veel in IT beveiliging investeren hebben de grootste kans om met ernstige computercriminaliteit in aanraking te komen . Verder is gebleken dat 4 .1% van de computercriminaliteitincidenten waarvan verwacht mag worden dat bedrijven daarvan aangifte doen, daadwerkelijk aangifte wordt gedaan . Dit is relatief weinig computercriminaliteit waarvan daadwerkelijk aangifte wordt gedaan bij politie of justitie . Het probleem dat zich voordoet indien weinig slachtoffers aangifte doen van een strafbaar feit is dat de politie de kwestie hierdoor onderschat [Carach, 1997] . Aan de hand van de literatuur over aangiftegedrag van slachtoffers zijn 12 hypothesen opgesteld welke allen een verband veronderstellen tussen bedrijfskenmerken, delictkenmerken of contextuele factoren en het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit . Uit de empirische toetsing van deze hypothesen blijken alleen de hoogte waarmee een bedrijf in IT beveiliging investeert, de hoogte van de strafmaat die staat op een bepaald soort computercriminaliteitincident en indien de computercriminaliteit Hacking met diefstal of verandering van gegevens betreft, significant van invloed te zijn op het aangiftegedrag van bedrijven . Ook zijn hypothesen getoetst aan de hand van scenario vragen . Daaruit blijkt dat de intentie om aangifte te doen van computercriminaliteit afhangt van de hoogte van de kosten van een incident, en of het slachtoffer een cyberrisk verzekering heeft. Aan de hand van deze bevindingen is een aangiftemodel opgeteld welke de kans dat een bedrijf aangifte zal doen van h~1e~t; 1 n ,o . .i . K, G . L)ï ck-
IV
computercriminaliteit voorspelt . Het model gaat ervan uit dat bedrijven een kosten/baten afweging maken van de relevante bedrijfskenmerken en delictkenmerken . Contextuele kenmerken blijken niet van invloed te zijn op het aangiftegedrag van bedrijven . Naast deze kenmerken houdt het model ook rekening met de baten van de aangifte . De kosten die een aangifte met zich meebrengen blijken minder van invloed te zijn op het aangiftegedrag van bedrijven . Als de totale baten groter zijn dan de totale kosten voorspelt het model dat het bedrijf aangifte zal doen van computercriminaliteit en als de totale kosten groter zijn dan de totale baten de organisatie geen aangifte zal doen van computercriminaliteit . Met behulp van dit aangiftemodel zijn aanbevelingen gedaan zodat de politie stappen kan ondernemen om het aangiftegedrag van bedrijven te beïnvloeden . Deze aanbevelingen zijn gebaseerd op de hypothesen waarvoor steun is gevonden in de empirische data . Het uitgangspunt van de aanbevelingen is om de baten van een aangifte van computercriminaliteit zo veel mogelijk te verhogen . Hierbij moet onder andere gedacht worden aan het opstellen van een prospect "Computercriminaliteit" en het opzetten van een digitale aangifte website speciaal voor computercriminaliteit .
A-11t,~ur ; ín~ . J.K.G . Di ~k
v
Voorwoord
Deze scriptie is geschreven om het onderzoek naar aangiftegedrag van bedrijven ten aanzien van computercriminaliteit te presenteren . Een vereiste voor het behalen van universitaire studie : Techniek en Maatschappij, Technology and Policy Analysis aan de Technische Universiteit Eindhoven is om een zelfstandig afstudeeronderzoek uit te voeren . De interessante combinatie van empirisch onderzoek met recht, sociologie en techniek is mede bepalend geweest voor de keuze van dit onderwerp . Bij dezen wil ik Manon den Dunnen bedanken voor haar tijd en moeite als begeleider bij de politie en Dhr . Matzat en Dhr. Snijders voor hun inzet als 1 e en 2e begeleider .
_Auteur : lm~~ T,K .G . Dijk
VI
Inhoudsopgave 1 Inleiding . . . . . .. .. .. .. . . .. .. .. .............................. ........ .. .. .. .. .. ................ .. .. ........ . . . . .. .. .. . . . . . . . . . . . . . . . . . . . . . . . 2 2 Omschrijving computercriminaliteit .. ...... .. .... .. .. .. .. .. .. .. .............. .. . . .. .. .. .. . . . . .. .. . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.1 Computercriminaliteit en de wet . .. .. .. .. .. .. . . .. . . . . .. .. .. .. .. .. ...... .. .. .. .. .. .. . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . 5 2.1 .1 Het Internationale Cybercrime-verdrag . . . .. .. .. . . . . . . .. .. .. .. . . .. .. .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.1 .2 De wet computercriminaliteit II . .. .. .. .. . . . . . . . . . . .. .. .. .. .. .. .. .. . . . . . . . . .. . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . 7 2.1 .3 Overige wetten gericht op computercriminaliteit .. .. .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.1 .4 Samenvatting computercriminaliteit en de wet . . . . . . .. .. . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2 .2 Omvang Computercriminaliteit . . . . .. . . . . . . .. . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. . . .. . . . . .. .. . . 12 3 Theorie aangiftegedrag . . . . . . .. .. .. .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . .. .. .. .. .. .. .. .. .. 18 3.1 Economische aangiftemodel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. .. .. .. .. 18 3.2 Psychologisch aangiftemodel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. .. .. .. .. 19 3.3 (Macro) sociologisch model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. .. .. .. .. 20 3.4 Multilevel socio-ecologisch aangiftemodel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. .. .. .. .. 21 3.5 Aangifte modellen samengevat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. .. .. .. .. 22 3 .6 Visie vanuit de praktijk op het aangiftegedrag van bedrijven . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. .. .. .. .. 23 3.7 Hypothesen aangiftegedrag van computercriminaliteit bij bedrijven . . . . . . .. .. .. .. .. .. .. .. .. .. .. 25 4 Uitvoering . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . .. .. .. .. .. .. .. ...... .. 31 4.1 Keuze respondenten . . . . . . .. . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. ...... .. 32 4.2 Opmaak adressenbestand . . .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. .. .. ...... 34 4 .3 Verantwoording enquête . . . .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. .. ...... .. 37 5 Resultaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. .. .. .... .... 39 5 .1 Overzicht respons op enquête . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .... .. .... ........ 40 5.2 Omvang computercriminaliteit in Nederland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. . . .. .. ...................... 50 5.3 Kans om met computercriminaliteit in aanraking te komen . . . . . . . . . . .... .. .. . . . ..................... 54 5.4 Beschrijving aangiftegedrag van bedrijven . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. ........... ............. 56 5 .5 Overige verbanden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . .. .. . . . . .. .... ............................ 58 5.6 Samenvatting aard en omvang computercriminaliteit . . . . . . . .. .. .. .. .. .. ................................ 60 6 Toetsing Hypothesen .. .. . . .. . . . . . . . . . . . . . . .. .. . . .. .. .. .. . . .. .. .. .. .. . . .. .. .. .. .. . . .. .. .. .. .. .. .................................. 64 6.1 Toetsing hypothesen aan de hand van bedrijfskenmerken ............................... .. . ........... 65 6 .2 Toetsing hypothesen aan de hand van delictkenmerken ................................................ 71 6 .3 Toetsing hypothesen aan de hand van scenario's ..................................................... .. ... 75 6.4 Toetsing overige verbanden in relatie tot aangiftegedrag ........................... .. .. .... .. .. .. .. .. . 78 6.5 Samenvatting bivariate regressie ...................................................... ...... .. .. .. .. .. .. .. . . .. . . .. . 79 6.6 Multivariate regressie bedrijfskenmerken en aangiftegedrag ......... .. .. .. .. .. . . . . . . . . .. . . . . . . . . . . . 81 6 .7 Multivariate regressie delictkenmerken en aangiftegedrag .. .. ...... .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 6.8 Multivariate regressie bedrijfskenmerken, delictkenmerken en aangiftegedrag . . . . . . . . . . . 84 6.9 Aangiftedeterminanten van computercriminaliteit bij bedrijven . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 7 Praktische relevantie voor verhoging van het aangiftegedrag van bedrijven . .. .. .. .. .. .. . . .. .. .. .. 93 7 .1 Adviezen gebaseerd op de significante aangiftedeterminanten . . . . . .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. 93 7.2 Verhogen van de baten van aangifte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. .. .. ........ .. .. .. .... .. 94 8 Discussie . .. .. .. .. .. .. .. .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . .. .. .. .. .. .... .... .. .... .... .. .. 98 9 Literatuurlijst... .. .... .. .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. . . . . . . .... .. .. ......... ... .. .. ...... 100 10 Bijlagen ..... .. .. .......... .. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. . . . . . . . . . . .. .. . . . . . . .. .. .. .. . . .. ...... ........................ 102
1 Inleiding De politie in Nederland merkt dat weinig bedrijven aangifte doen van computercriminaliteit, terwijl bedrijven kenbaar maken hier wel last van te hebben . Cybercrime of wel computercriminaliteit kan omschreven worden als die vormen van criminaliteit waarbij computers en IT een essentiële rol spelen voor de uitvoering van het misdrijf [National high Tech Crime team, 2006] . Andere landen dan Nederland zijn al sinds enkele jaren de cybercrime omvang in hun land aan het onderzoeken, zoals Engeland [PriceWaterhouseCoopers, 2006], Australië [Australian High Tech Crime Center, 2006] en de Verenigde Staten [FBI, 2005] . Echter in Nederland zijn dergelijke onderzoeken naar computercriminaliteit nog zeker niet vanzelfsprekend . Uit bovengenoemde onderzoeken komt naar voren dat bedrijven niet alleen last hebben van computercriminaliteit en dat hier hoge kosten uit voortvloeien, maar ook dat weinig bedrijven aangifte doen bij de politie nadat ze met computercriminaliteit in aanraking zijn gekomen . Dit komt overeen met het vermoeden van de Nederlandse politie dat computercriminaliteit in Nederland wel degelijk bestaat alleen dat weinig bedrijven hiervan aangifte doen . Het probleem dat zich voordoet indien weinig slachtoffers aangifte doen van een strafbaar feit is dat de politie de kwestie hierdoor onderschat [Carach, 1997] . Indien de politie enkel afgaat op aangiftecijfers van computercriminaliteit om hun beleid op af te stemmen zal er een scheve verhouding ontstaan tussen de middelen die de politie aan cybercrime besteedt en de middelen die daadwerkelijk nodig zijn . Het is daarom van groot belang dat slachtoffers van computercriminaliteit hiervan aangifte doen bij politie of justitie . Ook kan het melden van computercriminaliteit bij instellingen anders dan de politie een belangrijke bron van informatie zijn . Naast onduidelijkheid over de aard en omvang van computercriminaliteit bij bedrijven in Nederland is tevens niet helder wat de oorzaken zijn dat zo weinig bedrijven aangifte doen van computercriminaliteit, terwijl bedrijven een aanzienlijke schadepost ondervinden door toedoen van de cybercriminelen . Daarbij komt dat meerdere vormen van computercriminaliteit wel degelijk strafbaar zijn in Nederland . Desondanks blijkt de aangiftebereidheid van bedrijven ten aanzien van computercriminaliteit laag . Daarom is het nodig om stappen te ondernemen om meer bedrijven over te laten gaan tot aangifte van computercriminaliteit . Hiervoor moet eerst die factoren achterhaald worden welke bepalend zijn voor het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit . Met behulp van ing. . J .K_G Dij k
2
deze factoren, of wel aangiftedeterminanten kunnen doelgerichte stappen ondernomen worden om het aangiftegedrag van bedrijven te beïnvloeden . Om deze redenen staan de volgende vragen centraal in dit onderzoek :
1) Wat is de actuele aard en omvang van computercriminaliteit bij bedrijven in Nederland?
2) Wat zijn de determinanten die het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit kunnen verklaren?
Het doel van dit afstudeeronderzoek is dus tweeledig . Ten eerste is het belangrijk om de actuele aard en omvang van computercriminaliteit in Nederland te achterhalen . En ten tweede zal dit onderzoek gebruikt worden om een beter inzicht te verschaffen in het aangiftegedrag van slachtofferbedrijven .
2 Omschrijving computercriminaliteit Computers en internet beginnen een geïntegreerd onderdeel van onze samenleving te worden . In 2004 heeft 64% van de huishoudens in Nederland een computer met internetverbinding en had maar liefst 95% van de bedrijven in Nederland in 2004 de beschikking over internet [CBS, 2004] . Naar schatting zal het gebruik van computers en internet in de toekomst alleen maar toenemen . En met het toenemende internetgebruik van particulieren en bedrijven, zal ook het aantal misdrijven en overtredingen begaan met of met behulp van computers toenemen . Bij de omschrijving van computergerelateerde vormen van criminaliteit worden twee termen veelvuldig gebruikt ; 1) Computercriminaliteit en 2) Cybercrime . De term cybercrime verwijst naar alle voren van criminaliteit waarbij computers en netwerken een rol spelen [www .iusmentis .com] . Dit is een zeer brede omschrijving van misdaden gepleegd met computers . Zo zou bijvoorbeeld het neerslaan van iemand met een laptop ook kunnen vallen onder de noemer cybercrime . Anderzijds kan cybercrime nauwkeurig omschreven worden door te verwijzen naar die vormen van criminaliteit die genoemd worden in het Europese Cybercrime Verdrag [Convention on Cybercrime, 2001 1 . Door de brede inhoud van cybercrime wordt er in Nederland vaak gesproken van computercriminaliteit onder de verwijzing naar de wet Computercriminaliteit I& II . Om te spreken van computercriminaliteit moeten computers en netwerken essentieel zijn voor de uitvoering van het delict . Computercriminaliteit wordt daarom vaak gezien als die misdrijven gepleegd met een computer en waarbij het gebruik van IT een essentiële rol speelt bij het uitvoeren van het delict . Er wordt een onderscheid gemaakt tussen twee soorten computercriminaliteit . Computercriminaliteit in de brede zin en computercriminaliteit in de enge zin [www.iusmentis .com] . Onder de eerste vorm vallen alle misdrijven waarbij computers het middel zijn waarmee de criminaliteit gepleegd kan worden . Voorbeelden van soorten criminaliteit die hieronder vallen zijn :
- Fraude en oplichting via het internet . - Oplichting bij bestelling via internetsites . - Een bedrijf chanteren via e-mail . - Iemand beledigen of discrimineren . - Iemand cyberstalken of seksueel lastig vallen via het internet . Aruv'ur, lnc,7 . .f,k; .G . I)á j k
4
- Inbreuken op het auteursrecht . - verspreiding van illegale inhoud zoals kinderporno of extremisme .
Computercriminaliteit in de enge zin omvat die vormen van misdrijven die niet zonder tussenkomst of met gebruik van computers of netwerken gepleegd kunnen worden . Hierbij zijn computers of netwerken het doel van de criminaliteit . Over computercriminaliteit in de enge zin zijn nog niet veel rechtzaken in Nederland gevoerd . De bewijsvoering schijnt namelijk erg lastig te zijn . Voorbeelden van computercriminaliteit in de enge zin zijn :
- Hacking. - Website Defacement . - Versturen van verstikkingsaanvallen . - Verspreiden van virussen .
Een uitvoerige beschrijving van computercriminaliteit in de enge zin wordt gegeven in hoofdstuk 2.2.2. .
2.1 Computercriminaliteit en de wet Er zijn verschillende wetten van toepassing op computercriminaliteit en/of cybercrime . Zo staan in het Nederlandse wetboek van strafrecht wetten, welke specifiek van toepassing zijn op computercriminaliteit . [Wijziging in het wetsvoorstel computercriminaliteit II in het wetboek van strafrecht, 2006] . En heeft het wetboek van strafvordering bepalingen welke expliciet van toepassing zijn op de opsporing van computercriminaliteit [Wijziging in het wetsvoorstel computercriminaliteit II in het wetboek van strafvordering, 2006] . Naast deze nationale bepalingen is Nederland in internationaal verband gebonden aan het Europese Cybercrime Verdrag door de ondertekening hiervan in 2001 [Convention on Cybercrime, 2001] . Met de invoering van de wet Computercriminaliteit uit 1993 voldeed Nederland voor een deel aan dit internationale verdrag, maar moest Nederland de wet op een paar punten nog aanpassen . Daarom heeft Nederland per 1 september 2006 de nieuwe wet Computercriminaliteit II ingevoerd . Hierin staat omschreven welke vormen van Attíeur~ { no- . .i .K .G . Dijk
5
criminaliteit vallen onder computercriminaliteit en welke straf de rechter kan opleggen voor een computer gerelateerd delict . Gebruikelijk in het Nederlandse recht is dat de straf die de rechter kan opleggen via de wet aan een maximum is gesteld . De geldboete die ten hoogste door een rechter kan worden opgelegd is gelijk aan het bedrag van de categorie die voor een strafbaar feit is bepaald . De categorie bepaalt de maximale hoogte van de boete . Let wel, de rechter bepaalt de uiteindelijke hoogte van een boete, maar moet zich houden aan dit maximum . In totaal zijn er zes categorieën . Tabel 2 .1 geeft een overzicht van de maximale geldboetes per categorie weer.
Tabel 2.1 : Overzicht maximale geldboete per categorie op 1 februari 2006 Maximale geldboete in euro's
categorie
335 Eerste 3 .350 Tweede 6 .700 Derde 16 .750 Vierde 67 .000 Vijfde 670 .000 Zesde Bron : Artikel 23 lid 4, Wetboek van Strafrecht.
2.1 .1 Het Internationale Cybercrime-verdrag In het Cybercrime-verdrag hebben de landen aangesloten bij de Raad van Europa afgesproken om tot een gemeenschappelijk strafrechtelijk beleid te komen ten aanzien van strafbare feiten verbonden met elektronische netwerken . Dit door het tot stand brengen van passende wetgeving en het versterken van de internationale samenwerking [www.ejure .nl] . Het cybercrime verdrag is het eerste internationale verdrag gericht op computercriminaliteit via internet of andere netwerken . Het verdrag richt zich vooral op inbreuk op copyright, computer gerelateerde fraude, kinderpornografie en overtredingen op het gebied van netwerk beveiligingen [Convention on Cybercrime, 2001 ] . Het voornaamste doel van het verdrag is het beschermen van de samenleving tegen cybercriminaliteit . Dit wil men bereiken door een gezamenlijk beleid te voeren en in het bijzonder door gepaste wetgeving in te voeren en internationale samenwerking na te streven . Het verdrag gaat er dus van uit dat voor een effectieve strijd tegen cybercrime een goede samenwerking tussen de lidstaten vereist is .
J .K.G . Di ik
6
2.1 .2 De wet computercriminaliteit II Per 1 september 2006 is de oude wet computercriminaliteit I aangepast en is de wet computercriminaliteit 11 van kracht gegaan . Hiermee is het wetboek van strafrecht, het wetboek van strafvordering en enige andere wetten in overeenstemming gebracht met de eisen die uit het Cybercrime-verdrag voortvloeien [Memorie van toelichting : kamerstukken II 2004/2005] . Samengevat zijn de belangrijkste wijzigingen van de oude wet Computercriminaliteit :
- De maximale straf voor veel delicten is verhoogd . Dit maakt het mogelijk om een verdachte in voorlopige hechtenis te nemen . - Naaste de misdrijven en de wetten zijn ook de opsporingsmethoden en het verzamelen van bewijs aangepast . - Als gevolg van de aanpassingen aan de wet computercriminaliteit kunnen Nederlanders die in het buitenland bepaalde vormen van computercriminaliteit begaan, ook in Nederland strafbaar worden gesteld . Dit is een gevolg van het voldoen aan het Cybercrime-verdrag .
Omdat niet alle wetten beschreven in de wet Computercriminaliteit II van toepassing zijn op computercriminaliteit bij bedrijven, zullen niet alle artikelen uit deze wet hier behandeld worden . Voor de nieuwsgierige lezer verwijs ik naar [Wijzigingen van het wetsvoorstel computercriminaliteit ll in het wetboek van strafrecht, 2006] . De wet computercriminaliteit II wordt hier behandeld om toe te lichten welke vormen van criminaliteit voor dit onderzoek onder computercriminaliteit verstaan worden . Alleen die vormen van computercriminaliteit die hier beschreven staan zullen voor dit onderzoek erkend worden als relevante soorten computercriminaliteit . Bij de bespreking van de wet computercriminaliteit II is het nuttig eerst enkele termen te behandelen die veelvuldig terugkomen in de uitleg van de wetteksten .
"geautomatiseerd werk": Is een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen [art 80, WvSr] . "Gegevens": Onder gegevens wordt verstaan iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor overdracht, interpretatie of verwerking door personen of geautomatiseerde werken [Artikel 80, WvSr] .
Dijk
7
"Computervredebreuk" : Is het opzettelijk en wederrechtelijk (zonder toestemming) binnendringen in een computersysteem of netwerk [Artikel 138a, WvSr] .
Onder de huidige wetgeving ten aanzien van computercriminaliteit zijn de volgende vormen relevant voor dit onderzoek als wel strafbaar onder de wet Computercriminaliteit II :
• Hacking [ Artikel 138a] Op Hacking of wel computervredebreuk (computerinbraak) staat een gevangenisstraf van ten hoogste 1 jaar en een geldboete van de vierde categorie . Hacking of computervredebreuk is het opzettelijk en wederrechtelijk (zonder toestemming van de eigenaar) binnendringen in een computersysteem [www .iusmentis .nl] . Er is sprake van binnendringen van een werk indien toegang wordt verworven door het doorbreken van een beveiliging, een technische ingreep, met behulp van valse signalen of een valse sleutel of door het aannemen van een valse hoedanigheid . De hoogte van de maximale straf is aanzienlijk verhoogd van 6 maanden naar 12 maanden of geldboeten van de derde categorie naar de vierde . Verder is met een gevangenis straf van ten hoogste 4 jaren of een geldboete van de vierde categorie strafbaar indien het geautomatiseerde werk waarin de dader zich wederrechtelijk bevindt wordt overgenomen of vastgelegd . Dit komt erop neer dat de straf vele malen hoger is indien de hacker niet alleen wat rondgesnuffeld op een gehackte computer maar ook daadwerkelijk gegevens steelt of verandert .
• (D)dos [Artikel 138b] Op het opzettelijke en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmeren door daaraan gegevens aan te bieden of toe te zenden, staat een gevangenisstraf van ten hoogste van een jaar of een geldboete van de vierde categorie . Een (Distributed) Denial Of Service-attack of in het Nederlands een verstikkingsaanval is onder de nieuwe computercriminaliteitwet apart strafbaar gesteld . Bij een dergelijke aanval worden zoveel gegevens gestuurd naar een systeem dat deze niet meer normaal kan functioneren . Voorbeelden van een dergelijke aanval is het volstoppen van iemands mailbox met ongelofelijk veel of grote berichten of het massaal versturen 8
van nepverzoeken aan websites . Om schuldig te zijn aan een dergelijke aanval moet wel sprake zijn van opzettelijke belemmering . Tegenwoordig worden vaak meerdere computers ingeschakeld om een Denial of Service Aanval uit te voeren . Vandaar de term "Distributed" Denial Of Service Attack . Deze zogenaamde "zombie" computers maken het mogelijk meer gegevens te versturen dan één afzonderlijke computer aankan . Ook is het op deze manier moeilijker de dader te traceren .
• Gegevens diefstal [Artikel 139C lidl] Het opzettelijk en wederrechtelijk met een technisch hupmiddel aftappen of opnemen van gegevens die voor iemand anders bedoeld zijn, is strafbaar met 1 jaar gevangenisstraf of een geldboete van de vierde categorie .
• Sexies ; Opzettelijk vernielen van geautomatiseerd werk [Artikel 161 ] Op het opzettelijk vernielen, beschadigen of onbruikbaar maken van enig geautomatiseerd voor telecommunicatie of openbare telecommunicatiedienst staat een gevangenisstraf van ten hoogste een jaar gevangenisstraf of een geldboete van de vijfde categorie . Deze wet is dus gericht op netwerken en internetproviders . Bijvoorbeeld wanneer een internetprovider slachtoffer is van een verstikkingsaanval, kan dat ook gerekend worden onder het verhinderen of bemoeilijken van een openbare telecommunicatiedienst [Artikel 161 lidl] . Indien als gevolg van het vernielen gevaar voor goederen of het verlenen van diensten ontstaat zelfs zes jaren gevangenis straf of een geldboete van de vijfde categorie opgelegd kan worden . Zelfs maximaal 9 jaar als daardoor een levensbedreigende situatie ontstaat en 15 jaren gevangenisstraf als door het opzettelijk vernielen van het geautomatiseerde werk iemand de dood tot gevolg had . Naast het eigenlijke vernielen van het geautomatiseerde werk stelt artikel 161 lid2 met een gevangenisstraf van ten hoogste een jaar of een geldboete van de vijfde categorie ook strafbaar het vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins tot de beschikking stellen van een technische hulpmiddel dat hoofdzakelijk geschikt gemaakt is of ontworpen voor het opzettelijk vernielen van een geautomatiseerd werk . Of een zelfde straf indien iemand een wachtwoord, toegangscode of vergelijkbaar gegeven waardoor toegang kan Au?eiw : 1nt . 3KG .
Dijk
9
worden gekregen tot geautomatiseerd werk of deel daarvan, verkoopt, verwerft of verspreid of anderszins ter beschikking stelt of voor handen heeft met als doel om daarmee opzettelijk geautomatiseerde werken te vernielen, beschadigen of onbruikbaar te maken . Dus niet alleen het daadwerkelijk vernielen van een geautomatiseerd werk is strafbaar onder deze wet, maar ook het aanbieden van software en dergelijke die het mogelijk maken om een werk te vernielen zijn bij wet verboden . Vernielen of onbruikbaar maken van computers of gegevens komen relatief veel voor [www .iusmentis .nl] . Gegevens worden namelijk vaak vernield door de computerinbreker die zijn sporen wil wissen .
• Opzettelijk vernieling computergegevens [Artikel 350a] Indien iemand opzettelijk of wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, verwerkt, overdraagt, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, kan een gevangenisstraf van ten hoogste 2 jaren riskeren of een geldboete van de vierde categorie . Hieronder valt bijvoorbeeld het defacen van een website . Indien door het veranderen van de gegevens deze gegevens ernstige schade hebben opgelopen de gevangenis straf verdubbeld wordt of een geldboete van de vierde categorie opgelegd kan worden . Het opzettelijk vernielen van opgeslagen of verwerkte gegevens via computervredebreuk is onder artikel 350a lid 2 apart strafbaar gesteld met een gevangenisstraf van 4 jaar of geldboete van de vierde categorie . Onder Artikel 350a lid 3 valt ook het opzettelijk en wederrechtelijk ter beschikking stellen of verspreiden van gegevens die zijn bestemd om schade aan te richten in een geautomatiseerd werk . Dit wordt ook wel het ter beschikking stellen of verspreiden van virussen genoemd . Hier staat een gevangenis straf op van ten hoogste vier jaren of een geldboete van de vijfde categorie . Ook de verspreiding van " kwaadaardige" software als virussen, wormen, Trojaanse paarden, rootkits en spyware vallen nu onder dit artikel .
10
2.1 .3 Overige wetten gericht op computercriminaliteit Naast de wet computercriminaliteit II behandelt het wetboek van strafrecht nog andere artikelen die specifiek van toepassing zijn op computercriminaliteit of cybercrime en welke relevant zijn voor onderzoek naar aangiftebereidheid van computercriminaliteit bij bedrijven . Hierbij moet gedacht worden aan het versturen van Spam, of het afnemen van elektronische diensten zonder daarvoor te betalen .
• Spam [Artikel 11 .7 telecommunicatiewet 1998] Spam is ongevraagde reclame, via de e-mail . Omdat veel mensen hier helemaal niet op zitten te wachten en het versturen van spam voor problemen kan zorgen bij de internetaanbieders is het versturen van spam via email, sms en andere media aan particulieren verboden . Om schuldig te zijn aan het versturen van Spam, moet de handeling aan een paar eisen voldoen . Er moet sprake zijn van automatische overdracht zonder menselijke tussenkomst, voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden . Het gebruik van elektronische contactgegevens is wel toegestaan indien de verzender kan aantonen dat de desbetreffende abonnee daarvoor vooraf toestemming heeft verleend . Als de zender de contactgegevens heeft verkregen bij de verkoop van een product mag de zender wel elektronische berichten versturen als deze over soortgelijke producten of diensten gaan . De wet voorziet alleen een verbod op ongevraagde reclame aan natuurlijke personen . Het versturen van spam aan bedrijven is hierdoor nog wel toegestaan (www .wetboek-online .nl) .
• Diensten afnemen zonder te betalen [Artikel 326c, WvSr] Hij die met het oogmerk niet volledig te betalen, door een technische ingreep of met behulp van valse signalen, gebruik makend van een dienst die via telecommunicatie aan het publiek wordt aangeboden, wordt gestraft met een gevangenisstraf van ten hoogste vier jaren of een geldboete van de vijfde categorie . Straffen voor het aanbieden van deze diensten zijn ook niet mis ; 2 jaren gevangenisstraf of een geldboete van de vierde categorie . Bepaalde telecomdiensten worden tegen betaling aangeboden . Denk bijvoorbeeld aan betaaltelevisie of toegang tot het internet . Soms is het mogelijk om gebruik te maken van die diensten zonder daarvoor te betalen . Maar het gebruik daarvan is wel degelijk strafbaar . irig . 1 . K.G. Dijk
11
2.1 .4 Samenvatting computercriminaliteit en de wet Uit tabel 2 .2 blijkt dat bedrijven met een breed scala aan soorten computercriminaliteit te maken kunnen krijgen en dat niet voor alle soorten computercriminaliteit even hoge straffen opgelegd kunnen worden . Verder staan er in de regel relatief hoge straffen op het plegen van computercriminaliteit . Tabel 2.2: Overzicht verschillende soorten com utercriminaliteit Soort computercriminaliteit Hacking met diefstal of verandering van gegevens Hacking zonder diefstal of verandering van gegevens Virus verspreiding
Website defacement
Verstikking aanvallen (Dos-attack) Versturen Spam
Via IT illegaal diensten of producten afnemen Installeren gijzelsoftware
Omschrijving
Wetsartikel (WvSr)
Maximale strafmaat (gevangenisstraf, geldboete) 1 jaar of 4e categorie
Computervredebreuk Standaard .
138a lidl
Computervredebreuk en diefstal/verandering gegevens . Programma's die bestemd zijn om schade aan te richten in een geautomatiseerd werk en zichzelf al dan niet autonoom verspreiden . Vernielen opgeslagen of verwerkte gegevens .
138 lid2
4 jaar of 4e categorie
350a lid 3
4 jaar of 5e categorie
350 lid 1
2 jaar of 4e categorie
138b
1 jaar of 4e categorie
Artikel 11 .7 telecommunicatiewet 1998 Artikel 326c
2 Jaar of 4e categorie
Massale nepverzoeken aan website sturen of versturen mailbombs . Via email massaal reclame versturen .
Illegaal via IT reizen boeken zonder te betalen . Via IT de toegang tot systemen belemmeren .
350 lid 1
4 jaar of 5e categorie 4 jaar of 5e categorie
Bron : Wetboek van Strafrecht
2.2 Omvang Computercriminaliteit Andere landen dan Nederland zijn al langer bezig met het onderzoeken van de computercriminaliteitproblematiek in hun land . Zo loopt er in de VS een jaarlijks onderzoek naar computercriminaliteit bij bedrijven [CSI/FBI, 2005] . Het meest recente onderzoek van de CSI/FBI naar dit onderwerp is de Computer Crime and .~~. , Lrt l, ~ i. . k .C, .
IL
Security Survey 2005 en is het tiende onderzoek naar computercriminaliteit in de VS . Zevenhonderd bedrijven of instellingen hebben meegewerkt aan dit onderzoek en hebben de enquête over computercriminaliteit ingevuld . De belangrijkste vindingen uit dit onderzoek zijn dat virusaanvallen gezorgd hebben voor de grootste financiële schade van alle soorten computercriminaliteit in 2005 . Vijfennegentig procent van de respondenten ' die vragen hebben beantwoord over website incidenten hebben aangegeven afgelopen jaar meer dan tien website incidenten te hebben meegemaakt! Gemiddelde verliezen voor bedrijven die aan de enquête hebben meegewerkt veroorzaakt door computercriminaliteit wordt geschat op ongeveer tweehonderdduizend Amerikaanse Dollar per bedrijf per jaar . Twintig procent van de bedrijven heeft aangegeven het afgelopen jaar aangifte te hebben gedaan van computerinbraken bij justitie . De reden die de meeste bedrijven hebben opgeven om geen aangifte te doen bij politie of justitie was om imagoschade te voorkomen .
