2011 CYBERCRIME
BEHEERSING VAN CYBERCRIME BIJ NEDERLANDSE “KLEIN” BANKEN
Auteur: A. Wouda Datum: 29-8-2011
CYBERCRIME DE BEHEERSING VAN CYBERCRIME BIJ NEDERLANDSE “KLEIN” BANKEN
“If you know the enemy and know yourself, you need not fear the result of a hundred battles.” (The Art of War, Sun Tzu)
Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Afstudeerrichting: Postgraduate IT auditing opleiding De Boelelaan 1105 1081 HV Amsterdam
Begeleider Vrije Universiteit: drs. E. Koning RE RA CISA (DNB)
Bedrijfsbegeleiders: ir. T.E. Wolffenbuttel RE CIA CISA (SNS REAAL) drs. ing. L.M.C. Kers RE CISSP (SNS REAAL)
Auteur: A. Wouda BICT CISSP-ISSAP (SNS REAAL)
Inhoudsopgave
INHOUDSOPGAVE ............................................................................................................................................................ I VOORWOORD ................................................................................................................................................................ III 1
INLEIDING EN VERANTWOORDING ..........................................................................................................................1 1.1 AANLEIDING .............................................................................................................................................................. 1 1.2 ONDERWERP EN DOEL ................................................................................................................................................. 1 1.3 RELEVANTIE............................................................................................................................................................... 2 1.4 ONDERZOEKSVRAGEN .................................................................................................................................................. 2 1.5 METHODOLOGISCHE VERANTWOORDING ........................................................................................................................ 3 Literatuuronderzoek ....................................................................................................................................................... 3 Casusonderzoek .............................................................................................................................................................. 4 Relativerende opmerkingen ........................................................................................................................................... 5 1.6 INDELING .................................................................................................................................................................. 5
2
PROFESSIONALISERING CYBERCRIME ......................................................................................................................6 2.1 INLEIDING ................................................................................................................................................................. 6 2.2 CYBERCRIME.............................................................................................................................................................. 6 2.3 BEELDVORMING OVER CYBERCRIME ................................................................................................................................ 7 2.4 DE ONTWIKKELING VAN CYBERCRIME .............................................................................................................................. 8 2.5 DE ECONOMIE VAN CYBERCRIME .................................................................................................................................... 8 2.6 ORGANISATIE VAN CYBERCRIME ................................................................................................................................... 11 2.7 VERSCHIJNINGSVORMEN VAN CYBERCRIME .................................................................................................................... 11 Afscherming met behulp van ICT .................................................................................................................................. 12 Identiteitsfraude ........................................................................................................................................................... 12 Marktmanipulatie ........................................................................................................................................................ 13 Afpersing en chantage ................................................................................................................................................. 13 Hacking......................................................................................................................................................................... 13 Botnets ......................................................................................................................................................................... 13 (d)DoS ........................................................................................................................................................................... 14 Spamming &phising ..................................................................................................................................................... 14 Malware ....................................................................................................................................................................... 14 Defacing & pharming ................................................................................................................................................... 15 Corrupt ICT-personeel, infiltratie criminele ICT’ers....................................................................................................... 15 Inhuur ICT-experts ........................................................................................................................................................ 15 2.8 TRENDS IN CYBERCRIME EN ACTUELE DREIGINGEN ........................................................................................................... 15 Politiek .......................................................................................................................................................................... 16 Economisch................................................................................................................................................................... 16 Sociaal-cultureel ........................................................................................................................................................... 17 Technologisch ............................................................................................................................................................... 17 Juridisch ........................................................................................................................................................................ 19 2.9 CONCLUSIE.............................................................................................................................................................. 19
3
CYBERCRIME IN DE BANCAIRE SECTOR .................................................................................................................. 20 3.1 3.2 3.3 3.4 3.5
INLEIDING ............................................................................................................................................................... 20 DE BANCAIRE SECTOR IN NEDERLAND ........................................................................................................................... 20 INTERNE ORGANISATIE RISICOBEHEERSING EN INFORMATIESYSTEMEN .................................................................................. 20 INTERBANCAIRE ORGANISATIE ..................................................................................................................................... 22 INVLOED VAN CYBERCRIME ......................................................................................................................................... 23
3.6 4
CONCLUSIE.............................................................................................................................................................. 23
RISICOBEHEERSING “KLEIN” BANKEN .................................................................................................................... 24 4.1 INLEIDING ............................................................................................................................................................... 24 4.2 RISICOGEBIEDEN EN RELEVANTE DREIGINGEN ................................................................................................................. 24 4.3 BEHEERSMAATREGELEN ............................................................................................................................................. 25 Organisatorische beheersmaatregelen ........................................................................................................................ 25 Procedurele beheersmaatregelen ................................................................................................................................ 26 Technische beheersmaatregelen .................................................................................................................................. 26 4.4 CONCLUSIE.............................................................................................................................................................. 28
5
SCHADE DOOR CYBERCRIME ................................................................................................................................. 30 5.1 5.2 5.3 5.4
6
SAMENVATTING EN CONCLUSIES .......................................................................................................................... 33 6.1 6.2
7
INLEIDING ............................................................................................................................................................... 30 FINANCIËLE SCHADE .................................................................................................................................................. 30 REPUTATIESCHADE.................................................................................................................................................... 31 CONCLUSIE.............................................................................................................................................................. 32
INLEIDING ............................................................................................................................................................... 33 SLOTCONCLUSIES ...................................................................................................................................................... 33
REFLECTIE .............................................................................................................................................................. 35 7.1 INLEIDING ............................................................................................................................................................... 35 7.2 REFLECTIE ............................................................................................................................................................... 35 Onderzoeksproces ........................................................................................................................................................ 35 Onderzoeksresultaten .................................................................................................................................................. 35 Persoonlijke leerresultaten ........................................................................................................................................... 36 7.3 AANBEVELINGEN VOOR VERVOLGONDERZOEK................................................................................................................. 36
BIJLAGE A, LITERATUUR ................................................................................................................................................. IV BIJLAGE B, TEMPLATE INTRODUCTIEBRIEF .................................................................................................................... XII BIJLAGE C, TOPIC- EN VRAGENLIJST ............................................................................................................................. XIII BIJLAGE D, ROLLENCOMPLEX ....................................................................................................................................... XIV BIJLAGE E, VERSCHIJNINGSVORMEN ............................................................................................................................. XV BIJLAGE F, VERIS - THREAT ACTION .............................................................................................................................. XVI BIJLAGE G, TRENDS ..................................................................................................................................................... XVII Politiek ........................................................................................................................................................................ XVII Economisch................................................................................................................................................................. XVII Sociaal-cultureel ........................................................................................................................................................ XVIII Technologisch .............................................................................................................................................................. XIX Juridisch ..................................................................................................................................................................... XXIII
Beheersing van cybercrime bij Nederlandse “klein” banken | Inhoudsopgave
II
Voorwoord
Deze scriptie is geschreven in het kader van het afstudeertraject van de Postgraduate IT-audit opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde van de Vrije Universiteit te Amsterdam. In de scriptie die voor u ligt wordt ingegaan op de beheersing van cybercrime bij Nederlandse “klein” banken. Gezien de heimelijke aard van cybercrime en de potentiële impact hiervan op de bancaire sector, is het verkrijgen van betrouwbare informatie over dit fenomeen een delicate gelegenheid. Daarbij gaat het niet alleen om de mogelijke vrees in de bancaire sector voor reputatieschade, maar ook om het denkbare misbruik van deze informatie door cybercriminelen. Vertrouwen speelt bij het delen van dergelijke informatie dan ook een belangrijke rol. Om inzicht te krijgen in de ware toedracht van cybercrime en de beantwoording van de onderzoeksvragen is bij de totstandkoming van deze scriptie in beperkte mate van vertrouwelijke informatie gebruik gemaakt. Dergelijke informatie is bij het uitwerken van deze scriptie geanonimiseerd en waar mogelijk gegeneraliseerd. In overleg met de examencommissie van de IT-audit opleiding, de begeleiders en de respondenten van dit onderzoek is unaniem overeengekomen deze scriptie publiek beschikbaar te stellen. Het schrijven van deze scriptie en het uitvoeren van het onderzoek heb ik met veel plezier gedaan. Hierbij wil ik een aantal personen bedanken die bewust of onbewust mij hebben geholpen tijdens het onderzoek. Mijn dank gaat uit naar de respondenten voor hun medewerking en enthousiasme, en het delen van hun ervaringen en observaties, die een belangrijke bijdrage hebben geleverd aan de uiteindelijke realisatie van dit onderzoek. Daarnaast wil ik mijn collega’s bij SNS REAAL bedanken, voor het stellen van prikkelende vragen, het bieden van adviezen en het aanhoren van mijn onderzoeksvraagstukken en belevingen. Mijn speciale dank gaat uit naar Evert Koning, Tijs Wolffenbuttel en Leon Kers als begeleiders van dit onderzoek. Jullie inzichten, ervaringen en kennis hebben mij geholpen om deze scriptie te verwezenlijken. Jullie kritische en constructieve, maar ook flexibele houding heeft me op het juiste pad gehouden en na elke bespreking weer energie gegeven om enthousiast met het onderzoek door te gaan. Tenslotte wil ik hierbij mijn vrienden en familie bedanken voor hun betrokkenheid en steun.
Anne Wouda
Alkmaar, augustus 2011
Beheersing van cybercrime bij Nederlandse “klein” banken | Voorwoord
III
1 Inleiding en verantwoording 1.1
Aanleiding
Cybercrime lijkt zich de laatste jaren te ontwikkelen tot een significante dreiging voor de digitale wereld en de bedrijven die daarvan in grote mate afhankelijk zijn geworden. Het aantal meldingen van cybercrime en de gevolgen voor bedrijven zijn in de afgelopen jaren toegenomen. In mijn werkveld, de financiële sector, heb ik te maken met de risico’s van cybercrime voor de bedrijfsvoering en merk ik dat cybercrime steeds meer wordt gezien als een opkomende kritieke bedreiging die beheerst dient te worden. Mijn veronderstelling is dat de organisatie rondom cybercrime steeds doeltreffender aan het worden is, waardoor de toename en mogelijkheden van malware vergroten en de modus operandi zich gaat richten op specifieke “kleinere” doelwitten (toename van targeted attacks). De verandering van de modus operandi lijkt te worden ingegeven door de maatregelen die worden getroffen door “grote” banken, waardoor het voor cybercriminelen lastiger wordt succesvol geld te ontvreemden van deze banken. Verder lijkt er door de huidige focus van cybercriminelen op banken met een groot clientèle, minder directe aanleiding voor kleinere banken om zich zorgen te maken en maatregelen te treffen. Door het ontbreken van directe feitelijke dreigingen van cybercrime gericht op “klein” banken, wordt de kans van optreden bij deze “klein” banken mogelijk als laag geschat. Deze risico-inschatting wordt wellicht mede beïnvloed door het ontbreken van voldoende kennis op het gebied van ontwikkelingen in cybercrime, het ontbreken van feitelijke gegevens over de omvang en de aard van cybercrime en een gevoelsmatige factor van “dat gebeurt ons niet”. De “klein” banken hebben verder inherent minder financiële middelen om geavanceerde maatregelen te treffen. Door de hierboven beschreven facetten zijn “klein” banken mijns inziens in verhouding tot “grote” banken een eenvoudiger doelwit en wordt de kans op financiële en reputatieschade als gevolg van de ontwikkelingen van cybercrime juist vergroot. De effecten van reputatieschade kunnen mogelijk een impact hebben op het vertrouwen van klanten in de gehele bancaire sector.
1.2
Onderwerp en doel
Bancaire instellingen verkopen in essentie vertrouwen aan klanten en nemen daarbij een deel van de inherente risico’s van het bezit van geld over. Naar mate de bancaire sector mee gaat in de wereldwijde digitalisering van informatie en middelen, nemen de daarbij horende risico’s voor de banken toe. Bancaire instellingen worden met cybercrime geconfronteerd, simpelweg omdat er iets valt te halen. Het gaat daarbij niet alleen om geld, maar ook om persoonlijke informatie. Financieel gewin is van oudsher het primaire motief van criminelen. Dit werd goed tot uitdrukking gebracht door de legendarische bankrover William “Willie” Sutton. Op de vraag van de reporter Mitch Ohnstad, waarom Willie banken beroofde, zei hij “because that's where the money is” (Wikipedia, 2011; NVB, 2010). De verplaatsing van de fysieke geldstromen, via bankkantoren, naar de digitale wereld, wordt door de criminelen op de voet gevolgd. Daarbij vergroot de digitalisering het bereik van de banken naar de klanten en vice versa, maar ook de toegankelijkheid van de banken voor criminelen. Uit het Verizon Data Breach Investigations Report 2010 blijkt, dat international gezien, een derde van de beveiligingsincidenten heeft plaatsgevonden in de financiële sector. Daarbij wordt aangegeven dat mogelijke oorzaken hiervoor liggen in de directe geldstromen voor criminelen en de aanwezigheid van grote volumes gevoelige informatie. Daarnaast geldt binnen onder andere de Amerikaanse regelgeving een meldingsplicht voor beveiligingsincidenten, waardoor onderzoeken worden vereist (Verizon, 2010). Zoals in de vorige alinea’s is weergegeven lijkt het logisch te veronderstellen dat cybercrime zich in toenemende mate gaat richten op “klein” banken. De beheersing van cybercrime bij Nederlandse “klein” banken is daarmee het centrale onderwerp van dit onderzoek.
Beheersing van cybercrime bij Nederlandse “klein” banken | Inleiding en verantwoording
1
Door middel van dit onderzoek wil ik: • •
Aantonen in welke mate de ontwikkelingen op het gebied van cybercrime gevolgen hebben voor “klein” banken. Een voorzet doen voor de bancaire sector als geheel om de impact van de ontwikkelingen tijdig in te schatten en hierop passend te acteren.
Tevens beoogt dit onderzoek bij te dragen aan inzicht in relevante en toekomstige dreigingen en mogelijke maatregelen, waar IT-auditors, informatiebeveiligers en (senior) management in de bancaire sector rekening mee kunnen houden bij het uitvoeren van hun functie.
1.3
Relevantie
Dit onderzoek zal proberen een bijdrage te leveren op zowel theoretisch als praktisch gebied. Vanuit de ITaudit beroepsgroep wordt over deskundigheid gesproken, als er sprake is van zowel een voldoende theoretisch als praktisch fundament (Praat & Suerink, 2008). Mijns inziens wordt de deskundigheid van de ITauditor, in de context van dit onderzoek, mede bepaald door de kennis op het gebied van criminologie, economie, sociologie, computerwetenschap en informatiemanagement. Deze afzonderlijke aandachtsgebieden zijn veelal binnen hun eigen kader in meer of mindere mate onderzoek aan het uitvoeren met betrekking tot cybercrime. In het theoretisch kader zal dit onderzoek proberen bij te dragen aan een inzicht in de vele facetten die de ontwikkelingen van cybercrime beïnvloeden en de mogelijke impact op de bedrijfsvoering in de bancaire sector. Daarbij wordt geprobeerd een bijdrage te leveren aan het vergroten van de wetenschappelijke kennis op het gebied van cybercrime en deze te aggregeren naar de relevantie gericht op de beheersing van risico’s in de bancaire sector. De praktische relevantie van dit onderzoek is gericht op het bieden van adviezen voor het mitigeren van risico’s op de meest belangrijke risicogebieden binnen “klein” banken. Gezien de rol van de bancaire sector in de samenleving en het belang van vertrouwen van de samenleving in de ICT, heeft dit onderzoek indirect een maatschappelijke relevantie.