Naast het coóperatieve jaarlijkse onderzoek van de FBI/CSI heeft de FBI ook afzonderlijk een grootschalig onderzoek laten verrichten naar computercriminaliteit in de VS, met de 2005 FBI Computer Crime Survey [FBI, 2005] . Meer dan tweeduizend organisaties hebben een enquête ingevuld en teruggestuurd uit vier staten van de VS . De belangrijkste vindingen uit dit onderzoek zijn onder meer dat zevenentachtig procent van de respondenten aangaf dat ze het afgelopen jaar met enige vorm van computercriminaliteit in aanraking te zijn gekomen . Veel van de bedreigingen kwamen van binnen de eigen organisatie . Echter minder dan één op de tien organisaties die in aanraking zijn gekomen met computercriminaliteit had daadwerkelijk aangifte gedaan bij justitie .
Ook in Australië is het besef gekomen voor de noodzaak van een onderzoek naar computercriminaliteit om een totaalbeeld van de cybercrimeproblematiek in hun land te verkrijgen. Daarom wordt in Australië in opdracht van het Australian High Tech Crime Center al vijf jaar een jaarlijks onderzoek naar computercriminaliteit bij bedrijven gehouden [Australian High Tech Crime Center, 2006] . Aan dit onderzoek hebben 389 respondenten meegewerkt en lijkt inhoudelijk veel op het langlopende onderzoek van de FBI/CSI . De meest interessante vindingen uit dit onderzoek uit Australië zijn onder meer dat tweeëntwintig procent van de respondenten het afgelopen jaar in aanraking zijn gekomen met een elektronische aanval . In 2006, Au!w .>_-,.Ing T.K.G
Dijk
13
negenentwintig procent van de aanvallen werden gepleegd door medewerkers uit de eigen organisatie. De grootste financiële schade werd veroorzaakt door diefstal van of inbreuk op eigendomsgegevens of vertrouwelijke gegevens met een jaarlijkse gemiddelde geschatte schade van twee miljoen dollar per bedrijf . Gemiddeld gaven de respondenten aan een jaarlijkse schadepost van $241 .150,- te hebben door toedoen van computercriminaliteit . Van de organisaties die in de voorafgaande twee maanden in aanraking zijn gekomen met computercriminaliteit koos negenenzestig procent ervoor om geen aangifte te doen . Terwijl tweeëntwintig procent aangifte deed bij een Australische Wetshandhavingorganisatie .
Binnen Europa heeft Engeland de uitvoerigste onderzoeken laten verrichten naar IT beveiligingsincidenten en computercriminaliteit [PriceWaterHouseCoopers, 2006] . De Information Security Breaches Survey 2006, is het achtste onderzoek naar IT beveiliging sinds 1991 verricht door PriceWaterHouseCoopers in opdracht van het "Departent of Trade and Industry" van Engeland . Bij ongeveer duizend bedrijven is een telefonische enquête afgenomen . De belangrijkste vindingen uit hun laatste onderzoek zijn dat tweeënzestig procent van de Engelse bedrijven veiligheidsincidenten hebben meegemaakt in het jaar van de enquête . Tweeëndertig procent van de grote bedrijven die gereageerd hebben op de Survey geven aan in het afgelopen jaar last te hebben gehad van één of meer ernstige vormen van computercriminaliteit . Voor het gemiddelde bedrijf in de Uk staat dit op zeven procent
Ook in Nederland zijn acties ondernomen om dergelijke onderzoeken naar computercriminaliteit op te zetten . Het National High Tech Crime Center heeft een start gemaakt met een dergelijke opzet [National High Tech Crime Center, 2006] . Maar dergelijke onderzoeken zijn in Nederland zeker nog niet de norm . Zoals het High Tech Crime Team zelf aangeeft is hun onderzoek een nultelling toegespitst op de Nederlandse situatie . Echter door een zeer lage respons (zeven procent) kunnen geen significante uitspraken over de resultaten gedaan worden . Wel kunnen de resultaten indicaties geven van de omvang van computercriminaliteit in Nederland . Vierenvijftig procent van de respondenten gaf aan in aanraking te zijn gekomen met enige vorm van High Tech Crime . Waarvan ongeveer eenderde deel hacking, dDos, phishing en bedrijfsspionage betrof . Zevenendertig procent van de respondenten bleek geen slachtoffer te zijn geweest of had dit niet in de gaten gehad . Drieënveertig ,~í~tM ~;,In« JKG .
Dijk
14
van de vijftig bedrijven hadden schade, variërend van imagoschade tot productiviteitsschade en financiële schade, tengevolge van enige vorm van High Tech Crime. De omvang van de financiële schade liep uiteen van minder dan duizend euro (8%) tot meer dan honderdduizend euro ( 16%), waarvan vier procent zelfs meer dan vijfhonderdduizend euro . Slechts acht respondenten hadden aangifte gedaan bij het Openbaar Ministerie of Politie . De redenen om geen aangifte te doen varieerden van negatieve publiciteit tot onbekendheid met het gegeven dat aangifte gedaan kon worden . Twijfels over een goede afloop van een justitieel opsporingsonderzoek en onbekendheid met het gegeven dat politie en justitie interesse in deze incidenten zouden hebben, werden het meest opgegeven .
Naast het onderzoek van het National High Tech Crime Team is in Nederland ook door Ernst & Young sinds 2001 een twee maandelijks onderzoek onder gemiddeld ruim zeshonderd Nederlandse directeuren, managers en professionals uit het bedrijfsleven uitgevoerd [Ernst & Young, 2005] . Niet elke keer wordt er aandacht geschonken aan computercriminaliteit bij het tweemaandelijkse ICT onderzoek, maar worden ook onderwerpen als privé-internetten tijdens werkuren, invloeden ICT tijdens vakantie en dergelijke besproken . Ook jammerlijk is dat niet bij eik onderzoek expliciet wordt vermeld hoeveel respondenten nu daadwerkelijk hebben deelgenomen aan een onderzoek . Het is daardoor lastig om concrete uitspraken te baseren op de resultaten . Ook is er bepaalde vorm van selectiviteit bij de keuze van de respondenten . Desondanks kunnen uit de resultaten van het laatst gepubliceerde rapport ten aanzien van computercriminaliteit "Resultaten ICT Barometer Over Computerbeveiliging en Cybercrime 2005" de volgende bevindingen worden opgemerkt . Vijftien procent van de ondervraagde bedrijven had in de maand voorafgaand aan het onderzoek last gehad van een computervirus en twee procent van de bedrijven heeft in die periode last gehad van computerinbraak . Zesenvijftig procent van de ondervraagde organisaties gaf aan het afgelopen jaar last van te hebben gehad van worm of virus . Elf procent van de bedrijven gaf aan Inbraak in hun computersystemen te hebben meegemaakt . Indien bedrijven het slachtoffer zijn geworden van computercriminaliteit stellen de meeste bedrijven een eigen onderzoek in (51 %), en stapt maar een klein deel van de bedrijven naar politie of justitie (6%) .
Tabel 2.3 geeft een samenvatting weer van de belangrijkste feiten uit de besproken onderzoeken uit de verschillende landen . Uit deze onderzoeken naar computercriminaliteit kan opgemaakt worden dat computercriminaliteit een actuele vorm van misdaad is waar momenteel grote financiële kosten uit voortvloeien . Dat virussen en wormen zorgen voor het grootste deel van de ondervonden computercriminaliteit . Maar ook dat bedrijven aangeven met ernstigere voren van computercriminaliteit in aanraking te zijn gekomen . Verder doen relatief weinig bedrijven aangifte van computercriminaliteit . En is het aantal bedrijven dat bereid is om mee te werken aan een enquête naar computercriminaliteit laag . Een lage respons heeft als nadeel dat minder harde uitspeken gedaan kunnen worden over de gehele populatie bedrijven . Er kunnen namelijk belangrijke verschillen bestaan tussen de bedrijven die wel en die niet mee hebben gewerkt aan het onderzoek . Zo kan bijvoorbeeld beredeneerd worden dat bedrijven die het slachtoffer zijn geworden van computercriminaliteit eerder aan een onderzoek naar computercriminaliteit meewerken dan bedrijven die hier nog nooit mee zijn geconfronteerd .
Autcur : ki~, . J . K . G . Dijk
16
Tabel 2.3: Overzicht relevante feiten uit verscheidene onderzoeken naar computercriminaliteit Onderzoek
Land
CSI/FBI, ( 2005)
USA
FBI, (2005)
Respons ( respondenten/ benaderde organisaties)
Omvang computer criminaliteit
Beschrijving omvang computer criminaliteit
Aangifte bij justitie (% slachtoffers)
700/5000 14%
56%
20%
USA
2066/ 24000 8,6%
87%
Australian High Tech Crime Center, ( 2006)
Australië
389/2024 17%
22%
PriceWaterhouse Coopers, ( 2006)
Engeland
1001/ ?* ? °/a*
62%
Ongeautoriseerd gebruik computersystemen afgelopen 12 maanden Enige soort computer beveiligingsincident afgelopen 12 maanden Elektronische aanval die de integriteit of betrouwbaarheid van het computersysteem heeft aangetast Afgelopen 12 maanden Enige vorm van veiligheidsincident afgelopen 12 maanden Enige vorm van High Tech crime
% respondenten)
National High Nederland 50/711 Tech Crime 7% Center, 2006 Ernst&Young, Nederland ?* 2005 * Deze waarde wordt niet in de publicatie vermeld .
. Dijk
54%
11%
Computerinbraak ooit
9 .1%
22%
?*
29,6%
6%
17
3 Theorie aangiftegedrag Uit de literatuur blijkt dat computercriminaliteit een actuele vorm van criminaliteit is waar hoge kosten uit voortvloeien, maar waarvan relatief weinig bedrijven aangifte doen . Maar waarom wordt van sommige delicten wel aangifte gedaan bij politie of justitie en waarom van andere niet? Bijvoorbeeld van de 4,6 miljoen delicten die naar schatting in Nederland in 2004 zijn gepleegd, is maar 1,6 miljoen delicten gemeld bij de politie [Gaudriaan, 2006] . Van de door de burgers ondervonden delicten blijft hierdoor een groot deel verborgen voor de politie . Maar wat zijn dan de factoren die verklaren waarom van het ene delict wel aangifte wordt gedaan en van het andere niet? In de jaren 70 is men begonnen met het uitvoeren van empirische studies naar determinanten van aangiftegedrag en sindsdien zijn er verschillende theorieën ontstaan over het aangiftegedrag van slachtoffers . Grofweg zijn er drie stromingen te herkennen binnen de aangifteliteratuur . Het Economische model, het Psychologische model en het Sociologische model . Elke stroming heeft zo zijn eigen interpretatie van een aangiftemodel, beïnvloed door de achtergrond van de desbetreffende wetenschappers .
3.1 Economische aangiftemodel Het meest gebruikte model dat het aangiftegedrag van slachtoffers in het algemeen probeert te verklaren is het economische aangiftemodel [Skogan, 1984] . Dit model gaat ervan uit dat het slachtoffer een rationele beslissing maakt bij de keuze om al dan niet aangifte te doen van een delict . Centraal staat in dit aangiftemodel een kosten/batenafweging die slachtoffers verondersteld worden te maken . Slachtoffers zijn blijkbaar meer geneigd een delict bij de politie te melden naarmate de kosten van het melden laag zijn en de te verwachten resultaten hoog . Als de verwachte kosten hoger zijn dan de verwachte baten zal het slachtoffer in de regel geen aangifte doen bij de politie . Andersom geldt dat slachtoffers eerder geneigd zijn aangifte te doen van een delict naarmate de baten hoger zijn dan de kosten . In dit kosten/batenmodel staat hierdoor de ernst van het delict centraal . Onder verwachte kosten van het doen van aangifte kunnen vallen de tijd en moeite die het kost om aangifte te doen maar ook schaamte voor wat er gebeurt is . Ook angst voor represailles van de dader (r~~ .J.X Cs . Dijk
18
kunnen ervoor zorgen dat het slachtoffer minder snel over gaat tot het doen van aangifte . Naast de kosten spelen in het economische model de baten ook een belangrijke rol bij de overweging om al dan niet aangifte te doen van een delict . Baten kunnen zijn om de gebeurtenis te doen stoppen of om herhaling te voorkomen . Ook het gevoel van gerechtigheid kan een bevredigend resultaat zijn van de aangifte . Daarnaast kunnen slachtoffers aangifte doen om anderen te beschermen, of omdat een bewijs van aangifte nodig is om in aanmerking te komen voor een financiële compensatie in het geval men verzekerd is voor de geleden schade . Overige verwachte baten die een rol kunnen spelen in dit model bij de overweging om wel of geen aangifte te doen van een delict zijn bijvoorbeeld dat de politie ervoor kan zorgen dat de gestolen goederen terug kunnen komen . Of dat de dader gepakt zal worden en een schadevergoeding aan het slachtoffer zal betalen . Ook kan verwachte emotionele ondersteuning een reden zijn voor het doen van aangifte in het economische model . Indien het slachtoffer het gevoel heeft dat de kans klein is dat de politie de zaak serieus neemt of dat de politie weinig aandacht geeft aan de zaak, zijn de verwachte voordelen van de aangifte laag . Opvallend is dat uit onderzoek blijkt dat de houding tegenover de politie, slechte verwachtingen of slechte ervaringen met de politie in het algemeen niet of maar zeer weinig van invloed zijn op de beslissing om wel of geen aangifte te doen [Skogan, 1984] . Daartegenover staat dat het aangiftegedrag van mensen zeer gevoelig is voor de manier waarop de politie een aangifte afhandelt [Dijk van, 1982] .
3.2 Psychologisch aangiftemodel Naast het economische model ten aanzien van aangiftegedrag van slachtoffers wordt ook het psychologische model gebruikt om aangiftegedrag van slachtoffers te voorspellen [Ruback et al, 1984] & [Greenberg et al, 1992] . Het verschil met het economische model is dat het psychologische model extra factoren erkent die een rol spelen naast de kosten/baten afweging . Zo wordt er in het psychologisch aangiftemodel uitgegaan van een cognitief besluitvormingsmodel . Persoonlijke eigenschappen van het slachtoffer als wel het sociale netwerk van het slachtoffer spelen in dit aangiftemodel een rol bij de beslissing om al dan niet aangifte te doen van een delict . Echter houdt dit model geen rekening met een bredere sociale Aufz~ :.xr . 17 .L . 1 .K .G .
Dijk
19
context waarbinnen mensen besluiten nemen, terwijl veel wetenschappers van oordeel zijn dat menselijke besluitvormingsprocessen en gedrag afhankelijk zijn van dergelijke contextuele factoren [Granovetter, 1985] . Het psychologische model erkent naast de kosten/baten afweging nog enkele factoren die een rol spelen bij de overweging om wel of geen aangifte te doen . Een belangrijke factor volgens dit model is of het slachtoffer de dader kent . Ook de directe sociale omgeving van het slachtoffer is belangrijk om het aangiftegedrag te verklaren . Indien bijvoorbeeld het sociale netwerk adviseert om geen aangifte te doen, zal het slachtoffer minder snel naar de politie gaan . Als de sociale omgeving van oordeel is dat aangifte doen de juiste keuze is, het slachtoffer juist sneller naar de politie zal stappen . Vorige ervaringen met het doen van aangifte en de houding tegenover de politie van het slachtoffer zelf hebben volgens dit model wel een invloed op de kans dat een slachtoffer over gaat tot het doen van aangifte .
3.3 (Macro) sociologisch model Het macro- sociologisch model verklaart de kans op een aangifte aan de hand van sociale structuren in de samenleving waarin het slachtoffer en de dader zich bevinden [Black, 1976] . Het grootste verschil met de andere twee aangiftemodellen is dat niet de nadruk ligt op individuele besluitvorming, maar dat de invloeden van contextuele variabelen het aangiftegedrag verklaren [Lesley & Sheley, 1992] . Het model verklaart aangiftegedrag daardoor op een macroniveau en probeert aangiftegedrag te begrijpen door naar een hoger niveau van aggregatie te kijken . Hiermee wordt bedoeld dat het aangiftegedrag beïnvloedt wordt door grotere sociologische verschijnselen als welvaartsverdeling of bijvoorbeeld cultuurverschillen . Het model beschrijft verschillende theorieën met betrekking tot het gebruik van de wet in zijn algemeenheid en haar relatie tot verschillende macrosociologische variabelen . De factoren die Black in zijn boek beschrijft in relatie tot het gebruik van de wet zijn de verdeling van goederen in een samenleving (stratificatie) of de verdeling van menselijke aspecten als werk, integratie en intimiteit (morfologie) . Verder behandelt het model de relatie van de wet en verschil in cultuur, organisatie, sociale controle en anarchie . Zo zegt Black in zijn boek bijvoorbeeld dat in een ~mclus . In~ . .G .K .G. Diik
20
samenleving met een hoge mate van stratificatie meer gebruik gemaakt zal worden van de wet in zijn algemeenheid . Waardoor er sowieso meer aangiftes bij de politie gemeld worden . Ook veronderstelt het model een negatieve correlatie tussen de kwantiteit op het gebruik van de wet en de hoeveelheid van sociale controle in een systeem. Daardoor is volgens deze benadering informele sociale controle van invloed op het aangiftegedrag van mensen [Black, 1976] . Zo zal er minder gebruik gemaakt worden van de wet als de samenleving een geschikt alternatief kan verschaffen in de vorm van bijvoorbeeld sociale controle of andere voren van informele straffen . Als geschikte alternatieven voor handen zijn om te straffen dan zal er minder snel naar de politie gegaan worden . Dit zou tot gevolg hebben dat er minder snel aangifte wordt gedaan indien slachtoffers van criminaliteit de mogelijkheid hebben tot het opleggen van een alternatieve straf . Het enkel kijken naar macrosociologische variabelen om aangiftegedrag van slachtoffers te verklaren is echter een tekortkoming van het macrosociologische model . Zo worden de individuele besluitvormingsprocessen en de directe en unieke slachtofferkenmerken niet meegenomen om aangiftegedrag te verklaren in het macrosociologische aangiftemodel .
3.4 Multilevel socio-ecologisch aangiftemodel Een andere manier om aangiftegedrag te verklaren naast de drie voorgaande modellen is om naar delictkenmerken, slachtofferkenmerken en contextuele kenmerken te kijken en aan de hand daarvan het aangiftegedrag te verklaren . Deze moderne en meer psychologische en sociologische visie op aangiftegedrag wordt steeds meer erkend bij het verklaren van aangiftegedrag van slachtoffers [Goudriaan, 2006]. Dit model probeert aangiftegedrag te verklaren door niet te kijken naar de verschillende aggregatie niveaus afzonderlijk maar het erkent dat bij besluitvormingsprocessen een combinatie van de drie niveaus van belang zijn . Het socio-ecologisch aangiftemodel erkent dat aangiftegedrag beinvloedt wordt door micro, meso en macrovariabelen en houdt dan ook tegelijk rekening met variabelen op alle niveaus in één model . Maar wat zijn dan de factoren die bepalen wat de kans is dat slachtoffers aangifte doen van een strafbaar feit? Hier blijkt de ook de ernst van 21
het delict de belangrijkste determinant te zijn voor de kans dat een persoon overgaat tot het doen van aangifte . Slachtofferkenmerken blijken maar weinig van invloed te zijn op het aangiftegedrag . Terwijl de sociale context echter wel in belangrijke mate het aangiftegedrag beïnvloed [goudriaan & Nieuwbeerta 2005] . Zo blijkt ook dat er minder aangifte wordt gedaan wanneer het delict plaatsvindt binnen de organisatie . En in het bijzonder wordt weinig aangifte gedaan als het delict plaatsvindt binnen de organisatie waar de dader ook tot behoort . Ook kan de norm die heerst in de directe omgeving mede bepalend zijn voor het aangiftegedrag van de slachtoffers . Dus naast een kosten/ baten afweging spelen normatieve regels ook een rol bij de beslissing om aangifte te doen in het socio-ecologisch aangiftemodel . Er zal minder aangifte gedaan worden als het slachtoffer van mening is dat hij zelf nalatig is geweest. Ook wordt er minder vaak aangifte gedaan bij de politie indien een voorval gemeld wordt bij andere autoriteiten zoals directeuren, managers of andere instellingen dan de politie [Braithwaite & Biles, 1979] .
3.5 Aangifte modellen samengevat Geconcludeerd kan worden dat het economische model zich vooral richt op een verklaring van aangiftegedrag op een microniveau met de nadruk op de ernst van het delict . Het psychologische model is een mesoniveau verklaring met de nadruk op eigenschappen van het slachtoffer, de situatie en de directe sociale omgeving . Terwijl het (macro)sociologische model een macroniveau verklaring geeft voor aangiftegedrag met de nadruk op bredere sociaal-culturele eigenschappen . Opgemerkt moet worden dat voor alle drie de aangiftemodellen empirische resultaten bestaan die de verschillende theorieën ondersteunen . Alleen zijn ze niet in alle gevallen even relevant . Desondanks moeten alle drie de modellen in acht genomen worden om een compleet beeld van aangiftegedrag van computercriminaliteit te kunnen bevatten . Daarnaast zijn alle aangiftemodellen gebaseerd op het aangiftegedrag van individuen die het slachtoffer zijn geworden van geweldsdelicten als mishandeling en dergelijke . Hierdoor is de analogie voor het aangiftegedrag van bedrijven met bepaalde punten uit de bestaande aangiftemodellen niet altijd even relevant. Hierdoor is het niet realistisch om de modellen zonder aanpassingen toe te AuEcu€- . I~i . J .K .CK. Di .l k
22
passen op aangiftebereidheid van computercriminaliteit bij bedrijven . Een dergelijk model voor aangiftebereidheid van bedrijven bestaat op het moment nog niet .
3.6 Visie vanuit de praktijk op het aangiftegedrag van bedrijven Naast raadpleging van aangifteliteratuur zijn ook verscheidene computercriminaliteitexperts en betrokkenen uit de praktijk gevraagd naar hun mening over computercriminaliteit en hun visies naar oplossingen van de cybercrime problematiek. Zie voor de uitgewerkte interviews bijlage 2 . Bij de uitvoering van de interviews is getracht om zo veel mogelijk de desbetreffende persoon te laten antwoorden naar hun visie op een vraag zonder hen woorden of antwoorden in de mond te leggen . Er bestaat op bepaalde punten opmerkelijk veel overlap tussen de visies van de ondervraagden experts en conclusies uit de aangifteliteratuur, maar daarnaast geven de experts ook andere factoren op die van invloed zouden zijn op het aangiftegedrag van bedrijven . Opvallend is dat menig expert en betrokkene van mening is dat bedrijven soortgelijke afwegingen maken als de kosten/baten analyse uit het economisch aangiftemodel . In plaats van een kosten/baten analyse wordt over bedrijven gesproken van " Trade-offs" [Graaf de, 2006], of kosten afwegingen [Phillipo, 2006] en kans op imagoschade tegenover kans op winst van de aangifte [Berg van de, 2006] . Het principe dat de beoogde winst van de aangifte wordt afgewogen tegenover de beoogde schade die uit de aangifte kan voortvloeien blijkt voor bedrijven dus van belang . De algemene visie die heerst onder de ondervraagde computercriminaliteitexperts en betrokkene is dat de belangrijkste reden voor het achterwege laten van aangifte van computercriminaliteit is dat bedrijven verwachten imagoschade of merkschade op te lopen als gevolg van de aangifte . Ook angst voor negatieve publiciteit wordt vaak gemeld als reden voor het achterwege laten van aangifte [Groot, 2006 & Philippo, 2006] . Deze visie komt overeen met de "schaamte voor wat er gebeurt is" die als koste opgegeven wordt in het economische kosten/baten model . Daarnaast zijn veel experts en betrokkenen van mening dat de oorzaak van de lage aangiftecijfers te wijten is aan een beleidsmatig karakter, zowel op politiek als op organisatorisch niveau bij de politie [Graaf de, 2006] . Volgens Pascal Hetzscholdt (voormalig beleidsadviseur KLPD) is het van wezenlijk belang dat bedrijven het gevoel moeten hebben dat een cyberaangifte serieus afgehandeld gaat iY7 .I .h .G . Dijk
23
worden . Dit moet beginnen bij het loket waar de aangifte gemeld wordt tot aan opsporing en dadervervolging . Tot aan een serieuze behandeling van het probleem door de politiek [Hetzscholdt, 2006] . De redenering dat minder aangifte wordt gedaan als bedrijven het gevoel hebben dat een aangifte toch niet resulteert in een veroordeling vertoont overeenkomst met het standpunt uit het economische aangiftemodel dat hierdoor de verwachte voordelen van de aangifte laag zijn . Terwijl organisatorische argumenten meer een macrosociologische verklaring geven voor het aangiftegedrag . Een andere reden die de experts opgeven voor lage aangiftecijfers is dat door het bestaan van alternatieven acties voor een officiële aangifte, zoals het uitvoeren van een eigen onderzoek, het inschakelen van particuliere bedrijfsrecherche en het verbeteren van de beveiligingsmaatregelen, acties ondernomen kunnen worden ter vervanging van de officiële aangifte [Goudriaan, H] . Dit komt overeen met de visie uit het besproken psychologische aangiftemodel dat het aangiftegedrag van slachtoffers afhangt van het voorhanden zijn van alternatieven om een incident te melden in plaats van bij de politie . Ook weten bedrijven vaak niet goed wat de politie van hen verwacht indien ze met computercriminaliteit in aanraking zijn gekomen aldus Secretaris Informatiebeleid VNO-NCW [Graaf de, 2006] . Dit is een visie die in niet in de bespreken modellen aan bod komt . Samengevat geven de cybercrime experts en betrokkenen de volgende redenen op die van invloed zijn op het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit .
1) Bedrijven zijn bang dat een officiële aangifte resulteert in imagoschade . 2) Doordat het politieapparaat op alle niveaus niet goed functioneert ten aanzien van computercriminaliteit zien bedrijven het nut van de aangifte niet in . 3) De manier waarop de aangifte afgehandeld wordt door de politie is mede bepalend voor de keuze om aangifte te doen . 4) Bedrijven kunnen kiezen voor alternatieve acties nadat ze met computercriminaliteit in aanraking zijn gekomen wat de kans op een officiële aangifte vermindert . 5) Bedrijven weten niet goed er van hen verwacht wordt in het geval er computercriminaliteit geconstateerd wordt .
Autc«x,-, lng. 3X G . Dijk
24
3.7 Hypothesen aangiftegedrag van computercriminaliteit bij bedrijven Aan de hand van bevindingen uit het economische, psychologische en het sociologische model als wel uit de meningen van computercriminaliteitdeskundigen kan afgeleid worden welke factoren mogelijk bepalend zijn voor het aangiftegedrag van bedrijven die het slachtoffer zijn geworden van computercriminaliteit . De losse aangiftedeterminanten uit de verschillende modellen en meningen van de ondervraagde computercriminaliteitdeskundigen zullen afzonderlijk getoetst moeten worden op hun significantie in relatie tot aangiftebereidheid van computercriminaliteit bij bedrijven . Aan de hand van de resultaten van de afzonderlijke aangiftedeterminanten zal dan één aangiftebereidheidmodel opgesteld worden specifiek gericht is op aangiftebereidheid van computer criminaliteit bij bedrijven .
Economische verklaring Het economische aangiftemodel voorspelt dat de ernst van het delict de grootste drijfveer is voor het doen van aangifte . De ernst van een delict met betrekking tot computercriminaliteit bij bedrijven kan uitgedrukt worden in de financiële schade voor het slachtoffer die voortvloeit uit de computercriminaliteit (H1) . Financiële schade wordt hier gedefinieerd als totale kosten veroorzaakt door de computercriminaliteit . Zowel directe, indirecte als vervolgkosten worden gerekend tot de totale kosten van een computercriminaliteitincident . Gezien vanuit het oogpunt van de samenleving kan de juridische strafmaat (zie hoofdstuk 2 .2) voor een bepaald misdrijf een indicatie geven van de ernst van het gepleegde delict (H2) . Deze onderverdeling in de ernst van het delict is gemaakt omdat afgeleid kan worden uit de besproken onderzoeken naar computercriminaliteit (hoofdstuk 2.3) dat bedrijven bepaalde vormen van computercriminaliteit niet als ernstig ervaren terwijl de juridische strafmaat wel degelijk substantieel is .
H1 : Er bestaat een positief verband tussen de financiële schade veroorzaakt door een computer gerelateerd incident en de kans dat een bedrijf hiervan aangifte zal doen bij politie of justitie .
H2: Er bestaat een positief verband tussen de huidige juridische strafmaat van een computer gerelateerd incident en de kans dat een bedrijf hiervan aangifte zal doen bij politie of justitie .
Het economische aangiftemodel geeft naast de ernst van het delict aan dat slachtoffers een kosten/baten afweging maken bij de beslissing om al dan niet naar de politie te stappen om aangifte te doen van een strafbaar feit . Als voordeel van het doen van aangifte geeft het economische model aan dat slachtoffers aangifte doen omdat hierdoor de kans op herhaling verkleind wordt (H3) . Er wordt dus eerder aangifte gedaan als de kans op herhaling een incident bij het eigen bedrijf van groot is .
H3: Er bestaat een positieve correlatie tussen de kans op herhaling van een computer gerelateerd incident voor het eigen bedrijf en de kans dat een bedrijf hiervan aangifte zal doen bij politie of justitie .
Een opvallend voordeel dat genoemd wordt door het economische aangiftemodel is dat er een officiële aangifte nodig om in aanmerking te komen voor een vergoeding van de schade van de verzekering . Tegenwoordig bestaat de mogelijkheid voor bedrijven om zich te verzekeren tegen vormen van computercriminaliteit . Wellicht dat bedrijven eerder geneigd zijn tot het doen van aangifte van computercriminaliteit indien ze hiervoor verzekerd zijn (H4) . Cyberrisk expert Eric van der Velde, is ook van oordeel dat het hebben van een cyberrisk verzekering een stimulans is voor het doen van aangifte [Velde, 2007] . Met een versterkend effect indien aangifte doen van de computercriminaliteit een vereiste is uit de polisvoorwaarden .
H4 : Er bestaat een positief verband tussen het hebben van een cyberriskverzekering en de kans dat bedrijven aangifte doen bij politie of justitie van een computer gerelateerd incident.
Volgens het economische aangiftemodel moet er naast de voordelen van een aangifte ook rekening gehouden worden met de kosten die het aangeven van computercriminaliteit met zich meebrengen . Waarbij een negatief verband verondersteld wordt tussen de hoogte van de kosten en de kans dat iemand -~uieur. In~ . .I .h. .C~
Dijk
26
overgaat tot het doen van aangifte . Het economische model spreekt over de tijd en moeite die het doen van aangifte kost waardoor een aangifte minder aantrekkelijk worden . Of wel er wordt een verband verondersteld tussen het gemak waarmee bedrijven denken aangifte te kunnen doen van computercriminaliteit en de kans dat een bedrijf hiervan ook daadwerkelijk aangifte zal doen . Het gemak van aangifte kan gezien worden als de totale hoeveelheid tijd dat een bedrijf denkt kwijt te zijn aan een aangifte (H5) .
H5: Er bestaat een negatieve correlatie tussen de hoeveelheid tijd een bedrijf denkt kwijt te zijn aan een aangifte van computercriminaliteit en de kans dat een bedrijf over gaat tot het doen van aangifte .
Kosten voor bedrijven die het doen van aangifte minder aantrekkelijk maken zijn in veel gevallen de angst dat de computercriminaliteit een negatieve invloed heeft op het imago van het bedrijf (H6) . Indien bedrijven het slachtoffer zijn geworden van computercriminaliteit, kunnen ze het gevoel hebben dat consumenten het bedrijf als zwak of als slecht beveiligd ervaren . Ook geven alle computercriminaliteitexperts en betrokkenen (zie bijlage 2) onafhankelijk van elkaar op dat imagoschade een grote belemmering kan zijn voor het doen van aangifte van computercriminaliteit .
H6: Er bestaat een negatief verband tussen de hoeveelheid angst voor imagoschade als gevolg van een computer gerelateerd incident en de kans dat een bedrijf hiervan aangifte zal doen bij politie of justitie.
Als bedrijven vinden dat het mede hun eigen schuld is dat computercriminaliteit bij hen gepleegd is, omdat ze de IT beveiliging verwaarloosd hebben zullen ze minder snel aangifte doen van computercriminaliteit (H,) .
H 7 : De kans dat een bedrijf aangifte doet van computercriminaliteit bij de politie of justitie is groter naarmate het bedrijf meer in IT beveiliging heeft geïnvesteerd .
Psychologische verklaring Het psychologische aangiftemodel geeft aan dat de relatie tussen het slachtoffer en de dader van invloed is op het aangiftegedrag . Als het slachtoffer de dader goed 't `` . .l .k.G .
Dijk
27
kent, zou het slachtoffer minder snel over gaan tot aangifte . Deze bewering is origineel gericht op slachtoffers van geweldsdelicten . De toepasselijkheid ten opzichte van bedrijven en computercriminaliteit is twijfelachtig . Ook invloeden uit de omgeving kunnen volgens dit model het besluitvormingsproces beïnvloeden . Indien bijvoorbeeld het sociale netwerk adviseert om geen aangifte te doen, zal het slachtoffer minder snel naar de politie gaan . De relatie met andere bedrijven en het netwerk waarin het bedrijf zich bevind kan dus van invloed zijn op het aangiftegedrag van bedrijven . Eerdere ervaringen met aangifte bij politie zijn volgens het psychologische aangiftemodel ook van invloed op het toekomstige aangiftegedrag . Indien de vorige aangifte positief is uitgevallen, in de toekomst eerder naar de politie gestapt zal worden . Van bedrijven kan hetzelfde verwacht worden . Hoeveel tijd het kost om aangifte te doen in relatie tot de kans dat een bedrijf weer aangifte gaat doen van computercriminaliteit wordt al getoetst in hypothese 5 . Herhaling en toetsing van soortgelijke hypothesen zijn daarom niet nodig .
Macro-sociologische verklaring Het macro-sociologisch model veronderstelt een relatie van verschillende sociale verschijnselen als verschil in welvaartsverdeling of sociale controle tot het gebruik van de wet door een samenleving . Om deze uitspraak te toetsen op de relevantie van aangiftegedrag van computercriminaliteit moeten interland vergelijkingen gemaakt worden tussen aangiftecijfers van computercriminaliteit en bijvoorbeeld verschillende vormen van welvaartsverdeling . Deze macro-sociologische verklaringen voor aangiftegedrag van bedrijven vallen echter buiten het kader van dit onderzoek . Voor het achterhalen van verbanden op macroniveau is een ander soort data vereist dan voor dit onderzoek verzameld zal worden . De veronderstelling dat er minder gebruik gemaakt zal worden van de wet in zijn algemeenheid inclusief aangiftes, indien er alternatieve informele straffen voor handen zijn als sociale controle, kan wel getoetst worden op haar relevantie tot computercriminaliteit met deze data (H8) . Echter moet er van sprake zijn dat het mogelijk is om de dader informeel te straffen zoals het weigeren van toegang tot bepaalde diensten, of korten op salaris of ontslag indien de dader uit dezelfde organisatie komt . Hier wordt het opleggen van een alternatieve straf gedefinieerd als het voeren van een civiele procedure .
28
H8: De kans dat een bedrijf aangifte doet van computercriminaliteit is kleiner als het bedrijf een civiele procedure tegen de dader is begonnen .
Socio-ecologische verklaring . Een moderne manier om het aangiftegedrag van slachtoffers te verklaren is door te kijken naar aangifte determinanten . Dit zijn afzonderlijke factoren die het aangiftegedrag mogelijk kunnen beïnvloeden . Deze aangiftedeterminanten kunnen onderscheden worden in 3 groepen . Namelijk delictkenmerken, slachtofferkenmerken, en contextuele kenmerken . Bij deze methode van aangiftegedrag verklaring, staat de ernst van het delict centraal . Hypotheses H1, H2 en H3 omvatten deze stelling al, dus aanvulling hierop is overbodig . Daarnaast blijken slachtofferkenmerken maar in beperkte mate van invloed op het aangiftegedrag . Contextuele kenmerken blijken wel het aangiftegedrag significant te kunnen beïnvloeden . Zo blijkt dat er minder snel aangifte wordt gedaan indien de dader en het slachtoffer tot dezelfde organisatie behoort (H9) . Uit onderzoek naar computercriminaliteit blijkt dat veel van de computergerelateerde incidenten door het eigen personeel gepleegd wordt [FBI, 2005] . Bedrijven hebben hierdoor de mogelijkheid om zelf acties te ondernemen naast het doorspelen van het strafbare feit aan de politie . Hierdoor hebben bedrijven alternatieven tot hun beschikking en kan verwacht worden dat bedrijven minder snel over gaan tot het doen van aangifte indien een computer gerelateerd delict wordt gepleegd door een werknemer uit de eigen organisatie . Deze bewering vormt sterke overeenkomst met de stelling uit het macrosociologisch model dat er minder snel een beroep op de wet wordt gedaan als er alternatieve manieren van straffen voorhanden zijn . Maar omdat er waarschijnlijk nog andere factoren meespelen bij deze contextuele aangiftedeterminant zoals daderbekendheid wordt deze hypothese afzonderlijk getoetst .
Hg: De kans dat een bedrijf aangifte doet van computercriminaliteit is kleiner indien de dader tot dezelfde organisatie behoort dan wanneer de dader van buiten de organisatie komt.
Ook de meningen van computercriminaliteitdeskundigen en betrokkenen kunnen resulteren in toetsbare hypothesen . Zoals besproken in hoofdsstuk 3 .6 zijn verschillende experts en betrokkenen van mening dat aangiftegedrag afhankelijk is Autct-~r. !xq, . 1eiS . G . Dij k
29
van het voor handen zijn van bevredigende alternatieve acties die de bedrijven kunnen ondernemen als ze computercriminaliteit geconstateerd hebben (H,o) . Deze factor wordt ook in het socio-ecologische aangiftemodel besproken als variabele die van invloed is op het aangiftegedrag van slachtoffers .
H,o: De kans dat een bedrijf aangifte doet van computercriminaliteit bij politie of justitie is kleiner naarmate de criminaliteit reeds gemeld is bij een andere instelling dan de politie.
Momenteel heeft het bedrijfsleven het idee dat het politieapparaat en de overheid nog niet volledig ingesteld is op huidige de cybercrime problematiek waardoor de politie deze vorm van criminaliteit niet adequaat kan aanpakken [Graaf, 2006] . En doordat de overheid de cyberproblematiek niet voldoende erkent, vinden er maar weinig veroordelingen plaats van computercriminaliteit in de enge zin . Hierdoor worden bedrijven bevestigd in het gevoel dat aangifte doen geen zin heeft (H11) . Ook het economische model gaat ervan uit dat een reden is voor mensen om aangifte te doen van criminaliteit dat hierdoor de dader gevonden zal worden .
H1i : De kans dat een bedrijf aangifte zal doen van computercriminaliteit is groter naarmate het bedrijf van mening is dat er meer computercriminaliteit veroordelingen plaatsvinden.
Tenslotte geven bedrijven aan dat ze niet goed weten wat er van hen verwacht wordt als ze met computercriminaliteit in aanraking zijn gekomen [Graaf, 2006] . Dit heeft tot gevolg dat bedrijven minder aangifte doen, dan wanneer alle bedrijven op de hoogte zijn van de gevallen waarvan de politie graag zou willen dat er aangifte gedaan moet worden (H12) . Deze stelling wordt niet vermeld in de besproken aangiftemodellen als reden voor het wel of niet doen van aangifte . Maar omdat deze stelling aannemelijk lijkt zal hij toch getoetst worden op haar relatie tot het aangiftegedrag van bedrijven .
H12 : De kans dat een bedrijf aangifte zal doen van computercriminaliteit is groter als het bedrijf weet of van een bepaalde vorm computercriminaliteit aangifte gedaan moet worden.
A o teiJ r : In~r. .T.K_G . Dij h
30
4 Uitvoering Om de verschillende hypothesen te toetsen ten aanzien van het aangiftegedrag van bedrijven, moeten eigenschappen van bedrijven, de computercriminaliteit en omgevingsfactoren vergeleken worden met de eigenschap of een bedrijf aangifte heeft gedaan van computercriminaliteit . Er bestaan verschillende manieren om deze eigenschappen te achterhalen . Er kan gebruik gemaakt worden van bestaande bestanden of lijsten waarin eigenschappen van bedrijven vermeld staan zoals gegevens van het Centraal Bureau voor de Statistiek of slachtoffer bestanden van de politie . Echter zijn er momenteel geen bestanden beschikbaar met eigenschappen welke een geheel beeld van het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit kunnen verklaren . Ook is er geen bestand beschikbaar van slachtofferbedrijven van computercriminaliteit in Nederland wat gekoppeld kan worden aan een lijst met bedrijfs, delic of omgevingseigenschappen, om te toetsen welke factoren bepalend zijn voor het aangiftegedrag van bedrijven . Naast het opstellen van een aangiftemodel voor computercriminaliteit bij bedrijven wordt met dit onderzoek tevens achterhaald wat de actuele aard en omvang van computercriminaliteit in Nederland is . Om deze redenen is voor de uitvoering van dit onderzoek gekozen om eigenschapen bij bedrijven direct te meten door middel van een internetvragenlijst . Op deze manier wordt op een actuele en directe manier gemeten welke variabelen van invloed zijn op het aangiftegedrag van bedrijven . De keuze van een digitale vragenlijst boven een papieren versie is genomen omdat met een digitale vragenlijst veel bedrijven op een goedkope manier benaderd kunnen worden . Dataverwerking hoeft zo niet handmatig te worden verwekt . Omdat twaalf hypothesen getoetst worden in de ontwikkeling van het aangiftemodel welke delict, slachtoffer en omgevingskenmerken voorstellen zal de vragenlijst complex van aard zal zijn . Een digitale enquête maakt het mogelijk om aan de hand van de antwoorden van de respondenten, verschillende vragen aan te bieden .
lt7G~ . J,k. G . D ijk
31
4.1 Keuze respondenten De relevante onderzoekspopulatie voor dit onderzoek zijn alle bedrijven in Nederland die met computercriminaliteit in aanraking kunnen komen . Bedrijven zonder internetverbinding hebben een dus danig kleine kans om met computercriminaliteit in aanraking te komen dat deze groep bedrijven niet tot de onderzoekspopulatie behoort . Verder is het niet relevant om bedrijven te benaderen die geen eigen internetsite hebben . Er zijn veel bedrijven die geen eigen internetsite hebben en die daardoor eigenlijk nooit met computer criminaliteit in aanraking kunnen komen . Ook bedrijven zonder eigen internetsite vallen hierdoor buiten de onderzoekspopulatie . Bij de selectie van de bedrijven die benaderd zijn om mee te werken aan dit onderzoek is gebruik gemaakt van de Ad Hoc data-cd 2007-1 [www .adhocdata .nl]. Op deze cd staan 450 .000 actieve bedrijven in Nederland met 2 of meer werknemers met contactgegevens als telefoonnummer, adres, email, website en contactgegevens van bijvoorbeeld directeur of hoofd automatisering . Via een menu in het programma van de cd kan op eenvoudige wijze selecties gemaakt worden uit de gehele lijst van bedrijven . Om bedrijven te selecteren voor medewerking aan dit onderzoek is ervoor gekozen om te selecteren op bedrijven die aan een bepaald profiel voldoen . Het eerste selectie criterium is of de bedrijven een internet website hebben . Het tweede selectie criterium is of de bedrijven opgegeven hebben een hoofd automatisering te hebben met contactgegevens daarvan . Dit tweede selectie criterium is gemaakt omdat hierdoor verwacht wordt dat de respons op de enquête vergroot wordt . Omdat direct in de uitnodigingsemail verwezen kan worden naar de juiste persoon is de kans dat de email ergens binnen het bedrijf blijft hangen kleiner . Met het oog op een lage verwachte respons op de internetenquête is ervoor gekozen om deze voorselectie toch door te voeren ook al gaat dit ten koste van de onafhankelijkheid van de respondenten. Door de voorselectie procedure zijn alleen die bedrijven met de volgende eigenschappen meegenomen in het onderzoek :
-~ ~ i i tui r : 1 n ~,_r, J .k,t; . I) ; ; k
32
1) Bedrijven die op de Ad Hoc data-cd staan . 2) Alleen commerciële bedrijven in Nederland die in de kamer van koophandel staan ingeschreven en geen overheid, non-profit organisaties, verenigingen of andere rechtspersonen . 3) Bedrijven met meer dan 2 werknemers . 4) Bedrijven waarvan contactgegevens van het hoofd automatisering vermeld staan op de AdHoc Data-cd . 5) Bedrijven die een website op de Ad Hoc data cd hebben staan 6) Bedrijven die een emailadres op de Ad Hoc data cd vermeld hebben staan .
Na deze voorselectie voldeden 11 .797 bedrijven aan de selectie criteria . Met name de eis dat de bedrijven contactgegevens van het hoofd automatisering op de cd hebben staan heeft de geschikte bedrijven voor benadering aanzienlijk ingeperkt . Indien deze eis niet gehanteerd zou worden konden bijna 450 .000 bedrijven gebruikt worden voor benadering . Tabel 4.1 geeft een overzicht van de benaderde bedrijven weer . Hieruit kan worden opgemaakt dat er door de voorselectie relatief minder grote bedrijven benaderd zijn om mee te werken aan de enquête dan kleine en middelgrote bedrijven . Hierbij moet in acht genomen worden dat niet duidelijk is of de bedrijven die daadwerkelijk op de gebruikte data cd staan een goede reflectie weerspiegelen van de werkelijke omvang van alle kleine, middel en grote bedrijven . Desondanks is het niet praktisch om alle 11 .797 bedrijven te benaderen om een enquête in te vullen . Daarom is van deze 11 .797 bedrijven een aselecte keuze gemaakt van 25%. Hierdoor bleven er ongeveer 2950 bedrijven over om te benaderen . Aangezien een deel van de bedrijven waarschijnlijk een ander emailadres heeft dan dat op de Ad Hoc data cd staat, en te verwachten is dat maar ongeveer 10% van de bedrijven bereid is mee te werken aan een onderzoek naar computercriminaliteit is ervoor gekozen om dit grote aantal bedrijven via mail aan te schrijven .
Tabel 4.1 : Overzicht aantallen geselecteerde bedrijven ten opzichte van het totaal aantal beschikbare bedrijven Bedrijfsgrootte (aantal werknemers)
Aantal bedrijven met email en website (aantal bedrijven)
2-4 5-9 10-19 20-49 50-99 100-199 200-499 500-749 749-999 >1000 totaal Klein bedrijf (aantal werknemers 0- 49 Middel bedrijf (aantal werknemers 50- 499 Groot bedrijf (aantal werknemers > 500 Bron : Ad Hoc data cd 2007-1 .
64 .000 36 .000 21 .000 15 .000 4 .600 2 .156 962 153 62 106 144 .000 136 .000
Aantal bedrijven met website, email en contactgegevens van hoofd automatisering (aantal bedrijven) 3 .634 4 .953 1 .504 1 .089 350 183 65 9 4 6 11 .797 11 .180
Fractie geselecteerde bedrijven ten opzichte van totaal beschikbare bedrijven % 5 .7% 13 .7% 7.2% 7.3% 7.6% 8 .5% 6 .7% 5 .8% 6 .5% 5 .6% 8 .2% 8 .2%
7674
598
7 .8%
321
19
5 .9%
4.2 Opmaak adressenbestand Het programma dat gebruikt is om uitnodigingsmails naar de verschillende bedrijven te sturen is het programma : ClassApps ; Select Survey ASP Advanced 8 .0 .1 [ClassApps .com] . Dit is hetzelfde programma dat gebruikt is om de enquête samen te stellen . Dit programma heeft de mogelijkheid om "emaillists" aan te maken en naar alle bedrijven in de emaillijst dezelfde mail te sturen, inclusief link naar de enquête en namen van werknemers . De enquête zelf staat op de server van de Technische Universiteit Eindhoven . Zo lijkt het of het bedrijf specifiek geselecteerd is omdat er in de mail verwezen wordt naar het hoofd automatisering . Door de opbouw van de enquête en met name door de verschillende scenario vragen die in de enquête zijn ingebouwd zijn er 6 verschillende versies van de enquête opgesteld . Eik waarbij één variabele verschillend was in de scenariovraag terwijl de rest van de enquête hetzelfde bleef bij alle versies. Hierdoor zijn er zes verschillende adresbestanden gemaakt met elke 1/6 van de 2948 bedrijven . Dit kwam neer op 491 bedrijven per adresbestand . De 2948 geselecteerde bedrijven zijn weer at rondom toegewezen aan een van de versies . De bedoeling van de uitnodigingsemail is om zo veel Atit.ctir : in2 . .l .K Cf . Dijk
34
mogelijk bedrijven uit te nodigen om aan de enquête mee te werken . Respondenten hoeven simpelweg de link aan te klikken die in de uitnodigingsmail vermeldt staat waarna ze automatisch doorgeschakeld worden naar de eerste pagina van de vragenlijst . Tevens is er getracht bij de formulering van de uitnodigingsmail om zo dringend mogelijk maar toch beleefd over te komen . Niet alle emailadressen van de Ad Hoc data-cd komen ook daadwerkelijk aan bij de bedrijven . Na nabellen van de bedrijven blijkt dat een deel van de emailadressen die op de data cd staan niet meer bestaan of in de loop van de tijd zijn veranderd . Om de respons te verhogen is na verloop van tijd een herinneringsmail verstuurd . Nadat het effect van de herinneringsmail afnam is ook nog een 2e herinneringsmail verstuurd naar de geselecteerde bedrijven . Tabel 4 .2 geeft een overzicht weer van de data wanneer alle uitnodigingsmail zijn verzonden .
Tabel 4.2 : Overzicht data van verzonden uitnodigin mails Naam enquête
Scenario 1 A Scenario 1 B Scenario 2A Scenario 2B Scenario 3A Scenario 3B 2e ronde I 2e ronde II
Datum verzonden uitnodigingsmail dd-mm-" 08-03-2007 09-03-2007 09-03-2007 09-03-2007 09-03-2007 09-03-2007 27-03-2007 27-03-2007
Datum 1e herrinneringsmail dd-mm-" 16-03-2007 16-03-2007 16-03-2007 16-03-2007 16-03-2007 16-03-2007 02-04-2007 02-04-2007
Datum 2e herrinneringsmail dd-mm-" 28-03-2007 28-0302007 28-03-2007 28-03-2007 28-03-2007 28-03-2007 -------------------------------
Datum enquête gesloten dd-mm-" 02-04-2007 02-04-2007 02-04-2007 02-04-2007 02-04-2007 02-04-2007 06-04-2007 06-04-2007
Tijdens het verzamelen van de eerste lichting vragenlijsten bleek dat maar zeer weinig bedrijven ooit aangifte hadden gedaan van computercriminaliteit bij politie of justitie . Omdat dit onderzoek juist gaat over aangiftegedrag van bedrijven ten aanzien van computercriminaliteit bleek het noodzakelijk om een tweede lichting bedrijven te benaderen om meer bedrijven in de analyses te kunnen opnemen die ooit aangifte hebben gedaan van computercriminaliteit . Er is besloten om juist die bedrijven te benaderen waarvan te verwachten is dat ze een grote kans hebben om ooit aangifte te hebben gedaan van computercriminaliteit . Daarom is voor de 2e ronde via de Ad Hoc data-cd een voorselectie gemaakt van bedrijven . Bedrijven die in de volgende sectoren vallen, met de eigenschappen emailadres en internetsite en bedrijven groter dan 10 werknemers zijn benaderd :
- Act verwant aan fin instellingen . .K.G. Dij k
35
- Adv bureaus computerbeveiliging - Act voor verzekeringen en pensioenfondsen - Algemene banken - Applic systeembeheerders softw impi etc . - Centrale banken - Computercentra - Netwerkbeheer - Webhosting - Coóperatief georganiseerde banken - Excl zoekmachines, stratpag websites ed - Internet providers
De bedrijven uit bovenstaande categorieën zijn op dezelfde manier benaderd als de 1 e lichting bedrijven en zijn uitgenodigd dezelfde enquête in te vullen . De enquêtes van de 2e ronde zijn ingevuld naar aanleiding van enkel een uitnodigingsmail en een herinneringsmail . De 1 e ronde respondenten hebben naast de uitnodigingsmail ook nog 2 herinneringsmails ontvangen . Vandaar dat de respons op deze enquêtes iets hoger ligt dan die van de 2e ronde enquêtes . Tevens hebben deze respondenten langer de tijd gehad om te reageren dan op de 2e ronde enquêtes .
Tabel 4.3: Overzicht spons o enquête Aantal Aantal Aantal Naam enquête verzonden aangekomen ingevulde enquêtes emails emails
Scenario 1 A Scenario 1 B Scenario 2A Scenario 2B Scenario 3A Scenario 3B 2e ronde 1 2e ronde II Totaal
491 491 491 501 500 481 411 502 3868
393 410 416 426 412 393 328 400 3178
68 74 71 58 61 73 44 60 509
Respons op enquête (ingevulde enquêtes/ aangekomen emails
17.3% 18.0% 17 .0% 13.6% 14.8% 18 .5% 13.4% 15.0%
116 .0%
36
Tabel 4.3 geeft de respons op de vragenlijsten weer . Hierbij moet wel opgemerkt worden dat niet alle respondenten de vragenlijst compleet hebben ingevuld . 327 respondenten hebben de vragenlijst compleet ingevuld .
4.3 Verantwoording enquête Bij de formulering van de vragen is ervoor gekozen om zo goed mogelijk de link te maken tussen de hypothese die getoetst wordt, de achterliggende eigenschap(pen) en de vraag die de achterliggende eigenschap moet meten . De vragen zijn zodanig opgesteld dat de respondent niet uit de individuele vragen kan afleiden welke verbanden er gemeten worden afgaande op de individuele vragen . De vragen zijn dus zodanig opgesteld dat gevraagd wordt een eigenschap te beoordelen zonder dat de respondent op de hoogte is dat deze eigenschap wordt gerelateerd aan aangifte gedrag . Naast dat de vragen op een juiste manier die eigenschappen moeten meten die met de hypothesen getoetst worden is ook belangrijk dat de vragenlijst dusdanig opgebouwd is om zo hoog mogelijke respons te behalen . Daarom is de enquête ontworpen dat het geheel invullen van alle vragen niet al te lang duurt . Anders is de kans groot dat respondenten halverwege de enquête stoppen met invullen en zullen de hypothesen die door de laatste vragen gemeten worden onnauwkeuriger bepaald worden dan de rest van de hypothesen . Ook is ervoor gekozen om "bezwaarlijke vragen" niet vooraan in de enquête te plaatsen, maar dat deze verder in de enquête aan bod komen . Dit is tevens gedaan om de respondenten over te halen de vragenlijst geheel in te vullen [Dillman, 2000] .
Grofweg kan de enquête onderverdeeld worden in 4 typen vragen die op een andere manier gesteld zijn . Slachtoffer en omgevingskenmerken zijn eenvoudig direct te meten . Bijvoorbeeld bedrijfsgrootte is een slachtoffer kenmerk dat eenvoudig direct te vragen is . Echter om hypothesen te toetsen die gerelateerd zijn aan delictkenmerken zoals kosten resulterend uit een bepaald Hacking incident, moeten vragen gesteld worden die gericht zijn op specifieke computercriminaliteit incidenten . De vragenlijst is daardoor opgebouwd uit specifieke computer incident gerelateerde vragen, vragen gerelateerd aan bedrijfskenmerken en vragen die de omgevingsfactoren van het bedrijf beschrijven . 21-1X G .
Dijk
37
Omdat voor het aangiftemodel twaalf hypothesen getoetst worden is elke hypothese getoetst aan de hand van 1 vraag . Soms is het wenselijk om een eigenschap die gemeten wordt te kwantificeren met meerdere vragen . Echter als twee vragen per hypothese gebruikt worden om een bedrijfs-, delict- of omgevingseigenschap te bepalen wordt de vragenlijst al snel twee maal zo lang . Er moet dus een afweging gemaakt worden tussen de nauwkeurigheid om een eigenschap te meten en de nauwkeurigheid de verkregen wordt als alle vragen ingevuld worden . Eigenlijk de afweging tussen de nauwkeurigheid van de specifieke vraag versus de nauwkeurigheid van het gehele model . Bij deze enquête is ervoor gekozen om een eigenschap met maar één vraag te toetsen . Uit de aangifteliteratuur is naar voren gekomen dat er een verband verondersteld kan worden tussen bepaalde factoren en aangiftegedrag, maar dat sommige invloeden op aangiftegedrag van computercriminaliteit bij bedrijven maar weinig voorkomen . Daarom zijn er voor de toetsing van bepaalde hypothesen scenariovragen opgenomen in de vragenlijst . Om hypothesen te meten met behulp van scenariovragen wordt de respondent een bepaalde situatie voorgelegd waarin de respondent zich goed kan verplaatsen . Dan wordt gevraagd hoe de respondent waarschijnlijk zou handelen indien hij zich in deze situatie zou bevinden . Het meten van eigenschappen door middel van vignetten heeft zo zijn nadelen ten opzichte van het meten van echte meningen of handelingen . Omdat duidelijk is uit de vragen welke eigenschappen en relatie gemeten wordt, de kans op sociaal gewenste antwoorden groter is dan wanneer actuele reacties van bedrijven gemeten worden . Ook het feit dat geen echte handelingen gemeten worden maar intenties van respondenten kan tot onnauwkeurigheden in de conclusies leiden . De gebruikte enquête als wel de uitnodigingsmail staan weergegeven in bijlage 1 .
A o ;eur: Fnn2 . j . K G . Di ik
38
5 Resultaten In dit hoofdstuk wordt de beschrijvende statistiek van het onderzoek behandeld . Nadat de eerste lichting respondenten benaderd was, bleek dat er weinig respondenten gereageerd hadden die ooit aangifte hadden gedaan van computercriminaliteit . Om deze reden is er tijdens dit onderzoek voor gekozen om een 2e lichting respondenten te benaderen . Om zinvolle uitspraken te doen ten aanzien van beschrijvende variabelen moeten de respondenten aselect gekozen worden uit de steekproefpopulatie, zodat elke respondent in de populatie een even grote kans heeft om benaderd te worden om mee te werken aan het onderzoek [Babbie, 2002] . Omdat alleen de respondenten van 1 g lichting een even grote kans hadden om benaderd te worden om de enquéte in te vullen, zijn alleen de resultaten van de 1 e lichting representatief voor de waarden die aanwezig zijn bij in de gehele populatie . De respondenten van de 2e lichting zijn namelijk geselecteerd op de eigenschap : sector . Hierbij moet opgemerkt worden dat ook in de 1 e lichting respondenten een voorselectie is gemaakt op eigenschappen . Namelijk alleen die bedrijven die op de Ad Hoc data cd staan met 2 of meer werknemers en met gegevens van het hoofd automatisering zijn meegenomen in dit onderzoek . Hierdoor hebben niet alle bedrijven die in principe tot de doelgroep behoren een even grote kans om de vragenlijst in te vullen, omdat sommige bedrijven niet hebben opgegeven wat de gegevens van het hoofd automatisering zijn . Bij de weergave van de beschrijvende factoren die met dit onderzoek bepaald zijn, staan daarom twee waarden vermeld . De bevindingen die bepaald zijn aan de hand van alleen de 1 e lichting respondenten en de waarden die aan de hand van alle ingevulde enquétes zijn bepaald . In principe zijn alleen de waarden van de 1 e lichting op een correcte manier bepaald, maar is het totale aantal respondenten dat heeft meegewerkt groter indien ook de 2e lichting respondenten wordt meegenomen in de beschrijvende analyses . Hier moet wel opgemerkt worden dat door de respons van ca 16% de resultaten van het onderzoek niet vanzelfsprekend ook de waarden zijn die in de echte populatie bedrijven aanwezig zijn . Het kan namelijk zijn dat de bedrijven die meegewerkt hebben aan het onderzoek op bepaalde punten anders zijn dan bedrijven die wel meegewerkt hebben . Zo kan het zijn dat bedrijven die net met computercriminaliteit in aanraking zijn gekomen een onderzoek naar dergelijk onderwerp relevanter achten dan bedrijven die nog nooit met computercriminaliteit in 1KG. Dijk
39
aanraking zijn gekomen . Hierdoor kan het zijn dat er meer bedrijven gereageerd hebben die met computercriminaliteit in aanraking zijn gekomen dan dat er in de populatie bedrijven in Nederland aanwezig is . Desondanks kunnen de resultaten die met dit onderzoek zijn bepaald wel indicaties geven voor de echte waarden bij de bedrijven in Nederland . De weergaven van de eigenschappen van de respondenten zijn steeds gebaseerd op een verschillend aantal respondenten . Dit komt doordat vragen aan het begin van de vragenlijst door meer respondenten zijn ingevuld dan vragen die aan het eind van de vragenlijst aan bod kwamen . Sommige respondenten zijn namelijk halverwege de vragenlijst gestopt met invullen . Naast de uitkomst van de enquête zullen in dit hoofdstuk tevens de verbanden besproken worden tussen de verschillende variabelen los van het aangiftegedrag .
5.1 Overzicht respons op enquête Bedrijfsgrootte Op de enquête hebben zowel kleine, middelgrote en grote bedrijven gereageerd (zie figuur 5 .1) . Volgens de Kamer van Koophandel [www .kvk .nl] heeft in Nederland procentueel gezien 97 .1 % van de bedrijven 2-50 werknemers, 1 .6% van de bedrijven heeft tussen de 50-100 werknemers en 1 .3% van de bedrijven heeft meer dan 100 werknemers. Echter op deze enquête hebben 85.4% bedrijven gereageerd in de categorie 0-49 werknemers en 6 .5% in de categorie 50-100 werknemers en 7.8% in de categorie boven de 100 werknemers . Dit houdt in dat er verhoudingsgewijs meer middel en grote bedrijven gereageerd hebben op deze enquête, dan dat er werkelijk verhoudingsgewijs in Nederland aanwezig zijn . Echter zoals tijdens de uitvoering van dit onderzoek ook is gebleken, is dat sommige bedrijven die in de Kamer van Koophandel ingeschreven staan niet meer economisch actief zijn [www .cbs .nl] . Dit blijken vooral kleine bedrijven te zijn . Hierdoor zal de verhouding tussen de bedrijfsgrootte van de bedrijven die meegewerkt hebben aan dit onderzoek en tussen de werkelijk actieve bedrijven in Nederland minder verschillen dan dat uit deze cijfers naar voren komt .