1.4
Onderzoeksvragen
De hoofdvraag van dit onderzoek luidde: “Op welke wijze en in hoeverre wordt door de professionalisering van cybercrime, via de organisatie van de interne risicobeheersing binnen banken, de kans op financiële en reputatieschade bij Nederlandse “klein” banken beïnvloed?” De hoofdvraag valt uiteen in de volgende logische deelvragen: 1. (I.) Op welke wijze vindt de professionalisering van cybercrime plaats en (II.) waardoor wordt de kans op schade door cybercrime bij Nederlandse banken beïnvloed? a. I. Wat is cybercrime? b. I. Hoe wordt de perceptie met betrekking tot cybercrime vormgegeven? c. I. Hoe hebben de verschijningsvormen van cybercrime zich ontwikkeld? d. I. Op welke wijze wordt de ontwikkeling van cybercrime gedreven? e. I. Op welke wijze wordt cybercrime georganiseerd? f. I. Welke verschijningsvormen heeft cybercrime? g. I. Welke trends zijn er te onderkennen op het gebied van cybercrime? h. I. Wat zijn de relevante risico’s en hoe zijn deze te categoriseren? i. II. Welke externe factoren in de bancaire sector beïnvloeden de kans op schade door cybercrime? j. II. Welke interne factoren in de bancaire sector beïnvloeden de kans op schade door cybercrime? 2. In hoeverre zijn de (I.) ontwikkelingen op het gebied van cybercrime van invloed op de (II.) organisatie van de interne risicobeheersing en de informatiesystemen bij (III.) Nederlandse “klein” banken? a. III. Welke categorieën instellingen worden binnen de bancaire sector onderkend? Beheersing van cybercrime bij Nederlandse “klein” banken | Inleiding en verantwoording
2
b. II. Hoe zijn de interne risicobeheersing en de informatiesystemen bij "klein" banken georganiseerd? c. II. Hoe is de risicobeheersing met betrekking tot cybercrime interbancaire georganiseerd? d. I. Waaruit bestaan de ontwikkelingen op het gebied van cybercrime? 3. Op welke wijze kunnen “klein” banken hun risicobeheersing toespitsen, door het treffen van (I.) additionele beheersmaatregelen, op de (II.) meest belangrijke risicogebieden als (III.) gevolg van cybercrime? a. II. Wat zijn de belangrijkste risicogebieden als gevolg van cybercrime binnen "klein" banken? b. III. Welke relevante risico’s van cybercrime zijn van invloed op de belangrijkste risicogebieden? c. I. Welke (primaire) beheersmaatregelen tegen cybercrime zijn er op de belangrijkste risicogebieden getroffen? d. I. Welke additionele beheersmaatregelen kunnen er worden getroffen om de relevante risico’s van cybercrime binnen de belangrijkste risicogebieden te mitigeren? 4. In hoeverre zijn de ontwikkelingen op het gebied van cybercrime van invloed op mogelijke financiële en reputatieschade door cybercrime bij Nederlandse “klein” banken? a. Wat is de huidige financiële schade van cybercrime? b. Op welke wijze wordt door banken omgegaan met reputatieschade?
1.5
Methodologische verantwoording
Het onderzoekgebied van cybercrime is relatief nieuw en bijzonder complex. Hierdoor is beperkte kennis en data beschikbaar, waardoor het zich, mede gezien de probleemstelling, minder leent voor een kwantitatief onderzoek. Gezien de kwalitatieve onderzoeksvragen lag een kwalitatieve methodiek voor de hand. Daarbij is een holistische benadering gekozen, waarbij het onderwerp als fenomeen en in context als geheel zijn beschouwd. Dit onderzoek belicht omtrent het onderwerp diverse perspectieven, waaronder de economisch, technologisch, historische en maatschappelijke context. Gezien de beoogde theoretische en praktische relevantie van dit onderzoek, is een multimethode aanpak (zoals omgeschreven in Basisboek kwalitatief onderzoek (Baarda, Goede, & Teunissen, 2009)) als vorm van triangulatie gehanteerd. Daarbij zijn diverse dataverzamelingstechnieken toegepast en is gebruik gemaakt van verschillende databronnen. Het onderzoek heeft plaatsgevonden in de periode juli 2010 tot en met maart 2011. De multimethode aanpak van dit onderzoek valt uiteen in zowel een literatuur- als casusonderzoek. Gezien de heimelijke aard van cybercrime is een direct waarneming niet altijd mogelijk, daarom is een multimethode aanpak waardevol. Het onderzoek is gestart met het uitvoeren van een literatuurstudie, daarna is het casusonderzoek uitgevoerd. Naar aanleiding van informatie uit het casusonderzoek is op onderdelen additionele literatuur bestudeerd, welke in dit onderzoek is verwerkt. Literatuuronderzoek Het doel van het literatuuronderzoek was nader inzicht te krijgen in de ontwikkelingen en professionalisering van cybercrime, zoals deze in de literatuur zijn beschreven. Tevens had het literatuuronderzoek als doel trends te identificeren die mogelijk cybercrime beïnvloeden. Als onderdeel van literatuuronderzoek is gebruik gemaakt van nationale en internationale literatuur op het gebied van cybercrime. Daarbij zijn diverse bronnen gehanteerd uit de hoofdstromingen (zie paragraaf 2.3 Beeldvorming over cybercrime), waaruit de kennis en literatuur over cybercrime ontstaan. Daarbij is gebruik gemaakt van mediatheken, boeken, artikelen, rapporten en relevante publicaties. Tevens zijn tijdens het literatuuronderzoek interbancaire publicaties gehanteerd. Als onderdeel van de literatuurstudie is webresearch toegepast. De ontwikkeling van cybercrime is mede bepaald op basis van bestaande trendrapportages van organisaties uit de overheid, de wetenschap en het bedrijfsleven. Een verdere duiding van de relevante trends heeft plaatsgevonden in het casusonderzoek. De keuze voor de trendrapportage en bronnen, is onder andere op basis van de marktonderzoeken over Managed Security Services (MSS) van Forrester en Gartner gebaseerd (Kark, 2010; Caspers & Scholtz, 2010). Daarbij zijn de rapportages van de Europese markleiders, op het gebied van MSS, als uitgangspunt gehanteerd. De marktleiders hebben immers door hun grotere klantenkring een ruimer gezichtsveld op de problematiek van cybercrime dan kleinere ondernemingen. Deze rapportages zijn Beheersing van cybercrime bij Nederlandse “klein” banken | Inleiding en verantwoording
3
aangevuld met rapportages die binnen de bancaire sector worden gebruikt. Tijdens het literatuuronderzoek is onder andere gebruik gemaakt van de volgende bronnen: • • •
Bedrijfsleven; Symantec, Verizon, RSA, SecureWorks, HP, Ernst & Young, Gartner Research Overheid/non-business; GOVCERT.NL, WODC, APWG, ENISA, KLPD, ISF, IC3 Wetenschappelijk; Onderzoeken en publicaties van universiteiten, vaktijdschriften.
Een volledige overzicht van de gebruikte literatuur is weergegeven in Bijlage A, Literatuur. Casusonderzoek Ter aanvulling op het literatuuronderzoek is een casusonderzoek uitgevoerd. Het doel van het casusonderzoek was tweeledig. Enerzijds was het een toetsing, van de in de literatuur beschreven ontwikkelingen op het gebied van cybercrime, aan de ervaringen en observaties van experts binnen de bancaire sector. Anderzijds had het casusonderzoek als doel de belangrijkste risicogebieden en beheersmaatregelen in kaart te brengen in relatie tot de diverse verschijningsvormen van cybercrime en de daar bijhorende risico’s. Het onderwerp van dit onderzoek betreft “klein” banken. Een nadere analyse over de bancaire instellingen in Nederland en de afbakening van het begrip “klein” banken zijn beschreven in paragraaf 3.2 De bancaire sector in Nederland. Op basis van deze analyse heeft het casusonderzoek zich gericht op vier “klein” banken in Nederland. Dit betreft 44 procent van de totale populatie “klein” banken met een overeenkomstig risicoprofiel qua dreiging van cybercrime. Tevens is gebruik gemaakt van een referentdoelgroep, die uit een “groot” bank bestond en daarmee 33 procent van de totale populatie van “groot” banken vertegenwoordigt. Voor het casusonderzoek zijn interviews met sleutelpersonen en deskundigen op het gebied van cybercrime binnen deze vijf banken gehouden. Daarnaast zijn twee interviews gehouden met sleutelpersonen binnen interbancaire en sector overstijgende samenwerkingsverbanden. De sleutelpersonen en deskundigen zijn in overleg met de bedrijfsbegeleiders geselecteerd. Door middel van een introductiebrief (zie Bijlage B, Template introductiebrief), zijn de betreffende sleutelpersonen en deskundigen gevraagd om mee te werken aan dit onderzoek. Van alle beoogde respondenten is een positieve reactie ontvangen. Uiteindelijk heeft één interview geen doorgang gevonden, omdat deze door de respondent is geannuleerd. In totaal hebben met negen respondenten interviews in de periode januari tot en met maart 2011 plaatsgevonden. Er is gekozen voor het houden van open interviews op basis van een topic- en vragenlijst (zie Bijlage C, Topicen vragenlijst). Dit is mede ingegeven door de vertrouwelijke aard omtrent cybercrime in de bancaire sector en het belang van dit onderzoek van het delen van de ervaringen en observaties van de respondenten. Door het houden van open interviews zijn de respondenten in de gelegenheid gebracht het verhaal achter het verhaal te vertellen. De topic- en vragenlijst is gebaseerd op de onderzoeksvragen en vormt daarmee een logische volgordelijkheid. Vooraf aan het interview is de topic- en vragenlijst naar de respondenten opgestuurd. Deze lijst is als leidraad voor de interviews gehanteerd. Tijdens de interviews is geen gebruik gemaakt van opnameapparatuur. Mijn bedrijfsbegeleiders hebben me er opgewezen dat uit hun eigen ervaringen is gebleken dat het gebruik van opnameapparatuur mogelijk enig terughoudend gedrag bij de respondenten teweeg kon brengen. De tijdsduur per interview varieerde van 1,5 uur tot drie uren. Naar aanleiding van het interview is in de meeste gevallen een concept gespreksverslag, ter review en feedback, naar de respondent gestuurd. Eventuele additionele communicatie met de respondenten heeft via de e-mail plaatsgevonden. Bij het analyseren van de resultaten van het casusonderzoek is gezocht naar intersubjectiviteit, waarbij de respondenten een gezamenlijk gedeelde perceptie hebben. De intersubjectiviteit is in deze scriptie gebruik voor het generaliseren van uitspraken over de onderzoeksgroep. Aanvullend op het casusonderzoek is informatie verkregen door het bezoeken van seminars. Te weten het seminar Cybercrime & Skimming op 28 oktober 2009 georganiseerd door de NVB te Amsterdam (zie reportage Cybercrime (NVB, 2009)), InfoSecurity in november 2010 in Utrecht en het Fox-IT symposium Cybercrime in februari 2011 in Delft. Tevens is informatie verkregen over het GOVCERT.NL symposium in november 2010 te Rotterdam.
Beheersing van cybercrime bij Nederlandse “klein” banken | Inleiding en verantwoording
4
Relativerende opmerkingen In het wetenschappelijk onderzoeksveld van cybercrime geldt een aantal algemene beperkingen. Deze beperkingen komen veelvuldig terug in de wetenschappelijke literatuur. Een van de methodologische problemen is bijvoorbeeld het gebrek aan consensus over de term cybercrime in de wetenschappelijke literatuur. Hierdoor zijn onderzoeksresultaten van de diverse onderzoeken lastig te vergelijken. Daarnaast is er een gebrek aan betrouwbare empirische onderzoeken, naar de verschillende vormen en de dynamiek van cybercrime. Dit kan mogelijk worden veroorzaakt door de beperkte toegang tot betrouwbare en vergelijkbare (statistische) informatie, ten behoeve van analyses. Het gebrek aan kwantitatieve data belemmert niet alleen het inzicht in de ontwikkeling van cybercrime, maar beperkt ook het meten van het effect van maatregelen (GOVCERT.NL, 2010). Tevens zorgen de multidisciplinaire eigenschappen van cybercrime ervoor, dat het definiëren van onderzoeksparadigma’s op het gebied van cybercrime wordt bemoeilijkt. Hierdoor kan de mondiale invloed en impact van cybercrime lastig worden bepaald. Daarnaast kan de invloed van de media mogelijk een verstoord beeld van cybercrime creëren, omdat het zich meer richt op de excessen en sensatie dan een algemeen gangbaar beeld (Sandywell, 2010; Clough, 2010; Wall D. , 2007). Door gebruik te maken van diverse bronnen uit verschillende stromingen (zie paragraaf 2.3 Beeldvorming over cybercrime) en interbancaire (vertrouwelijke) informatie over de feitelijke toedracht van de verschijningsvormen van cybercrime, is getracht in dit onderzoek de hierboven genoemde opmerkingen te mitigeren. In additie op de hierboven genoemde algemene opmerkingen, geldt dat een beperkte hoeveel tijd, 200 uren, beschikbaar was voor het uitvoeren dit onderzoek. Gezien de brede strekking van het onderzoeksgebied en de complexiteit omtrent cybercrime, is daarmee geen diepgaande analyse uitgevoerd op onderdelen die niet directe relevant waren voor het beantwoorden van de onderzoekvragen. Daarnaast is bij het casusonderzoek gebruik gemaakt van een deelwaarneming, daarmee is niet de volledige populatie van “klein” banken onderzocht.
1.6
Indeling
In hoofdstuk twee wordt de professionalisering van cybercrime beschreven in relatie tot de bancaire sector. Daarbij wordt onder andere inzicht gegeven in de historische en economische ontwikkelingen op het gebied van cybercrime. Hoofdstuk twee is overwegend op het literatuuronderzoek gebaseerd, aangevuld met informatie uit het casusonderzoek. In hoofdstuk drie wordt weergegeven in hoeverre de ontwikkelingen op het gebied van cybercrime, zoals beschreven in hoofdstuk twee, van invloed zijn op de organisatie van de risicobeheersing en informatiesystemen. Het vierde hoofdstuk beschouwt de ontwikkelingen van cybercrime en de risicobeheersing bij “klein” banken, om aan te geven op welke wijze additionele maatregelen op de belangrijkste risicogebieden kunnen worden getroffen. Hoofdstuk vijf geeft inzicht in de financiële en reputatieschade bij “klein” banken, als gevolg van de ontwikkelingen van cybercrime. Hoofdstuk drie, vier en vijf zijn voornamelijk op het casusonderzoek gebaseerd en eventueel aangevuld met literatuur. Het zesde hoofdstuk bevat de samenvatting en slotconclusies van dit onderzoek. Een persoonlijke reflectie op dit onderzoek staan in het laatste hoofdstuk beschreven. Hoofdstuk 3 Analyse van de ontwikkelingen cybercrime in de Nederlandse bancaire sector. Deelvraag 2
Hoofdstuk 2 Beschrijving van de professionalisering van cybercrime. Deelvraag 1
Hoofdstuk 4 Beschouwing van de risicobeheersing bij “klein” banken op de meest belangrijke risicogebieden.