AWCur . I!I ~~ . J . K . G . D a.j k
40
figuur 5.1 : Frequentietabel bedrijfsgrootte naar het aantal werknemers . Frequentietabel bedrijfsgrootte 200 180 160 e 140
~
~ 120 c
$, 100 a E! 80 m
`e 60 a 40 20
0 0-5
6- 10 11- 50 51- 100 101- 500
> 500
Bedrijsgrootte ( aantal werknemers)
Nie lichting = 394 Mlle respondenten= 469
Respondenten naar sector Figuur 5 .2 geeft het aantal respondenten weer die tot een bepaalde sector behoren . Figuur 5.2: Frequentietabel respondenten naar sector
Nie lichting =405 N2e lichting = 105 Nalne respondenten= 510
De meeste respondenten behoren tot de sector "Anders" gevolgd door de sector "Diensten", "Producie", "ICT", "Logistiek", "webwinkel" gevolgd door de sector "Financieel" . Omdat op de AdHoc data-cd enkel gegevens van commerciële bedrijven bestaan, behoort geen enkele respondent tot de sector Overheid . Uit deze grafiek komt ook duidelijk naar voren dat de respondenten van de 2e lichting respondenten enkel tot specifieke sectoren behoren . IT-beveiliging Uit figuur 5 .3 blijkt duidelijk dat de meeste bedrijven verhoudingsgewijs weinig in IT beveiliging hebben geïnvesteerd en dat minder bedrijven veel in IT beveiliging hebben geïnvesteerd . Zo'n 57 .5% van de respondenten investeert maar 0-3% van het IT budget in IT beveiliging . Maar 2 .0% van de bedrijven heeft meer dan 15% van het IT budget geïnvesteerd in IT beveiliging . De hoogte van het budget dat een bedrijf uitgeeft aan IT beveiliging blijkt gecorreleerd met de bedrijfsgrootte (R=0 .144, p=0 .007 N=343), waarbij grote bedrijven meer in IT beveiliging investeren . Figuur 5.3 : Percentage van het IT-budget voor IT-b eveiliging Frequentietabel IT-beveilinging 200 180 160 4D140 c á 120 c 0100 a LD 80 m
c 60
W a
40 20 0
3-<6
0-<3
6-<9
9-<12
12-<15
>15
Geen mening
Percentage van het IT budget voor IT beveiliging (%) Nte lichting= 370 . respondenten=436 Nali,
imagoschade Aanvankelijk zijn er meer bedrijven die van mening zijn dat er weinig imagoschade ontstaat voor de organisatie als ze het slachtoffer zijn geworden van computercriminaliteit, dan bedrijven die van mening zijn dat er veel imagoschade
Dijk
42
ontstaat door toedoen van computercriminaliteit . 13.4% van de respondenten denken heel weinig imagoschade te ondervinden door toedoen van computercriminaliteit, 26 .0% denkt weinig imagoschade op te lopen, 42 .7% staat neutraal tegenover de hoeveelheid imagoschade, 13.1% denkt veel imagoschade op te lopen en 4 .8% van de respondenten denkt heel veel imagoschade op te lopen in dien publiekelijk wordt gemaakt dat het bedrijf het slachtoffer is geworden van computercriminaliteit (zie figuur 5 .4) . Figuur 5.4 : Frequentietabel, hoeveelheid imagoschade respondenten denken op te lopen indien de organisatie met computercriminaliteit in aanraking is gekomen. Frequentietabel imagoschade 180 160 140
80 60 40 20 0 Heel weinig Weinig Neutraal Veel Heel veel Hoeveelheid imagoschade door computercriminaliteit Nie lichting=335 Nalle respondenten=397
Tijd voor aangifte Veel respondenten zijn van mening dat een aangifte van computercriminaliteit weinig tijd kost . Waarbij 88% van de respondenten van mening is dat een aangifte minder dan 10 uur tijd kost . De mediaan = 3 uur/aangifte geeft een beter beeld weer van het aantal uur dat de respondenten denken kwijt te zijn aan een aangifte . Er bestaat met IT beveiliging een significante correlatie (R2=0 .133, p=0 .030, N=268) met tijd die de respondent denkt kwijt te zijn aan een aangifte . Blijkbaar zijn bedrijven die veel in IT beveiliging investeren zich meer bewust van de tijd die aan aangifte met zich meebrengt .
A'L,tcurr D ;~ k
43
Aantal veroordelingen Met de enquête is ook bepaald hoeveel cybercriminelen de respondent denkt dat er het afgelopen jaar daadwerkelijk zijn veroordeeld . Opvallend is dat relatief veel respondenten van mening zijn dat er het jaar voorafgaand aan de enquête veel computercriminaliteitveroordelingen in Nederland hebben plaatsgevonden, met een mediaan= 100 veroordelingen/jaar/Nederland . Deze waarde is hoog aangezien er relatief weinig cybercriminelen daadwerkelijk in Nederland zijn veroordeeld . Desondanks blijkt geen van de gemeten variabelen te correleren met het aantal veroordelingen dat de respondent denkt dat er hebben plaatsgevonden . Ook niet als alleen die respondenten meegenomen zijn in de correlatie analyse die "veel" of "heel veel" invloed hebben op het aangiftegedrag van hun bedrijf .
Kosten computercriminaliteit Van vier soorten computercriminaliteit is bepaald wat de kosten waren van eik incident was, waardoor de grootste financiële schade is ontstaan indien de respondent meer dan een keer met een bepaalde vorm in aanraking is gekomen . De soorten waarvan de kosten zijn bepaald zijn de vormen : Hacking met diefstal of verandering van gegevens, Hacking zonder diefstal of verandering van gegevens, Website defacement en dDos-aanvallen . Tabel 5 .1 geeft de kosten weer zoals de respondenten die hebben opgegeven . Verreweg de meeste incidenten hebben relatief lage kosten per incident en er is maar één incident waarbij de kosten hoger dan 50 .000 Euro zijn geschat . Natuurlijk is het voor de respondent lastig om tijdens het invullen van enquête een goede schatting te geven van de totale kosten veroorzaakt door een bepaald computercriminaliteit incident .
-\ utk2 ue: I ng. J .K .Cr, D €j k
44
Tabel 5.1 : Overzicht kosten van computercriminaliteit incidenten Fre uentietabel : kosten verschillende soorten computercriminaliteit
Alleen le lichting
Alle respondenten n
Hacking met
dDos
Website defacement
Hacking zonder
Hacking met
dDos
Website Defacement
Hacking zonder
0-<500 500- <1000
5 1
13 5
11 0
18 2
7 1
18 7
14 2
26 3
1000- <5 .000 5000- <10 .000 10.000<50.000
2 0 1
0 1 0
1 0 0
1 0 0
3 1 1
4 2 1
2 0 1
4 2 1
50.000<100.000
0
0
0
0
0
1
0
0
Totaal
9
19
12
21
' --1-3-7 33
19
36
Kosten (EURO)
Naast een overzicht van de kosten categorieën is het verder interessant om te bepalen wat de gemiddelde kosten per soort computercriminaliteitincident zijn . De kosten van een bepaald incident zijn bepaald aan de hand van categorische antwoord categorieën . Daarom is het niet mogelijk om een precies bedrag per incident vast te stellen . En zijn er daarom drie manieren gebruikt om de gemiddelde kosten per soort computercriminaliteitincident te bepalen . De conservatieve methode neemt de laagste waarde van de geselecteerde categorie . De extreme methode neemt de hoogste waarde van de geselecteerde categorie en de gemiddelde methode neemt de gemiddelde waarde van de geselecteerde categorie als kosten van een incident . De gemiddelde kosten per incident zijn bepaald door de som van de kosten van alle incidenten per soort computercriminaliteit te delen door het aantal maal dat het bedrag voor een bepaalde soort computercriminaliteit is opgegeven . Tabel 5 .2 geeft de gemiddelde kosten per soort computercriminaliteit incident weer van verschillende soorten computercriminaliteit uitgaande van de drie methoden .
. J . K .C; .
Dijk
45
Tabel 5.2 Overzicht gemiddelde kosten per incident
Gemiddelde kosten per incident
Overzicht kosten van verschillende soorten computercriminaliteit Alle rerespondenten Alleen 1 e lichting Website Hacking dDos Hacking dDos Website Hacking Defacement zonder met defacement met 684 1 .423 2 .348 479 95 1 .389 395
uitgaand van meest conservatieve schattin EURO * Gemiddelde kosten per incident
Hacking zonder 430
4 .222
763
833
429
3 .769
4 .295
2 .157
1 .826
7 .055
1 .132
875
762
6 .115
6 .242
3.631
2 .944
uitgaand van gemiddelde koste EURO * kosten per incident uitgaande van meest extreme
schatting EU RO *
* Per kolom staan gemiddelde kosten per incident per soort computercriminaliteit vermeld .
Aan de hand van deze data wordt duidelijk dat de totale kosten in Nederland veroorzaakt door computercriminaliteit substantieel is . Volgens de Kamer van Koophandel telde Nederland op 1 januari 2006, 1 .032 .000 bedrijven [ www.kvk .nl] . Tijdens de enquête gaven 295 bedrijven op 55 "Hacking Zonder" incidenten te hebben ondervonden, 18 "Hacking Met" incidenten, 559 "dDos" incidenten en 57 "Website Defacement" incidenten . Als ervan uitgegaan wordt dat de verhoudingen en de kosten per soort computercriminaliteit die met dit onderzoek zijn bepaald representatief staan voor de echte waarden in Nederland wordt duidelijk dat de totale kosten veroorzaakt door cybercriminelen substantieel zijn . Tabel 5 .3 geeft een schatting van de totale kosten per soort computercriminaliteit in Nederland van het afgelopen jaar weer . De totale kosten "conservatief" zijn gebaseerd op de conservatieve methode van de gemiddelde kosten en de totale kosten "gemiddeld" zijn gebaseerd op de gemiddelde kosten methode van Tabel 5 .2 . Tabel 5.3: Schatting van de totale kosten door toedoen van 4 ernstige soorten computercriminaliteit per jaar in Nederland. Soort computercriminaliteit
Hacking met Hacking zonder Website defacement dDos
Totale kosten conservatief Euro 87.000 .000 18.000 .000 96 .000 .000 772 .000 .000
i ng 1 KG . Dijk
Totale kosten gemiddeld Euro 266 .000 .000 83 .000 .000 166 .000 .000 1 .492 .000 .000
46
Omdat er maar 16% van de benaderde respondenten hebben gereageerd, kunnen deze schattingen niet beschouwd worden als de ware totale kosten door computercriminaliteit in Nederland . Desondanks geeft de berekening toch aan welke soort computercriminaliteit de meeste schade veroorzaakt heeft . Jammer dat alleen de kosten van deze ernstige vormen computercriminaliteit zijn gemeten in dit onderzoek en niet de kosten van bijvoorbeeld Spam en overige soorten computercriminaliteit . Ook zijn de respondenten gevraagd een schatting te geven van dat incident waardoor de grootste financiële schade is ontstaan tijdens het invullen van de vragen . Hierdoor kan het zijn dat de gemiddelde kosten per incident te hoog zijn geschat . Dit is gedaan om zo veel mogelijk incidenten te meten waarvan aangifte is gedaan . Voor deze berekening zou het beter zijn geweest om de kosten van het meest recente incident te vragen in plaats van de kosten van het incident met de hoogste financiële schade .
Acties na computercriminaliteit Een belangrijk doel van dit onderzoek is om de acties te bepalen die bedrijven zoal ondernemen nadat ze met computercriminaliteit in aanraking zijn gekomen . Tabel 5 .4 geeft een overzicht weer van de groepen bedrijven die met een bepaalde vorm computercriminaliteit in aanraking zijn gekomen en een bepaalde actie hebben ondernomen, nadat de computercriminaliteit was geconstateerd . In dit onderzoek zijn alleen acties bepaald relevant aan de vormen Hacking, Websitedefacement en verstikkingsaanvallen . De gegevens in tabel 5 .4 zijn bepaald aan de hand van de incidenten die respondenten hebben opgegeven . De percentages staan voor het deel van de respondenten dat met een bepaalde soort computercriminaliteit in aanraking is gekomen en dat een bepaalde actie heeft ondernomen .
~F~~ . J .K. .G . Dijk
47
Tabel 5 .4: Overzicht acties die respondenten ondernemen nadat ze met computercriminaliteit in aanraking zijn gekomen Percentage slachtoffers dat bepaalde actie heeft ondernomen bij verschillende soorten com utercnminaI iteit. Civiele Particuliere Eigen Soort Aan g ifte Melding computercriminaliteit bij bij procedure bedrijfsrecherche onderzoek politie andere instelling dan
politie Alleen 1 e lichting
Alle respondenten
Hacking
et
dDos Website defacement
Hacking zonder Hacking met dDos Website defacement Hacking zonder
22,2% 0% 0% 0% 5 .4% 0% 5 .2% 2 .9%
0% 5 .3% 0% 0% 0% 3 .0 0% 2 .9%
0% 0% 0% 0% 7 .7% 0% 0% 0%
0% 0% 0% 0% 0% 0% 0% 0%
55 .6% 21 .0% 6 .7% 36 .8% 69 .2% 38 .7% 36.8% 47 .0%
. (N=59)
Opvallend is
dat relatief weinig bedrijven daadwerkelijk belangrijke acties
ondernemen nadat ze met computercriminaliteit worden geconfronteerd . Van slechts 3.4% van de incidenten van deze soorten computercriminaliteit is aangifte gedaan . Van 1 .7% van de incidenten is afgelopen jaar melding gemaakt bij Govcert of soortgelijke organisatie . Over geen van de incidenten uit de 1 e lichting is een civiele procedure gevoerd. Ook is er geen bedrijfsrecherche ingeschakeld bij de opgegeven incidenten . Bij 30 .5% van de opgegeven incidenten is een eigen onderzoek ingesteld . Uit deze cijfers blijkt dat bedrijven niet graag buiten de eigen organisatie kijken om iets met de computercriminaliteit te doen . Respondenten konden ook via open vragen invullen welke acties ze nog meer hebben ondernomen nadat ze de computercriminaliteit hadden ontdekt . Tabel 5 .5 geeft een samenvatting weer van de acties die bedrijven nog meer hebben opgegeven en laat zien welk deel van de respondenten die het slachtoffer zijn geworden van een bepaalde soort computercriminaliteit een bepaalde actie hebben ondernomen . Omdat alle acties die respondenten hebben opgegeven te veel zijn om hier te vermelden, zijn de antwoorden die grofweg op dezelfde actie duiden in een categorie samengevat . De originele antwoorden van de respondenten staan weergegeven in bijlage 3 .
3~b« . J .h: .C.~ .
Dik
48
Tabel 5.5: Overige acties die respondenten hebben opgegeven te hebben ondernomen nadat computercriminaliteit was geconstateerd . Percentage respondenten per soort computercriminaliteit die bepaalde actie
hebben ondernomen nadat computercriminaliteit was geconstateerd. Soort computercriminaliteit Overige
Hacking
acties
met
dDos
Website defacement
Hacking zonder
Programma geïnstalleerd Uitzoeken bron Extra beveiliging
11 .1 %
10.5%
8.3%
5.3%
11 .1 %
15 .2%
0%
0%
11 .1 %
21 .0%
8 .3%
10.5%
0%
5.3%
0%
0%
0%
5.3%
0%
0%
0%
5.3%
16 .6%
5 .3%
aangebracht Benaderen extern IT
bedrijf Aanschaffen
nieuwe apparatuur Benaderen
provider * De tabel geeft aantal maal dat actie is ondernomen weer van alleen 1e lichting incidenten . Ntotaat =59 incidenten, N Hacking met =9, NHacking zonder = 19, Nwebsrïe defacement = 12, NdDos = 19
Verwachting ten aanzien van de politie De respondenten zijn ook gevraagd of ze van mening zijn dat de politie van hen verwacht of ze wel of geen aangifte behoren te doen van een bepaald type computercriminaliteit . De achterliggende gedachte is dat bedrijven misschien geen aangifte doen omdat bedrijven denken dat de politie dat helemaal niet van hen verwacht . De resultaten van deze vraag staan weergegeven in tabel 5 .6.
Tabel 5.6: Mening respondent ten aanzien van de wens van politie
Hacking met dDos aanval Website defacement Hacking zonder Totaal
Alleen 1 e lichting
Alle respondenten
Mening respondent of de organisatie wel of geen aangifte behoort te doen van soort computercriminaliteit (wel aangifte/ geen aangifte) 6/4 60%/40% 9/10 47%/53% 8/4 67%/33% 9/10 47%153% 32/28 53%/47%
Mening respondent of de organisatie wel of geen aangifte behoort te doen van soort computercriminaliteit (wel aangifte/ geen aangifte) 7/6 54%146% 13/20 39%/61% 10/9 53%/47% 15/19 44%/56% 45/54 46%154%
Nloichting=59r Naile respondenten=99
Dijk
49
Van alle vier de soorten computercriminaliteit verwacht de politie in principe dat bedrijven van deze vormen computercriminaliteit aangifte komen doen [Dunnen, 2006] . Veel respondenten denken echter dat de politie niet graag heeft dat men aangifte komt doen van computercriminaliteit . Bij 46 .6% van de ernstige incidenten heeft de respondent aangegeven dat ze van mening is dat de politie niet wenst dat hun organisatie van dat incident aangifte doet . Hierbij is opvallend dat bedrijven die veel in ICT beveiliging investeren significant (B=-0 .283, p=0 .075, N=99) vaker vinden dat er GEEN aangifte van deze ernstige vormen computercriminaliteit gedaan moet worden . Opvallend is tevens dat bedrijven in de ICT sector significant (B=-0 .308, p=0 .039, N=99) meer van mening zijn dat de politie graag heeft dat er GEEN aangifte wordt gedaan van ernstige computercriminaliteit ten opzichte van de referentie categorie "anders", terwijl gecontroleerd wordt voor het soort computercriminaliteit .
5.2 Omvang computercriminaliteit in Nederland Figuur 5 .5 geeft een overzicht weer van het percentage respondenten dat het jaar voorafgaand aan de enquête één keer of vaker met een bepaalde vorm computercriminaliteit in aanraking is gekomen . Niet alle soorten computercriminaliteit komen even veel voor. 18,0% van de respondenten heeft het afgelopen jaar te maken gehad met een ernstige vorm computercriminaliteit, in de categorie "alleen eerste lichting" . Zelfs 22 .8 procent van de respondenten uit de categorie "Alle respondenten" heeft aangegeven het afgelopen jaar 1 keer of vaker met een ernstige vorm van computercriminaliteit in aanraking te zijn gekomen!! Onder ernstige vorm computercriminaliteit wordt hier verstaan : Hacking met, Hacking zonder, dDos, Website defacement, Illegaal via
IT
diensten of producten afgenomen en
Gijzelsoftware . De slachtoffers die met een ernstige vorm computercriminaliteit in aanraking zijn gekomen, hebben een mediaan van 3 ernstige incidenten per jaar .
Auteur . Én~^ . J .h . .G D ií k
50
Figuur 5.5: Overzicht fractie bedrijven dat het afgelopen jaar 1 keer of vaker met een bepaalde vorm computercriminaliteit in aanraking is gekomen Fractie bedrijven dat het afgelopen jaar 1 keer of vaker met een bepaalde vorm computercriminaliteit in aanraking is gekomen Gijzelsoftware Hacking met « ~.~ Illegaal diensten afgenomen r_ .~ .`
Website Defacement
V
dDos
.d. 0
a E 0 ~ .. ó 0 U)
Hacking zonder Spyware Virus Spam
: . . ..... .. : .,,-, .. . : . .. : :... : <: ..r,.>:.. .,:,.~, :....::. . . .. . ....,,....:... .:~.... ::,:~,;. . 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
%respondenten dat slachtoffer is geworden van bepaalde computercriminaliteit
Nie uontiny= 295 NAUe respondenten= 350
Spam De soort computer criminaliteit die het meest voorkomt bij bedrijven is Spam . 92 .8% van de respondenten heeft het afgelopen jaar met Spam te maken gehad . Niet alleen komen veel bedrijven met Spam in aanraking, maar komen individuele bedrijven ook dagelijks veel Spam tegen . Een mediaan van 1000 keer/jaar geeft dit goed weer . 39% komt 1000 maal per jaar Spam tegen . 22% van de bedrijven die met Spam in aanraking is gekomen geven aan dat ze meer dan 10 .000 maal met Spam in aanraking zijn gekomen en zelfs 6 .5% van de Spam slachtoffers heeft aangegeven meer dan een miljoen keer in een jaar met Spam in aanraking te zijn gekomen! Duidelijk is uit de antwoorden van de respondenten dat er veel hinder ontstaat door toedoen van Spam .
Virus, worm of Trojaans paard 56% van de bedrijven heeft aangegeven het afgelopen jaar één keer of vaker met een virus, worm of Trojaans paard te maken hebben gehad . Met een mediaan van 5 blijken virussen wel vaker dan eens per jaar voor te komen onder de slachtoffers . Aut,~ix=- : ir 4> .I,K .G .
Dijk
51
Van de virusslachtoffers is 72% 10 keer of minder met een virus in aanraking gekomen . 19% van de respondenten is het afgelopen jaar tussen de 10 en 100 keer met een virus in aanraking gekomen en 10% meer dan 100 keer per jaar . Er is echter geen significant verschil tussen de verschillende sectoren, ICT beveiligingen, of bedrijfsgrootte ten aanzien van het aantal virussen waarmee de respondenten in aanraking komen .
Spyware 54,7% van de respondenten is een keer of vaker het slachtoffer geworden van spyware . Met een mediaan van 25 keer per jaar is spyware onder deze slachtoffers voor gekomen. Daarvan is 37 .4% minder dan 10 keer met Spyware in aanraking gekomen, 33.8% tussen de 10 en de 100 keer en 17 .1 % tussen de 100 en de 1 .000 keer en geeft 8% tussen de 1 .000 en 10 .000 en 3 .1% van de respondenten heeft aangegeven vaker dan 10.000 keer met spyware te zijn geconfronteerd .
Hacking zonder diefstal of vernieling van gegevens 7 .5% van de respondenten heeft aangegeven in een jaar één keer of vaker met Hacking zonder diefstal of vernieling van gegevens in aanraking te zijn gekomen . Met een statistisch gemiddelde van 2 .5 en een mediaan van 1 keer per jaar komt deze vorm van Hacking niet expliciet vaak voor bij de Hacking slachtoffers . Van deze Hacking Zonder slachtoffers is 54 .5% één keer met deze vorm van computercriminaliteit in aanraking gekomen, 36 .3% van de respondenten is tussen de 1 en 5 keer met Hacking in aanraking gekomen . En 18 .1 % van de Hacking Zonder slachtoffers is 18 .1% tussen de 5 en 10 keer met hacking zonder in aanraking gekomen . In verhouding tot de andere sectoren komt Hacking zonder diefstal of verandering van gegevens in de sector "ICT" significant (B=4 .332, p=0 .002, N=349) meer voor . De overige sectoren zijn niet significant . Er is gecontroleerd voor sector, bedrijfsgrootte en IT beveiliging . Verder zijn er geen significante verbanden ten aanzien van het aantal maal dat Hacking Zonder voorkomt .
dDos 6.4% van de respondenten heeft aangegeven in een jaar één keer of vaker met een dDos aanval in aanraking te zijn gekomen . De dDos slachtoffers komen met een Auteur : It~~11 . .i .K G , Dijk
52
mediaan van 5 keer per jaar wel vaker met deze vorm in aanraking . Van deze dDos slachtoffers is 68 .4% tussen de 1 en 10 keer met dDos aanvallen in aanraking gekomen, 8% 15 keer, 8% 74 keer, 8% 128 keer en 8% 250 keer.
Website defacement 4.4 % van de respondenten heeft aangegeven in een jaar één keer of vaker met Website Defacement in aanraking te zijn gekomen . De Website Defacement slachtoffers hebben een statistisch gemiddelde van 4 .38 incidenten per jaar en een mediaan van 1 incident per jaar . Van deze Website Defacement slachtoffers, is 53.8% maar 1 keer met Website Defacement in aanraking gekomen, 23.1% 2 keer, 7 .7% 4 keer en 15.4 procent 20 keer .
Via IT illegaal diensten of producten afgenomen 2.7% van de respondenten heeft aangegeven dat in een jaar één keer of vaker via IT illegaal diensten of producten zijn afgenomen . De slachtoffers zijn gemiddeld 1 .63 keer en een mediaan van 1 incident per jaar het slachtoffer geworden van deze IT diefstal . 75% van de slachtoffers is 1 keer een dienst of product illegaal via lT afgenomen, bij 12 .5% is 2 keer een product of dienst illegaal afgenomen en bij 12 .5% is 5 keer illegaal een dienst of product via IT afgenomen . Er zijn geen significante bedrijfskenmerken in de data aanwezig die van invloed zijn op het aantal keer dat bij een bedrijf illegaal via IT diensten of producten zijn afgenomen .
Hacking met diefstal of verandering van gegevens 3 .1% van de respondenten heeft aangegeven in een jaar één keer of vaker met Hacking met diefstal of verandering van gegevens in aanraking te zijn gekomen . Deze slachtoffers hebben een statistisch gemiddelde en mediaan van 2 incidenten per jaar. Van de slachtoffers is 44 .4 % één maar keer met Hacking met diefstal of verandering van gegevens in aanraking gekomen . 33.3 % twee keer, 11 .1 % drie en 11 .1 Procent 5 keer .
Gijzelsoftware 3 .4% van de respondenten heeft aangegeven in een jaar één keer of vaker met een Gijzelsoftware in aanraking te zijn gekomen . Deze slachtoffers zijn met een statistisch gemiddelde van 5 en een mediaan van 2 incidenten per jaar met deze .-~ut-Cur . I r r . .~ .I .C~ .
Dijk
53
vorm in aanraking gekomen . Van de slachtoffers is 40% maar 1 keer met Gijzelsoftware in aanraking gekomen, 20% 2keer, 10% 3 keer, 10% 4 keer, 10% 15 keer en 10% 20 keer . In de data is een significant verband (B=0.212, p=0 .027, N=285) tussen de hoogte van IT beveiliging en het aantal keer dat een bedrijf met gijzelsoftware in aanraking is gekomen, terwijl gecontroleerd wordt voor bedrijfskenmerken als sector of bedrijfsgrootte .
5.3 Kans om met computercriminaliteit in aanraking te komen Niet alleen het aangiftegedrag van respondenten kan aan de hand van de data verklaard worden, maar tevens kan uit de data gehaald worden of er bepaalde invloeden zijn tussen bedrijfskenmerken en de kans dat een bedrijf met computercriminaliteit in aanraking is gekomen . Hierbij is het vooral interessant om te kijken naar ernstige vormen van computercriminaliteit . Hiervoor zal een nieuwe afhankelijke variabele geformuleerd worden . De afhankelijke variabele "Ernstige Computercriminaliteit" is gedefinieerd als de frequentie waarmee een respondent het afgelopen jaar met een ernstige vorm computercriminaliteit in aanraking is gekomen . Dit zijn de vormen Hacking met, Hacking zonder, dDos, websitedefacement, gijzelsoftware en via IT illegaal diensten afgenomen . De variabelen die realistisch gezien in de regressie opgenomen kunnen worden zijn de variabelen ; Sector, Bedrijfsgrootte en ICT beveiliging . Van de overige variabelen is het aannemelijk dat deze door de aard van de variabele niet van invloed kunnen zijn op de kans om met computercriminaliteit in aanraking te komen . Het deel van het IT budget dat het bedrijf aan IT beveiliging uitgeeft is op twee manieren in het regressiemodel opgenomen . Omdat een toename tussen de opeenvolgende categorieën overal even groot is, kan IT beveiliging als metrische variabele in het regressiemodel opgenomen worden . Ook is het mogelijk om de verschillende categorieën IT beveiliging als dummy variabelen in een regressie model op te nemen . Beide methoden zijn toegepast . De resultaten staan afgebeeld in tabel 5 .7 . Uit de Multiple linair regression coëfficiënten blijkt dat alle drie de variabelen significant van invloed zijn op het aantal keer dat een bedrijf met een ernstige vorm van computercriminaliteit in aanraking is gekomen.
.~~iwtL~~~: gr.~T . i .h .G . Di ;k
54
Sector Uit de nominale variabele sector blijkt dat er significant meer ernstige computercriminaliteit voorkomt bij bedrijven in de ICT-sector (B= 3 .364, p=0.021, N=282) dan in de referentie sector "overig" . De andere sectoren vertonen geen significant verschil tegenover de sector "overig" die als referentie categorie is gebruikt . Ook niet de sector "WebwinkeP' .
Bedrijfsgrootte Met de bedrijfsgrootte 0-5 werknemers als referentie categorie blijkt dat alleen bedrijven met 6-10 werknemers een zwak significant grotere kans (B=2 .042, p=0 .064, N=282) hebben om met ernstige vormen computercriminaliteit in aanraking te komen .
IT beveiliging Uit de lineaire regressie analyse kan opgemaakt worden dat er een positief significant verband (B=0 .714, p=0 .029, N=282) in de data aanwezig is tussen het aantal maal dat een bedrijf met een ernstige vorm computercriminaliteit in aanraking is gekomen en de hoogte van het percentage van het IT budget dat een bedrijf aan IT beveiliging spendeert . Als IT beveiliging als categorische variabele in het regressiemodel wordt opgenomen blijkt dat bij de categorie 3%-6% (B=2 .266, p=0.024, N=282) en de categorie 9%-12% (B=4 .333, p=0 .029, N=282) significant meer ernstige computercriminaliteit voorkomt dan bij de referentie categorie 0%-3% .
JK G . Dijk
55
Tabel 5.7: Overzicht regressie coëfficiënten van bedrijfskenmerken met het aantal ernstige com utercriminaliteitincidenten als afhankelijke variabele Variabele Aantwerk 6-10* Aantwerk 11-50 Aantwerk 51-100 Aantwerk 101-500 Aantwerk >500 Sectorwebwink** Sector productie Sector logistiek Sector diensten Sector financieel Sector ICT IT 3%-6%'** IT 6%-9% 1T9%-12% IT 12%-15% IT >15% IT metrisch Constant
IT-beveiliging als categorische variabele
B
si g .
1,580 -,250 ,826 -,812 ,870 -,971 -,299 -,524 ,102 -,058 3,789 2,266 ,368 4,333 2,751 1,545
115 799 639 665 846 ,647 ,785 ,850 ,917 ,982 ,005 024 797 029 ,132 ,546
,175
838
IT-beveiliging als metrische variabele sig. B 2,042 -1,005 ,919 -1,613 ,304 -1,309 -318 -,504 010 1,068 3,364
, 064 ,361 ,615 ,469 ,948 ,562 793 ,880 ,993 ,682 ,021
,714 0,601
,029 0,523
Afhankelijke variabele : aantal ernstige computercriminaliteitincidenten het afgelopen jaar (N=282) . * Referentie categorie bedrijfsgrootte : 0-5 werknemers. ** Referentie categorie sector : Sector anders . ***Referentie categorie IT beveiliging : 0%-3% van het IT budget .
5.4 Beschrijving aangiftegedrag van bedrijven 1 .3% van de respondenten van de 1 e lichting respondenten heeft aangegeven het afgelopen jaar aangifte te hebben gedaan van computercriminaliteit . Uit de categorie "alle respondenten" heeft 2 .8% van de respondenten aangegeven afgelopen 12 maanden ooit aangifte te hebben gedaan van computercriminaliteit . Niet alle bedrijven zijn ooit in aanraking gekomen met een vorm van computercriminaliteit waarvan verwacht kan worden dat aangifte van moet worden gedaan . Daarom zegt het percentage van alle respondenten dat ooit aangifte heeft gedaan van computercriminaliteit niet zo veel . Het deel van de respondenten dat het afgelopen jaar aangifte heeft gedaan en in aanraking is gekomen met een ernstige vorm van computercriminaliteit is relevanter . 3 van de 51 respondenten uit de categorie "Alleen 1e lichting" of wel 5,9% van de respondenten dat het afgelopen jaar met een ernstige vorm van computercriminaliteit in aanraking is geweest heeft in dezelfde periode aangifte gedaan . 8 van de 78 respondenten uit de categorie "Alle respondenten" of wel 10,3% van de bedrijven heeft ooit aangifte gedaan van de categorie alle respondenten, terwijl ze met een ernstige vorm computercriminaliteit in aanraking zijn gekomen . Echter is het mogelijk dat -k ~ t tct „r : (n~;. J ,I° Cx , Dijk
56
bedrijven meerdere malen met ernstige computercriminaliteit in aanraking zijn gekomen . Daarom is het ook belangrijk om te kijken naar het aantal incidenten waarvan aangifte is gedaan in verhouding tot het aantal incidenten waarvan verwacht mag worden dat daar aangifte van gedaan moet worden . De respondenten die aangifte hebben gedaan, hebben aangegeven van 4 van de 97 ernstige incidenten aangifte te hebben gedaan . Dit is 4.1% van de incidenten waarvan verwacht mag worden dat bedrijven daarvan aangifte doen, wordt maar daadwerkelijk aangifte gedaan . 2 respondenten hebben aangifte gedaan van computercriminaliteit waarvan geen vervolgvragen in de enquête zijn opgenomen . De 10 respondenten waarvan de organisatie het afgelopen jaar aangifte heeft gedaan, zijn gevraagd naar hun motivatie om aangifte te doen van computercriminaliteit . Deze respondenten hebben de volgende redenen opgegeven :
Reden 1 : = spam verder geen reactie op gehad Reden 1 : = diefstal laptop 1 Reden 1 : = diefstal van gegevens ; Reden 2 : = betrof een ontslag aanvraag Reden 1 : = Is onze plicht Reden 1 : = DDOS Reden 1 : = belediging Reden 1 : = Oplichting Reden 1 : - hacking Reden 1 : - principe
Reden 1 : = Oplichting tegen te gaan Indien de respondent heeft aangegeven dat de organisatie het afgelopen jaar in ieder geval één keer met een ernstige vorm computercriminaliteit in aanraking is gekomen en dat ze geen aangifte hebben gedaan, is gevraagd naar de redenen waarom geen aangifte is gedaan . 62 respondenten voldoen aan deze criteria . Omdat het niet praktisch is om alle antwoorden hier weer te geven zijn de antwoorden die grofweg op dezelfde inhoud hebben samengevat in een categorie . Tabel 5 .8 geeft de redenen weer die de respondenten die met ernstige computercriminaliteit in aanraking zijn gekomen hebben opgegeven om geen aangifte te doen .