Hoofdstuk 6 Slotconclusies van het onderzoek. Hoofdvraag
Deelvraag 3
Hoofdstuk 5 Analyse en beschouwing van de gevolgen van cybercrime op mogelijk financiële en reputatieschade. Deelvraag 4
Figuur 1 Schematische weergave indeling en samenhang
Beheersing van cybercrime bij Nederlandse “klein” banken | Inleiding en verantwoording
5
2 Professionalisering cybercrime 2.1
Inleiding
Dit hoofdstuk beschrijft op welke wijze de professionalisering van cybercrime plaatsvindt. Daarbij is een definitie van cybercrime voor de afbakening in de scope en reikwijdte van het onderzoek een essentieel element. Om de professionalisering van cybercrime in een historisch perspectief te kunnen plaatsen is een nadere beschouwing over de totstandkoming van de perceptie van cybercrime een randvoorwaarde. Dit hoofdstuk beschrijft vervolgens de economische drijfveren van cybercrime en de relatie met de organisatie van cybercrime. Vervolgens wordt een beschrijving gegeven van de relevante verschijningsvormen van cybercrime. Deze relevantie wordt mede bepaald door de invloed van de verschijningsvormen van cybercrime op de bedrijfsvoering in de bancaire sector. Dit hoofdstuk sluit af met een beschrijving van trends die cybercrime in de bancaire sector beïnvloeden en een analyse over de mate waarin deze trends de kans op schade door cybercrime bij Nederlandse banken beïnvloeden.
2.2
Cybercrime
Het begrip cybercrime spreekt naar de verbeelding van personen, waardoor een ieder een eigen beeld heeft van het begrip cybercrime welke wordt versterkt door het ontbreken van een gemeenschappelijke definitie. In de literatuur zijn er verschillende pogingen ondernomen om het begrip nader te bepalen en een eenduidige definitie het begrip cybercrime op te stellen. Een internationaal geaccepteerde en eenduidige definitie van cybercrime is er tot op heden niet (Kshetri N. , 2010). In de Nederlandse literatuur wordt de term cybercrime ook wel aangeduid met computercriminaliteit, cybercriminaliteit en/of high-tech crime (Hulst & Neve, 2008). In de literatuur is enige consensus met betrekking tot het overkoepelende karakter van het begrip cybercrime, waarbij duidelijk wordt dat het gaat om een criminaliteitsvorm waarbij ICT een wezenlijke rol speelt (Leukfeldt, Domenie, & Stol, 2010). De definities van cybercrime van de KLPD en GOVCERT.NL overlappen grotendeels, waarbij het volgens de KLPD ook kan gaan over een strafwaardig gedraging. De definitie van cybercrime volgens de KLPD, zoals beschreven door Mooij & Werf; “Elke strafbare en strafwaardige gedraging, voor de uitvoering waarvan het gebruik van geautomatiseerde werken bij de verwerking en overdracht van gegevens van overwegende betekenis is.” (Mooij & Werf, 2002). Een relevante vraag die vaak wordt gesteld in de afbakening en definitie van cybercrime, is de vraag of het gaat om een nieuwe vorm van criminaliteit of dat het gaat om een traditionele criminaliteitsvorm in een nieuw jasje. Een dergelijk onderscheid is met name relevant voor de bestrijding van cybercrime en de toepassing van de wetgeving, zowel nationaal als internationaal, op de verschijningsvormen van cybercrime. Op basis van deze vraag wordt cybercrime, in zowel in de internationale als de Nederlandse literatuur, veelal onderverdeeld in subcategorieën, zoals; • •
cybercrime in enge zin, waarbij ICT zowel het instrument als het doelwit is van criminele activiteiten; cybercrime in ruime zin, waarbij ICT als instrument een wezenlijke rol speelt voor het plegen van een delict, maar niet het doelwit is (Leukfeldt, Domenie, & Stol, 2010).
Bij cybercrime gaat het om die criminele gedragingen, waarbij ICT van overwegende betekenis is en die dus niet of moeilijk zonder ICT zouden kunnen plaatsvinden. In de literatuurinventarisatie van het WODC over high-tech crime, wordt cybercrime in enge zin ook wel computercriminaliteit genoemd en cybercrime in ruime zin cybercriminaliteit (Hulst & Neve, 2008). Bij cybercrime in ruime zin is er sprake van digitalisering van traditionele criminaliteit en niet van nieuwe vormen van criminaliteit (GOVCERT.NL, 2010; Hulst & Neve, 2008). Een andere mogelijke categorisering die in de literatuur wordt gehanteerd, is het onderscheid tussen criminaliteit met betrekking tot de integriteit van computers, criminaliteit door het gebruik van computers en criminaliteit die is gericht op de content op computers (Clough, 2010; Wall D. , 2007; Wall D. , 2010). Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
6
De keuze voor de definitie van cybercrime is sterk afhankelijk van de toepassing in het kader waarvan de definitie wordt gehanteerd (Faber, Mostert, Faber, & Vrolijk, 2010). De toepassing van cybercrime, zoals die in deze scriptie is beoogd, richt zich primair op de bancaire sector in relatie tot het IT-audit vakgebied. Het is hierbij in mindere mate van belang om in de definitie van cybercrime al een onderscheid te maken op basis van de criminaliteitsvorm, aangezien dit geen additioneel inzicht geeft in de aanwezige risico’s en de mogelijk maatregelen. Er is om deze reden gekozen aan te sluiten bij de internationaal gangbare en praktische definitie van cybercrime, om daarna te concentreren op de relevante verschijningsvormen van cybercrime in de bancaire sector. Het begrip cybercrime is in deze scriptie gedefinieerd als, alle vormen van criminaliteit waarbij ICT een wezenlijke rol speelt (Leukfeldt, Domenie, & Stol, 2010). Deze definitie sluit onder andere aan bij de gehanteerde definitie in het recente onderzoek Verkenning cybercrime in Nederland 2009. Gezien de ruime strekking van het begrip cybercrime is het belangrijk een onderscheid te maken naar de verschijningsvormen van cybercrime die van invloed zijn op de bancaire sector. Om daarmee de relevante risico’s voor de diverse actoren in deze sector nader te kunnen onderzoeken. Om zowel cybercrime als de verschijningsvormen in context te kunnen plaatsen, is het relevant om eerst nader te kijken naar de beeldvorming van cybercrime en het ontstaan van kennis hierover.
2.3
Beeldvorming over cybercrime
De vormgeving van de perceptie over cybercrime wordt beïnvloed door diverse factoren. Volgens David Wall kan het ontstaan van kennis en literatuur over cybercrime, op hoofdlijnen in vier stromingen worden onderscheiden. Namelijk een; • • • •
stroming voor de vorming van wetgeving, academische stroming, stroming van experts, populaire en emotionele stroming (media).
Kennis en literatuur over cybercrime uit het perspectief van wetgeving is primair gericht op het debatteren en opstellen van regels (wetgeving) over de grenzen van acceptabel en onacceptabel gedrag. Het perspectief van de academische stroming onderzoekt diverse facetten, waaronder criminologie, sociologie, computer wetenschap en informatiemanagement, van cybercrime met als doel het begrijpen van de feitelijkheden. De experts stroming is gericht op het onderzoeken en begrijpen van trends in cybercrime met als doel het verklaren en aanbieden van oplossingen. De populaire en emotionele stroming reflecteert de beeldvorming van de gemiddelde persoon over cybercrime. Deze stroming heeft invloed op de economische markten en beïnvloed ook de vorming van sociale waarden en eventueel de wetgeving. Deze stroming is veelal op populaire media gebaseerd, die in gaat op emotionele impulsen in plaats van rationele overwegingen (Wall D. , 2007; Wall D. S., 2008). De perceptie over cybercriminaliteit en ICT wordt mede beïnvloed door de filmindustrie. Waarbij cybercriminelen (hackers) populair worden afgeschilderd als helden, maar ook als staatscriminelen en terroristen (Webber & Vass, 2010; Brown, 2010). Majid Yar geeft aan dat de publieke perceptie en opinie een belangrijke rol speelt in het vormgeven van openbare orde. En dat een gedeelde opinie en perceptie een doorslaggevende invloed kan hebben op het gedrag van mensen. Een belangrijke factor die de perceptie van mensen beïnvloed is de angst om slachtoffer te worden. De inschatting van iemand zijn/haar eigen kwetsbaarheid wordt vormgegeven door persoonlijke ervaringen, lokale gebeurtenissen, informatie van horen en zeggen en media-aandacht. De angst van het slachtoffer worden van (cyber-) criminaliteit is vaak niet op objectieve informatie gebaseerd. Veelal zijn de publieke percepties over het risico niet proportioneel, vergeleken met de feitelijke kans om slachteroffer te worden. Een mogelijke oorzaak kan liggen in sensationele media aandacht (Yar, 2010). De publieke perceptie en opinie over cybercrime zijn van groot belang voor het vertrouwen van klanten in de bancaire dienstverlening. In essentie verkopen banken het vertrouwen dat er goed met het geld van de klanten wordt omgegaan. Tevens wordt er veel geld bespaard door de steeds hogere mate van automatisering, zoals het internetbankieren, waardoor traditionele bankkantoren kunnen worden gesloten. Het beïnvloeden van de publieke perceptie over de feitelijke risico’s van cybercrime is daarmee een belangrijk aspect voor de gehele financiële sector. Niet alleen de publieke perceptie is een belangrijke factor bij de beeldvorming over cybercrime in de bancaire sector. Ook de perceptie bij het senior management in deze sector over de feitelijke risico’s is van belang, zodat een Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
7
gedegen besluitenvorming kan plaatsvinden over te nemen mitigerende maatregelen. Om tot een goede besluitvorming te kunnen komen is kennis van de informatie uit de hierboven beschreven stromingen noodzakelijk. De informatie uit deze stromingen zal op evenwichtige wijzig in het perspectief van de bedrijfsvoering in de bancaire sector moeten worden geplaatst. In dit perspectief moet rekening worden gehouden met de relevante dreigingen en de ontwikkelingen van de diverse verschijningsvormen van cybercrime.
2.4
De ontwikkeling van cybercrime
Elke verschijningsvorm van cybercrime kent zijn specifieke ontwikkelingen, die door verschillende factoren wordt beïnvloed. Op hoofdlijnen is er een aantal generieke factoren die de ontwikkeling van cybercrime in algemene zin bepalen. Wall geeft aan dat de ontwikkeling van cybercrime met name ligt in de groei van de netwerken, door middel van de convergentie van technologieën, het toenemende belang van informatieoverdracht en de tussenhandel hierin, en de globalisering (Wall D. , 2007). Als de ontwikkeling van cybercrime in tijd wordt uitgezegd, dan zijn hierin drie generaties te typeren. De eerste generatie cybercrime bevat misdrijven waarbij computers worden gebruikt voor het plegen van traditionele vormen van criminaliteit. Deze generatie cybercrime is nog steeds beperkt tot een geografische locatie. De tweede generatie cybercrime bevat misdrijven die meerdere netwerken omvat en door de globalisering van internet een landsgrens overschrijdend kenmerk heeft. Daarbij geldt dat de tweede generatie cybercrime kan worden gekenmerkt door het hybride of adaptieve karakter. De derde generatie cybercrime onderscheidt zich van de voorgaande generaties, doordat het geheel door technologie wordt gefaciliteerd en uitgevoerd. Misdrijven in de derde generatie van cybercrime karakteriseren zich door de gedistribueerde en geautomatiseerde kenmerken (Wall D. , 2007; Wall D. , 2010). Deze karakteristieken van de derde generatie dragen bij aan steeds complexere vormen van cybercrime en de daarbij horende criminele organisatie. De ontwikkeling van cybercrime wordt beïnvloed door technologische veranderingen, die mede worden versterkt door de globalisering die het internet met zich mee brengt. Zowel de technologische veranderingen als de ontwikkeling van cybercrime worden gedreven door economische veranderingen. De economische veranderingen beïnvloeden de mensen en hun motivaties. Er bestaat een duidelijke relatie tussen verslechterende economische omstandigheden en een toename van criminele activiteiten (Clough, 2010). Het is daarom belangrijk de economische context met betrekking tot cybercrime te verduidelijken, om een beter begrip te krijgen over de ontwikkeling en de drijfveren van cybercrime.