At<«°or . (,,,~ . .I .K,G Di jk
57
Tabel 5 .8 : Samenvatting van de redenen die respondenten opgeven om geen
aangifte te doen van computercriminaliteit Reden om geen aangifte te doen .
% van de slachtoffers van ernstige computercriminaliteit die deze reden hebben opgegeven
Heeft toch geen zin .
29.0%
Weegt niet op tegen de tijd die een aangifte kost .
27 .4%
Incident was niet ernstig genoeg .
19 .4%
Weinig vertrouwen in de politie.
9 .7%
Dader onbekend/ dader niet te achterhalen .
9 .7%
Voor Spam aangifte niet gewenst .
9.7%
Te veel extra werk .
4.8%
Zelf al extra beveiliging aangebracht .
3 .2%
Slechte eerdere ervaringen met politie.
3.2%
Geen bewijs .
3.2%
Weet niet goed hoe/waar aangifte gedaan moet worden . Aangifte doen levert niets op .
3 .3%
1 .6%
N=62 respondenten & 77 redenen
5.5 Overige verbanden Uit de data die tijdens dit onderzoek verzameld is kan ook bepaald worden of bijvoorbeeld bepaalde soorten computercriminaliteit significant meer voorkomen in bepaalde sectoren of dat bedrijven in bepaalde sectoren significant meer in IT beveiliging investeren dan andere . Omdat sommige verbanden zijn bepaald met correlaties tussen twee variabelen staan in sommige gevallen Pearsons R2 vermeld om de sterkte van het verband weer te geven . Terwijl andere verbanden zijn bepaald aan de hand van regressie coëfficiënten . De sterkte van de verbanden die met regressie analyses bepaald zijn, staan gevisualiseerd met de richtingscoëfficiënt B . Verbanden die gepaard gaan met aangiftegedrag van bedrijven worden hier niet vermeld maar worden uitgebreid behandeld in hoofdstuk 6 . A,ute«r : hna . .Lk .G . D i 1k
58
Bedrijfsgrootte Er blijken significante verbanden in de data aanwezig te zijn tussen bepaalde kenmerken en bedrijfsomvang . Naarmate bedrijfsgrootte toeneemt, komen er significant meer dDos-attacks voor (R2=0 .382, p=0,000 N=344), significant meer Spam (R2= 0 .135, p=0 .013, N=344) en komen respondenten significant meer in aanraking met ernstige vormen computercriminaliteit (R2=0 .382, p=0.000 N=344) . Verder bestaat er een significante correlatie tussen bedrijfsgrootte en de sectoren Logistiek (R2=0 .272 p=0 .000 N=466) en de sector financieel (R2=0 .188, p=0.000, N=344).
Sector Er is bepaald of sommige soorten computercriminaliteit meer voorkomen in bepaalde sectoren dan in andere . Aan de hand van lineaire regressie met de sector "anders " als referentie categorie blijkt dat in de sector "ICT" de vormen Hacking zonder (B=3 .607, p= 0 .002, N=344), Hacking met (B=0 .431, p=0 .001, N=344), Illegaal diensten of producten afgenomen (B=2 .659, p=0 .00, N=344) en de Overige vormen computercriminaliteit (B=3 .607, p=0 .002, N=344) significant meer voorkomen dan in de andere categorieën . Ook de sector "Financieel blijkt gevoelig voor bepaalde vormen computercriminaliteit . Zo blijken bedrijven in de sector "financieeP' significant meer te maken te krijgen met Spam (B=1 *10', p=0 .042, N=344) en met Spyware (B=1*10' p=0 .009,N=344) dan de referentie categorie Anders . Let wel, de coëfficiënten die hier tussen haakjes zijn weergegeven zijn lineaire regressie richtingscoëfficiënten en geen Pearsons correlatie coëfficiënten . IT beveiliging De hoogte van het budget dat een bedrijf uitgeeft aan IT beveiliging blijkt gecorreleerd aan de bedrijfsgrootte (R=0.144, p=0 .007 N=343), waarbij grote bedrijven meer in IT beveiliging investeren . Verder blijkt IT beveiliging te correleren met de sectoren ICT (R2=0 .156, p=0 .014, N=345) en de sector anders ( R2=-0 .138, p=0.010 N=345) . Verder blijkt dat alleen de soort computercriminaliteit Spam een verband vertoond met IT beveiliging ( R2= 0 .132, p=0 .000, N=287) . De overige soorten computercriminaliteit zijn niet significant van invloed op de hoogte van de IT beveiliging . Ook blijkt dat bedrijven die vee investeren in het beveiligen van IT, _~tbt~,ur : . Ing .C .K .G .
Dijk
59
significant meer aangifte doen van computercriminaliteit (R2=0 .267, 0 .000, N=287) Opvallend is dat er een zeer significant verband in de data aanwezig is tussen imagoschade en IT beveiliging (R2=0 .202, p=0 .000 N=323) . Blijkbaar doen bedrijven die van mening zijn dat er veel imagoschade ontstaat als publiekelijk wordt gemaakt dat hun bedrijf het slachtoffer is geworden van de gevolgen van computercriminaliteit er veel aan om dit te voorkomen .
Angst voor imagoschade Aan de hand van de antwoorden van de respondenten is bepaald of sommige bedrijven meer angst hebben voor imagoschade dan andere . Zo blijkt dat in de sectoren ICT (B=1 .117, p=0 .000, N=396), de sector Diensten (B=0.387, p=0.003, N=396) en de sector Financieel (B=0 .811, p=0 .003, N=396) bedrijven significant meer imagoschade denken op te lopen als ze met computercriminaliteit in aanraking komen in referentie tot de sector Anders . Er blijkt ook een sterk significant verband tussen angst voor imagoschade en IT-beveiliging ( R2=0.202, p=0 .000, N=323)
5.6 Samenvatting aard en omvang computercriminaliteit 1) 18,0% van de respondenten heeft het afgelopen jaar één keer of vaker te maken gehad met een ernstige vorm van computercriminaliteit! 2) Spam is de computercriminaliteit die het afgelopen jaar het meest is voorgekomen . 92 .8% van de respondenten heeft afgelopen jaar met Spam te maken gehad . Met een mediaan van 1000 incidenten/jaar komen de gemiddelde bedrijven dagelijks meerdere malen met Spam in aanraking .
3) 56% van de bedrijven heeft aangegeven het afgelopen jaar één keer of vaker met een virus, worm of Trojaans paard te maken hebben gehad . Met een mediaan van 5 blijken virussen wel vaak voor te komen bij veel bedrijven, maar komt deze vorm niet hee l vaak per jaar bij de bedrijven voor .
~utt zk~, ~p ~ J .K .G . Di Ik
60
4) 54,7% van de bedrijven is een keer of vaker het slachtoffer geworden van spyware . Van de spyware slachtoffers zijn deze met een mediaan van 25 keer/jaar met spyware in aanraking gekomen .
5) 7 .5% van de respondenten heeft aangegeven in een jaar één keer of vaker met Hacking zonder diefstal of vernieling van gegevens in aanraking te zijn gekomen . Onder de Hacking slachtoffers komt deze vorm van Hacking met een statistisch gemiddelde van 2 .5 en een mediaan van 1 keer per jaar niet vaak voor . 6) 6 .4% van de respondenten heeft aangegeven in een jaar één keer of vaker met een dDos aanval in aanraking te zijn gekomen . De dDos slachtoffers komen met een mediaan van 5 keer per jaar wel vaker met deze vorm computercriminaliteit in aanraking .
7) 4 .4 % van de respondenten heeft aangegeven in een jaar één keer of vaker met Website Defacement in aanraking te zijn gekomen . De Website Defacement slachtoffers hebben een statistisch gemiddelde van 4 .38 incidenten per jaar en een mediaan van 1 incident per jaar .
8) 3 .1 % van de respondenten heeft aangegeven in een jaar één keer of vaker met Hacking met diefstal of verandering van gegevens in aanraking te zijn gekomen . Deze slachtoffers hebben een statistisch gemiddelde en mediaan van 2 incidenten per jaar.
9) 3 .4% van de respondenten heeft aangegeven in een jaar één keer of vaker met een gijzelsoftware in aanraking te zijn gekomen . Deze slachtoffers zijn met een statistisch gemiddelde van 5 en een mediaan van 2 incidenten per jaar met deze vorm in aanraking gekomen .
10) 2 .7% van de respondenten heeft aangegeven dat in een jaar één keer of vaker via IT illegaal diensten of producten zijn afgenomen . De slachtoffers zijn gemiddeld 1 .63 keer en een mediaan van 1 incident per jaar het slachtoffer geworden van deze IT diefstal . -k k ;fCur 1 ng . .1 . K . G . D ij h
61
11) Respondenten zijn van mening dat er relatief veel computercriminaliteit veroordelingen per jaar in Nederland plaatsvinden . Met een mediaan van 100 veroordelingen/jaar/Nederland . Terwijl er maar het afgelopen jaar in Nederland maar enkele cybercriminelen daadwerkelijk zijn veroordeeld . 12) Respondenten zijn van mening dat een aangifte relatief weinig tijd kost . Met een mediaan van 3 uurlaangifte .
13) Naarmate bedrijfsgrootte toeneemt komen er significant meer Spam (R2= 0,135, p=0 .013, N=344) en dDos-attacks (R2=0 .382, p=0,000 N=344) voor en komen bedrijven significant vaker in aanraking met een ernstige vorm van computercriminaliteit (R2=0 .382, p=0 .000 N=344) . 14) De sector ICT blijkt gevoelig voor de soorten Hacking (B=3 .607, p=0 .002, N=344), illegaal diensten of producten afgenomen (B=2 .659, p=0.00, N=344) en overige vormen computercriminaliteit (B=3 .607, p=0 .002, N=344) . De sector Financieel blijkt gevoeliger voor Spam (B=1 *10', p=0 .042, N=344) en Spyware (B=1*10' p=0 .009, N=344) . 15) Verhoudingsgewijs investeren de meeste bedrijven weinig in IT beveiliging . Grote bedrijven investeren significant meer in IT beveiliging (R2=0 .144, p=0 .007 N=343) . Verder blijken bedrijven die veel in IT beveiliging investeren veel te maken te krijgen met Spam (R2= 0 .132, p=0 .000, N=287) . Bedrijven die meer in IT beveiliging investeren doen significant meer aangifte (R2=0 .267, 0 .000, N=287) en hebben bedrijven die meer in IT beveiliging investeren significant meer angst voor imagoschade door toedoen van computercriminaliteit (R2=0 .202, p=0 .000 N=323).
16) Bedrijven in de sectoren ICT (B=1 .117, p=0 .000, N=369), de sector Diensten (B=0 .387, p= 0 .003, N=369) en de sector Financieel (B=0 .811 p=0.003, N=369) denken significant meer imagoschade op te lopen indien ze met computercriminaliteit in aanraking komen dan referentie sector Anders .
62
17) Bedrijven in de ICT sector (B=3 .364, p=0 .021, N=350), met 6-10 werknemers (B=2 .042, p=0 .064, N=350) en die veel in IT beveiliging investeren (B=0 .714, p=0 .29, N=350) zijn het afgelopen jaar significant meer met ernstige computercriminaliteit in aanraking gekomen .
18) Van 4 .1 % van de incidenten waarvan verwacht mag worden dat bedrijven daarvan aangifte doen, wordt daadwerkelijk aangifte gedaan .
29) Van 1 .7% van de incidenten is afgelopen jaar melding gemaakt bij Govcert of soortgelijke organisatie . Over geen van de incidenten uit de 1 e lichting is een civiele procedure gevoerd . Ook is er geen bedrijfsrecherche ingeschakeld bij de opgegeven incidenten . Bij 30.5% van de opgegeven incidenten is een eigen onderzoek ingesteld . Overige acties die bedrijven nog meer ondernemen nadat ze met computercriminaliteit in aanraking zijn gekomen zijn bijvoorbeeld : Programma's installeren, bron uitzoeken, extra beveiligen, benaderen van een extern IT bedrijf, nieuwe apparatuur aanschaffen of het benaderen van de internetprovider . 20) Bij 46 .6% van de ernstige incidenten heeft de respondent aangegeven dat ze van mening is dat de politie niet wenst dat hun organisatie van dat incident aangifte doet, terwijl het voor de politie wel wenselijk is dat bedrijven van alle ernstige vormen computercriminaliteit aangifte komen doen . Opvallend is dat bedrijven in de ICT sector significant meer (B=-1 .308, p=0 .039) van mening zijn dat de politie graag heeft dat er geen aangifte gedaan moet worden van ernstige computercriminaliteit .
Inl~, JKG. Dijk
63
6 Toetsing Hypothesen Niet alle geformuleerde hypothesen kunnen op een zelfde manier getoetst worden . Sommige hypothesen veronderstellen namelijk een relatie tussen bedrijfskenmerken en aangiftegedrag terwijl andere hypothesen een verband tussen kenmerken van specifieke incidenten en aangiftegedrag verklaren . Daarnaast zijn er ook hypothesen die met behulp van scenariovragen getoetst worden op de relatie tussen verklarende variabelen en de kans op aangifte . Hierdoor zijn de hypothesen die een verband toetsen tussen bedrijfskenmerken en aangiftegedrag gebaseerd op gegevens van ongeveer 343 bedrijven . Indien de hypothese een verband veronderstelt tussen specifieke delicteigenschappen en aangiftegedrag zal de hypothese getoetst worden aan de hand van kenmerken van ongeveer 99 computercriminaliteitincidenten . Alle hypothesen veronderstellen een verband tussen verschillende onafhankelijke variabelen en de afhankelijke variabele : aangiftegedrag . Omdat aangiftegedrag als "wel aangifte gedaan" of "geen aangifte gedaan" is bepaald is de afhankelijke variabele aangiftegedrag een dichotome variabele . Het gebruik van dichotome afhankelijke variabelen in een multi-regeressie analyse is in principe niet toegestaan en er bestaan andere statistische methoden om verbanden te onderzoeken tussen verklarende variabelen en dichotomie afhankelijke variabelen die beter geschikt zijn dan lineaire regressie [Allison, 1999] . De meest geschikte analysemethode om het verband tussen de verschillende onafhankelijke variabelen en het aangiftegedrag van bedrijven te toetsen is in dit geval Binairy Logistic Regression . Bij logistic regression wordt bepaald hoe het deel van de successen (hier : wel aangifte gedaan van computercriminaliteit) afhangt van de verklarende variabelen . Of wel het model voorspelt de kans dat een willekeurig bedrijf het afgelopen jaar aangifte heeft gedaan van computercriminaliteit, afhankelijk van de waarden van de verschillende verklarende variabelen [Agresti & Finlay, 1997] . Indien voor een bepaalde onafhankelijke variabele het effect op de afhankelijke variabele significant van 0 verschilt, kan geconcludeerd worden dat er een verband bestaat tussen een onafhankelijke variabele en de afhankelijke variabele . Eerst zullen de hypothesen behandeld worden die getoetst zijn aan de hand van bedrijfsgegevens van de circa 350 respondenten . Daarna zullen de hypothesen behandeld worden die getoetst zijn aan de hand van gegevens over 99 specifieke computercriminaliteit incidenten . Om
Autcur . I t-s g. S .K. .C', . Dijk
64
deze reden staan de hypothesen die betrekking hebben op de bedrijfskenmerken en delictkenmerken bij elkaar vermeld .
6.1 Toetsing hypothesen aan de hand van bedrijfskenmerken Gebruikelijk is om eerst de hypothesen te toetsen via enkelvoudige regressie . Dit houdt in dat er gekeken wordt naar het verband tussen één enkele verklarende variabele en het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit . Nadat de losse invloeden bepaald zijn kan via Multiple Logistic Regression gekeken worden hoe meerdere verklarende variabelen samen in één model hun relatie tot het aangiftegedrag kenbaar maken, waarbij gecontroleerd wordt voor de overige variabelen in het model . Eerst komt de toetsing van de verschillende hypothesen aan bod aan de hand van bivariate regressie . Aan het eind van dit hoofdstuk staat een samenvatting met alle coëfficiënten, significantie niveaus en aantallen respondenten vermeld .
Kans op herhaling H3: Er bestaat een positieve correlatie tussen de kans op herhaling van een computer gerelateerd incident voor het eigen bedrijf en de kans dat een bedrijf hiervan aangifte zal doen bij politie of justitie .
Kans op herhaling wordt hier geformuleerd als de frequentie waarmee de respondent het afgelopen jaar met ernstige vormen computercriminaliteit in aanraking is gekomen . Hiertoe zijn het aantal maal dat een bedrijf met de vormen Hacking met, Hacking zonder, dDos, Website defacement, Gijzelsoftware en illegaal via IT diensten afgenomen bij elkaar opgeteld . Zo krijgt bijvoorbeeld een respondent die 3 keer hacking zonder en bij wie 2 keer illegaal diensten afgenomen zijn en 1 keer website defacement heeft ondervonden, de code 6 keer met een ernstige vorm van computercriminaliteit in aanraking te zijn gekomen . Als deze nieuwe variabele "ernstige computercriminaliteit" in de regressie analyse wordt opgenomen verschijnt er een significant verband (B=0 .046, p=0 .017, N=343) tussen de frequentie waarmee een bedrijf met een ernstige vorm van computercriminaliteit in aanraking is gekomen en de kans dat een organisatie het afgelopen jaar aangifte heeft gedaan van Aute-w: Ing . LK .G . Dijk,
65
computercriminaliteit . Of hiermee ook een verband is aangetoond tussen de kans op herhaling van computercriminaliteit en aangiftegedrag of dat bijvoorbeeld het effect veroorzaakt wordt door de cumulatieve kans op aangifte per jaar is uit enkelvoudige regressie niet op te maken . Om het verband tussen de frequentie waarmee bedrijven met computercriminaliteit in aanraking zijn gekomen in relatie tot het aangiftegedrag verder te bestuderen, zijn de frequenties waarmee respondenten met de verschillende soorten computercriminaliteit in aanraking zijn gekomen in een multivariaat regressie model opgenomen . Wanneer de frequentie waarmee de verschillende bedrijven met de soorten computercriminaliteit in aanraking zijn gekomen samen in een multivatiaat regressie model worden opgenomen, blijkt dat er een verband bestaat tussen de frequentie dat bepaalde soorten computercriminaliteit voorkomen en de kans op aangifte terwijl dit verband bij andere soorten weer niet significant aanwezig is in de data . Voor Spam (B=0 .000, p=0 .009 N= 343) en Spyware (B=0.000, p=0 .022, N=343), blijkt dat het aantal keer dat een bedrijf met Spam of Spyware in aanraking is gekomen significant van invloed is op de kans op aangifte (Zie tabel 6 .1) . Dat deze soorten computercriminaliteit een richtingscoëfficiënt van 0,000 hebben is veroorzaakt door de grote uitschieters in het aantal keren dat respondenten hebben opgegeven met Spam of Spyware in aanraking te zijn gekomen . Verder is opvallend dat er een negatief significant (B=0.937, p=0 .065, N=343) verband in de data aanwezig is tussen het aantal keer dat een bedrijf met een dDos-attack in aanraking is gekomen en de kans op aangifte . Dit zou betekenen dat de kans op aangifte kleiner wordt naarmate een bedrijf vaker het slachtoffer is geworden van dDos-attacks . Omdat bij Spam, Spyware en Dosaanvallen zeer hoge uitschieters in de uiterste waarde aanwezig zijn, is gekeken of de significantie niveaus verschillen als de numerieke absolute aantallen worden hercodeert naar een ordinale ranking . Statistische verwerkingsprogramma's (Hier Spss 13 .0) hebben de mogelijkheid om nominale data om te zetten naar ordinale data . Het programma rangschikt de data opeenvolgend van laagste naar hoogste waarde . Op deze manier kan de sterkte van richtingscoëfficiënten niet rechtstreeks geïnterpreteerd worden, maar kunnen de significantieniveaus nog wel gebruikt worden om te bepalen of een coëfficiënt significant van 0 verschilt . Na deze hercodering blijkt alleen het aantal keer dat Hacking met diefstal of verandering van gegevens geconstateerd is significant (B=0 .684, p=0 .076 N=343) van invloed op de kans op aangifte (zie tabel 6 .1) . Dit houdt in dat alleen het aantal keer dat een bedrijf Auteur: Ing. 3KG . Dijk
66
met de soort Hacking met diefstal of verandering van gegevens in aanraking is gekomen significant van invloed is op de kans dat een bedrijf aangifte heeft gedaan .
Tabel 6.1 : Overzicht binai lo istic re ression coëfficiënten Originele coëfficiënten Soort computercriminaliteit
Coëfficiënt B
Significantie
Hacking et
,469 -,937 ,000 ,153 -13,487 -,037 ,000 ,000 ,016 -4,222
,266 ,065 ,931 ,129 ,994 ,946 ,009 ,022 ,661 000
dDos aanval Virus Webdefacement Gi'zelsoftware Via IT illegaal diensten afgenomen S am S are Hacking zonder Constant
Coëfficiënten na hercoderen Coëfficiënt Significantie B ,684 ,006* -,002* ,008* -15,744 -,282 ,007* ,006* ,012 -8,440
,076 ,205* ,548* 194* 995 ,491 129* ,220* ,817 ,000
Afhankelijke variabele : "aangifte wel/niet" * Variabele is hercodeert van nominaal naar ordinale rangschikking. N= 343
Tijd voor aangifte Hij : De kans dat een bedrijf aangifte zal doen van computercriminaliteit is groter naarmate het bedrijf van mening is dat er meer computercriminaliteit veroordelingen plaatsvinden .
Het Bivariate Logistic Regression model veronderstelt een negatief niet significant verband (B=-0 .151, p=0 .287, N=335) tussen de hoeveelheid tijd dat de respondent denk dat een aangifte in het totaal kost en de kans dat een bedrijf het afgelopen jaar aangifte heeft gedaan van computercriminaliteit . Realistischer wordt de analyse als alleen die respondenten meegenomen worden in de analyse die het afgelopen jaar met een ernstige vorm van computercriminaliteit in aanraking zijn gekomen . Ook dan is er een negatief niet significant verband in de data aanwezig( (B=-0 .147, p=0.311, N= 78) . In een multi-variaat regressiemodel zal hiervoor gecontroleerd worden . Ook bij de toetsing van deze hypothese is bepaald of het verschil uitmaakt als de variabele hercodeert wordt naar een ordinale variabele, waarbij de data rangschikt is van hoog naar laag, maar waardoor het effect van uitschieters verminderd wordt . Ook na de hercodering van de numerieke data naar ordinale ranking data, blijkt er geen significant verband (B=-0 .003, p=0 .261, N=343) tussen de kans op aangifte en de hercodeerde variabele "tijd aangifte" .
iKG. Dijk
67
Imagoschade H6: Er bestaat een negatief verband tussen de angst voor imagoschade als gevolg van een computer gerelateerd incident en de kans dat een bedrijf hiervan aangifte zal doen bij politie of justitie .
Om het verband tussen angst voor imagoschade en aangiftegedrag te toetsen is de ordinale data waarmee angst voor imagoschade bij de respondenten is bepaald, eerst hercodeert naar een metrische schaalverdeling . Deze transformatie is toegestaan onder de assumptie dat de grootte tussen opeenvolgende ordinale categorieën hetzelfde is tussen alle opeenvolgende categorieën [Allison, 1999] . Na deze transformatie is het verband tussen imagoschade en aangiftegedrag bepaald via Binairy Logistic Regression . Uit de data komt naar voren dat er een significant positief verband (B=0 .546, p=0 .082, N=343) in de data bestaat tussen de hoeveelheid imagoschade dat een bedrijf denkt op te lopen als bekend wordt dat het bedrijf het slachtoffer is geworden van computercriminaliteit en de kans dat een bedrijf aangifte heeft gedaan van computercriminaliteit . In ieder geval veronderstelt de hypothese een negatief verband terwijl de data een significant positief verband veronderstelt . Dit zou betekenen dat bedrijven die minder imagoschade denken op te lopen door toedoen van computercriminaliteit juist minder aangifte doen, terwijl bedrijven die veel imagoschade denken op te lopen door computercriminaliteit juist meer aangifte doen . Multivariate regressie moet hier meer uitkomst bieden . Als alleen die bedrijven in de regressieanalyse worden meegenomen die in ieder geval één keer met een ernstige vorm computercriminaliteit in aanraking zijn gekomen is het verband niet meer significant (B=0 .241, p=0 .548, N=79) .
IT beveiliging H7 : De kans dat een bedrijf aangifte doet van computercriminaliteit bij de politie of justitie is groter naarmate het bedrijf meer in IT beveiliging heeft geïnvesteerd .
Alvorens het effect te toetsen van IT-beveiliging op aangiftegedrag is de ordinale categorische data hercodeert zodat deze te gebruiken is in een Binairy Logistic Regression model : Welk deel van uw IT-budget spendeert u jaarlijks aan IT-beveiliging?
Au1,: ur; In-. .[,K Cx . Dijk
68
Er blijkt een positief significant verband in de data te (B= 0 .734, p=0.00, N=343) aanwezig te zijn tussen het percentage van het IT budget dat een bedrijf aan IT beveiliging uitgeeft en de kans dat een bedrijf van computercriminaliteit aangifte heeft gedaan . Dit hoge significante verband zou ook veroorzaakt kunnen worden doordat bij bedrijven die veel in IT beveiliging investeren gewoonweg vaker met computercriminaliteit in aanraking komen en daardoor meer aangifte doen . Ook hier kan multivariate regressie meer duidelijkheid verschaffen . Tabel 6 .2 geeft een overzicht weer van de respondenten die wel en die geen aangifte hebben gedaan ten opzichte van de IT beveiliging . Hieruit blijkt duidelijk dat verhoudingsgewijs meer bedrijven aangifte doen als de organisatie veel in IT beveiliging investeert . Tabel 6.2: Overzicht aantal respondenten dat wel of geen aangifte heeft gedaan in
de verschillende categorieën IT beveili in % IT beveiliging % Wel aangifte gedaan Geen aangifte gedaan <3% 2 151 0%1 65 3% 3%-<6% 0 29 6%-<9% 9%-<12% 3 13 12%-<15% 2 14 2 5 <15%
Ook kan getoetst worden waar het verschil tussen de verschillende categorieën het grootst is. Daartoe worden dummy variabelen aangemaakt en deze min de referentie categorie in een regressie model meegenomen . Hier is de categorie 0- <3% als referentie categorie gebruikt . De resultaten van de regressie zijn als volgt:
3- <6%
--> (B=0.503, p=0.683, N=66)
6- <9%
--> (B=-16.525, p=0 .998, N=29)
9- <12% ~ (B=3 .211, p=0.001, N=16) 12- <15% ~ (B=2 .732, p=0.008, N=16) >15%
4 (B=3 .761, p=0 .001, N=7)
Auteur : !r.,g- . .( K G . Dijk
69
Hieruit kan opgemaakt worden dat ten opzicht van bedrijven die 0- <3% van hun ITbudget investeren in IT beveiliging, bedrijven die 9-12%, 12-15% en bedrijven die meer dan 15% van het IT budget in IT beveiliging investeren een significant grotere kans hebben om aangifte te doen van computercriminaliteit . Ook hier kan het zijn dat dit effect het gevolg is van andere interveniërende variabelen zoals bedrijfsgrootte of dat bedrijven die ooit aangifte hebben gedaan van computercriminaliteit meer in IT beveiliging zijn gaan investeren.
Aantal veroordelingen Hij : De kans dat een bedrijf aangifte zal doen van computercriminaliteit is groter naarmate het bedrijf van mening is dat er meer computercriminaliteit veroordelingen plaatsvinden .
Er is geen significant verband (B=0 .00, p=0 .902, N=343) in de data aanwezig tussen het aantal computercriminaliteitveroordelingen dat iemand denkt dat er het afgelopen jaar in Nederland hebben plaatsgevonden en de kans dat zijn bedrijf aangifte heeft gedaan van computercriminaliteit . De coëfficiënt van 0 .000 duidt erop dat er extreme hoge waarden in de data zijn opgenomen die de richtingscoëfficiënt richting nul doen neigen. Daarom is er tevens een hercodering gedaan van de numerieke data naar ordinale data om zo het effect van de extreme uitschieters te neutraliseren . Na deze hercodering blijkt er een negatief niet significant verband (B=-0 .003, p=0.323 N=343) in de data tussen het aantal veroordelingen dat een respondent denkt dat er het afgelopen jaar in Nederland hebben plaatsgevonden en de kans dat de organisatie aangifte heeft gedaan van computercriminaliteit . Ook als alleen die bedrijven in de regressie analyse worden meegenomen die één keer of vaker met een ernstige vorm computercriminaliteit in aanraking zijn gekomen blijkt er geen significant verband (B= -0.001, p=0.491, N=77) in de data aanwezig te zijn tussen het aantal veroordelingen dat de respondent denkt dat er het afgelopen jaar hebben plaatsgevonden en de kans dat een bedrijf aangifte heeft gedaan van computercriminaliteit .
Aut~.tjr : IntT . 3 .K .Cx . L`, iA
70
6.2 Toetsing hypothesen aan de hand van delictkenmerken Met dit onderzoek zijn naast bedrijfsgegevens ook gegevens van bepaalde computercriminaliteit incidenten verzameld . De gegevens van 99 computercriminaliteitincidenten zijn gebruikt om hypothesen te toetsen die een verband veronderstellen tussen bepaalde incident kenmerken en de kans dat een bedrijf aangifte heeft gedaan van computercriminaliteit .
Kosten H1 : Er bestaat een positief verband tussen de financiële schade veroorzaakt door een computer gerelateerd incident en de kans dat een bedrijf hiervan aangifte zal doen bij politie of justitie.
Het verband tussen financiële schade als gevolg van computercriminaliteit en de kans dat een bedrijf aangifte doet van computercriminaliteit is met enkelvoudige logistische regressie is op twee manieren bepaald . Ten eerste zijn de verschillende kosten categorieën verdeeld in meerdere dummy variabelen . Het effect van de verschillende categorieën kosten op de kans van aangifte is bepaald met de laagste kosten categorie als referentiewaarde . Het opnemen van meerdere dummy variabelen in het regressie model is noodzakelijk omdat in zijn rauwe vorm een variabele met categorische schaalverdeling niet rechtstreeks in een regressie model kan worden opgenomen . In principe worden de verschillende kosten categorieën op een zelfde manier in de regressie behandeld als dat gebruikelijk is bij het opnemen van nominale variabelen in een regressie analyse .
Een andere manier die gebruikt is om het verband tussen de kosten van een incident en de kans op aangifte te bepalen is door de verschillende kosten categorieën te hercoderen zodat steeds de gemiddelde waarde van de categorie als waarde gebruikt wordt voor de regressie analyse . Bijvoorbeeld als een respondent heeft aangegeven 0-500 Euro schade te hebben ondervonden door toedoen van een bepaald incident, zal voor de regressie analyse een waarde van 250 Euro gehanteerd worden als kosten voor dat incident . Natuurlijk is niet met zekerheid te bepalen of de gemiddelde waarde van de categorie ook de kosten zijn die de i~rv . .€,k. .G . D ij k
71
respondent daadwerkelijk ondervonden heeft . Maar de schatting van de respondent zelf van de kosten van computercriminaliteit zijn op zijn best ook ruwe schattingen van de echte kosten . Een derde manier om vast te stellen of bedrijven eerder geneigd zijn aangifte te doen van computercriminaliteit naarmate de kosten die voorvloeien uit de criminaliteit hoger zijn, is via de scenariomethode . Dit gebeurt in hoofdstuk 6.3.