2.5
De economie van cybercrime
Cybercrime wordt in de literatuur vanuit verschillende vakgebieden en disciplines onderzocht, hierdoor ontstaan er diverse dimensies om de ontwikkeling van cybercrime te doorgronden. Initieel werd onderzoek naar criminaliteit in de digitale wereld, met name bekeken uit een technologisch perspectief. Daarbij werden de technologische oorzaken en gevolgen in relatie tot cybercrime bestudeerd. Aanvullend hierop werden de sociologische aspecten en met name de motivaties achter het plegen van cybercrime nader onderzocht. Een belangrijke constatering daarbij is de verschuiving in de motivaties van cybercriminelen. Initieel was de motivatie tot het plegen van cyberdelicten voornamelijk gedreven door het vergaren van kennis en het verkrijgen van waardering en status (Clough, 2010). Het verkrijgen van persoonlijke winst, zowel financieel als psychologisch, was ook in de begin jaren van het internet een belangrijke drijfveer. Maar gezien de technologische beperkingen, de beperkte verspreiding van kennis en de lage graad van globalisering, was het lastig financieel gewin te behalen door het plegen van cybercrime. Door het toenemen van technologische mogelijkheden en de globalisering zijn veel bedrijven verbonden met het internet voor het aanbieden van diensten en productie. Deze facetten versterken de mogelijkheid op het behalen van financieel gewin en hierdoor heeft er een duidelijke kanteling plaats gevonden in de primaire drijfveer voor het plegen van cybercrime. Deze kanteling wordt onderschreven door de United States Secret Service (USSS) (Verizon, 2010). De verschuiving van “hacking for fun” naar “hacking for profit” geeft daarmee een grotere economisch perspectief aan cybercrime. De essentie voor het plegen van een cybercrime ligt in de economische benadering van de cybercrimineel, die simpel weg een kosten- batenanalyse uitvoert (Kshetri N. , 2006; Becker, 1995). Kshetri geeft aan dat Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
8
cybercrime wordt gepleegd indien, zowel de financiële als de psychologische winst groter zijn dan de psychologische kosten en het verwachte strafeffect. Daarbij bestaat het strafeffect uit de kosten bij veroordeling, de waarschijnlijkheid op arrestatie en de waarschijnlijkheid op veroordeling. Ten opzichte van traditionele criminaliteit is het zeer waarschijnlijk dat het psychologisch kosteneffect, uitgedrukt in een schuldgevoel, lager is in het geval van cybercrime. Dit wordt onder meer veroorzaakt door de nieuwheid van de technologie, het ontbreken van eenduidige gedragscodes en richtlijnen en het ontbreken van een eenvoudig identificeerbaar slachtoffer (Kshetri N. , 2010). Daarnaast lijkt de cybercrimineel door gebruik te maken van een pseudo-identiteit, de digitale identiteit van de crimineel, de perceptie van anonimiteit te hebben. Voor de bestrijding van cybercrime is het belangrijk te realiseren dat de motivatie om over te gaan op cybercrime niet uitsluitend financieel is gedreven, maar dat ook psychologische aspecten in overweging worden genomen. De factoren die Kshetri beschrijft zijn de basisprincipes waarop de economie van cybercrime is gebaseerd. Het inherente gebruik van ICT bij cybercrime, zorgt ervoor dat de economische principes met betrekking tot de ICT-markt ook van toepassing zijn op de economie van cybercrime. Het onderzoeksgebied naar de economische facetten van cybercrime is relatief jong, met name het ontbreken van goede maatstaven en beschikbare informatie bemoeilijkt dergelijk onderzoek. Er zijn verschillende manieren om de economie van cybercrime te moduleren. Een veel gebruikte methode is het toepassen van een vraag en aanbod model, waarbij de criminele activiteiten worden onderzocht (Franklin, Paxson, Perrig, & Savage, 2007). Eeten en Bauer maken gebruik van een marginale analyse in hun onderzoek naar de economische aspecten van malware (Eeten & Bauer, 2008). In hun onderzoek wordt door middel van een conceptueel model aangeven op welke wijze de markt voor cybercrime en beveiliging elkaar beïnvloeden. Deze samenhang wordt in de onderstaande afbeelding weergegeven. Cybercrime
MKC
Beveiliging B
MKB
MB MBC
0%
Beveiligingsschendingen
MBC = marginale baten van cybercrime MKC = marginale kosten van cybercrime
100%
0%
Beveiliging
100%
MBB = marginale baten van beveiliging MKB = marginale kosten van beveiliging
Figuur 2 Markten van cybercrime en beveiliging (Eeten & Bauer, 2008)
Het is aannemelijk dat voor de markt van cybercrime geldt dat een hoger niveau van beveiligingsschendingen alleen mogelijk is door het vergroten van de kosten. Bovendien is het waarschijnlijk dat de extra kosten meer dan evenredig zullen toenemen, naarmate de omvang van de beveiligingsschendingen toeneemt. Tevens geldt dat de marginale baten van extra beveiligingsschendingen een dalende functie zijn van het niveau van beveiligingsschendingen. Dit is gebaseerd op het feit dat de meest lucratieve misdaden eerst worden gepleegd en dat bij extra criminele activiteiten de opbrengst resulteert in lagere marginale baten. GOVCERT.NL schrijft in hun trendrapport dat hightech cybercriminelen meer winst maken dan hun lowtech collega’s. De hightech specialisten bezitten door hun kennisvoorsprong als eersten de interessantste doelwitten; de grotere groep die daarna komt, verdient gemiddeld minder aan de overblijvende doelwitten (GOVCERT.NL, 2010). Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
9
Voor de markt van cybercrime geldt dat de marginale kosten over de gehele breedte naar beneden schuiven door technologische veranderingen en globalisering. Ervan uitgaande dat andere factoren ongewijzigd blijven, zal een reductie in de marginale kosten van criminaliteit resulteren in een hoger niveau van beveiligingsschendingen en vice versa (Eeten & Bauer, 2008). Voor de markt van beveiliging is het aannemelijk dat een hoger niveau van beveiliging alleen kan worden bereikt bij hogere marginale kosten. Tevens geldt dat de marginale baten van de beveiliging zullen afnemen. Tot op zekere hoogte houden beide markten elkaar in evenwicht, dit wordt mede ingegeven doordat de markt van beveiliging op zoek is naar een optimum tussen de kosten en de baten van beveiliging. Er is een asymmetrie in de effecten van beide markten op elkaar. Aan de ene kant, kan een verhoogd niveau van beveiligingsschendingen wel of niet van invloed zijn op het niveau van beveiliging. Echter, voor beide markten zal het waarschijnlijk leiden tot hogere kosten van het handhaven van een zekere mate van beveiliging. Aan de andere kant, zal een hoger niveau van beveiliging veranderingen in de markt van cybercrime veroorzaken. Door het verhogen van de marginale kosten van beveiligingsschendingen en tevens het verminderen van de marginale baten. Beide effecten zullen elkaar wederzijds versterken en dus bijdragen tot een lager niveau van beveiligingsschendingen. Naar mate de variabelen in beide markten continue wijzigen, zijn de uitkomsten van de resulterende dynamische aanpassingen moeilijk te moduleren, hoewel de hierboven beschreven veranderingsrichtingen robuust lijken te zijn (Eeten & Bauer, 2008). De markt van cybercrime heeft de economische kenmerken van de ICT markt. Daarbij worden veel informatieproducten (malware) geproduceerd onder de condities van hoge vaste, maar lage marginale, kosten. Om een grotere marktpenetratie te bereiken wordt onder andere gebruik gemaakt van product- en prijsdifferentiatie, `first mover‘ voordelen en versiebeheer (Varian, 2003). Een voorbeeld hiervan is de Zeus malware, die gebruik maakt van een licentiesysteem, daarnaast kunnen diverse modules met extra functionaliteiten worden aangeschaft (SecureWorks, 2010). Tevens geldt dat veel producten en diensten (Crimeware as a Service) in de cybercrime markt worden gekenmerkt door positieve netwerkeffecten. Het netwerkeffect lijkt de bereidheid te verhogen tot het betalen van de marktprijs als gevolg van de hoge verwachte verkopen en winst (Economides, 1995). Een dienst bestaat uit meerdere componenten en de invloed die deze componenten op elkaar uitoefenen kunnen zich uiten in positieve netwerkeffecten (Bauer & Eeten, 2009). Vanuit het perspectief van de cybercrimineel kan dit worden bereikt door het samenvoegen van verschillende componenten, zoals een botnet herder, spammer en harvester, tot een dienst voor het effectief verspreiden van phishing e-mailberichten. Kshetri maakt voor het verklaren van de groei in cybercrime gebruik van een economische analyse gebaseerd op rendementsverhoging. Het principe van rendementsverhoging gaat uit van schaalvoordelen, kostenverlaging en feedback mechanismen die leiden tot een verder succes van reeds succesvolle ondernemingen. In zijn analyse laat Kshetri zien hoe externaliteit mechanismen in relatie staan tot de zelfversterkende feedbacksystemen die rendementverhogingen voortbrengen voor criminele activiteiten door cybercrime (Kshetri N. , 2009). De conceptueel modellen van Eeten & Bauer en van Kshetri geven inzicht op welke factoren maatregelen kunnen worden getroffen en hoe deze maatregelen de algehele uitkomsten kunnen beïnvloeden. Dergelijke maatregelen kunnen zijn gericht op de markt van cybercrime en/of de markt voor beveiliging en op de vele actoren (bv. eindgebruikers, bedrijven, overheidinstellingen, criminele organisaties, etc.) in deze markten die elkaar beïnvloeden. Zowel de technologische als de economische ontwikkelingen heeft de organisatievorm van cybercrime veranderd en geprofessionaliseerd en vice versa. Aan de ene kant heeft de organisatievorm van cybercrime bijgedragen aan een serieuze industrie van cybercrime, waarbij criminelen zich zijn gaan specialiseren en daarmee bijdragen aan een enorme productiviteitsverhoging van cybercrime (Moore, Clayton, & Anderson, 2009). Aan de andere kant hebben de technologische en economische ontwikkelingen de communicatie mogelijkheden vergroot, waardoor het bereik van cybercrime is uitgebreid en effectiever door cybercriminelen kan worden samengewerkt.
Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
10
2.6
Organisatie van cybercrime
Het internet heeft ervoor gezorgd dat één persoon een mondiaal bereik heeft voor het plegen van criminele activiteiten. Tevens draagt het internet bij aan een grote (geautomatiseerde) herhaalbaarheid, waarbij deze activiteiten kunnen worden uitgevoerd. Hierdoor ontstaat een criminaliteitsvorm, waarbij grote massa’s potentiële slachtoffers kunnen worden bereikt, waarbij de impact voor een individueel slachtoffer mogelijk laag is. De bestrijding van criminaliteit met deze karakteristieken is complex en wordt bemoeilijkt, doordat het veelal landsgrensoverschrijdend en daarmee over meerdere jurisdicties plaatsvindt (Wall D. , 2007; Leukfeldt, Domenie, & Stol, 2010). Brenner speculeert in haar artikel over de organisatiestructuren van cybercrime over een verschuiving, van in de fysieke wereld aanwezige hiërarchische en groepsstructuren, naar een organisatiestructuur van een zwerm. Deze structuur wordt gekenmerkt door het vluchtige (fluïde) en zijdelingse karakter van de onderlinge relaties tussen individuen. Daarbij werken individuen voor een beperkte periode samen voor het uitvoeren van een specifieke taak, waarna ieder individu zijn eigen weg gaat (Brenner, 2002). Het ontbreekt vaak aan voldoende bewijs voor het aantonen van de veronderstelde relatie tussen cybercrime en georganiseerde misdaad (Wall D. , 2008). Uit de Verkenning Cybercrime in Nederland 2009 is gebleken dat veel kleine delicten worden gepleegd, door min of meer alledaagse verdachten die individueel opereren. En dat een aantal groeperingen zich bezig houdt met georganiseerde cybercrime. Daarmee is dit te vergelijken met de klassieke criminaliteit (Leukfeldt, Domenie, & Stol, 2010). Hoewel er in de literatuur beperkte kennis is over dadergroepen en organisatiestructuren van cybercrime, zijn er aanwijzingen dat zowel traditionele criminele organisatiestructuren bij cybercrime betrokken zijn, die de benodigde expertise extern inhuren. Als nieuwe fluïde organisatiestructuren, waarbinnen experts deeltaken verrichten en hun krachten bundelen (Hulst & Neve, 2008). Deze waarneming onderschrijft de trend naar diversificatie van taken, zoals dit in 2006 door het KLPD werd gesignaleerd. Waarbij verschillende criminaliteitsvormen in combinatie met elkaar worden gepleegd met een trend naar taakspecialisatie (Boerman & Mooij, 2006). De KLPD geeft in een publieke rapportage over haar aandachtsgebieden in Nederland aan, dat met betrekking tot cybercrime de samenwerkingsverbanden tussen cybercriminelen regelmatig virtueel zijn. Daarbij kennen cybercriminelen elkaar van forums en alleen bij de bijnaam. Het criminele bedrijfsproces is dermate wijd vertakt dat cybercriminelen moeten samenwerken. De internationale dadergroepen van cybercrime komen overeen met traditionele criminaliteitsvormen (KLPD, 2010). In de jaarlijkse publicatie van Verizon in samenwerking met de USSS wordt aangegeven dat er een grote diversiteit bestaat in de criminele groeperingen die zich bezig houden met cybercrime. Twee kenmerken die effectieve cybercrime organisaties onderscheiden, zijn de organisatiestructuur en de toegang tot goed ontwikkelde criminele infrastructuur. Dit komt met name tot uiting in online forums, waarbij lidmaatschap van de organisatie wordt beheerd door een kleine groep individuen. Waarbij informele autoriteitsstructuren worden versterkt door formele reputatiesystemen, waarbij leden elkaar beoordelen op hun betrouwbaarheid. Voor veel online forums geldt dat individuen die een dienst of een product willen aanbieden onderworpen worden aan een formeel beoordelingsproces door een senior lid van de organisatie. De online forums dienen als business platform voor het combineren van criminele diensten, waarbij de participatie van een groot aantal verschillende en betrouwbare criminele diensten de ontwikkeling in de organisatie versterkt. Leden en hun diensten van dergelijke forums kunnen worden gecategoriseerd in onder andere, hackers, spammers, bot herders, malware ontwikkelaars, hardware providers, etc. (Verizon, 2010). In Bijlage D, Rollencomplex wordt een beeld gegeven van de verschillende diensten, de bijhorende rollen en de onderlinge relaties in de organisatie cybercrime, met betrekking tot de verschijningsvorm phishing (Faber, Mostert, Faber, & Vrolijk, 2010).
2.7
Verschijningsvormen van cybercrime
Om een beter inzicht te krijgen in cybercrime kan een indeling naar de diverse verschijningsvormen van cybercrime hierbij helpen. In de literatuurstudie van het WODC wordt een indeling op basis van een achttal strategisch thema’s gehanteerd, waarbinnen diverse verschijningsvormen zijn gecategoriseerd (zie Bijlage E, Verschijningsvormen) (Hulst & Neve, 2008). Daarbij wordt opgemerkt dat de diverse verschijningsvormen van cybercrime in elkaar overlopen en veelal juist in combinatie worden toegepast. Desondanks is het mijns Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
11
inziens zinvol een dergelijke indeling te hanteren, om de afzonderlijke componenten nader van elkaar, maar ook in context, te kunnen onderzoeken en begrijpen. Niet alle verschijningsvormen van cybercrime zijn relevant voor de bancaire sector. De relevantie wordt met name bepaald door de mogelijk impact van de verschijningsvorm op de bedrijfsvoering binnen de bancaire sector en de kans van optreden van de betreffende verschijningsvorm van cybercrime. Op grond van deze facetten, de bestudeerde literatuur (zie Bijlage A, Literatuur) en de indeling zoals door het WODC gehanteerd, acht ik de volgende verschijningsvormen van cybercrime relevant voor de bancaire sector; • • • • • • • • • • • •
Afscherming met behulp van ICT Identiteitsfraude Marktmanipulatie Afpersing en chantage Hacking Botnets (d)DoS aanval Spamming (/phising) Malware Defacing (pharming) Corrupt ICT-personeel & infiltratie criminele ICT’ers Inhuur ICT-experts.
In Bijlage E, Verschijningsvormen is een schematisch weergave opgenomen van de hierboven beschreven selectie. In de volgende paragrafen worden de individuele verschijningsvormen nader toegelicht. Afscherming met behulp van ICT Volgens van der Hulst is er sprake van afscherming wanneer ICT wordt gebruikt om de communicatie binnen het criminele circuit op innovatieve wijze af te schermen, bijvoorbeeld door gebruikt te maken van encryptie (Hulst & Neve, 2008). In bepaalde publieke virtuele omgevingen, zoals chatrooms, veilingsites, P2Pnetwerken, is het mogelijk om afgeschermd met elkaar te communiceren (Morris, 2004). Afschermingtechnieken kunnen echter ook verder gevorderde technische vaardigheden vereisen, zoals bij steganografie. Bij steganografie wordt niet alleen de inhoud van een boodschap afgeschermd met andere informatie, maar het hele bestaan van de boodschap wordt afgeschermd (Gordon, Hosmer, Siedsma, & Rebovich, 2002). Door gebruik te maken van versleuteling kan informatie tussen het bedrijfsnetwerk en de buitenwereld ongezien worden verzonden. Hierdoor is het tevens lastig achteraf vast te stellen welke informatie is verzonden. Cybercriminelen kunnen op deze manier vertrouwelijke interne informatie vanaf het interne bedrijfsnetwerk via reguliere systemen, zoals interne proxy servers, naar het internet versturen. Identiteitsfraude Identiteitsfraude is frauderen door iemands identiteit over te nemen. Vaak is dit het gevolg van identiteitsdiefstal. Bij identiteitsfraude misbruiken criminelen persoonlijke gegevens die ze hebben bemachtigd via social engineering of phishing. Het verkrijgen van de identiteitsgegevens is meestal geen doel op zich, maar dient om andere criminele delicten mee mogelijk te maken (Hulst & Neve, 2008). Bijvoorbeeld om bankrekeningen te openen op naam van deze persoon, waarnaar crimineel geld kan worden doorgesluisd. Of om aankopen op krediet te doen (NVB, 2010). Social engineering staat voor het onder valse voorwendselen verkrijgen van vertrouwelijke informatie of ongeoorloofd een bedrijf binnenkomen, en benadrukt de menselijke betrokkenheid bij het verkrijgen van deze toegang of gevoelige informatie (Hulst & Neve, 2008). Identiteitsfraude in combinatie met social engineering wordt door cybercriminelen gebuikt voor het werven van money mules (katvangers) via het internet, e-mail, chat, brief of telefoon. Daarbij wordt iemand gevraagd, vaak met een mooi verhaal, of er gebruik mag worden gemaakt van de bankrekening van de betreffende persoon om daarop geld te storten. Vervolgens wordt de persoon gevraagd het geld over te storten naar andere (vaak buitenlandse) rekeningnummers. Een percentage van het geld mag de katvanger houden als vergoeding. De meeste katvangers kunnen hun rekening maar één keer gebruiken voor het doorsluizen van
Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
12
illegaal geld, voordat deze door de bank wordt afgesloten. Daardoor zijn goede katvangers schaars. Het werven van nieuwe money mules is van groot belang voor de crimineel (NVB, 2010). Marktmanipulatie Marktmanipulatie is een verschijningsvorm van cybercrime waarbij veelal sprake is van handel met voorkennis, of betreft het manipuleren van aandelenprijzen door het verspreiden van (onjuiste) informatie en geruchten in chatrooms, internetforums en via e-mail (Amersfoort, Smit, & Rietveld, 2002). Het manipuleren van aandelenkoersen staat ook wel bekend als ‘pump’n dump’ of ‘trash and cash’ oplichting (Morris, 2004). Bij positieve manipulatie worden aandelen direct na het stijgen van de aandelenprijzen verkocht met grote winst (pump ’n dump). Of omgekeerd worden aandelen bij negatieve manipulatie direct na het zakken van de aandelenprijzen gekocht en na stabilisatie van het aandeel weer verkocht met grote winst (short-selling). Door het verspreiden van dergelijke informatie kan via aandelen- en optiehandel met voorkennis veel winst worden behaald (Hulst & Neve, 2008). Afpersing en chantage Afpersing is het op illegale wijze verkrijgen van geld of goederen van een persoon of organisatie door middel van dreiging en/of geweld (Morris, 2004). De cybercrime verschijningsvorm van afpersing is meestal gelegen in het dreigen met: een dDoS aanval (zie paragraaf (d)DoS), het beschadigen van essentiële gegevens of het publiekelijk maken van gevoelige informatie. Vaak worden onder dreiging van een dDoS aanval geld of goederen geëist van bedrijven die voor de bedrijfsvoering sterk afhankelijk zijn van het internet, zoals de bancaire sector. Indien niet wordt betaald, gaat de website uit de lucht met mogelijk financiële en reputatieschade als gevolg (Hulst & Neve, 2008). Hacking Er is sprake van hacking wanneer iemand zich op ongeautoriseerde wijze van buitenaf toegang verschaft tot ICT componenten, zoals computers, netwerken, servers of informatiesystemen. Er worden verschillende technieken van hacking gebruikt om toegang te krijgen tot de ICT componenten. Dit varieert van het raden van wachtwoorden tot het uitbuiten van beveiligingslekken in software en computersystemen (Hulst & Neve, 2008). Botnets Een botnet is een verzameling van geïnfecteerde zombiecomputers. Botnets worden veelvuldig ingezet voor dDoS aanvallen (zie paragraaf (d)DoS), maar ze worden ook gebruikt voor phishing, spamming en identiteitsfraude via het internet. Een botnet bestaat uit meerdere bots die ongemerkt automatisch werk kunnen uitvoeren. Computers die besmet zijn met een bot kunnen zonder medeweten van de gebruiker op afstand worden bestuurd (Choo, 2007). Botnets nemen een centrale plaats in bij de aanvalsmethoden van cybercrime. Een botnet verstuurt bijvoorbeeld spam om gebruikers te lokken naar een besmette website. Via een besmette website kan malware worden geïnstalleerd met een exploit door misbruik te maken van een kwetsbaarheid in software van de eindgebruiker. De malware kan de besmette computer tot een bot maken en daarmee onderdeel van een botnet. De malware kan gegevens inzien op de computer en meekijken welke handelingen de gebruiker uitvoert. Gegevens worden van de computer afgevangen en opgeslagen op een door de aanvaller bepaalde locatie (drop zone). De Command & Control (C&C) servers zorgen voor updates van een bot met verbeterde functionaliteit. In onderstaande figuur staat de wijze waarop de belangrijkste aanvalsmethoden met elkaar samenhangen (GOVCERT.NL, 2010).
Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
13
Figuur 3 Relaties aanvalsmethoden (GOVCERT.NL, 2010)
(d)DoS Een DoS aanval staat voor Denial of Service aanval, wat zoveel betekent als het versturen van massale hoeveelheden data naar een server, mailbox of router, waardoor websites, e-maildiensten en computernetwerken overbelast raken en onbereikbaar worden. Wanneer de aanval vanaf meerdere systemen tegelijk wordt gepleegd, bijvoorbeeld door gebruik te maken van een botnet, is er sprake van een distributed DoS aanval (dDoS aanval). In de meeste gevallen gaat een dDoS aanval gepaard met een poging tot afpersing. Cybercriminelen kiezen als doelwit vaak bedrijven en instellingen die voor de bedrijfsvoering sterk afhankelijk zijn van het internet (Hulst & Neve, 2008). Recente voorbeelden van succesvolle dDoS aanvallen hebben plaatsgevonden in december 2010 tegen onder andere Mastercard, Visa, PayPal en een Zwitserse bank (Certified Secure, 2010; Certified Secure, 2010). Deze dDoS aanvallen waren een vergelding op de acties die de betreffende bedrijven tegen Wikileaks hebben getroffen. In Nederland heeft recent een dDoS aanval op een grote bank plaatsgevonden, waardoor de website van de betreffende bank enige tijd niet bereikbaar was (Nu.nl, 2011). Spamming &phising Spamming is het massaal verzenden van ongewenste e-mail zonder voorafgaande toestemming van de ontvanger. Het massale bereik is de kracht van spam als marketinginstrument, waarbij een reactie van een klein percentage van de miljarden spam berichten al kan leiden tot grote winst. Spam wordt om diezelfde reden steeds vaker ingezet als middel voor phishing, om mensen informatie te ontlokken om hen daarmee vervolgens te kunnen oplichten (Hulst & Neve, 2008). Malware Malware (afkorting van malicious software) is het containerbegrip voor computerprogramma’s die zonder toestemming van de eigenaar of beheerder draaien op een computer en het systeem iets laten doen naar de wens van een buitenstaander (KLPD, 2007). Computers kunnen op uiteenlopende manieren worden besmet met malware. Er zijn verschillende vormen van malware, zoals virussen, wormen, spyware, adware, ransomware en trojans. Bekende malware die zich richten op bancaire systemen in Nederland zijn onder andere, Carberp, Silon, Zeus, Sinowal en Clod.
Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
14
Defacing & pharming Volgens van der Hulst is er sprake van defacing wanneer een website zonder toestemming wordt veranderd, vervangen, vernield of wanneer bezoekers van een website zonder het te weten automatisch worden doorgeleid naar een andere website (Hulst & Neve, 2008). Het doorgeleiden naar een nepwebsite wordt ook wel pharming genoemd. Defacing wordt net als dDoS aanvallen als middel ingezet voor afpersing. Internetgebruikers die als gevolg van pharming ten onrechte in de veronderstelling zijn met een originele website te maken te hebben, kunnen vertrouwelijke gegevens uitwisselen met de omgeleide nepwebsite, zoals wachtwoorden en creditcardgegevens (Hulst & Neve, 2008). Corrupt ICT-personeel, infiltratie criminele ICT’ers Uit de literatuurstudie van het WODC blijkt de verwachting dat, mede gezien het feit dat relatief veel ICT personeel door bedrijven veelal extern wordt ingehuurd, criminele netwerken zich in toenemende mate via corruptie (dus met hulp van binnenuit) een weg proberen te banen naar digitale informatie. ICT-werknemers die kunnen worden omgekocht of bedreigd, zijn vooral personen die een hoger niveau aan bevoegdheden hebben dan de gemiddelde eindgebruiker, zoals programmeurs, systeem- en gegevensbeheerders. Tevens geldt dat relatief veel bedrijven en organisaties tegenwoordig ICT-professionals en consultants inhuren om systemen en applicaties te bouwen, te testen en te implementeren. Dit vormt een groot veiligheidsrisico wanneer criminelen zich als ICT-consultant op de markt gaan aanbieden. Motieven kunnen variëren van het plegen van fraude, diefstal en chantage tot het gebruiken van geheime informatie voor het plegen van aanvallen op systemen (Hulst & Neve, 2008). Inhuur ICT-experts Door de toegenomen beveiliging van bedrijfsnetwerken wordt het steeds moeilijker om toegang tot informatie te krijgen van buitenaf. Georganiseerde criminele en terroristische netwerken kunnen, bij gebrek aan de nodige technische expertise en vaardigheden, de kennis inhuren van experts (Hulst & Neve, 2008). Vooral in de voormalige Sovjet-Unie en India zijn op het moment hoogopgeleide ICT-specialisten die in eigen land niet of moeilijk aan betaald werk kunnen komen (Kshetri N. , 2010). De opbrengsten van hacking zijn bovendien dusdanig uitnodigend dat ook West-Europese experts, vooral jongeren, de georganiseerde misdaad kunnen worden ingezogen door hun diensten aan te bieden aan criminelen (Hulst & Neve, 2008).
2.8
Trends in cybercrime en actuele dreigingen
Binnen de diverse verschijningsvormen van cybercrime wordt er gebruik gemaakt van verschillende technologische middelen en kan de modus operandi sterk van elkaar verschillen. De verschillen in de modus operandi kunnen worden weergegeven door gebruik te maken van het Verizon Enterprise Risk and Incident Sharing (VERIS) raamwerk (Verizon Business, 2011). Het VERIS raamwerk wordt gebruikt voor het analyseren van beveiligingsincidenten en is de grondslag voor de rapportage van Verzion Data Breach Investigations Report (Verizon, 2010). Het raamwerk is een set van metrieken die een gemeenschappelijke taal vormen voor het beschrijven van beveiligingsincidenten en het raamwerk is ontworpen om statistieken mogelijk te maken van de details van een beveiligingsincident. Het VERIS raamwerk geeft aan dat in de praktijk een grote diversiteit van mogelijkheden binnen de verschijningsvormen van cybercrime aanwezig is. Ter illustratie van de complexiteit van een mogelijke cybercrime dreiging, is in Bijlage F, VERIS - Threat action een gedeelte van het VERIS raamwerk opgenomen. Daarbij is een drietal aspecten uitgewerkt om de grote diversiteit binnen de verschijningsvorm aan te geven. Het is niet zinvol om deze aspecten nader in deze scriptie toe te lichten, omdat het geen toegevoegde waarde heeft in het beantwoorden van de gestelde onderzoeksvragen. Om inzicht en grip te krijgen op de ontwikkelingen van cybercrime is het doelmatig de ontwikkelingen onder te verdelen in een aantal deelgebieden. Daarbij wordt aangesloten bij de vijf onderkende deelgebieden, zoals die door het Internet Security Forum (ISF) worden gehanteerd, namelijk de deelgebieden; politiek, juridisch, technologisch, sociaal-cultureel en economisch (zie Figuur 4 Facetten cybercrime). Bij het beschrijven van de ontwikkelingen op deze deelgebieden is het van belang de richting daarvan te bepalen. Deze trends zijn een beschrijving van het verwachte verloop van een bepaalde macro-ontwikkeling op een termijn van circa drie jaar. In de onderstaande paragrafen worden de trends met betrekking tot cybercrime op de betreffende deelgebieden kort beschreven. In Bijlage G, Trends is een volledige uitwerking van de ontwikkelingen opgenomen. Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
15
ch
Politiek
E co n
Scenario cybercrime
So cia alcu ltu re el
is c h
o m is
Ju rid
Politiek I. Toename overheidsinspanningen De overheid neemt in toenemende mate maatregelen tegen cybercrime, met een steeds bredere reikwijdte (GOVCERT.NL, 2010). In februari 2011 is de Nationale Cyber Security Strategie (NCSS) door minister Opstelten van Veiligheid en Justitie aangeboden aan de Tweede Kamer. Daarbij is aangegeven dat bij de Nederlandse politie meer capaciteit wordt vrijgemaakt om cybercriminaliteit aan te pakken (Ministerie van Veiligheid en Justitie, 2011). Tevens is in maart 2011 door de NVB aangekondigd dat het Korps Landelijke Politiediensten (KLPD), het Landelijk Parket en de banken gaan samenwerken in het Electronic Crimes Taskforce (ECTF) tegen cybercriminaliteit zoals internetfraude (NVB, 2011).
ch gis o l no ch e T
Figuur 4 Facetten cybercrime
Economisch II. Toename afhankelijkheid van het internet Steeds meer activiteiten verplaatsen zich naar het internet. Nederlanders gebruiken internet meer en meer als alternatief voor winkelen en bankieren (GOVCERT.NL, 2010). Het internetbankieren groeit in Nederland. Van 9,7 miljoen gebruikers in 2008 tot naar verwachting 11,2 miljoen in 2013 (Forrester Research, 2008). Intensifiëren van verkoopkanalen en communicatie via het internet kan ervoor gaan zorgen dat alternatieve manieren van interactie met organisatie, zoals banken, veelal zullen verdwenen. Dit vergroot de afhankelijkheid van het internet en zorgt voor een verhoogt risico op langdurige uitval van de dienstverlening, bij aanhoudende regionale Internet storingen (ISF, 2010). Een voorbeeld hiervan heeft zich in Utrecht voorgedaan, waar ruim een dag geen internet en telefonie beschikbaar was, naar aanleiding van een kabelbreuk. Bij veel winkels kon tevens niet worden gepind (Nu.nl, 2011). III. Toename professionalisering cybercrime Bij hightech cybercrime hebben technische specialisten de leiding, waarbij ze hun doelwitten steeds gerichter uitzoeken en benaderen (HP, 2010). Cybercrime heeft zich geprofessionaliseerd tot een digitale underground economy met een hoge innovatiegraad, snelle onderlinge communicatie en handel. Geavanceerdere malware en diensten kosten al snel in de orde van duizenden dollars, waardoor dergelijk malware wordt beveiligd tegen illegaal kopiëren (SecureWorks, 2010). Naar mate de cybercrime economie blijft groeien en het eenvoudiger wordt authenticatiegegevens te bemachtigen, ontstaat er bij de cybercriminelen een groeiende behoefte naar money mules. Het rekruteren van money mules zal naar verwachting een belangrijk aandachtspunt zijn voor investeringen van de cybercriminelen (Cisco, 2011). Een mogelijk eerste indicatie hiervan in Nederland is waar te nemen, door het groeiende aantal jongeren dat zich laat ronselen door mule recruiters (ronselaars) en hun rekeningen beschikbaar stelt voor cybercriminelen (Politie, 2011). In 2010 zou het aantal money mules rond 5000 liggen (NVB, 2011). IV. Toename overlay services Sinds 2009 zijn overlay services in Nederland actief. De overlay services vroegen klanten, bijvoorbeeld bij het doen van een betaling op internet, hun gegevens om in te loggen binnen de persoonlijke internetbankieren. Met deze gegevens kon de overlay service inloggen bij de bank, zo betalingen aanbieden en uitvoeren. In een onafhankelijke risicoanalyse onderschrijft KPMG dat de risico’s van overlay services voor het vertrouwen in internetbankieren hoog zijn (NVB, 2010). Om internetbankieren veilig te houden, moeten klanten de inloggegevens juist geheim houden en niet afgeven aan derden. Volgens het MOB (Maatschappelijk Overleg Betalingsverkeer) bieden overlay services onvoldoende waarborgen voor de veiligheid van de betrokken partijen. Omdat aanbieders van dergelijke diensten niet onder toezicht staan, heeft het MOB deze zorgen kenbaar gemaakt aan de Minister van Financiën en hem gevraagd voor voldoende waarborgen te zorgen (DNB, 2009; DNB, 2009).
Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
16
Sociaal-cultureel V. Laag beveiligingsbewustzijn en hoog vertrouwen in ICT Het vertrouwen dat Nederlandse burgers en bedrijven hebben in de veiligheid van ICT en internet in het bijzonder is hoog in vergelijking met andere landen. Burgers zijn naar eigen beleving voldoende voorgelicht en toegerust om veilig gebruik te kunnen maken van internet (GOVCERT.NL, 2010). Een peiling uit 2009 wijst uit dat 70 procent van de internetgebruikers elektronisch bankieren veilig vindt (TNO, 2009). In het verlengde van het vertrouwen in de veiligheid van ICT staat het beveiligingsbewustzijn. Volgende de KLPD is het veiligheidsbewustzijn in de maatschappij op het gebied van cybercrime vaak nog laag (KLPD, 2010). VI. Toename social engineering & identiteitsdiefstal Om de slagingskans van hun aanvallen te verhogen, gaan cybercriminelen steeds gerichter te werk op specifieke slachtoffers (Verizon, 2010). In openbare bronnen als sociale netwerken is veel persoonlijke informatie beschikbaar. Met deze informatie worden mensen verleid tot het verstrekken van vertrouwelijke informatie, zoals (inlog-) codes en wachtwoorden om beveiligingsmaatregelen te omzeilen. De toename in social engineering en identiteitsdiefstal is gerelateerd aan de verwachting op gerichte aanvallen op individuen (spearphishing) (FI-ISAC, 2010). VII. Lage aangiftebereidheid De bereidheid van burgers en bedrijven om aangifte te doen van cybercrime is niet erg hoog. Uit een (kleinschalige) internetenquête blijkt bijvoorbeeld een aangiftebereidheid van vier procent (Leukfeldt, Domenie, & Stol, 2010). Mogelijke oorzaken die worden genoemd zijn de beperkte impact op het slachtoffer en angst voor imagoschade (vooral bij bedrijven). Bij bedrijven wordt in onderzoeken van Ernst & Young een hogere en stijgende aangiftebereidheid gevonden, vooral bij grote organisaties (Ernst & Young, 2010). Grote organisaties zijn veel meer geneigd om aangifte te doen dan kleine (GOVCERT.NL, 2010). VIII. Opkomst Generation Y De opkomst van de Internet generatie ofwel Generation Y (Wikipedia, 2011), in combinatie met een hoge mate van adoptie van persoonlijke technologie, heeft geleid tot een onomkeerbare verandering in houding ten opzichte van de bescherming van informatie. Voor Generation Y zijn de grenzen tussen werk en het privéleven minder relevant, waardoor deze grenzen vervagen (ISF, 2010). Dit kan mogelijk van invloed zijn op de wijze waarop personen van Generation Y omgaan met vertrouwelijke informatie. Een andere trend die van invloed is op de IT in relatie tot de opkomst van Generation Y, is een "anything goes" mentaliteit, die gebruikers toestaat om toepassingen en programma's van hun keuze te downloaden en te beheren (HP, 2010). Deze attitude brengt met zich mee, dat de aard van de beheersmaatregelen zwakker wordt, doordat technische maatregelen worden vervangen door het plaatsen van een grotere verantwoordelijkheid voor de beveiliging bij de gebruikers. Technologisch IX. Software kwetsbaarheden Software wordt nog altijd gezien als een van de belangrijkste bronnen van kwetsbaarheden. De groei van het aantal nieuw bekend geworden ernstige en middelzware kwetsbaarheden in software stabiliseert nu na jaren van sterke groei (GOVCERT.NL, 2010). In het Top Cyber Security Risks Report van HP wordt aangegeven dat web-applicaties één van de grootste risico’s blijven voor bedrijfsnetwerken (HP, 2010). Een toename in de dreiging van onveilige programmatuur wordt versterkt door de druk op het steeds sneller ontwikkelen van software, waardoor er minder zorgvuldig ontwikkelde programma’s en webapplicaties ontstaan. Tevens wordt het uitbuiten van diverse bugs sneller benut (FI-ISAC, 2010). Zo kunnen bijvoorbeeld standaard hackertools gebruikt worden voor het vinden van kwetsbaarheden en kunnen standaard exploits worden toegepast (GOVCERT.NL, 2010). Een positieve ontwikkeling is het toenemende aantal leveranciers dat een automatisch patchmechanisme inbouwt in hun software. Hiertoe behoren enkele belangrijke bedrijven: Google, Microsoft, Apple en Adobe. De gebruiker hoeft zelf weinig te doen, waardoor de software makkelijker up-to-date blijft (GOVCERT.NL, 2010). X.
Monocultuur en internetinfrastructuur kwetsbaarheden Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
17
Een monocultuur van gebruikte software vormt een kwetsbaarheid. Grote groepen gebruikers kunnen in deze situatie op dezelfde manier worden aangevallen en vormen een aantrekkelijk doelwit volgens het principe van de economy of scale (Wikipedia, 2010). Er is in Nederland een monocultuur op het gebied van besturingssystemen voor pc’s en laptops en browsers, pdf-readers en Adobe Flash (GOVCERT.NL, 2010). De internetinfrastructuur bevat kwetsbaarheden, die van belang zijn omdat het internet als basis wordt gebruikt voor veel zakelijke en privétoepassingen. De zwakte zit in de protocollen waarop internet als netwerk functioneert. Protocollen als IP (Internet Protocol), BGP (Border Gateway Protocol) en DNS (Domain Name System) zijn ruim veertig jaar oud en destijds ontworpen voor het routeren van gegevens, niet voor vertrouwelijkheid en integriteit van gegevens (GOVCERT.NL, 2010). XI. Toename mobiele communicatie Steeds meer mensen gebruiken hun smartphone voor meer dan alleen telefoneren, bijvoorbeeld om voor het versturen van e-mail of om bedrijfsinformatie te raadplegen. Het gebruik van dergelijke apparaten brengt een aantal risico’s met zich mee (GOVCERT.NL, 2009; ISF, 2010). De smartphones staan vaker en langer aan dan gewone computers en hebben meerdere verbindingen met de digitale buitenwereld waardoor het apparaat voortdurend bereikbaar is van buitenaf. Daarnaast schiet de kennis van organisaties vaak tekort over het veilig beheren van mobiele apparatuur en is het voor hen ook minder beheersbaar dan vaste apparatuur (GOVCERT.NL, 2010). De toename van het aantal smartphones en het gebruik van mobiel internet is inmiddels al herkend als nieuw kanaal voor de klant/bank relatie. Als financiële transacties via het mobiele kanaal toenemen zal naar waarschijnlijkheid ook de dreiging toenemen (FI-ISAC, 2010). Cisco geeft in hun jaarlijkse beveiligingrapportage aan dat ze een verschuiving zien van cybercriminelen die zich richten op de computer naar mobile apparatuur (Cisco, 2011). Daarnaast is het met beperkte middelen mogelijk om een GSM signaal af te luisteren (GOVCERT.NL, 2010). Het afluisteren van authenticatiegegevens die via SMS worden verstuurd, kan leiden tot frauduleuze transacties. Daarbij dient de kanttekening worden geplaatst, dat dergelijke dual channel communicatie veelal het tweede kanaal voor authenticatie vormt. XII. Toename consumerization Het begrip consumerization is een neologisme dat de trend beschrijft, waarbij nieuwe IT-producten en diensten eerste in de consumentenmarkt verschijnen en vervolgens zich verspreiden in zakelijke organisaties (Wikipedia, 2010). Consumerization is in sterke mate toegenomen doordat mensen privéapparatuur en internetapplicaties, niet alleen thuis maar ook op het werk gebruiken (GOVCERT.NL, 2010; Gartner Research, 2009; Gartner Research, 2010). De beveiliging van een organisatie wordt hierdoor beïnvloed (GOVCERT.NL, 2010; HP, 2010). Voor veel organisaties is het bedrijfsnetwerk als harde buitengrens van de eigen digitale omgeving vervaagd. Mobiel werken, het koppelen van bedrijfsnetwerken en het aansluiten van privéapparatuur op het bedrijfsnetwerk hebben de buitengrens veranderd in een dun membraam (ISF, 2010). Steeds meer financiële instellingen zullen als gevolg van erosie van de netwerkgrenzen transformeren naar een internet centrische organisatie, waarbij het belang van end point beveiliging steeds groter wordt (FI-ISAC, 2010). XIII. Toename cloud computing Het gebruik van Software as a Service (SaaS) en cloud computing neemt toe, ingegeven door voordelen als lagere kosten, snelle ingebruikname en hergebruik van bestaande functionaliteit (Gartner Research, 2010). Er dreigt een ‘vlucht’ naar cloud computing zonder passend risicomanagement (Gartner Research, 2010; ISF, 2010). Grote cloud computing leveranciers zijn een aantrekkelijk doelwit voor cybercriminelen, doordat ze veel data beschikbaar hebben om te ontsluiten De klant krijgt dan onbedoeld een hoger risicoprofiel door aansluiting bij grote cloud computing leveranciers (GOVCERT.NL, 2010). In het rapport Financial Institutions Information Threat Monitor 2010 wordt aangegeven dat in de bancaire sector het gebruik van cloud computing vooralsnog niet wordt ingezet in het primaire rekencentrum en voor primaire processen. Maar voor secundaire processen wordt er wel gebruik gemaakt van cloud computing (FI-ISAC, 2010). Cybercriminelen maken in de combinaties van aanvalsmethoden ook gebruik van cloud computing. Daarbij wordt het moeilijker, mede door het doorverhuren van diensten, om de activiteiten te herleiden naar de cybercriminelen (GOVCERT.NL, 2010). XIV.
Toename geavanceerde malware en botnets Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
18
In malware worden meerdere verspreidingstechnieken ingebouwd om een zo groot mogelijke verspreiding te realiseren en detectie te vermijden, hierdoor zijn botnets nog steeds relatief makkelijk op te zetten. Door botnets decentraal aan te sturen zijn de Command & Control servers minder zichtbaar hierdoor moeilijker te bestrijden (GOVCERT.NL, 2010). Symantec signaleert een aanzienlijke groei in de ontwikkeling, verkoop en het gebruik van steeds geavanceerdere malware (Symantec, 2011). Naast de diversiteit van verspreidingsmethoden is er een sterke groei van het aantal gevonden unieke varianten van malware (Symantec, 2010). Bekende malware die zich richten op bancaire systemen in Nederland zijn onder andere, Carberp, Silon, Zeus, Sinowal en SpyEye. De gemiddelde detectiegraad van virusscanners voor het detecteren van deze malware is zeer laag. Vooral landen met een hoog BNP (Bruto Nationaal Product) staan in de top 10 van meest geïnfecteerde landen (Microsoft, 2011). XV. Toename STP en standaardisering betalingsverkeer Bancaire processen worden in toenemende mate geautomatiseerd, waarbij de menselijke tussenkomst tot een minimum wordt beperkt. Dit wordt ook wel Straight Through Processing (STP) genoemd. De uitvoering van deze processen verschuift van de traditionele bankkantoren naar technologische oplossingen via het internet. Daarbij worden gedeelten van de bankprocessen niet meer intern uitgevoerd, maar door de klant. Adequate controles op de betrouwbaarheid van deze gegevens zijn daardoor essentieel. Door de invoering van SEPA (Single Euro Payments Area) zullen internationale transacties sneller kunnen worden doorgevoerd. De keerzijde van deze ontwikkeling is dat het hierdoor eenvoudiger wordt voor cybercriminelen internationaal te opereren. Het werven van money mules door een mule recruiter (zie Bijlage D, Rollencomplex) wordt door de introductie van SEPA eenvoudiger. Een mule recruiter hoeft daarbij geen lokale money mules te rekruteren, maar kan internationaal binnen de EU opereren (Inside Cyber-Crime Money Mule Operations, 2011). Juridisch XVI. Aanscherping wet- en regelgeving De overheid neemt in toenemende mate maatregelen tegen cybercrime. Wetgevingsvoorstellen voor diefstal en heling van gegevens, en Notice-and-Take-Down (NTD) (NICC, 2008) zullen worden geconcretiseerd. In het regeerakkoord van de VVD, CDA en PVV is een meldplicht voor datalekken opgenomen voor Nederlandse bedrijven en overheden. Ook moeten misbruik van privégegevens worden gemeld. Als de meldplicht niet wordt nageleefd, mag de toezichthouder boetes uitdelen. Het kabinet moet met een uitgewerkt voorstel komen, waarna zowel de Tweede Kamer als de Eerste Kamer het voorstel voor de meldplicht moet goedkeuren. Daarna krijgt de meldplicht pas kracht van wet (Tweakers.net, 2010).
2.9
Conclusie
Cybercrime betreft alle vormen van criminaliteit waarbij ICT een wezenlijke rol speelt. De professionalisering van cybercrime wordt in toenemende mate door financieel gewin gedreven. Daarbij is een underground economy ontstaan die qua economische principes in grote mate vergelijkbaar is met de ICT markt. Deze economie wordt gestuwd door een toenemende globalisering, het groeiend belang van informatieoverdracht en de technologische veranderingen. De organisatie van cybercrime wordt efficiënter en effectiever door de specialisatie en taakdiversificatie van cybercriminelen. In toenemende mate worden cybercriminelen doelgerichter en wordt de benadering toegespitst op het potentiële slachteroffer of de doelgroep. Er is een toenemende afhankelijkheid van internet, onder ander als gevolg van het intensifiëren van verkoopkanalen en communicatie via het internet. Dit wordt versterkt door het reduceren van alternatieve manieren van interactie tussen de klant en de banken. Een toename in straight through processing en het standaardiseren van het betalingsverkeer in de bancaire sector, maakt de bancaire sector in toenemende mate interessant als doelwit voor cybercriminelen. De beschreven economische en technologische trends die de ontwikkeling van cybercrime beïnvloeden, zorgen voor een toenemende druk op de risicobeheersing in de financiële sector. Daarbij wordt de kans op schade door cybercrime bij Nederlandse banken groter.