Gemiddelde categorie methode : Met een significantie van p=0 .163 en een richtingscoëfficiënt B van 0 .00 lijkt er in deze data geen bewijs gevonden (B=0 .000, p=0.163, N=99) voor een significant verband tussen de hoogte van de kosten en de kans op aangifte aan de hand van de gemiddelde kosten per categorie methode . Deze coëfficiënten zijn bepaald aan de hand van Logistic Regression met "aangifte wel/niet" als afhankelijke variabele .
Dummy variabele methode : Bij de andere methode zijn van de 6 categorieën, 5 dummy variabelen aangemaakt . De categorie waartegen de andere categorieën vergeleken worden, of wel de categorie waarvan geen dummy variabele in de regressie is opgenomen is de categorie met 1000-5000 Euro kosten . Deze categorie is genomen als referentie categorie, omdat dit de categorie is met de meeste cases terwijl er twee cases in deze categorie zitten die aangifte hebben gedaan . Er blijkt geen significant verschil te bestaan tussen de categorieën van de hoogte van de kosten van een incident en de kans dat een bedrijf aangifte doet van dit incident . Met richtingscoëfficiënten en significanties tussen de (B=0 .606, p=0 .662, N=99) en ( B=-19 .498, p=1 .000, N=99) is er geen verband tussen de variabelen aangetoond ten opzichte van de referentie categorie . Via de gemiddelde categorie methode als wel via de dummy variabele methode, is geen significant verband gevonden tussen de hoogte van de kosten en de kans dat een bedrijf van een bepaald incident aangifte doet . Hierbij moet wel opgemerkt worden dat in de categorieën boven de 5 .000 Euro maar 10 incidenten met gegevens opgegeven zijn door de respondenten . Terwijl in de categorieën incidenten onder de 5000 Euro samen 89 incidenten beschreven staan . Statistische coëfficiënten die niet significant zijn en die gebaseerd zijn op weinig cases per categorie kunnen in werkelijkheid wel significant zijn maar niet significant naar voren Au< cur in~-° . T.K Cj . Dijk
72
komen in het model, terwijl coëfficiënten die wel significant zijn en op weinig waarnemingen zijn gebaseerd wel serieus genomen moeten worden [Allison, 1999] . Via de scenariomethode zal gecontroleerd worden of het gebrek aan significantie van de coëfficiënten te wijten is aan een slechte spreiding in de onafhankelijke variabele of dat er ook via de scenariomethode geen verband tussen de kosten van het incident en de kans op aangifte gevonden zal worden .
Strafmaat H2 : Er bestaat een positief verband tussen de huidige juridische strafmaat van een computer gerelateerd incident en de kans dat een bedrijf hiervan aangifte zal doen bij politie of justitie.
Deze hypothese is getoetst door aan elke soort computercriminaliteit de maximale gevangenisstraf die voor een bepaald delict staat toe te kennen en deze met Logistice Regression te toetsen op de afhankelijkheid ten aanzien van het aangiftegedrag . Zo is "hacking zonder" hercodeert naar 1," hacking met" naar 4, "website defacement" naar 2 en "dDos" naar 1 jaar (zie hoofdstuk 2 .2) . Er is een significant positief verband (B=0 .819, p=0 .036, N=99) aanwezig is in de data tussen de hoogte van de maximale straf voor een bepaald delict en de kans dat een bedrijf van een computer gerelateerd incident aangifte zal doen. Bedrijven zijn dus eerder geneigd aangifte te doen van computercriminaliteit als de strafmaat die geldt voor een bepaald delict staat hoger is . Hierbij is alleen gekeken naar het verschil in strafhoogte tussen de soorten Hacking met, Hacking zonder, dDos en Website defacement, omdat alleen van deze soorten computercriminaliteit vervolgvragen zijn opgenomen in de enquête . Of de oorzaak van de hogere kans op aangifte bij een incident waar een hogere straf op staat ook daadwerkelijk wordt veroorzaakt door de hoogte van de strafmaat of dat de strafmaat een goede reflectie is voor andere onderliggende factoren, zoals de ernst van het delict wordt met bivariate regressie niet bepaald . Multivariate regressie kan hier meer duidelijkheid verschaffen .
Alternatieve straf H8: De kans dat een bedrijf aangifte doet van computercriminaliteit is kleiner als het bedrijf de mogelijkheid heeft tot het opleggen van een alternatieve straf .
Atrte~:r: [n _-I .K .G .
Dijk
73
Bij dit onderzoek is het opleggen van een alternatieve straf geformuleerd als het starten van een civiele procedure tegen de dader . Op twee manieren is bepaald in hoeverre het starten van een civiele procedure van invloed is op het aangiftegedrag van bedrijven . Ten eerste is gekeken in hoeverre bedrijven aangifte doen van een computercriminaliteitincident als ze ook een civiele procedure zijn begonnen . Er was echter maar één incident opgenomen in dit onderzoek, waarbij een civiele procedure was begonnen tegen de dader . De resultaten geven een negatief zeer onsignificant verband weer (B=-18 .067, p=1 .000, N=99) . Met het lage aantal incidenten waarbij een civiele procedure is begonnen moet rekening gehouden worden bij de interpretatie van de coëfficiënten .
Andere acties Hio: De kans dat een bedrijf aangifte doet van computercriminaliteit bij politie of justitie is kleiner naarmate de criminaliteit reeds gemeld is bij een andere instelling dan de politie .
Indien enkel gekeken wordt naar het melden van een cyberincident bij Govcert of soortgelijke instelling, is er in de resultaten geen significant verband (B=-18 .089, p=0 .999, N=99) zichtbaar ten aanzien van het aangiftegedrag en het melden van de computercriminaliteit bij andere instellingen . Ook niet ten aanzien van het uitvoeren van een eigen onderzoek, (B=1 .380, p=0 .240, N=99) . Ook hier moet worden opgemerkt dat er maar twee incidenten in dit onderzoek zijn opgenomen waarvan de respondenten hebben opgegeven melding te hebben gedaan bij Govcert of soortgelijke organisatie . Geen enkele respondent heeft opgegeven bij een incident bedrijfsrecherche ingeschakeld te hebben . Door deze lage aantallen kan het zijn dat er uit de regressie analyse geen verband verondersteld wordt terwijl dat in de echte populatie wel aanwezig kan zijn [Allison, 1999] .
Verwachting ten aanzien van de wens van de politie Hi2: De kans dat een bedrijf aangifte zal doen van computercriminaliteit is groter als een bedrijf weet dat de politie wenst dat het bedrijf van die bepaalde vorm van computercriminaliteit aangifte doet .
AtEt(~Lzr f~~~~ . 1 .K .G . Ní.
74
Uit de data komt een negatief niet significant verband (B=-0 .904, p=0 .441, N=99) naar voren tussen de mening van de respondent, of deze denkt dat de politie van hen verwacht dat er van een bepaald incident aangifte gedaan moet worden en de kans dat het bedrijf ook daadwerkelijk aangifte heeft gedaan . Ook is hier zoals bij alle incident gebaseerde coëfficiënten het verband gebaseerd op vier incidenten waarvan ooit aangifte is gedaan van een incident .
6.3 Toetsing hypothesen aan de hand van scenario's Naast het gebruik van feitelijke eigenschappen van respondenten en incidenten, zijn respondenten ook gevraagd om een bepaald scenario te beoordelen op een schaal van 1 tot en met 5 op de kans dat hun organisatie van een soortgelijk incident aangifte zou doen bij politie of justitie . De toetsing van de hypothesen die met de scenario methode zijn bepaald staan besproken in dit hoofdstuk . Om de hypothesen te toetsen zijn de respondenten een bepaald fictief scenario voorgelegd, waarin hun organisatie in de nabije toekomst met computercriminaliteit in aanraking is gekomen, en is gevraagd wat de kans is dat hun organisatie van dat incident aangifte zou doen . Op deze manier worden geen daadwerkelijke acties gemeten, maar intenties . Respondenten zijn dan aselect toegewezen aan een bepaald soort scenario . De scenariomethode is gebruikt om verbanden te toetsen tussen variabelen waarvan te verwachten is dat deze maar weinig in de empirische data terug te vinden zijn, zoals incidenten met hoge kosten of bedrijven met een cyberrisk verzekering . De aangiftebereidheid moet eerst hercodeert worden zodat de resultaten bruikbaar zijn voor statistische analyse . De volgende transformatie van de data is doorgevoerd : Kans dat uw organisatie van dit incident aangifte zal doen :
Heel klein
--> 1
Klein
-> 2
Neutraal
--> 3
Groot --> 4 Heel groot
-> 5
. .1 .K .G . D ijk Ing
75
Met de Independant Sample T-test is bepaald of er een significant verschil bestaat in antwoorden tussen de groepen .
Kosten H1 : Er bestaat een positief verband tussen de financiële schade veroorzaakt door een computer gerelateerd incident en de kans dat een bedrijf hiervan aangifte zal doen bij politie of justitie .
Om te bepalen of er een verschil bestaat inde intentie om aangifte te doen bij verschillende kosten van een incident is een groep respondenten een scenario voorgelegd met 5 .000 Euro schade en de groep die een scenario heeft beoordeeld met 10 .000 Euro schade . Er blijkt een significant verschil (mean5ooo=2•905, N5ooo=21, Mean1oooo=4 .16, N1oooo=50, p=0 .002) te bestaan in de intenties om aangifte te doen tussen de respondenten die een fictief incident van 5 .000 Euro hebben beoordeeld en de groep die een incident van 10 .000 Euro heeft beoordeeld . Bij de groep met 10.000 Euro schade was de gemiddelde score 4 .16 en bij de groep van 5 .000 Euro, 2 .905 . Er is nog een scenario combinatie die het verschil in kosten van een incident heeft bepaald. De groep die een fictief incident van 10 .000 Euro en een cyberrisk verzekering hadden beoordeeld hadden een gemiddelde score van 4 .44 terwijl de respondenten die een fictief incident met 5 .000 Euro met cyberrisk verzekering hadden beoordeeld bleek de gemiddelde score 3 .63 te zijn. Ook tussen deze groepen bleek het verschil significant ( Mean5ooo=3 .63, N5ooo=57, Mean1oooo=4 .44, N10000=27 p=0.002) aanwezig te zijn. Hieruit kan opgemaakt worden dat de intentie om aangifte te doen afhangt van de hoogte van de kosten van de computercriminaliteit . Via de empirische gemiddelde categorie methode als wel via de empirische dummy variabele methode die naast de scenario methode gebruikt zijn om een verband tussen de kosten van een incident en het aangiftegedrag te bepalen, is geen significant verband gevonden tussen de hoogte van de kosten en de kans dat een bedrijf van een bepaald incident aangifte zal doen . Maar aan de hand van de significantie van de verschilcoëfficiënt van de kosten scenario's kan desondanks een positief verband verondersteld worden tussen de hoogte van de kosten die uit computercriminaliteit voortvloeien en de intentie om aangifte te doen van een computercriminaliteitincident . Het verschil zit hem in de hoogte van de kosten . De A11tCtEr . Int- . JKG .
11,1,
76
meeste incidenten die opgegeven zijn door de respondenten hebben relatief lage kosten, terwijl bij de scenario's 5000 Euro verschil zat tussen de verschillende incidenten .
Cyberrisk verzekering H4: Er bestaat een positief verband tussen het hebben van een cyberriskverzekering en de kans dat bedrijven aangifte doen bij politie of justitie van een computer gerelateerd incident.
De respondenten konden invullen hoe groot de kans is dat hun organisatie aangifte zou doen van een fictief computercriminaliteitincident terwijl ze wel of geen cyberriskverzekering hadden . Met een Independent Sample T-test is bepaald of er een significant verschil bestaat in hoogte van de antwoorden tussen de respondenten die het scenario met cyberrisk verzekering en respondenten die het scenario zonder cyberrisk verzekering hebben beoordeeld . Respondenten die het scenario met cyberrisk verzekering hebben beoordeeld hebben een gemiddelde score van 4 .1600 toegekend op een schaal van 1 tot en met 5 . Terwijl de respondenten die het scenario zonder cyberrisk verzekering hebben beoordeeld een gemiddelde score van 3 .6316 hebben toegekend . Er blijkt een significant verschil (Mean,=4.1600, N1=50, Mean2=3 .6316, N2=57, p=0 .019) in antwoorden tussen de respondenten die het scenario met cyberrisk verzekering hebben beoordeeld en de respondenten die het scenario zonder cyberrisk verzekering hebben beoordeeld . Er kan dus verondersteld worden dat bedrijven die een cyberriskverzekering hebben eerder geneigd zijn om aangifte te doen van computercriminaliteit dan bedrijven die deze verzekering niet hebben . Althans als de polis vereist dat een aangifte nodig is om tot vergoeding van de geleden schade over te gaan .
Daderherkomst H9: De kans dat een bedrijf aangifte doet van computercriminaliteit is kleiner indien de dader tot dezelfde organisatie behoort dan wanneer de dader van buiten de organisatie komt.
Uit de scenariovragen is gebleken dat er geen significant verschil (Mean,=3 .7907, N1=43, Mean2=3 .7442, N2=43, p=0 .862) is in de beoordeling van een fictief -\uEeur~
Dijk
77
computercriminaliteitincident waarbij de dader wel of niet uit de eigen organisatie komt en de kans dat een bedrijf van het incident aangifte zal doen . Om tot deze conclusie te komen is eerst de ordinale antwoordschaal hercodeert zodat de data geschikt is voor statistische analyse . Uit deze analyse blijkt dat bedrijven die het incident hebben beoordeeld op een schaal van 1 tot en met 5 waarbij de dader uit de eigen organisatie kwam hebben gemiddeld een score van 3.7442, terwijl bedrijven die het scenario hebben beoordeeld waarbij de dader niet uit de eigen organisatie kwam, de bedrijven gemiddeld een score van 3.7907 hadden toegekend aan de kans op aangifte . Via een Independent Sample T-test is gebleken dat dit verschil ook van andere factoren af kan hangen dan het verschil in daderbekendheid, zoals bijvoorbeeld het toeval . Uit dit onderzoek komt dus geen significant verschil naar voren ten aanzien van de daderherkomst en het aangiftegedrag .
Civiele procedure H8: De kans dat een bedrijf aangifte doet van computercriminaliteit is kleiner als het bedrijf een civiele procedure tegen de dader is begonnen .
Om een verband te onderzoeken tussen het voeren van een civiele rechtszaak en aangiftegedrag is naast feitelijke incidentgegevens tevens gebruik gemaakt van de scenariomethode om het verband hiertussen te toetsten (zie hoofdstuk 6 .1, H8) . Er blijkt geen verschil in de beoordeling (Mean1=4 .11765, N1=46 Mean2=3 .8043, N2= 34, p=0 .126) op de kans dat een bedrijf aangifte zal doen van een fictief computercriminaliteitincident als enkel het wel of niet voeren van een civiele procedure tussen de twee scenario's verschilt . Hiertoe was de data eerst hercodeert zodat met een independant Sample T-test getoetst kan worden of er een verschil in antwoorden aanwezig is tussen de twee groepen .
6.4 Toetsing overige verbanden in relatie tot aangiftegedrag Tijdens de uitvoering van het onderzoek zijn meer variabelen gemeten dan dat noodzakelijk was voor het toetsen van de geformuleerde hypothesen . Zo is bijvoorbeeld ook gevraagd naar de omvang en sector van de organisatie waar de ALO«Ir : Ing . T.K .G . L)ï li i.
78
respondent toe behoort . Wellicht dat er nog andere verbanden in de data aanwezig zijn ook al is daar geen hypothese van geformuleerd . Zo lijkt het aannemelijk dat grote bedrijven meer te maken krijgen met computercriminaliteit en daardoor een grotere kans hebben om ooit aangifte te hebben gedaan van computercriminaliteit .
Bedrijfsgrootte Omdat bedrijfsgrootte bepaald is door middel van niet lineaire categorische variabelen is het verband tussen aangiftegedrag en bedrijfsgrootte bepaald via de dummyvariabele methode . Hierbij worden de ordinale categorieën op een zelfde manier behandeld als dat nominale variabelen in een regressie analyse worden opgenomen . Met p-waarden tussen de 0 .512 en 0 .999 met de categorie 0-5 medewerkers als referentie categorie is er geen significant verschil gevonden tussen de categorieën bedrijfsgrootte en de kans dat het bedrijf aangifte heeft gedaan van computercriminaliteit . Ook is gebruik gemaakt van de gemiddelde categorie methode, waarbij de nummerieke waarde gebruikt wordt in de regressie analyse, welke de gemiddelde waarde is van de categorie . Ook in dit geval blijkt er geen significant verband (B=0 .001, p=0 .857, N=343) tussen bedrijfsgrootte en kans op aangifte .
Sector Wellicht dat in de ene sector sneller aangifte wordt gedaan dan in een andere sector en met name in de IT-sector? De respondenten zijn gevraagd tot welke sector hun organisatie behoort . Van de verschillende categorieën zijn dummy variabelen aangemaakt en deze min de referentie categorie in een Logistic Regression model getoetst op de relatie tot aangiftegedrag . Ook tussen de verschillende sectoren is geen significant verschil gevonden tussen het aangiftegedrag van de respondenten . Met p-waarden tussen 0 .166 en 0 .999 met de sector "Overig" als referentie categorie .
6.5 Samenvatting bivariate regressie Tabel 6 .3 geeft een overzicht van de resultaten van de bivariate regressie en van de resultaten van de scenariovragen .
m,,, .1 .K .G .
DJJk
79
Tabel 6.3: Overzicht coëfficiënten van bivariate regressie en scenariovragen Hypothese
Variabele
Hi
Hoogte kosten incident Hoogte kosten incident Hoogte strafmaat Aantal ernstige incidenten/ 'aar Cyberrisk verzekering Tijd aangifte Ima oschade IT- beveiliging Civiele rechtzaak Civiele rechtzaak Dader uit eigen organisatie Melden bij andere
Steun gevonden in
Aantal respondenten
data
Hl* H2 H3 H4 H5 H6 H7 H8 H8* H9* H10
Nee
99
Ja Ja
N,=21 N2=50 99
Ja
343
Ja
N1=50 N2=57 351 351 351 99
Nee Ja a Nee Nee Nee Nee
N1=46 N2=34 N,=43 N2=43 99
or anisatie H11
Aantal Nee 351 veroordelingen H12 Mening ten Nee 99 aanzien van aangifte * Deze variabele is getoetst door middel van scenariovragen
Uit de analyse van de bivariate regressie blijken de volgende verbanden significant van 0 te verschillen dat met voldoende zekerheid geconcludeerd kan worden dat er een verband in de data aanwezig is tussen de variabele en de kans dat een bedrijf aangifte heeft gedaan van computercriminaliteit . Wel moet opgemerkt worden dat de variabele individueel getoetst zijn op het aangiftegedrag en dat voor de overige variabelen niet gecontroleerd is.
1) Het aantal maal dat een organisatie met een
ernstige vorm
computercriminaliteit in aanraking is gekomen is bepalend voor de kans dat een organisatie het afgelopen jaar aangifte heeft gedaan van computercriminaliteit . Ook blijkt er een verband tussen het aantal maal dat een bedrijf met hacking met diefstal of verandering van gegevens in aanraking is gekomen en de kans dat een bedrijf aangifte heeft gedaan bij politie of justitie .
~uteu ; : Ing . 1 .K .G . D ijk
80
2) Er bestaat een significant verband tussen de kans dat bedrijven het afgelopen jaar aangifte hebben gedaan van computercriminaliteit en de hoeveelheid imagoschade
een bedrijf denkt op te lopen door toedoen van
computercriminaliteit . 3) Er bestaat een significant positief verband tussen de kans dat een organisatie het afgelopen jaar aangifte heeft gedaan en het deel van het IT-budget dat een bedrijf aan IT-beveiliging spendeert . 4) Er bestaat een positief significant verband tussen de maximale strafmaat die voor een computercriminaliteitincident staat en de kans dat een bedrif van een soortgelijk incident aangifte doet indien ze met die vorm in aanraking is gekomen . 5) Het hebben van een cyberriskverzekering
blijkt voor bedrijven een
significante prikkel te geven tot het doen van aangifte althans als een polisvoorwaarde is dat er aangifte gedaan moet worden om tot vergoeding van de geleden schade over te gaan . 6) Ook blijkt de kans dat een bedrijf aangifte zal doen van computercriminaliteit significant groter als
de kosten
die ontstaan door toedoen van
computercriminaliteit groter zijn .
6.6 Mu/tivariate regressie bedrijfskenmerken en aangiftegedrag Naast het uitvoeren van enkelvoudige regressie is het ook noodzakelijk om te kijken hoe de variabelen van invloed zijn op het aangiftegedrag van bedrijven wanneer meerdere variabelen in een regressie model worden opgenomen . Bijvoorbeeld een bedrijf dat alleen met minder erge vormen van computercriminaliteit in aanraking is gekomen, maar op alle andere waarden hoog scoort zal toch maar een kleine kans hebben om van computercriminaliteit aangifte doen . Op de eerste plaats is gekeken wat de invloed is van alle variabelen die betrekking hebben op bedrijfskenmerken, die mogelijk van invloed zijn op het aangiftegedrag . Hierna zal gekeken worden hoe specifieke delict kenmerken samen van invloed zijn op het aangiftegedrag van bedrijven . Ten slotte zullen zowel bedrijfskenmerken als wel delictkenmerken in een alomvattend aangiftemodel getoetst worden op hun relatie tot het aangiftegedrag van bedrijven . Aan de hand van de resultaten van de enkelvoudige regressie is bepaald Ing .,i .K .G .
Dijk
81
welke variabelen in het multivariate regressie model opgenomen moeten worden . De resultaten van de Multiple Logistic Regression ten aanzien van de bedrijfskenmerken zijn weergegeven in Tabel 6 .4.
Tabel 6.4: Overzicht multiple logistic regression coëfficiënten bedrijfskenmerken en aan ifte edra Variabelen
Coëfficiënt B
Sectorwebwinkel* Sectorproductie* Sectorlogistiek* Sectordiensten* Sectorfinancieel* Sectorict* Tijdaangifte Aantalveroordelin IT beveiliging Ima oschade Aantal ernstige CC Bedrijfsgrootte gemiddeld 1 /20 lichting Constant
,472 -18,674 -17,365 -1,046 -19,649 -1,925 -,177 ,000 ,745 ,637 019 ,001 -1,509 -4,083
Significantie 758 ,996 ,999 ,430 ,999 ,242 ,258 ,730 ,005 ,216 ,195 ,795 ,131 ,056
Na elkerke R 0 .4 57 Afhankelijke variabele : "Aangifte wel/niet" * referentie categorie bij sector is de categorie "anders" . N=277
Uit de multiple regressie van bedrijfskenmerken en aangiftegedrag blijkt dat er een positief significant verband in de data aanwezig is tussen de kans dat een bedrijf het afgelopen jaar aangifte heeft gedaan en de mate dat een bedrijf in IT beveiliging investeert (p=0 .005, B=0 .745, N=277), terwijl gecontroleerd wordt voor de overige variabelen in het model .
6.7 Multivariate regressie delictkenmerken en aangiftegedrag Naast een model waarin enkel bedrijfskenmerken zijn opgenomen is het ook interessant om te kijken welke delictkenmerken significant van invloed zijn op het aangiftegedrag van bedrijven terwijl gecontroleerd wordt voor de overige delictkenmerken . De variabelen "soort computercriminaliteit" en "strafmaat" kunnen jammer genoeg niet in een multivariaat regressiemodel opgenomen worden omdat anders extreme multi-colineairiteit ontstaat . Het probleem is dat strafmaat is gebaseerd op het soort computercriminaliteit en hierdoor een perfecte correlatie tussen de variabelen ontstaat [Allison, 1999] . Omdat beide variabelen toch in een multivariaat regressiemodel thuis horen, zijn twee regressie modellen opgesteld . -\utc.ixr . Ir~u . J .K . G . Dijk
82
Beide vergelijkingen zijn met binairy logistic regression bepaald met de afhankelijke variabele "aangifte wel/niet" . Het model voorspelt dus de kans op aangifte bij verschillende waarden van de variabelen terwijl het model controleert voor de overige variabelen in het model . De resultaten van de multivariate regressie naar delictkenmerken op de kans op aangifte staan weergegeven in tabel 6 .5. Ook hier moet opgemerkt worden dat sommige variabelen zeer weinig cases hadden die de respondenten hadden opgegeven van toepassing te zijn op een bepaald incident . Hierdoor kunnen verbanden die in werkelijkheid wel bestaan niet naar voren komen aan de hand van de analyse . Een voorbeeld hiervan is dat uit de scenario vragen blijkt dat er een significant verschil bestaat tussen de beoordeling van de scenario's met als enige variabele de kosten van het delict terwijl dit verband niet duidelijk naar vormen komt uit de bivariate regressie tussen het aangiftegedrag en de kosten van een incident . Echter uit tabel 6 .5 kan opgemaakt worden dat de strafmaat (B=0 .867, p=0 .040, N=96) die staat voor een computercriminaliteitincident en de hoogte van de kosten (B=0 .000, p=0 .039, N=96) van een incident, significant van invloed zijn op de kans dat een bedrijf aangifte zal doen van een computercriminaliteitincident, wanneer gecontroleerd wordt voor de overige delictkenmerken in het model .
Tabel 6.5: Overzicht multiple logistic regression coëfficiënten incidentkenmerken en aangiftegedrag
Variabele melding Civiel procedure Ei enonderzoek Politiewil kosten gemiddeld Hackin zonder* Websitedefacement* dDos* Strafmaat Constant Na elkerke R2
Regressie coëfficiënten met "soort com utercriminaliteit" Significantie Coëfficiënt B -21,602 ,999 -20,403 1,000 ,271 11891 -1,622 ,274 ,000 ,039 -1,423 ,324 -1,211 ,436 -24,036 ,996 , -3,096 ,080 0,4 32
Regressie coëfficiënten met "Strafmaat" Coëfficiënt Significantie B -18,844 ,999 -20,700 1,000 1,813 ,238 -1,237 ,334 ,000 ,101
0.867 -5,954
,040 ,001
0,3 06
Afhankelijke variabele: Aangifte wel/niet. * Referentie categorie is "hacking met" Analyse methode: Binairy logistic regression N=96
-~L,teur . i ;,< . .€ . K G . Dij k
83
6.8 Multivariate regressie bedrijfskenmerken, delictkenmerken aangiftegedrag
en
Het is mogelijk om bedrijfskenmerken te koppelen aan incidentkenmerken, bij de bedrijven die hebben aangegeven met één of meer van de soorten computercriminaliteit Hacking, Website defacement of dDos aanvallen in aanraking te zijn gekomen waarvan de vervolgvragen zijn opgenomen in de enquête . Hierdoor worden bedrijven die meerdere malen met deze ernstige vorm computercriminaliteit in aanraking zijn gekomen meerdere malen in de analyse opgenomen . Het koppelen van bedrijfskenmerken en incidentkenmerken is van belang om te achterhalen of de significante verbanden uit de incidentanalyse niet veroorzaakt worden door bepaalde bedrijfskenmerken en visa versa . Het is mogelijk om een Multilevel analyse uit te voeren, maar om praktische redenen is gebruik gemaakt van Multiple Logistic Regression om de verbanden tussen de variabelen aan te tonen . Alleen die variabelen zullen in dit regressiemodel opgenomen worden waarvan in de vorige analyses is gebleken dat er een verband in de data aanwezig is tussen de variabele en het aangiftegedrag . Echter moeten ook belangrijke controle variabelen in het model opgenomen worden . Controle variabelen moeten in het model meegenomen als de variabele een causaal effect heeft op de afhankelijke variabele en tegelijkertijd dat de variabele deels afhankelijk is van andere variabelen in het model [Allison, 1999] . Daarom zijn de variabelen Imagoschade, IT beveiliging, Kosten incident en Strafmaat in een model opgenomen, als wel de variabele l e/2' lichting welke controleert voor de verschillende enquête rondes . Het invoegen van het aantal ernstige computercriminaliteitincidenten is niet relevant om op te nemen in de regressie omdat de respondenten gevraagd zijn naar het incident met de grootste financiële kosten . Dit kan het eerste maar net zo goed het laatste incident van het afgelopen jaar geweest zijn . Daarom zullen incidenten die in de toekomst plaats zullen vinden zijn niet snel het aangiftegedrag beïnvloeden . Als deze variabelen onderzocht worden in een alomvattend aangiftemodel ten aanzien van computercriminaliteit, blijkt voor bedrijven alleen de strafmaat die staat voor een delict significant (B=0 .603, p=0.065, N=90) en of het een Hacking met diefstal of verandering van gegevens incident betreft of een andere vorm computercriminaliteit (B=1 .698, p=0 .70, N=90) van invloed op het aangiftegedrag . Verder blijkt als bedrijfskenmerk significant positief van invloed te zijn op het aangiftegedrag de Autt ur : Ing . J .K .G . Diïk
84
hoogte van de IT-beveiliging (B=0 .651, p=0 .012, N=90) . De regressie coefficienten staan weergegeven in Tabel 6.6. Tabel 6.6: Overzicht Multiple Logistic regressin coefficienten naar bedrijfskenmerken en delict kenmerken o kans o aan ifte. Variabele Coefficient B Si nificantie IT beveili in ,683 Kosten incident ,000 Strafmaat Dummy Hacking 1,698 met Ima oschade -,375 1,213 18/2e lichting Constant -3,419 Na elkerke R 0.325 Afhankelijke variabele : aangifte wel/niet N=90
,009 ,595
Coefficient B ,651 ,000 ,603
Significantie ,012 ,552 ,065
,070 ,374 ,146 ,028
-,360 1,293 -4,213
,393 ,126 ,014 0.328
Let wel, dit model is gebaseerd op maar 4 incidenten waarvan wel aangifte is gedaan en 86 incidenten waarvan geen aangifte is gedaan . Verder zijn twee regressie modellen opgesteld . Een model waarbij de variabele "strafmaat is opgenomen en een model waarbij de "soort computercriminaliteit" is opgenomen in het model . Omdat strafmaat en soort computercriminaliteit Multi-colineariteit vertonen, kunnen deze niet in één model opgenomen worden . Maar is het toch noodzakelijk om beide invloeden in het model te toetsen . Verder blijkt dat alleen de vorm "Hacking met" significant van invloed (B=3 .709, p=0 .030, N=90) is op het aangiftegedrag van bedrijven . Daarom zijn de overige vormen computercriminaliteit uit het uiteindelijke model weggelaten. De variabele "Hacking met" moet geïnterpreteerd worden of het incident de vorm Hacking met diefstal of verandering van gegevens of een andere vorm computercriminaliteit betreft .
6.9 Aangiftedeterminanten van computercriminaliteit bij bedrijven Naast de resultaten uit de scenariovragen, blijken de volgende variabelen significant van invloed op het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit bij bedrijven terwijl het model controleert voor zowel bedrijfskenmerken, omgevingskenmerken en delictkenmerken :
. K . G . Di jk
85
IT beveiliging : Hoe meer bedrijven investeren in IT beveiliging des te groter is de kans dat de organisatie aangifte zal doen van computercriminaliteit als ze met computercriminaliteit in aanraking is gekomen .
Strafmaat : De maximale gevangenisstraf die staat voor een computer gerelateerd incident is bepalend voor het aangiftegedrag van bedrijven . Als voor een incident een lage maximale straf staat zullen bedrijven minder snel aangifte doen van computercriminaliteit en als er een hoge straf staat op een bepaald delict, zal er sneller aangifte worden gedaan .
Hacking : Indien de soort computercriminaliteit Hacking met diefstal of verandering van gegevens betreft wordt er significant meer aangiftegedaan dan van elke andere soort computercriminaliteit.
Kosten van het incident : Bedrijven geven aan significant meer aangifte te zullen doen van computercriminaliteit naarmate de kosten van de computercriminaliteit toenemen . Echter moeten de kosten substantieel zijn voordat aangifte wordt gedaan . Als de computercriminaliteit enkele honderden Euro's bedraagt wordt in de regel geen aangifte gedaan .
Cyberrisk verzekering : Bedrijven geven aan significant meer aangifte te zullen doen van computercriminaliteit indien de organisatie een cyberriskverzekering heeft en de polis een officiële aangifte vereist om tot vergoeding van de geleden schade over te gaan .
. !na . T .K .G . Auteur
D7dh
86
7 Conclusie en theoretische relevantie Voordat dieper ingegaan wordt op de interpretatie van de gevonden verbanden tussen aangiftegedrag en bedrijfskenmerken en delictkenmerken komen we eerst terug op de vraagstellingen die aan het begin van dit onderzoek zijn gesteld :
1) Wat is de actuele aard en omvang van computercriminaliteit bij bedrijven in Nederland? 2) Wat zijn de determinanten die het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit kunnen verklaren?