Beheersing van cybercrime bij Nederlandse “klein” banken | Professionalisering cybercrime
19
3 Cybercrime in de bancaire sector 3.1
Inleiding
Dit hoofdstuk beschrijft in hoeverre de ontwikkelingen op het gebied van cybercrime, zoals in het vorige hoofdstuk beschreven, van invloed zijn op de organisatie van de interne risicobeheersing en de informatiesystemen bij Nederlandse “klein” banken. Daarbij is het van belang de bancaire sector nader te beschouwen en een onderscheid te maken tussen de diverse banken in het kader van cybercrime. Voor de beschrijving van de interne organisatie rond de risicobeheersing van cybercrime wordt ingegaan op het algemene governance model bij een bank. Waarna de specifieke organisatorisch maatregelen omtrent de risicobeheersing van cybercrime worden toegelicht. Gezien de aard van cybercrime, die sector en landsgrens overschrijdend is, wordt in dit hoofdstuk tevens aandacht besteed aan de interbancaire en sectoroverstijgende organisatie die wordt vormgegeven door diverse samenwerkingsverbanden. Vervolgens wordt de invloed van cybercrime op de organisatie van de interne risicobeheersing en de informatiesystemen bij “klein” banken beschouwd.
3.2
De bancaire sector in Nederland
In Nederland zijn zowel binnenlandse als buitenlandse banken in de bancaire sector actief. Banken moeten een vergunning hebben om diensten in Nederland te mogen aanbieden. Alle banken met een vergunning zijn opgenomen in het Register van de Wet financieel toezicht (Wft). Conform artikel 52 van de Wet Toezicht Kredietwezen (Wtk) houdt De Nederlandsche Bank (DNB) een register bij van de banken in Nederland. Het aantal banken, conform artikel 2.12 en 2.13 van de Wet op Financieel Toezicht (Wft), was in Nederland 86 per ultimo 2010 (DNB, 2011). Dit komt overeen met het aantal leden van de Nederlandse Vereniging van Banken (NVB), zoals aangegeven in hun jaarverslag (NVB, 2010). Binnen dit aantal banken behoren ook buitenlandse banken die diensten in Nederland aanbieden. Het risicoprofielen van deze 86 banken, met betrekking tot cybercrime, verschillen op diverse elementen. Drie belangrijke elementen die dit risicoprofiel bepalen zijn het aantal diensten, de aard van de diverse diensten die via het internet worden aangeboden en de omvang van de daarbij horende klantengroepen. Naar mate de aard van de diensten een groter vertrouwelijk karakter heeft, het aantal diensten groter is en de omvang in het gebruik in aantallen personen toeneemt, zal het risicoprofiel met betrekking tot cybercrime ook toenemen. Op basis van een analyse van het aantal banken, de exposure (risicoprofiel) naar het internet en het nationale karakter, zijn er twaalf banken in Nederland die in het kader van dit onderzoek kunnen worden gezien als de totale populatie van banken. Binnen deze groep banken is op hoofdlijnen op basis van het risicoprofiel een tweedeling aan te brengen. Daarbij kunnen drie multinationals als de “groot” banken worden getypeerd en de overige negen banken als “klein” banken. Zoals in paragraaf 1.5 Methodologische verantwoording is aangegeven, bestond de referentdoelgroep uit één van de “groot” banken. En bestond de onderzochte groep “klein” banken uit vier van de negen overige bancaire instellingen.
3.3
Interne organisatie risicobeheersing en informatiesystemen
Binnen de bancaire bedrijfsvoering zijn er diverse soorten risico’s die moeten worden beheerst. De risico’s met betrekking tot cybercrime zijn daarvan een deelverzameling. De organisatie van de interne risicobeheersing, om het geheel aan risico’s te beheersen, is op abstract niveau vormgegeven in een governance model. Het governance model, bij zowel “klein” banken als de referentdoelgroep, is op het Three Lines of defence model (3LoD) (ECIIA, 2011) gebaseerd. De First line of defence is het operationeel management, ook wel de lijnorganisatie genoemd. Zij zijn verantwoordelijk voor het beoordelen, beheersen en beperken van de risico’s. De Second line of defence is de risk management functie, die kan zijn ondergebracht bij de afdelingen Informatiebeveiliging, fraude-/veiligheidszaken, risico management, compliance en/of kwaliteitsmanagement. De risk management functie faciliteert en monitoort de uitvoering van een effectieve risicobeheersing door het operationeel management. De Third line of defence is de interne auditfunctie die zekerheid biedt aan het senior management, de Raad van Bestuur (RvB) en het Audit Committee , over de effectiviteit van de risicobeheersing binnen de organisatie, inclusief de wijze waarop de lijnorganisatie en de risico management functies functioneren. De omvang qua personele bezetting, van de Beheersing van cybercrime bij Nederlandse “klein” banken | Cybercrime in de bancaire sector
20
uitoefening van de hierboven beschreven functies, verschilt zowel binnen de “klein” banken als in vergelijking met de referentdoelgroep.
Figuur 5 Three lines of defence model (FERMA & ECIIA, 2010)
Naast het Three Lines of defence model is binnen de “klein” banken en de referentdoelgroep een formele crisisorganisatie aanwezig. Deze crisisorganisatie is op ICT gerelateerde calamiteiten, waaronder cybercrime, gericht. En is bekend onder verschillende namen, zoals Computer Emergency Response Team (CERT), Security Incident Response Team (SIRT) of E-Calamiteiten Team (ECT). De detailinvulling van een dergelijke crisisorganisatie is veelal bank specifiek, maar het doel en de randvoorwaarden zijn overeenkomstig. Namelijk het coördineren en op gestructureerde wijze de gevolgen van een calamiteit te beperken. De functionarissen die aan de crisisorganisatie deelnemen vertegenwoordigen relevant aandachtsgebieden en zijn beslissingsbevoegd of expert op het aandachtsgebied. De crisisorganisatie bestaat onder andere uit, Informatiebeveiliging, Communicatie, Juridisch, Compliance, IT, en verantwoordelijken van diverse Lines of Business. De crisisorganisatie heeft mandaat om in crisissituaties ingrijpende maatregelen te treffen. De crisisorganisatie wordt alleen bij grote beveiligingsincidenten ingezet, de afhandeling van kleinere incidenten gebeurt veelal binnen het reguliere (Security) Incidentproces en bij fraude- en veiligheidszaken. Buiten de crisisorganisatie en de reguliere processen is een informeel circuit in de organisaties aanwezig om snel te kunnen handelen in het geval van mogelijke beveiligingsincidenten. De gebruikers- en verwerkingsorganisatie binnen de banken zijn overwegend functioneel per Line of business (LoB) ingericht. De LoB’s ontsluiten verschillende diensten en producten via het internetkanaal. Hierdoor zijn risico’s van cybercrime via het internetkanaal LoB overstijgend en is een regiefunctie voor het beheersen van de ketenrisico’s belangrijk. Dit wordt versterkt doordat verantwoordelijkheden omtrent het internetkanaal, veelal verdeeld zijn over verschillende afdelingen binnen een LoB en de stafafdelingen binnen de First & Second line of defence. De referentdoelgroep heeft een specifiek governance model voor de beveiliging van de virtuele (internet) kanalen opgezet. Daarbij wordt tevens invulling gegeven aan een regiefunctie voor de beveiliging van de keten. Binnen enkele van de “klein” banken worden maatregelen getroffen om een dergelijke regiefunctie organisatorisch in te richten en inhoudelijk vorm te geven. Naar mate de organisatie qua omvang kleiner is en LoB overstijgende communicatie eenvoudig en snel verloopt, lijkt er minder behoefte te zijn voor een dergelijke regiefunctie. Naar mate delen van de technische of procesinrichting zich buiten de directe organisatie van de bank bevinden, door bijvoorbeeld outsourcing van de technische infrastructuur, is er meer behoefte aan een dergelijke regiefunctie voor het internetkanaal. Detectie van cybercrime vindt plaats door operationele monitoring van de bancaire informatiesystemen en de technische infrastructuur. De referentdoelgroep heeft een SOC (Security Operations Center), als onderdeel van de IT-organisatie ingericht. Het SOC zorgt voor de continue monitoring van de systemen met behulp van Beheersing van cybercrime bij Nederlandse “klein” banken | Cybercrime in de bancaire sector
21
een SIEM (Security Information and Event Manager). Binnen de “klein” banken zijn organisatorisch vergelijkbare afdelingen ingericht. De organisatie van de informatiesystemen is bij zowel de referentdoelgroep als de “klein” banken op een meer lagen beveiligingsmodel (defense-in-depth) gebaseerd. Dit conceptueel model veronderstelt dat rond de waardevolle gegevens, meerdere lagen met diverse beveiligingsmaatregelen zijn genomen om de beschikbaarheid, vertrouwelijkheid, en integriteit te waarborgen. Meerdere maatregelen moeten worden doorbroken om de gegevens te kunnen compromitteren (Krehnke & Krehnke, 2007). De organisatie van de interne risicobeheersing en de informatiesystemen maken deel uit van een stelsel van beheersmaatregelen. Niet alleen de interne organisatie is daarbij relevant, maar ook de interbancaire en sector overstijgende organisatie.
3.4
Interbancaire organisatie
De risico’s en de impact van cybercrime zijn overstijgend aan een individuele bank, maar ook aan de bancaire sector. Er zijn diverse samenwerkingsverbanden waarbinnen de problematiek van cybercrime wordt geadresseerd. Interbancair zijn er zowel formele als informele initiatieven die met name op het delen van kennis zijn gericht. Formele initiatieven worden door de Nederlandse Vereniging van Banken (NVB) geïnitieerd. De NVB behartigt de gemeenschappelijke belangen van de bancaire sector in Nederland. Met betrekking tot kennisdeling op het gebied van cybercrime heeft de NVB een overwegend faciliterende rol. Onder het bestuur van de NVB zijn diverse commissies gepositioneerd, zoals de Commissie Betalingsverkeer (CBV) en de Commissie Toezicht. De CBV bestaat uit de eindverantwoordelijken binnen de verschillende banken voor betalingsverkeer. Binnen deze commissies zijn verschillende werkgroepen actief op specifieke deelgebieden. Binnen de CBV zijn onder andere de werkgroepen Informatiebeveiliging (WGIB) en Cards (WGC) actief. Daarnaast is er de werkgroep Audit met als subwerkgroep IT-audit (Coördinatie IT-Audit, CIA). Verspreiding van informatie is gericht op de leden van een betreffende werkgroep, middels stukken die aan de werkgroep worden aangeboden. Communicatie naar alle NVB leden gebeurt door middel van een Leden Circulair (LC). Tevens is er een ledennet opgericht voor alle leden van de NVB waar (semi-) publieke informatie wordt gedeeld. Banken die niet deelnemen aan de commissies en werkgroepen van de NVB organiseren op eigen initiatief overlegstructuren, om voor hun belangrijke aandachtsgebieden te bespreken. Deze informele initiatieven hebben bijvoorbeeld betrekking op Business Continuity Management (BCM) of internal audit. Voor het beheersen van de risico’s van cybercrime is een aantal sector overschrijdende samenwerkingsverbanden actief. Vanuit de overheid is het Programma Nationale Infrastructuur ter bestrijding van Cybercrime (NICC) geïnitieerd, dat in oktober 2006 heeft geresulteerd in het Informatieknooppunt Cybercrime (IKC). Sinds januari 2011 is het programma NICC gestopt en is het IKC ondergebracht bij TNO als onderdeel van het Nederlandse platform CPNI.nl (NICC, 2010). Het IKC is een publiek private samenwerking (PPS) voor de vitale infrastructuur in Nederland. Het IKC is op het model voor ‘Information Exchange’ van het Centre for the Protection of National Infrastructure (CPNI) in het Verenigd Koninkrijk gebaseerd. Dit model is opgebouwd uit diverse overleggen, ook wel Information Sharing and Analysis Center (ISAC) genoemd, waarin vertegenwoordigers van bedrijven per sector onderling vertrouwelijke informatie uitwisselen (NICC, 2008). Sinds de start van het IKC is de bancaire sector vertegenwoordigd in de Financial Institutions ISAC (FI-ISAC). Het delen van informatie binnen de ISAC’s gebeurt volgens een stoplichtmodel, waarbij rood aangeeft dat het geheime informatie betreft en alleen mondeling wordt gedeeld, geel geeft aan dat informatie alleen gedeeld mag worden met relevante personen (need-to-know principe) binnen de deelnemende organisaties, groen geeft aan dat de informatie met andere organisaties mag worden gedeeld en wit geeft aan dat de informatie onbeperkt verspreid mag worden. Ongeveer 80 procent van de gedeelde informatie valt onder de code Geel. Het FI-ISAC heeft overwegend een operationeel en tactisch karakter voor wat betreft het delen van informatie. Daarnaast is er een meerjarenplan die een aantal strategische elementen bevat. Het Platform Internetveiligheid is een sector overstijgend initiatief waar de NVB deel van uit maakt, samen met onder andere de Telecom sector en de overheid. Het Platform Internetveiligheid is een neutrale plaats waar op strategisch niveau dialoog kan plaatsvinden, zodat concrete afspraken en initiatieven tot stand Beheersing van cybercrime bij Nederlandse “klein” banken | Cybercrime in de bancaire sector
22
komen. Het platform heeft als doel een structurele bijdrage te leveren aan het verbeteren van de internetveiligheid voor de consument/internetgebruiker (ECP-EPN). Het Financieel Expertise Centrum (FEC) is een sector overstijgend samenwerkingsverband van organisaties op het gebied van toezicht, opsporing en vervolging in de financiële sector. Het bestrijden van cybercrime is binnen het FEC een aandachtspunt. In 2009 heeft het FEC het project Cybercrime afgerond (FEC, 2010). Het project heeft aanbevelingen gedaan voor versterking en een gecoördineerde aanpak van cybercrime, waarbij de nadruk sterk ligt op preventie. De aanbevelingen zijn in het jaarplan van 2010 en 2011 verwerkt (FEC, 2009; FEC, 2010). Zoals beschreven in Bijlage G, Trends paragraaf I Toename overheidsinspanningen is sinds maart 2011 het ECTF opgericht. Het ECTF is een samenwerkingsverband tussen de banken, de KLPD en het Landelijk Parket en heeft als doel het bestrijden van cybercrime. Daarbij wordt gedurende de proefperiode van één jaar publiek en private kennis, expertise en informatie gedeeld, om betere analyses te maken, voorstellen voor interventie te doen en concrete voorstellen te doen voor effectieve bestrijding van cybercrime in de bancaire sector. Naast de diverse interbancaire en sector overstijgende samenwerkingsverbanden maakt ook het toezichtorgaan van de financiële sector in Nederland, de Nederlandsche Bank (DNB), onderdeel uit van de organisatie van de beheersing van cybercrime. Naar aanleiding van een risicoanalyse heeft DNB in 2009 een onderzoek naar cybercrime uitgevoerd, onder het toezichtthema Cyber- / Computercriminaliteit. De onderzoeksresultaten zijn vertrouwelijk en daarmee niet publiek bekend gemaakt.