Ten eerste zal de vraagstelling behandeld worden die een antwoord geeft op de aard en omvang van computercriminaliteit in Nederland . Waarna de aangiftedeterminanten ten aanzien van computercriminaliteit bij bedrijven besproken zullen worden . De hypothesen die voor dit onderzoek zijn getoetst hebben allen betrekking op de 2e vraagstelling en onderzoeken de factoren die van invloed zijn op het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit . Uit dit onderzoek is gebleken dat 4.1% van de computercriminaliteitincidenten waarvan verwacht mag worden dat bedrijven daarvan aangifte doen, daadwerkelijk aangifte wordt gedaan . Dit is relatief weinig computercriminaliteit waarvan aangifte wordt gedaan bij politie of justitie . De resultaten van dit onderzoek geven verder duidelijk weer dat computercriminaliteit een actuele vorm van criminaliteit is en dat veel bedrijven last hebben van de verschillende vormen computercriminaliteit . Voornamelijk blijken veel bedrijven last te hebben van Spam . 93% van de respondenten heeft aangegeven het jaar voorafgaand aan de enquête met Spam in aanraking te zijn gekomen en dat Spam dagelijks veel voorkomt bij de respondenten . 56% van de respondenten is het afgelopen jaar met een Virus, Worm of trojaans paard in aanraking gekomen en
55% is het jaar voorafgaand aan dit onderzoek
geconfronteerd met Spyware . Daarnaast komen bedrijven ook met ernstigere vormen van computercriminaliteit in aanraking . 7 .5% van de respondenten heeft aangegeven in een jaar één keer of vaker met Hacking zonder diefstal of vernieling van gegevens in aanraking te zijn gekomen en 3 .1% van de respondenten is het slachtoffer geworden van Hacking waarbij er tevens ook gegevens zijn gestolen of vernield . JrK .G .
Dijk
87
6.4% van de respondenten is in een jaar één keer of vaker met een dDos aanval in aanraking gekomen . 4.4 % van de respondenten is in een jaar één keer of vaker met Website Defacement in aanraking gekomen en 3.4% van de respondenten heeft aangegeven het jaar voor de enquête één keer of vaker met gijzelsoftware te zijn geconfronteerd . 2 .7% van de respondenten heeft aangegeven dat in het jaar voorafgaand aan de enquête één keer of vaker via IT illegaal diensten of producten zijn afgenomen .
De vraag komt naar boven in hoeverre bedrijven soortgelijke afwegingen maken als individuele personen bij de beslissing om aangifte te doen van criminaliteit, zoals besproken in de theoretische aangifte modellen (§ 3 .1, 3 .2, 3.3). Aan de hand van de significante verbanden die bepaald zijn met dit onderzoek als wel via de antwoorden van de respondenten ten aanzien van de open vragen over aangiftegedrag en aan de hand van de scenariovragen kan geconcludeerd worden dat het economische aangiftemodel het meest van toepassing is op het aangiftegedrag van bedrijven . In het economische aangiftemodel worden slachtoffers verondersteld een kosten/baten afweging te maken en over te gaan tot aangifte indien de verwachtte baten van de aangifte de verwachtte kosten overtreffen . De ernst van het delict staat hierdoor centraal in het economische aangiftemodel [Goudriaan, 2006] . Ook de statistisch significante variabelen die met dit onderzoek zijn bepaald, kunnen deels aan de hand van dit economische aangiftemodel verklaard worden . Echter heeft ook het economische model tekortkomingen om het aangiftegedrag van bedrijven te verklaren . Ook het Socio-ecologisch model kan gebruikt worden als basis om het aangiftegedrag van bedrijven te verklaren, 'maar ook de bevindingen uit dit onderzoek komen niet geheel overeen met de uitgangspunten van het socioecologisch aangiftemodel . Het psychologisch en het macro-sociologische model lijken niet relevant om het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit te verklaren .
Ernst van het delict De hoogte van de maximale strafmaat die staat op een bepaald delict blijkt significant van invloed te zijn op het aangiftegedrag van bedrijven . Wellicht weten bedrijven niet eens wat de maximale strafmaat van een bepaald soort computercriminaliteit is, maar is de maximale straf een goede reflectie voor de ernst van het delict. Ook de AuICur : Fm~ . l .k:.G . Di jk
88
schade die veroorzaakt wordt door de computercriminaliteit is een weergave van de ernst van het gepleegde delict . Uit de empirische resultaten komt dan wel geen significant verband tussen de kosten van een incident en de kans op aangifte naar voren, maar uit de scenariovragen blijkt dat bedrijven eerder geneigd zijn aangifte te doen bij hogere kosten van een computercriminaliteitincident . Ook wordt significant meer aangifte gedaan van Hacking met diefstal of verandering van gegevens dan van andere soorten computercriminaliteit . Deze bevindingen komen overeen met de stelling uit het economische aangiftemodel dat de ernst van het delict centraal staat ten aanzien van het aangiftegedrag . Waarbij van ernstige delicten eerder aangifte wordt gedaan dan van minder ernstige delicten . Uit dit onderzoek blijkt dat de ernst van het delict ook voor bedrijven een belangrijke drijfveer is om wel of geen aangifte te doen computercriminaliteit . Verder blijkt dat bedrijven de ernst van het delict niet enkel als financiële schade definiëren, maar ook de vorm van computercriminaliteit en de strafmaat is een indicator voor de ernst van het delict .
Kosten van aangifte Er is in de data geen bewijs teruggevonden voor een verband tussen de kosten die voortvloeien uit de aangifte en het aangiftegedrag van bedrijven . De kosten van aangifte die in eerste instantie in de enquête waren opgenomen zijn : Imagoschade, tijd van aangifte en aangifte doen heeft toch geen nut . Uit de analyse blijkt dat geen van deze kosten van aangifte significant van invloed zijn op het aangiftegedrag van bedrijven, althans als voor de overige variabelen in het model gecontroleerd wordt . Desondanks geven 20 van de 62 respondenten op bij de open vragen, dat de reden was om geen aangifte te doen van computercriminaliteit dat een aangifte te veel tijd of moeite kost . Dus bijna 1/3 deel van de respondenten die het afgelopen jaar het slachtoffer zijn geworden van een ernstige vorm van computercriminaliteit heeft aangegeven dat ze geen aangifte hebben gedaan omdat ze in de veronderstelling zijn dat een aangifte te veel tijd of moeite kost . Opvallend is dat geen enkel bedrijf bij de open vragen heeft aangegeven dat de organisatie geen aangifte heeft gedaan om imagoschade te voorkomen . Uit de open vragen komt dus naar voren dat er rekening gehouden moet worden met de kosten van aangifte voor bedrijven, maar is er geen significant verband bepaald tussen de verwachte kosten die voortvloeien uit de aangifte en het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit . Blijkbaar zijn de kosten van de aangifte minder belangrijk om het aangiftegedrag te Autt4tE- : I€sg.J .K .G . Dijk
89
voorspellen dan dat bedrijven zelf denken . Dit is in strijd met het economische aangiftemodel waarbij de kosten van de aangifte wel degelijk een significante factor spelen in de besluitvorming .
Baten van aangifte Redenen die bedrijven hebben opgegeven bij de open vragen om wel aangifte te doen van computercriminaliteit en die opgevat kunnen worden als voordeel van de aangifte zijn onder andere : "Betrof een ontslag aanvraag" en "Oplichting tegen te gaan" . Van de 11 redenen die zijn opgegeven waarom wel aangifte is gedaan van computercriminaliteit, zijn er maar 2 redenen opgegeven die opgevat kunnen worden als voordeel van de aangifte . Bij de andere gevallen speelden andere motieven een rol dan het behalen van voordeel uit de aangifte . Toch blijken de baten resulterend uit een aangifte een drijfveer te zijn voor bedrijven om aangifte te doen . Zo zijn bedrijven significant meer van mening dat ze aangifte gaan doen als de verzekering een aangifte vereist om tot vergoeding van de geleden schade over te gaan . Verder hebben 18 van de 62 bedrijven die met ernstige computercriminaliteit in aanraking zijn gekomen opgeven dat ze geen aangifte doen van computercriminaliteit omdat aangifte doen "toch geen zin heeft" Of wel zeer lage baten voor het bedrijf . Ten aanzien van de baten van aangifte blijkt het economische aangiftemodel toepasbaar om het aangiftegedrag van bedrijven te voorspellen .
Bedrijfskenmerken Sommige bedrijfskenmerken zijn van invloed op het aangiftegedrag van bedrijven . Zo blijkt of het bedrijf een cyberrisk verzekering heeft en de hoogte van de IT beveiliging significant van invloed op het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit . Het opnemen van slachtofferkenmerken in de besluitvorming wordt in het socio-ecologisch aangiftemodel geaccepteerd terwijl het economisch model ervan uitgaat dat slachtofferkenmerken maar in beperkte mate van invloed zijn op het aangiftegedrag van slachtoffers .
Delictkenmerken Delict kenmerken blijken ook van invloed te zijn op het aangiftegedrag van bedrijven die het slachtoffer zijn geworden van computrcriminaliteit . Zo zijn de strafmaat die staat op een bepaald computercriminaliteitincident, de kosten van het incident en of Auteur Ing . J .K .G .
Dijk
90
het een ernstige vorm van Hacking betreft significant van invloed op het aangiftegedrag van het slachtofferbedrijf .
Contextuele factoren Er is geen ondersteuning gevonden voor een invloed van contextuele factoren op het aangiftegedrag van bedrijven . Contextuele factoren die getoetst zijn op hun relatie tot het aangiftegedrag van bedrijven zijn : 1) Of het slachtoffer een civiele procedure tegen de dader is begonnen . 2) Of de dader uit dezelfde organisatie komt . 3) Of dat de computercriminaliteit al gemeld is bij een andere instelling dan de politie . Geen van deze contextuele factoren blijkt significant van invloed op het aangiftegedrag van bedrijven .
Aangifte model computercriminaliteit bij bedrijven Bedrijven zijn blijkbaar geneigd om een kosten/baten afweging te maken om hun acties te verantwoorden . Dit geld ook voor het aangiftegedrag van bedrijven ten aanzien van computercriminaliteit . Echter is het te kortzichtig om enkel de acties van bedrijven te verklaren aan de hand van een kosten/baten analyse van de aangifte zelf . Delictkenmerken en bedrijfskenmerken spelen wel degelijk mee in de beslissing om aangifte te doen van computercriminaliteit . Dit komt overeen met de visie uit het economische en het socio-ecologisch aangiftemodel . Of de acties van bedrijven ook gestuurd worden door normatieve regels zoals het socio-ecologisch model veronderstelt is uit de resultaten van dit onderzoek niet af te leiden . Er is in ieder geval geen steun gevonden voor een hypothese die deze stelling onderbouwt . Desondanks lijkt het wel noodzakelijk om naar verschillende aggregatieniveaus te kijken zoals in het socio-ecologisch model gebeurt om het aangiftegedrag van bedrijven op een volledige manier te verklaren . Opvallend genoeg houden bedrijven maar weinig rekening met de nadelen van de aangifte op zich, maar zijn vooral bedrijfskenmerken, delictkenmerken, en de voordelen van de aangifte bepalend voor het aangiftegedrag van bedrijven . Ook zijn er geen contextuele kenmerken naar voren gekomen die significant van invloed zijn op het aangiftegedrag van bedrijven . Hierdoor hoort het aangiftebereidheidmodel van computercriminaliteit bij bedrijven niet zondermeer in een van de gangbare aangifte modellen thuis . De factoren die uit dit onderzoek naar voren zijn gekomen die significant van invloed zijn op het -\ :. .L ~1 t„- ; Iri g . J .K,Ga L?ij k
91
aangiftegedrag van bedrijven, in combinatie met het economische aangiftemodel staan in het volgende aangifte model gevisualiseerd :
Figuur 7.1 : Aangiftemodel van computercriminaliteit bij bedrijven
Kans op aangifte van computercriminaliteit bij bedrijven .
e
Directe & indirecte baten
Directe & indirecte kosten
+ Delict kenmerken + Bedrijfs kenmerken + Aangifte
+ Delict kenmerken + Bedrijfs kenmerken
Een bedrijf maakt een schatting van de totale directe en indirecte baten van zowel bedrijfskenmerken en delictkenmerken en de aangifte en maakt tevens een schatting van de totale directe en indirecte kosten van delictkenmerken en bedrijfskenmerken . Zijn de totale baten hoger dan de totale kosten is een bedrijf geneigd om aangifte te doen . Indien de totale kosten hoger zijn dan de totale baten voorspeld dit model dat een bedrijf geen aangifte zal doen .
In„, . 7.K G . D ijk:
92
7 Praktische relevantie voor verhoging van het aangiftegedrag van bedrijven Omdat bedrijven voornamelijk afgaan op de voordelen van de aangifte om wel of geen aangifte te doen van computercriminaliteit moet de politie ervoor zorgen dat de voordelen van de aangifte zo hoog mogelijk zijn . Uit dit onderzoek blijkt dat de nadelen die een aangifte met zich meebrengen niet significant van invloed zijn op het aangiftegedrag van bedrijven . Natuurlijk moet de Politie de kosten van de aangifte voor bedrijven niet verwaarlozen, maar het verdient de aanbeveling om juist de voordelen voor bedrijven om over te gaan tot het doen van aangifte te vergroten .
7.1 Adviezen gebaseerd op de significante aangiftedeterminanten Uit de voorafgaande analyse blijkt dat bedrijven een kosten/baten afweging maken met daarin de afweging van zowel de directe als indirecte voordelen van de aangifte en kenmerken van delicteigenschappen en bedrijfseigenschappen . Aan de hand van deze bevindingen kunnen aanbevelingen gedaan worden zodat de politie stappen kan ondernemen om de aangiftebereidheid van bedrijven ten aanzien van computercriminaliteit te vergroten .
IT- beveiliging Uit de analyses blijkt de hoogte van het deel van het IT budget dat bedrijven aan IT beveiliging uitgeven sterk van invloed is op de aangiftebereidheid van bedrijven . De politie kan bedrijven adviseren om meer in IT beveiliging te investeren . Hierdoor zullen bedrijven niet alleen beter beschermd zijn tegen computercriminelen, maar zullen hierdoor tevens meer bedrijven aangifte doen van computercriminaliteit .
Strafmaat Ook de strafmaat die staat voor een bepaald soort computercriminaliteit is van invloed op het aangiftegedrag van bedrijven . De strafmaat die staan op de gangbare soorten computercriminaliteit zijn met de invoering van de wet Computercriminaliteit II al aanzienlijk verhoogd . Aanbevelingen om de strafmaat te verhogen lijken op dit moment dus overbodig .
;,~r. !,-t~z2J .K .G . Dijk-
93
Soort computercriminaliteit Van de ernstige vormen van Hacking wordt meer aangifte gedaan dan van alle andere onderzochte soorten computercriminaliteit . Omdat dit een delictkenmerk is kan de politie niet veel doen om het aangiftegedrag via deze aangiftedeterminant te beïnvloeden . De Politie kan wel bedrijven erop wijzen wanneer ze het slachtoffer zijn geworden van deze ernstige vorm computercriminaliteit en hoe ze deze vorm kunnen herkennen . Als meer bedrijven Hacking met diefstal of verandering van gegevens kunnen herkennen zullen waarschijnlijk meer bedrijven aangifte doen .
Kosten incident De Politie moet bedrijven duidelijk maken welke kosten allemaal door computercriminaliteit worden veroorzaakt . Als bedrijven inzien dat de kosten door computercriminaliteit bij hun organisatie hoog zijn is te verwachten dat meer bedrijven aangifte zullen doen .
7.2 Verhogen van de voordelen van een aangifte 1) Adviserende rol voor de Politie . Naast het enkel pakken van boeven kan de politie ook een adviserende rol op zich nemen ten aanzien van computercriminaliteit . De adviserende rol neemt de politie ook op zich wat betreft reguliere woning inbraken . De politie kan adviseren hoe slachtoffers hun systemen beter kunnen beschermen . Ook kan de politie een bemiddelende rol spelen door de slachtoffers naar de juiste instanties door te verwijzen indien de politie de zaak niet zelf kan of wenst af te handelen .
2) Efficiëntie digitale rechercheurs . Om de kosten van de aangifte zo laag mogelijk te houden en de baten van de aangiftehoog, is het belangrijk dat digitale rechercheurs snel hun onderzoek kunnen uitvoeren zodat bedrijfscontinuïteit gewaarborgd blijft . De digitale rechercheurs moeten proberen zo snel mogelijk bewijzen veilig te stellen zonder dat belangrijke infrastructuren lang plat moeten liggen . Een goede werving en opleiding van de digitaal rechercheurs is cruciaal op dit punt. Aweur : fn„2 . J .K G . Dijk
94
3) Internet-aangifte Bedrijven moeten de mogelijkheid hebben om gemakkelijk via internet bij een officiële website een digitale aangifte te doen . Bijvoorbeeld door www.meldpuntcybercrime .nl uit te breiden zodat deze naast kinderporno en terreur ook geschikt is voor het melden van computercriminaliteit in de enge zin . Het voordeel van een digitale aangifte is dat de slachtoffers niet de werkvloer hoeven te verlaten voor een aangifte wat laagdrempelig werkt . De site moet dusdanig opgebouwd worden dat slachtoffers van computercriminaliteit stapsgewijs vragen kunnen invullen . Hierbij moet een verwijzing staan naar de OPTA indien de computercriminaliteit SPAM betreft . In andere gevallen kunnen slachtoffers eenvoudig verschillende antwoorden invullen . Wellicht met automatische beantwoording indien de aangifte niet relevant is om verder op in te gaan . Daarna kan de politie zelf bepalen of ze contact met het slachtoffer opnemen of niet . Ook kan stapsgewijs informatie gegeven worden hoe het slachtoffer moet handelen en welke acties bedrijven moeten ondernemen om bewijzen veilig te stellen . Zo kan een specialistisch team geconcentreerd de meldingen afhandelen . Belangrijk is wel dat via bekende zoekmachines een combinatie als "Aangifte Cybercrime" of "aangifte computercriminaliteit politie" resulteren in een verwijzing naar de relevante site . Verder zou het handig zijn dat ook politieagenten aan de balie, die normaal ook aangiftes opnemen via een interne nieuwsbrief en dergelijke gewezen worden op het bestaan van de website . Als een slachtoffer van computercriminaliteit naar een lokaal politiebureau komt om aangifte te doen, kan de baliemedewerker samen met het slachtoffer eenvoudig de vragen invullen waarna met het slachtoffer door de juiste politie afdeling benaderd kan worden .
4) Bewustwordingscampagne De Politie kan een kleine campagne op zetten om bedrijven te wijzen op de mogelijkheid tot het doen van aangifte van computercriminaliteit, gebruik makend van verschillende soorten media . Hierbij moeten de voordelen van een aangifte duidelijk naar voren komen . Managers magazines, krantenberichten en een prospect/folder, kunnen aangegrepen worden om bedrijven bewust te maken van het feit dat aangifte van ernstige computercriminaliteit wenselijk is . Uit de enquête is gebleken dat te veel -Xu~~„ur . It~~~ . J .K .G . Dijk
95
bedrijven (bijna 50%) van mening zijn dat de politie helemaal niet zit te wachten op een aangifte van computercriminaliteit terwijl dit in bepaalde gevallen dit juist wel het geval is . Om te beginnen kan het publiceren van de resultaten van dit onderzoek aangewend worden om bedrijven te wijzen op de mogelijkheid tot het doen van aangifte . Verwijs in een campagne naar de eventuele aangifte website . De zoektermen voor de zoekmachines kunnen als geheugensteun gebruikt worden . Op dit punt valt veel winst te behalen . Bedrijven moeten erop gewezen worden dat een aangifte snel en eenvoudig gedaan kan worden . Dat aangifte doen juist wel zin heeft omdat anders wettelijk weinig aan het cyberprobleem gedaan kan worden . Eventueel ook in magazines/ weekbulletins van overkoepelende organisaties, van bijvoorbeeld bankwezen wijzen op de mogelijk tot aangifte van computercriminaliteit . Ook hier is het verstandig om de vooroordelen met betrekking tot de kosten en baten van de aangifte zo veel mogelijk in de juiste richting te veranderen .
5) Folder/ brochure. De Politie kan een prospect of folder uitbrengen met informatie over het aangeven van computercriminaliteit . Deze kan op lokale politiebureaus verspreid worden om het onderwerp onder de aandacht te brengen . Bedrijven zien vaak criminaliteit als ; "niet ernstig genoeg" . Politie moet benadrukken in deze folder welke soorten computercriminaliteit strafbaar zijn, dat aangifte snel en eenvoudig gedaan kan worden en moet het belang van aangifte doen duidelijk worden . Verder kan de folder gestuurd worden naar belangrijke actoren zoals grote werkgevers organisaties, overkoepelende bank organisaties ed . Mogelijk met intensievere contacten onderhouding en bewustwording .
6) Samenwerking met andere actoren . Het verdient de aanbeveling voor de politie om samen te werken met andere actoren die met de computercriminaliteitproblematiek te maken krijgen, zoals bijvoorbeeld Gocvcert ed . Wellicht dat samenwerking in ieders voordeel kan werken . Een brief naar de relevante actoren, waar cyberslachtoffers zoal naartoe gaan, met de vormen computercriminaliteit waarvan de politie graag heeft dat slachtoffers aangifte van komen doen . Zo kunnen andere organisaties slachtoffer doorverwijzen naar de politie . In dit kader is het aan te bevelen om internet providers te benaderen met een Nui-or°
Dik
96
brief of folder . 6 van de 90 ernstige incidenten (7%) zijn namelijk gemeld bij de internet provider of hosting bedrijf . Deze kunnen slachtoffers doorsturen naar de politie . De Ad Hock Data-cd kan gebruikt worden om internet providers te identificeren .
7) Veranderen publieke opinie Het persoonlijke gevoel van de auteur is dat eerst de publieke opinie ten aanzien van computercriminaliteit verandert moet worden, voordat de overheid bereid is adequaat financiële middelen toe te kennen aan de bestrijding van het cyberprobleem . Dus eerst moet de publieke opinie in de gewenste richting veranderd worden, waarna gemakkelijker geld bij de overheid vrijgemaakt kan worden voor bestrijding van het cyberprobleem .
8 Discussie Dit hoofdstuk behandeld de vraag of er aanbevelingen zijn voor vervolgonderzoek naar computercriminaliteit, aangiftegedrag van bedrijven en internetenquêtes in het algemeen? Omdat sommige vragen door individuen zijn ingevuld terwijl het bedrijf als organisatie in de analyses zijn opgenomen kunnen er discrepanties ontstaan tussen wat de respondent heeft opgegeven en de feitelijke waarden bij de organisatie . Hierdoor is het moeilijk om te bepalen in hoeverre de mening van de respondent representatief staat voor de mening van "de organisatie" . Er is tijdens de uitvoering van dit onderzoek wel gevraagd in hoeverre de respondent persoonlijk van invloed is op de beslissing voor het bedrijf om wel of geen aangifte te doen van computercriminaliteit om voor dit effect te controleren, maar desondanks blijft er een verschil tussen de mening van de respondent en de mening van "het bedrijf" . Vervolg onderzoek naar dit punt verdient de aanbeveling zodat in de toekomst zo nauwkeurig mogelijk eigenschappen van bedrijven gemeten kunnen worden .
Een respons van ca 10% is eigenlijk te laag om krachtige uitspraken te doen over de aard en omvang van computercriminaliteit . Wellicht is het beter om een minder grote populatie aan te spreken, maar deze intensiever te benaderen . Een combinatie van benadering via email en telefoon kan de respons wellicht verhogen . Tijdens de uitvoering van dit onderzoek is gebleken dat met name telefonisch contact met de respondent de bereidheid om mee te werken aan een dergelijk onderzoek kan vergroten . Met een hogere respons kunnen krachtigere uitspraken gedaan worden over de aard en omvang van computercriminaliteit bij bedrijven . Ook is het jammer dat er maar weinig bedrijven gereageerd hadden die daadwerkelijk aangifte hebben gedaan van computercriminaliteit . Omdat het percentage van de bedrijven dat aangifte heeft gedaan van computercriminaliteit in Nederland niet bekend was, kon vooraf geen goede schatting gemaakt worden van het aantal bedrijven dat benaderd moest worden . Uit de open vragen is gebleken dat veel respondenten van mening zijn dat ze zelf geen aangifte hebben gedaan van computercriminaliteit omdat een aangifte te veel tijd of moeite kost. Echter in de empirische data is er op dit punt geen bewijs gevonden . Respondenten weten wellicht niet goed wat de daadwerkelijke redenen zijn waarom de organisatie wel of geen aangifte heeft gedaan van ,NUtc°ur : ing . .l .K . G . Di , k
98
computercriminaliteit . Of wellicht zijn tijdens de uitvoering van dit onderzoek niet de juiste variabelen gemeten van de kosten van aangifte . Op dit punt dient meer onderzoek plaats te vinden . Ook blijkt uit de empirische data geen significant verband tussen de kosten van een computercriminaliteitincident en de kans op aangifte, terwijl dit effect bij de scenariovragen wel significant is . Deze discrepantie tussen de verschillende metingen is verklaard doordat het verschil tussen de scenariovragen enkele duizenden euro's bedroeg, terwijl de respondenten voornamelijk hebben opgegeven met relatief lage kosten te maken hebben gehad . Vervolg onderzoek kan wellicht meer duidelijkheid verschaffen over de hoogte van de kosten waarbij bedrijven overgaan tot het doen van aangifte .
Autck ;r 1m-- . .fKC:, . Dij k
99
9 Literatuurlijst Agresti, A . & Finlay, B. (1997). Statistical Methods for the Social Sciences : Upper saddle River: Pearson Education . Allison, P .D . (1999). Multiple regression: A primer . London : Pine Forge Press . Australian High Tech Crime Center, (2006). Computer crime & security survey . Babble, E . (2002). The basics of Social Research . Wadsworth : Thomson Learning . Berry, J .S. & Graham, E . (1997). Wiskunde voor hoger beroepsonderwijs: Schoonhoven : Academic Service . Braithwaite, J . & Biles, D, (1980) . Empirical verification of Black's the behaviour if Law. American Sociological review, 45(2), 334-338 . Black, D .J. (1976). The behaviour of law. New York : Academic Press . Buijs, A . (1998). Statistiek om mee te werken . Houten : Educatieve Partners Nederland . Carach, C . (1997). Reporting Crime to the Police . Canberra AU : AIC press. Couper, M .P. (2001). Web Survey Design And Administration . Public Opinion Quarterly, 65(2), 230 . CSI/FBI, (2005). COMPUTER CRIME AND SECURITY SURVEY . Computer Security Institute . Dillman, D .A. (2000). Mail and internet Surveys : The tailored Design Method. New York: John Wiley & Sons, Inc . Ernst & Young, (2005). Resultaten ICT Barometer over computerbeveiliging en cybercrime . FBI, (2005) . 2005 FBI Computer Crime Survey . Festen-Hoff, K . & Rijlaarsdam, A . (2004). Recht voor ingenieurs . Delft : University Press. Granovetter, M . (1985). Economic and social structure : The problem of embeddedness . American Journal of Sociology, 91(3), 481-510 . Goudriaan, H . & Nieuwbeerta, P. & Wittebrood, K . (2005) . Overzicht van onderzoek naar determinanten van aangifte doen bij de politie . Theorieën, empirische bevindingen, tekortkomingen en aanbevelingen . Tijdschrift voor Veiligheid en Veiligheidszorg, 4(1), 27-48 .
.Atitcur hig .
100
Goudriaan, H . (2006). Reporting crime ; Effects of social context on decision of victims to notify the police . Veenendaal : Universal Press Goudriaan, H . & Nieuwbeerta, P. (2007) . Contextual determinants of juveniles' willingness to report crimes . A vignette experiment . Journal of Experimental Criminology, 3(2), 89-111 . Greenberg, M.S . & Ruback, R.B . (1992). After the crime : Victim Decision making . New York : Plenum Press . National High Tech Crime Center, (2006). Ontwerp `Nationale infrastructuur bestrijding cybercrime' . National high Tech Crime team, (2006) . Verantwoording project high tech crime. PriceWaterHouseCoopers, (2006). Information security breaches survey 2006 . Ruback, R .B., Greenberg, M .S., Westcott, D .R . (1984) . Social influence and crimevictim decisionmaking . Journal of Social Issues, 40(1), 51-76 . Skogan, W.G. (1984) . Reporting crimes to the police : The status of World research . Journal of Research in Crime and Delinquency, 21(2), 133-137 .
Internet www.ejure.nl/dossier id=186/f dossier/dossier .html (toegankelijk op 08-2007) www.ejure .ni/dossier id=265/f dossier/dossier .html (toegankelijk op 08-2007) www.ict-barometer .ni/barometer-rapporten/ICTBarometer_13-jun i-2005 . pdf (toegankelijk op 08-2007) www.i usmentis .com/beveiliging/hacken/computercrim inaliteit/cybercrime/#voorbeel den (toegankelijk op 08-2007)
www.kvk.nl/artikel/artikel .asp?artikelID=46702 (toegankelijk op 08-2007) www.netkwesties .nl/editie145/eindadvies .pdf (toegankelijk op 08-2007) www.wetboek-online .nl/wet/Tw/11 .7.html (toegankelijk op 08-2007)
. JX.G . Ing
Dijk
101
10 Bijlagen Bijlage 1 : Gebruikte internetenquête. Bijlage 2 : Uitgewerkte interviews met experts en betrokkene . Bijlage 3 : Overige redenen om geen aangifte te doen .
Bijlage 1 : Gebruikte internetenquête Uitnodigingsmail COMPUTERCRIMINALITEIT BIJ BEDRIJVEN . Deze mail is bestemd voor de heer [FirtstName][LastName] . Als deze mail naar een algemeen informatie adres is gestuurd, kunt u deze mail svp doorsturen naar de desbetreffende persoon, of degene die de IT-afdeling beheert .
Geachte mijnheer [LastName], De Technische Universiteit Eindhoven is in samenwerking met de Politie Amsterdam bezig met een onderzoek naar computercriminaliteit bij bedrijven . U bent geselecteerd om mee te werken aan dit onderzoek . Door middel van een vragenlijst moet achterhaalt worden hoe Nederland ervoor staat met betrekking tot computercriminaliteit bij bedrijven . Om een accuraat beeld te krijgen van de cybercrime problematiek in Nederland is het belangrijk dat u de vragenlijst geheel invult . Het invullen van de enquête duurt ongeveer 5 minuten . Als u wenst, kunt u een samenvatting van de resultaten krijgen om uw score met gemiddelde waarden in Nederland te vergelijken . Alle antwoorden zullen vertrouwelijk worden behandeld en individuele responses zullen niet naar buiten worden gebracht of doorgegeven aan derden . De link naar de vragenlijst is : http ://datapoort .tm .tue .nl/TakeSurvey .asp?EI D=52MB74MB865BI Ip5B39mB230BJ 16 Als u niet wenst om mee te werken aan de enquête, wilt u dan de volgende link aanklikken om af te zeggen : http ://datapoort .tm .tue . nI/Dec!ineSurvey.asp?EID=52MB74MB865BIIp5B39mB230BJ 16
Bij voorbaat dank voor uw medewerking! Hoogachtend, Jurjen Dijk (j .k.g .dijk @student.tue . ni)
Herrinneringsmail Geachte Mijnheer/ mevrouw, Vorige week heb ik u uitgenodigd mee te werken aan een universitair onderzoek naar computercriminaliteit bij bedrijven in samenwerking met de Politie Amsterdam . Als u de enquête reeds heeft ingevuld wil ik u bij deze enorm bedanken voor uw medewerking!
A27tcur : 1 n ~= . I . K.G . D ijk
102
Als het invullen van de vragen aan uw aandacht is ontsnapt, vraag ik u vriendelijk om de vragenlijst alsnog in te vullen . Het invullen van de vragen duurt ongeveer 5 minuten . Het is belangrijk dat uw organisatie meewerkt en dat u de vragen geheel invult, zodat er een accuraat en compleet beeld van het cybercrime probleem in Nederland geformuleerd kan worden . De link naar de enquête is : #SurveyLink# Als u niet wenst de vragen in te vullen kunt u de onderstaande link gebruiken . Hierbij vraag ik u vriendelijk rechtstreeks de "decline link" te gebruiken zonder de mail intern door te sturen . Als u de vragen reeds heeft ingevuld hoeft u de links niet meer te gebruiken . #DeclineLink# Hartelijk dank voor uw medewerking . Hoogachtend,
Jurjen Dijk (j .k.g
[email protected] .nl)
2e herinneringsmail Geachte mijnheer/ mevrouw, Afgelopen week heb ik u via de mail benaderd om mee te werken aan een onderzoek naar Computercriminaliteit bij bedrijven in samenwerking met de Politie Amsterdam . Als u de vragen nog niet heeft ingevuld en u alsnog wenst mee te werken aan het onderzoek kunt u de onderstaande link gebruiken : #SurveyLink# Als u de vragen al heeft ingevuld hoeft u de link niet meer te gebruiken . Het kan zijn dat u deze mail heeft ontvangen ondanks dat u eerder de decline link heeft gebruikt of de vragen al heeft ingevuld . Als de mail intern is doorgestuurd kan ik niet meer achterhalen wie heeft afgezegd . Mijn excuses daarvoor . Dit is de laatste mogelijkheid om mee te werken aan het onderzoek naar computercriminaliteit bij bedrijven omdat binnenkort de enquête sluit . Bij voorbaat dank voor uw medewerking . Hoogachtend, Jurjen Dijk
De enquête
Pagina 1 Hartelijk dank voor uw medewerking aan dit onderzoek naar computercriminaliteit! Dit onderzoek wordt uitgevoerd in opdracht van de Technische Universiteit Eindhoven in samenwerking met de Politie Amsterdam . Alle gegevens zullen vertrouwelijk worden behandeld, en individuele antwoorden zullen niet naar buiten worden gebracht, worden gepubliceerd of worden doorgegeven aan derden . Als u wenst kunt u aan het eind van de vragenlijst uw emailadres invullen zodat u een samenvatting van de resultaten van de enquête kunt ontvangen . Zo kunt u uw antwoorden vergelijken met gemiddelde antwoorden . Het invullen van de gehele vragenlijst zal ongeveer 5 minuten duren .
0 Dijk
103
Hoogachtend, Jurjen Dijk ( j .k .g .dijk @ student.tue .nl)
Pagina 2 ) Tot welke sector behoort uw organisatie?* ~ webwinkel ~ productie ~ logistiek ~ diensten ~ overheid ~ financieel ~ ICT ~ Anders : i
Pagina 3) Hoeveel werknemers heeft uw organisatie?* ~ 0-5 ~ 6-10 ~ 11-50 ~ 51-100 ~ 101-500 ~ >500 E
geen mening
Pagina 4) 3 . Welk deel van uw IT-budget spendeert uw organisatie jaarlijks aan IT beveiliging? 0-<3%
~
Auteur : [na, .i .K.. U D ii k
104
Pagina 5) 4 . Welke omschrijving past het best bij uw functie? 1:
systeembeheerder
E directeur E manager ~ juridisch medewerker ~ beveiligings medewerker U
Anders :
Pagina 6) 5 . Hoeveel invloed heeft u op de beslissing of uw bedrijf wel of geen aangifte doet van computercriminaliteit bij de politie indien uw bedrijf met computercriminaliteit in aanraking is gekomen?
heel weinig weinig neutraal veel heel veel Geef aan :
u
E
E
E
E
Pagina 7) 6 . Denkt u dat uw bedrijf imagoschade oploopt als publikelijk wordt gemaakt dat uw bedrijf het slachtoffer is geworden van computercriminaliteit?
heel weinig weinig neutraal veel heel veel Geef aan :
E
u
E
E
E
Pagina 8) 7 . Hoeveel daadwerkelijke computercriminaliteit veroordelingen denk u dat er het afgelopen 12 maanden in Nederland hebben plaatsgevonden?* Aantal veroordelingen : Alleen cijfers invullen!
I Pagina 9) 8 . Kunt u een schatting geven van de hoeveel tijd die uw organisatie in het totaal kwijt is voor een AANGIFTE bij de politie van computercriminaliteit?* Aantal uren : Alleen cijfers invullen!
Pagina 10) 9 . Hoe vaak is uw organisatie de afgelopen 12 maanden met de volgende vormen van computercriminaliteit in aanraking gekomen? Indien nooit vul 0 in : Alleen cijfers invullen! Hacking ZONDER diefstal of verandering
Hoe vaak? ,~
van gegevens Hacking MET diefstal of
`ti ;-, J .K-C;,
DU
105
verandering van gegevens Denial of service aanval ~ Virus, worm of trojaans ~ paard Spam
1
-
Via IT illegaal diensten ~ of producten afgenomen Gijzelsoftware
~~
Website defacement ~Spyware Portscans Overig
~~-
1
Pagina 11) 10 . Heeft uw organisatie de afgelopen 12 maanden aangifte gedaan van computercriminaliteit politie of justitie?*
bij
~ Weet niet ~ GEEN aangifte gedaan van computercriminaliteit ~ Wel aangifte gedaan van computercriminaliteit Pagina 12) 10 . Wat was de reden dat uw organisatie de afgelopen 12 maanden geen aangifte heeft gedaan van computercriminaliteit? Reden 1 : Reden 2 : Reden 3: Panina 12) 10. Wat was de reden dat uw organisatie de afgelopen 12 maanden geen aangifte heeft gedaan van computercriminaliteit? Reden 1 : Reden 2 : Reden 3 :
Pagina 1T3) Er wordt nu dieper in gegaan op 4 of minder vormen computercriminaliteit afhankelijk van de vormen waarmee uw organisatie de afgelopen 12 maanden in aanraking is gekomen . Als uw organisatie de afgelopen 12 maanden meerdere malen met dezelfde soort computercriminaliteit in aanraking is gekomen, gaan alle vragen vanaf dit punt over dat incident waardoor de GROOTSTE FINANCIELE SCHADE is ontstaan! Alleen indien de respondenten hebben aangegeven met hacking met diefstal , hacking zonder verandering, website defacement of Denial of Service Attacks in aanraking te zijn gekomen bij pagina 10, krijgen ze deze boodschap te zien . Indien de geen van deze vormen hebben geselecteerd bij de vraag op pagina 10, worden de volgende vragen overgeslagen tot aan de vignetten .
Awczm ln~ .J,h..U DIA
106
De volgende vragen worden nu alleen gesteld voor 1) Hacking met diefstal of verandering van gegevens 2) Denial of Service Attack 3) Website defacement en 4) Hacking zonder diefstal of verandering van gegevens, afhankelijk of respondenten 1 keer of vaker met deze vormen in aanraking zijn gekomen . De vragen zijn aangepast aan het soort computercriminaliteit waar de vraag over gaat . Indien de respondenten één of meer van deze soorten computercriminaliteit hebben afgevinkt krijgen ze alleen de vervolgvragen over de soorten computercriminaliteit waarbij ze hebben aangegeven met deze vormen >0 keer in aanraking te zijn gekomen . Indien ze hebben aangegeven niet met één van deze vier soorten in aanraking te zijn gekomen, krijgen de respondenten de vervolgvragen niet te zien . En wordt de enquête doorgeschakeld naar de vignetten . Pagina 14) Indien uw organisatie de afgelopen 12 maanden meerdere malen met Hacking zonder diefstal of verandering van gegevens in aanraking is gekomen, gaat de volgende vraag over de Hacking waardoor de grootste financiele schade is ontstaan . Kunt u een schatting geven van de totale kosten in EURO veroorzaakt door dit Hacking incident?* ~ 0 - <500 EURO ~ 500 - <1 .000 EURO ~ 1 .000 - <5 .000 EURO E
5 .000 - <10 .000 EURO
E
10 .000 - <50 .000 EURO
E
50.000 - <100 .000 EURO
1:
>100 .000 EURO
Pagina 15) 13 . Indien uw organisatie de afgelopen 12 maanden meerdere malen met Hacking met Diefstal of Verandering van Gegevens in aanraking is gekomen, gaat de volgende vraag over het incident waardoor de grootste financiële schade is ontstaan . Welke actie(s) heeft uw organisatie ondernomen nadat u met deze Hacking met Diefstal of verandering van gegevens in aanraking was gekomen? Selecteer alle acties! Wel gedaan Niet gedaan Geen mening Aangifte gedaan bij politie of justitie. Eigen onderzoek uitgevoerd . Melding gemaakt bij Govcert, meldpuntcybercrime of soortgelijke organisatie . Inschakelen particuliere bedrijfsrecherche. Civiele procedure begonnen Indien uw organisatie overige acties heeft ondernomen vul in welke :
r'
C
E
C
r'
C
Pagina 16) 14 . Bent u mening dat de politie verlangt dat uw organisatie van Hacking zonder diefstal of
.G Dij k E Ine, 1 .
107
verandering Selecteer 1 mogelijkheid
van
gegevens
aangifte
doet?*
C De politie heeft graag dat uw organisatie GEEN aangifte doet van Hacking zonder diefstal of verandering van gegevens U De politie heeft graag dat uw organanisatie WEL aangifte doet van Hacking zonder diefstal of verandering van gegevens Pagina 17) We gaan u nu een situatie presenteren, die uw bedrijf in de nabije toekomst zou kunnen tegenkomen . Denkt u rustig over de volgende vraag na en selecteer die actie die uw organisatie meest waarschijnlijk zou kiezen . Pagina 18)
Scenario 1 A Uw systeembeheerder is erachter gekomen dat uw organisatie het slachtoffer is geworden van Website Defacement. De totale schade veroorzaakt door de Website Defacement door zowel directe, indirecte en vervolgkosten bedragen 10 .000 EURO . Uw organisatie heeft echter een cyberrisk verzekering . De polis vereist een officiële aangifte bij de politie om tot vergoeding van de geleden schade over te gaan . Hoe groot is de kans dat uw organisatie van dit incident aangifte zal doen bij de politie?
Scenario 1 B Uw systeembeheerder is erachter gekomen dat uw organisatie het slachtoffer is geworden van Website Defacement . De totale schade veroorzaakt door de Website Defacement door zowel directe, indirecte en vervolgkosten bedragen 10 .000 EURO . Uw organisatie heeft geen cyberrisk verzekering . Hoe groot is de kans dat uw organisatie van dit incident aangifte zal doen bij de politie? Scenario 2A Uw systeembeheerder is erachter gekomen dat uw organisatie het slachtoffer is geworden van Hacking met diefstal van bedrijfsgegevens . De totale kosten veroorzaakt door de Hacking door zowel directe, indirect en vervolgkosten bedragen 10.000 EURO . Echter uw systeembeheerder heeft de dader gelijk kunnen achterhalen . Uw organisatie besluit om GEEN civiele rechtszaak tegen de persoon te beginnen om de geleden schade op hem te verhalen . Hoe groot is de kans dat uw organisatie daarnaast aangifte doet van de computercriminaliteit bij de politie? Scenario 2B Uw systeembeheerder is erachter gekomen dat uw organisatie het slachtoffer is geworden van Hacking met diefstal van bedrijfsgegevens . De totale kosten veroorzaakt door de Hacking door zowel directe, indirect en vervolgkosten bedragen 10 .000 EURO . Echter uw systeembeheerder heeft de dader gelijk kunnen achterhalen . Uw organisatie besluit om een civiele rechtszaak tegen de persoon te beginnen om de geleden schade op hem te verhalen . Hoe groot is de kans dat uw organisatie daarnaast aangifte doet van de computercriminaliteit bij de politie? Scenario 3A Uw systeembeheerder is erachter gekomen dat uw organisatie het slachtoffer is geworden van Hacking zonder dat er gegevens zijn gekopieerd of veranderd . Echter de totale schade veroorzaakt door de Hacking door zowel directe, indirecte en vervolgkosten bedragen 10 .000 EURO . Uw systeembeheerder merkt gelijk dat de dader uit de eigen organisatie komt . Hoe groot is de kans dat uw organisatie van dit incident aangifte zal doen bij de politie? Scenario 3B Uw systeembeheerder is erachter gekomen dat uw organisatie het slachtoffer is geworden van Hacking zonder dat er gegevens zijn gekopieerd of veranderd . Echter de totale schade veroorzaakt door de Hacking door zowel directe, indirecte en vervolgkosten bedragen 10 .000 EURO . Uw
Aut
108
systeembeheerder merkt gelijk dat de dader NIET uit de eigen organisatie komt . Hoe groot is de kans dat uw organisatie van dit incident aangifte zal doen bij de politie? Scenario 4A Uw systeembeheerder is erachter gekomen dat uw organisatie het slachtoffer is geworden van Website Defacement . De totale schade veroorzaakt door de Website Defacement door zowel directe, indirecte en vervolgkosten bedragen 5 .000 EURO . Uw organisatie heeft echter een cyberrisk verzekering . De polis vereist een officiële aangifte bij de politie om tot vergoeding van de geleden schade over te gaan . Hoe groot is de kans dat uw organisatie van dit incident aangifte zal doen bij de politie? Scenario 4B Uw systeembeheerder is erachter gekomen dat uw organisatie het slachtoffer is geworden van Website Defacement. De totale schade veroorzaakt door de Website Defacement door zowel directe, indirecte en vervolgkosten bedragen 5 .000 EURO . Uw organisatie heeft geen cyberrisk verzekering . Hoe groot is de kans dat uw organisatie van dit incident aangifte zal doen bij de politie? Laatste Pagina Indien u een samenvatting van de resultaten van de enquête wilt ontvangen, kunt u hier uw emailadres invullen . Ook is het mogelijk hier extra informatie op te geven die u relevant acht voor de uitleg van uw antwoorden . Na Close Hartelijk dank voor uw medewerking! Mochten er fouten of onduidelijkheden zijn opgetreden tijdens het invullen van de vragen, wilt u zo vriendelijk zijn deze te melden aan de Survey Administrator? Hoogachtend, Jurjen Dijk (j .k .g .dijk@student .tue .nl)
109
Bijlage 2 : Uitwerking interviews met experts Pascal Hetzscholdt (voormalig beleidsadviseur KLPD) Interview bij Warner Bros (22-06-06) Vraag Antwoord
: wat is de omvang van de huidige computercriminaliteit in Nederland? : Naar mijn schatting treft zeker 70% van de bedrijven computercriminaliteit, waarbij veel bedrijven niet eens in de gaten hebben dat ze het slachtoffer zijn geworden van cybercrime .
Vraag : wat zijn volgens u de redenen voor de lage aangifte van computercriminaliteit . Antwoord : 1) Bedrijven doen alleen aangifte indien ze het gevoel hebben dat er iets mee gebeurt . 2) Indien overgegaan wordt tot het doen van aangifte brengt dit een hoog risico voor imagoschade met zich mee . 3) Door het justitieel onderzoek kan business continuïteit in gevaar komen 4) Wie is de dader ( data ontvreemd uit eigen organisatie) Vraag : particuliere organisaties mbt computercriminaliteit? Antwoord : 1) Fox-IT 2) SBV-Forensics 3) Hofman bedrijfsrecherche Vraag : Stappen die bedrijven nog meer nemen wanneer ze in aanraking zijn gekomen met Computer crime? Antwoord : Grote bedrijven gaan over tot het opzetten van zelfstandig onderzoek en zelfstandig opsporen van de dader en het opbouwen van een dossier . Steeds meer bedrijven gaan hiertoe over . Hiermee is de keus aan het bedrijf of ze over gaan tot het strafzaak of een civiele zaak . Vraag : Waarom wordt er weinig aangifte gedaan volgen u? Antwoord : 1) Omdat bedrijven het gevoel hebben dat er niets gedaan wordt met hun aangifte . 2) Het OM geeft computercriminaliteit zaken weinig prioriteit bij de keuze om over te gaan tot het voeren van een stafzaak . Bijvoorbeeld moord verkrachting enz krijgen de hoogste prioriteit . Hiervoor moet de overheid bepalen dat computercriminaliteit hogere prioriteit krijgt . Nieuw beleid via OM/landelijk parket-> PG beleid en strategie club OM . En uiteindelijk de stem van het volk die bepaald of politie meer moet optreden tegen computercriminaliteit . 3) Ook mist de politie ogen en oren binnen de cybercrime bewegingen . Bijvoorbeeld Microsoft bepaald alles wat er gebeurt op ICT gebied ook de trainingen . 4) Binnen het Korps zelf zijn ook problemen mbt Cybercrime aanpak . Vraag : Wat kunnen bedrijven zelf doen tegen computercriminaliteit? 1) Zorgen dat IP adres niet gekoppeld is aan bedrijf . 2) Opstellen van code voor ICT beveiliging . 3) Internet gedragsrichtlijn opstellen . 4) Centrale e-mail + dubbele uitvoering + gedragscodes 5) Invoeren intrusion detection system (veel bedrijven hebben die nog niet) 6) Centrale verantwoordelijkheid Vraag : Wat is het juridische verschil tussen aangifte en melding maken van computercriminaliteit? Antwoord : Staat beschreven in Wetboek . Ten aanzien van melding : langsgaan bij Meldpuntcybercrime . Vraag : Wat zijn volgens u indicatoren waarom bedrijven wel of geen aangifte doen van computercriminaliteit? Antwoord : 1) Vertrouwen dat politie daadwerkelijk iets met de aangifte doet . 2) Verwachting dat de dader gevonden wordt . 3) Onwetendheid over de schade
~~1te ~! r . 1 n Ly . ~.K .G , Dik
110
4) Vrees imagoschade/ Angst voor paal staan 5) Niet weten dat er iets gebeurt is . Vraag : Welke stappen kunnen volgens u ondernomen worden om cybercrime te verminderen? Antwoord : Vanuit het bedrijfsleven zelf een eigen demilitarized zone op te zetten . Bijvoorbeeld een MKB .net. Met eventueel politie toezicht .
Anke groot -Wil wel connecties gebruiken bij VNONCW en MKB Nederland om respons op enquête te vergroten . Moeten we wel een feedback geven aan het bedrijfsleven tav de resultaten en aanbevelingen . -Bedrijven zullen eerder geneigd zijn om eerst zelfstandig oplossingen te zoeken indien het om interne fraude gaat en daarna pas de politie op de hoogte te stellen . -Politie kan wellicht iets zorgvuldiger met bedrijfscomputercriminaliteit omgaan . Angst voor het naar buiten brengen van gevoelige informatie . - Angst voor imagoschade . Zorgvuldige berichtgeving van de politie is noodzakelijk . -Bedrijven moeten wel het gevoel hebben dat aangifte zinvol is en de politie de aangifte aan kan anders gaan ze niet over tot het doen van aangifte . Doelstelling van het onderzoek is 1) Achterhalen omvang en aard van computercriminaliteit 2) Achterhalen determinanten aangiftebereidheid . In mail zeggen wat het belang is voor de politie van dit onderzoek en wat het belang voor dit onderzoek is voor het bedrijfsleven . Heike Goudriaan (Universitair docent aan de universiteit Leiden, Faculteit der rechtsgeleerdheid, departement strafrecht en criminologie) Interview op de universiteit van Leiden, Strafrecht en Criminologie (04-07-06) . Vraag : Volgens economisch model van aangiftebereidheid staat de ernst van het delict centraal . Hoe zou u de ernst van het delict/kosten zien in aangiftebereidheid van computercriminaliteit . Antwoord : 1) Financiele schade 2) Gevolgen 3) Hoe iemand het ervaart 4) Bedrijf kan geen sanctie opleggen van buitenaf Vraag : Welke methode heeft u gebruikt om aangiftebereidheid te meten? Antwoord : 1) Politie monitor bevolking . 2) International Crime victims survey . Vraag Hoe meet je aangiftebereidheid op een interval schaal? Antwoord : vignetten onderzoek . Ofwel een within subject design = meerdere scenario's per respondent . Verder besproken : Kijken naar organisaties als slachtoffer . Inbraak in bedrijven Kruissink & Wiensma (1995) WODC . Bedrijf kan geen sanctie opleggen als criminalitiet van buitenaf komt dus eerder aangifte . Wie er bepaald of er naar de politie gegaan moet worden ( binnen de organisatie)? Vragen naar wie je zou stappen (je baas, de directeur de politie, meldpunten enz) Aad Philippo (Digitaal Rechercheur, digitale expertise Amsterdam)
hn~- . ,1 .R G . Dijk
ill
Vraag : Wat zijn de oorzaken voor lage aangiftecijfers van computercriminaliteit? Antwoord : 1) Er zit tijd tussen het moment van herkenning, aangifte en uitvoering van het onderzoek . Tijdens het onderzoek kan het systeem niet gebruikt worden . Dus kosten . 2) Imagoschade voorkomen Paul de Graaf (Secretaris Informatie Beleid VNO-NCW) 08-11-2006 Overige onderzoeken uitgevoerd in Nederland naar computercriminaliteit - Enquête "Vleugel" bij KLPD - www .EPC .nl Flevoland onderzoek Cybercrime . Nienke weet daar wel van Vraag : Oorzaken dat weinig bedrijven aangifte doen bij politie Antwoord : - Bedrijven maken tradeoffs ; de baten blijken lager te zijn dan de kosten . - Luisterend oor over politie ; Indien bedrijven te horen hebben gekregen dat vorige aangiftes slecht zijn verlopen ze ook nu niet over zullen gaan tot aangifte, ondanks dat er wellicht verbeteringen zijn doorgevoerd . - Bedrijven zijn bang ook de partners met wie ze in een keten zitten te schade met hun aangifte . Bijvoorbeeld als een internet provider enige dagen haar services stopzet voor een onderzoek, ook andere bedrijven daar de dupe van zijn . Vraag :Welke factoren kunt u aanmerken die van invloed kunnen zijn op het aangifte gedrag van bedrijven? Antwoord : -Hoogte van schade (niet alleen geld) -Imagoschade Overige problemen met betrekking tot computercriminaliteit? - Minister Donner heeft aangegeven dat e-mail criminaliteit niet via de politie moet verlopen maar via de OPTA . Dit geeft weer hoe veel verschillende delen naast elkaar werken . Oplossingen Computercriminaliteit problematiek - Financiële prikkels zowel positieve als negatieve . Extra veilig bv bij banken . - Adequate wetgeving . We zijn redelijk op weg naar een goede wetgeving mbt computercriminaliteit . - Voorlichting geven aan de gebruikers als wel aan de aanbieders van ICT . - Belangrijk dat de verschillende partijen samenwerken aan een oplossing . Zowel publiekelijk als privaat . - Software opleveren met gesloten systemen . Hoe kan het aangifte gedrag van bedrijven omhoog - Ook bij informele aangifte moet de politie ervoor zorgen dat de aangifte niet in gevaar komt . - Belangrijk s dat de wetten gewoon makkelijk te presenteren zodat bedrijven als de "boeven" weten wat ze in welke situatie moeten doen en wat wel en niet mag . Bijvoorbeeld in deze gevallen moet men naar de politie gaan in deze gevallen is het belangrijk om juist dit te doen enz . De algemene kennis over hoe te handelen met computercriminaliteit . Binnen de politieopleiding aandacht besteden aan ICT zodat de agenten in de gehele linie op niveau zijn . - Keten economie binnen de politie . - Omscholen agenten zodat ze beter op de hoogte zijn CC . Met cursussen . - Best practices uit andere overheids instanties ook toepassen binnen het politie korps . Bijvoorbeeld om de aangifte te vergemakkelijken . Binnen politie een Intern Awareness Campagne opzetten . - Ook politie moet weten waar de verschillen zitten bij de verschillende vormen van CC en hoe ze bij elke vorm moeten handelen . Bijvoorbeeld er moet al duidelijk zijn hoe de politie moet handelen bij welke vorm( zeg kaar soort SOP) . Als CC X dan moet de desbetreffende agent met . . . . Bellen enz. Implementeren van SOP .
AL:t :lLff : ir~~~ . .F.K.G . D-,J i~
112
Ook bij bedrijven moet helder gemaakt worden wat de verschillen zijn in CC en wat ze moeten doen bij de verschillende vormen van CC .
Opmerkingen : -Bellen met Jeroen . Hij is schrijver van ambtelijk rapport over Computercriminaliteit bij EZ . - Proberen wat publiciteit ver verkrijgen via Webwereld .nl . Daar zitten veel ICT ers niet ff niet s te doen hebben op t werk O . - Kan vragen of via Teun bij CBS of er niet wat vragen meegeplaatst worden in een enquête van hen . Mark ( Experts technische verzekeringen/ Cyberrisk verzekeringen) . 4-09-06 Vormen van cyberrisks : ) Virussen, horses, worms 2) hackers, platleggen, dos, onbereikbaar aken site 3) basis kosten voor herstel 4) gestolen informatie afpersing (Engelse bookmaker 5) fraude dekking (derden/personeel) 6) geen spam, wel als daardoor de server platligt . Voorwaarden voor polis Kan voldoen aan ISO : . . . . Of BS : 7799 Hoe veel bedrijven heeft naar uw mening last van CC? antwoord : minstens 50% heeftjaarlijks last van CC en weten het . Sommige polissen vereisen dat als er het vermoeden is van een strafbaar feit dat dan ook aangifte wordt gedaan . Vraag : Wat zijn de redenen volgen u dat bedrijven geen aangifte doen van CC? Antwoord : )Bedrijven zien CC niet als criminaliteit 2) Angst voor imagoschade 3) Vaak is de systeembeheerder bang dat hij ze=inn werk niet goed doet . ICT is vaak een gesloten afdeling en vaak zeggen ze het niet eens tegen de directie . Kunt u redenen geven waaro bedrijven wel aangifte doen? Antwoord : )Omdat het in de polisvoorwaarden staat . Echter hebben maar weinig bedrijven in Nederland een dergelijke cyberrisk verzekering 2) 0 te zorgen dat de cyberrisk ophoud . Wat kan de politie volgens u doen zodat eer bedrijven over gaan tot aangifte van cybercrime? Antwoord : ) Politie moet benadrukken da cybercrime strafbaar is en dat de mensen daartegen aangifte kunnen doen . 2) mensen zijn gewend dat er mails niet aankomen enz . Terwijl als een gewone brief niet aankomt daar heel anders tegenaan gekeken wordt . Mensen vinden Cybercrime veel vanzelfsprekender . Andre problemen voor de aangifte Antwoord : Hoogte van de schade is te laag . 2) Bedrijven zoeken een interne oplossing 3) Raad zijn vaak conservatieve mensen . Vraag : Hoe kan de aangifte volgen u vergroot worden?
r, 1 n ,~ J .K_G . D ijk
113
Antwoord : eer in d publiciteit brengen dat politie r wel wat ee kan . Net zoals een gestolen fiets, toch aangifte doen ook al krijg je hem waarschijnlijk toch niet terug .
Anders : Bedrijven weten vaak ook niet dat veel te achterhalen is en dat de dader sporen achterlaat .
-VHctW, Ing. J. K.C, . Dij k
114
Bijlage 3: Antwoorden op de open vragen : Wat is de reden dat u geen aangifte heeft gedaan van de computercriminaliteit? Reden 1 : = teveel extra werk ; Reden 2 : = heeft volgens mij weinig zin om kleine criminaliteit aan te geven ; Reden 3 : = Wij plaatsen extra beveiliging en leren de gebruiker om beter om te gaan met internet Reden 1 : = WEEGT NIET OP TEGEN DE TIJD DIE HET KOST Reden 1 : = Weet niet waar ; Reden 2 : = Niet effectief Reden 1 : = Te geringe consequentes ; Reden 2 : = Langdurige procedures bij aangifte Reden 1 : = nvb ; Reden 2 : = nvb ; Reden 3 : = nvb Reden 1 : = teveel tijd en zinloos Reden 1 : = er is geen inbreuk op bedrijfsgevens gedaan . Reden 1 : = geen bewijs Reden 1 : = tijdrovend Reden 1 : = Heeft geen zin Reden 1 : = niet opgemerkt ; Reden 2 : = slechte eerder ervaring ; Reden 3 : = tijd gebrek Reden 1 : = nvt Reden 1 : = Lange periode Reden 1 : = Niks Reden 1 : = geen reden voor Reden 1 : = weinig hoop op actie/resultaat van politie Reden 1 : = Te weinig belang/schade Reden 1 : = wordt toch niets mee gedaan! Reden 1 : = Geen last van gehad Reden 1 : = tijd ; Reden 2 : = niet serieus genomen ; Reden 3 : = heeft geen nut Reden 1 : = Alleen aangifte bij diefstal hardware Reden 1 : = niet noodzakelijk geweest ; Reden 2 : = bijv. bij spam : heeft toch geen nut Reden 1 : = geen grote schade geleden ; Reden 2 : = verwacht weinig resultaat Reden 1 : = schade viel mee ; Reden 2: = gedoe Reden 1 : = Tijd Reden 1 : = heeft weinig tot geen zin Reden 1 : = Geen reden toe . Reden 1 : = was niet nodig Reden 1 : = Word toch niet achterhaald Reden 1 : = Niet ernstig genoeg ; Reden 2 : = Geen duidelijke richtlijnen hoe aangifte te doen Reden 1 : = Kan dat bij ongewenste @ -mail?? Reden 1 : = geen tijd ; Reden 2 : = geen vertrouwen in daadwerkelijk aanpakken daders Reden 1 : = tijd Reden 1 : = de dader was onbekend Reden 1 : = Geen reden toe Reden 1 : = slecht te onder bouwen ; Reden 2 : = niet op een persoon aan te wijzen ; Reden 3 : = als een persoon via een ander ip hackt is het helemaal moeilijk Reden 1 : = Lijkt nutteloos ; Reden 1 : = Neemt veel tijd in beslag ; Reden 2 : = Lijkt nutteloos en geen zin te hebben . ; Reden 2 : = Gebeurt zovaak dat je er niet bij stilstaat ; Reden 3 : = kost veel tijd Reden 1 : = geen zin lost niets op Reden 1 : = geen directe schade Reden 1 : = tijdsdruk Reden 1 : = Heeft geen zin Reden 1 : = Geen dader duidelijk aanwezig ; Reden 2 : = teveel tijd ; Reden 3 : = Politie accepteert geen aangifte Reden 1 : = wordt toch niet serieus genomen ; Reden 2 : = hoor je toch nooit meer iets van ; Reden 3 : _ is onmogelijk te achterhalen wie het gedaan heeft? Reden 1 : = eerder gedaan zonder succes ( werd van kasje naar muur gestuurd ; Reden 2 : = politie reageerde niet ; Reden 3 : = politie heeft gewoon geen afdeling die werkt Reden 1 : = niet belangrijk genoeg Reden 1 : = Onvoldoende reden ; Reden 2 : = Zelf beschermende maatregelen genomen Reden 1 : = wij zien geen belang van een aangifte Reden 1 : = geen schokkende zaken meegemaakt Reden 1 : = Veel tijd ; Reden 2 : = Weinig interesse vanuit Politie en Justitie ; Reden 3 : = Kost meer geld, dan dat het oplevert
Dijk
115
Reden 1 : = politie doet niets ; Reden 2 : = politie kan niets Reden 1 : = geen aktie verwacht Reden 1 : = spammers zijn doodgewoon niet te traceren ; Reden 2 : = Geen echte kosten gehad Reden 1 : = Kost teveel tijd ; Reden 2 : = Wordt niets mee gedaan Reden 1 : = niet belangrijk genoeg ; Reden 2 : = geen schade ; Reden 3 : = snel probleem opgelost Reden 1 : = weinig effect van verwacht ; Reden 2 : = teleurstellende ervaringen in het verleden Reden 1 : = Duurt te lang ; Reden 2 : = Neemt teveel tijd in beslag ; Reden 3 : = Onnodig Reden 1 : = geentijd, niet belangrijk genoeg Reden 1 : = Politie doet niks aan spam . OPTA meldingen gemaakt . Reden 1 : = We hebben weinig last van de criminaliteit ; Reden 2 : = Wordt toch niets aan gedaan ; Reden 3: = Kost alleen maar kostbare tijd Reden 1 : = spam, virussen en ddos aanvallen horen nu eenmaal bij internet ; Reden 2 : = als ik voor iedere spammail naar politie moet zit ik daar 24 uur per dag Reden 1 : = geen problemen ondervonden ; Reden 2 : = niet achterhaalbaar of wij hiervan ook daatwerkelijk last van hebben gehad
Auteur : I2~~ . J.K_C . Dijk
116