3.5
Invloed van cybercrime
3.6
Conclusie
In hoofdstuk 2 Professionalisering cybercrime zijn de ontwikkelingen op het gebied van cybercrime beschreven. Mede door deze professionalisering van de cybercriminelen, in combinatie met het aanbieden van nieuwe bancaire diensten en producten via het internet, heeft dit in april 2007 geleid tot een cybercrime incident via internetbankieren bij een grote bank in Nederland. Naar aanleiding van dit incident is een interbancair crisisteam bijeengekomen om de impact van het incident voor de gehele financiële sector nader te onderzoeken. Een belangrijke factor op dat moment was de angst en het besef dat er geen fysiek component meer aanwezig was bij het plegen van dergelijke criminele handelingen. Door het crisisteam is een risicoanalyse opgesteld inclusief te nemen (additionele) maatregelen. Een dergelijke risicoanalyse is in 2008 aangevuld, op basis van nieuwe inzichten. Nadien zijn binnen de reguliere overlegstructuren, zoals beschreven in de vorige paragrafen, de nieuwe modus operandi van cybercriminelen uitgelegd en afgestemd. Na het cybercrime incident in april 2007 zijn bij de referentdoelgroep, interbancair en bij de “klein” banken diverse additionele maatregelen getroffen. De organisatie van de interne risicobeheersing en de informatiesystemen bij “klein” banken, in relatie tot de ontwikkelingen van cybercrime, richt zich primair op externe dreigingen vanaf het internet. De risicobeheersing van cybercrime maakt deel uit van het algehele interne governance model van een “klein” bank. Specifieke organisatorische maatregelen worden in toenemende mate vormgegeven bij “klein” banken. Daarbij is specifiek aandacht voor de organisatie omtrent de beheersing van het virtuele of wel internetketen bij “klein” banken. Een aantal van de “klein” banken participeren in de geformaliseerde interbancaire en sector overstijgende samenwerkingsverbanden, zoals de FI-ISAC en WGIB. Overige “klein” banken nemen niet deel aan deze formele samenwerkingsverbanden. Informele samenwerkingsverbanden tussen de overige “klein” banken zijn aanwezig. Een dergelijk informeel samenwerkingsverband voor de overige “klein” banken, specifiek met betrekking tot cybercrime, lijkt niet aanwezig. De ontwikkelingen op het gebied van cybercrime zijn in toenemende mate van invloed op de organisatie van de interne risicobeheersing en de informatiesystemen bij Nederlandse “klein” banken. Daarbij lijkt een informeel samenwerkingsverband tussen de overige “klein” banken een zinvolle aanvulling op de bestaande organisatie, waardoor kennisdeling binnen deze banken wordt bevorderd.
Beheersing van cybercrime bij Nederlandse “klein” banken | Cybercrime in de bancaire sector
23
4 Risicobeheersing “klein” banken 4.1
Inleiding
Dit hoofdstuk beschrijft op welke wijze de “klein” banken hun risicobeheersing kunnen toespitsen op de belangrijkste risicogebieden. En welke relevante risico’s daarbij van invloed zijn. Tevens worden de primaire beheersmaatregelen op de belangrijkste risicogebieden beschreven. Dit betreffen zowel de interne als de interbancaire maatregelen. Daarnaast worden mogelijke additionele beheersmaatregelen nader toegelicht om de relevante risico’s te mitigeren.
4.2
Risicogebieden en relevante dreigingen
Risicogebieden kunnen op diverse wijzen worden ingedeeld. Een voor de handliggende indeling is een procesgerichte benadering die aansluit bij de bedrijfsvoering in de bancaire sector. Uit de interviews is gebleken dat, zowel voor de referentdoelgroep als de “klein” banken geldt, dat cybercrime gericht op het internetbankieren de meeste aandacht heeft. Daarnaast heeft het risico van Insider threat specifieke aandacht binnen de referentdoelgroep en in mindere mate bij de “klein” banken. Een doorslaggevende factor bij de bepaling van het meest belangrijke risicogebied is de verbondenheid van banken aan het internet. Medio 2010 heeft 88,6 procent van de Nederlandse bevolking toegang tot internet. Daarmee staat Nederland op de zevende plaats in de wereld van internetdichtheid (Miniwatts Marketing Group, 2010). Dit komt op hoofdlijnen overeen met een analyse van het CBS (Centraal Bureau voor de Statistiek). Volgens het CBS telde Nederland In het voorjaar van 2010 ruim 12 miljoen internetgebruikers in de leeftijd van 12 tot 75 jaar (CBS, 2010). Met betrekking tot internetbankieren schat Forrester Research dat in 2013 81 procent van de Nederlanders hiervan gebruik zal maken (Forrester Research, 2008). Kortom kan worden gesteld dat Nederlanders het internet beginnen te zien als een eerste levensbehoefte (Haver, 2010). De toename in mobiele communicatie (zie Bijlage G, Trends paragraaf XI Toename mobiele communicatie) zal de verbondenheid en de afhankelijkheid van klanten met banken via het internet in toenemende mate versterken. Cybercrime op het internetbankieren is met name op de betaal-, afsluit- en serviceprocessen gericht. Voor deze processen geldt dat ze in hoge mate zijn geautomatiseerd (straight through processing, STP), vertrouwelijke informatie verwerken en continue zijn verbonden met het internet. Malware en phishing zijn daarbij de meest gebruikte verschijningsvormen van cybercrime. Een belangrijke factor en ontwikkeling bij deze vormen van cybercrime is de doelgerichtheid. De dreiging van malware op de computer van de klant is al geruime tijd manifest bij de referentdoelgroep. Binnen de “klein” banken wordt waargenomen dat cybercriminelen zich door middel van malware in toenemende mate gaan richten op één van de “klein” banken. Dergelijke malware, Carberp en Silon, wordt bijna niet door de huidige virusscanners gedetecteerd en is hierdoor voor klanten niet waar te nemen. De overige “klein” banken zijn nog geen doelwit van een gerichte malware dreiging. Bij een aantal “klein” banken wordt met name over fraude via het internetbankieren gesproken. De sociologische facetten die fraude beïnvloeden, worden ook wel weergegeven in de fraude driehoek. De fraude driehoek bestaat uit incentive (druk/stimulans), gelegenheid en rationalisatie (Cressey, 1953). Er zijn meerdere modellen die proberen de facetten van de fraude driehoek te complementeren en/of te verrijken (Dorminey, Fleming, Kranacher, & Riley, 2010). Bekwaamheid is een vierde facet die fraude beïnvloed (Wolfe & Hermanson, 2004). Dit is met name relevant voor fraude die wordt gepleegd via de verschijningsvormen van cybercrime; malware en phishing. Door de taakdiversificatie binnen cybercrime wordt bekwaamheid op veel verschillende aandachtsgebieden minder relevant voor succesvolle aanvallen, maar wordt met name het combineren en benutten van de expertises op deelgebieden, een belangrijke competentie van de cybercrimineel. De dreiging van phishing in combinatie met social engineering heeft de aandacht bij alle “klein” banken. Daarbij richten cybercriminelen zich bijvoorbeeld op potentiële “nieuwe” klanten en misbruiken de naam en logo’s van een specifieke bank. Daarbij wordt bijvoorbeeld in de phishing e-mails een hoog rentetarief Beheersing van cybercrime bij Nederlandse “klein” banken | Risicobeheersing “klein” banken
24
aangeboden bij het openen van een nieuwe rekening, waarop een initieel geldbedrag moet worden gestort. De potentiële klanten dienen daarbij persoonlijke gegevens op te geven en geld op de rekening te storten. De persoonlijke gegevens en het geld worden daarna door de cybercriminelen misbruikt. Tevens wordt phishing als hulpmiddel ingezet voor het selecteren van potentiële slachtoffers, veelal vermogende klanten. Daarbij wordt phishing gebruikt om gegevens over individuen te verzamelen. Vermogende klanten worden geselecteerd en een aantal maanden later door de cybercriminelen opgebeld. Waarbij de cybercriminelen zich voordoen als de bank, om vervolgens authenticatie codes te bemachtigen om daarmee geld van de betaalrekening af te halen. Cybercriminelen spelen handig in op de initiatieven van de banken om het bewustzijn van de gevaren van internetbankieren bij de klanten te verhogen. Cybercriminelen geven bijvoorbeeld in telefoongesprekken aan dat ze niet de pincode willen weten, maar de codes op de reader om bijvoorbeeld een nieuwe reader voor de klant te testen. Het gebruik van telefonische phishing blijkt erg lucratief, maar wel hoogdrempelig vergeleken met e-mail communicatie (Kassa, 2010). De financiële schade door fraude via het internetbankieren in 2010, van € 9,8 miljoen, wordt met name veroorzaakt door phishing aanvallen (NVB, 2011). Phishing wordt tevens gebruikt voor het selectief werven van money mules. Recent heeft de NVB haar bezorgdheid geuit, over de toename van fraude met internetbankieren en het aantal jongeren dat door criminelen als money mule wordt geronseld (NVB, 2011). De dreiging van een dDoS aanval op het internetbankieren is relevant voor zowel de referentdoelgroep als de “klein” banken. De beschikbaarheid van het internetbankieren wordt steeds meer cruciaal naar mate het gebruik van internetbankieren toeneemt en de traditionele bankkantoren sluiten. Er zal waarschijnlijk geen grote toename meer zijn in het aantal klanten dat gebruik gaat maken van internetbankieren. Maar wel een toename in het aantal klanten dat via een smartphone van het internetbankieren gebruik gaat maken. Hierdoor wordt het voor klanten gewoon, om plaats en tijd ongebonden beschikking te hebben over hun geld via het internetbankieren. De referentdoelgroep biedt mobiel internetbankieren aan en heeft hiervoor ook een speciale app voor een aantal mobiele platformen ontwikkeld. Een aantal van de “klein” banken biedt mobiel internetbankieren aan. Geen van de “klein” banken biedt een app aan. Het toenemend gebruik van social media is tevens een significante factor in relatie tot een dDoS aanval en de beschikbaarheid van het internetbankieren. Social media versterkt het bereik en de snelheid van informatiedeling. Een landelijke storing bij de ING heeft voor lange rijen bij de pinautomaten gezorgd. Doordat via Twitter het gerucht was verspreid dat er kon worden gepind zonder dat het geld van de rekening werd afgeschreven (NOS, 2010). Indien via social media berichten verschijnen dat er een run on the bank (bank run) plaatsvindt, in combinatie met een dDoS aanval, kan dit grote gevolgen hebben voor de reputatie van de betreffende bank.
4.3
Beheersmaatregelen
Omtrent het belangrijkste risicogebied en de hierboven genoemde relevante verschijningsvormen van cybercrime binnen “klein” banken zijn diverse maatregelen getroffen. Dit betreffen interne en interbancaire maatregelen. Dit onderzoek geeft geen volledig beeld van alle aanwezige beheersmaatregelen. De respondenten hebben tijdens de interviews vanuit hun perceptie de meest belangrijke maatregelen benoemd. Op basis van de aard van deze beheersmaatregelen kunnen ze als organisatorisch, procedureel of technisch worden gerubriceerd (Praat & Suerink, 2008). De volgende drie paragrafen beschrijven de primaire beheersmaatregelen die door de “klein” banken zijn getroffen of die de “klein” banken voornemens zijn te treffen. Organisatorische beheersmaatregelen In paragraaf 3.3 Interne organisatie risicobeheersing en informatiesystemen en paragraaf 3.4 Interbancaire organisatie staan de primaire organisatorisch beheersmaatregelen beschreven binnen de “klein” banken. Specifiek voor cybercrime zijn de organisatorisch inrichting van een CERT/SIRT/ECT en de bijhorende randvoorwaarden zeer relevant om snel te kunnen acteren in geval van een calamiteit. Kleinere incidenten worden binnen de reguliere incidentprocedures afgehandeld. De organisatorische inrichting voor de beheersing van ketenrisico’s voor het internetkanaal wordt binnen één van de “klein” banken vormgegeven. De interbancaire en sector overstijgende samenwerkingsverbanden, zoals de FI-ISAC en WGIB, dragen bij aan de kennisdeling over cybercrime binnen de bancaire sector. Tevens worden in deze samenwerkingsverbanden Beheersing van cybercrime bij Nederlandse “klein” banken | Risicobeheersing “klein” banken
25
initiatieven ontplooit voor het gezamenlijk afnemen van diensten ter bestrijding van cybercrime, zoals Noticeand-Take-Down (NTD) en Cybercrime Monitoring and Investigation Services (CMIS). Het NTD en CMIS worden in de volgende paragraaf nader toegelicht. De organisatie omtrent het verhogen van beveiligingsbewustzijn bij klanten wordt interbancair namens de banken door de NVB uitgevoerd. Met betrekking tot het beveiligingsbewustzijn geven Brenner en Clarke aan dat het plegen van cybercrime makkelijker wordt bij een gebrek aan publiek beveiligingsbewustzijn, waardoor klanten het nemen van veiligheidsmaatregelen verwaarlozen. Tevens kan een groter gevoel van online burgerlijke verantwoordelijkheid in potentie cybercriminele activiteiten verminderen (Brenner & Clarke, 2009). Bijvoorbeeld een afname in het aantal money mules onder jongeren, als gevolg van het verhogen van beveiligingsbewustzijn en een groter online verantwoordelijkheidsgevoel, kan mogelijk een positief effect hebben op het verminderen van cybercrime. Op het niveau van individuele klanten kan dit worden bereikt door middel van gecoördineerde bewustmaking en het aanbieden van een centraal aanspreekpunt waar klanten misdrijven kunnen melden en informatie en advies kunnen opvragen (Europol, 2011). Door de NVB wordt hier invulling aan gegeven door onder andere de campagne Veilig bankieren, die in oktober 2010 is gestart. Deze campagne is een vervolg op de campagne in samenwerking met de politie genaamd wordtgeenmoneymule.nl. Procedurele beheersmaatregelen Op het risicogebied van internetbankieren zijn de primaire interne procedurele beheersmaatregelen met name gericht op het beheerst uitvoeren van wijzigingen in de informatiesystemen en de technische infrastructuur. Daarbij wordt veel gebruik gemaakt van het vier-ogen principe. Deze controlemethode gaat ervan uit dat twee verschillende partijen ieder afzonderlijk en zelfstandig de benodigde wijzigingen verifiëren, voordat de wijziging in de productieomgeving wordt uitgevoerd. In het ontwikkelproces voor de informatiesystemen van internetbankieren wordt procedureel afgedwongen dat een collegiale code review plaatsvindt. Tevens vindt op periodieke basis een code review door een onafhankelijke externe partij of door de afdeling Informatiebeveiliging plaats. Dergelijke code reviews worden veelal aangevuld met penetratietesten op de informatiesystemen en technische infrastructuur van het internetbankieren. Enkele van de “klein” banken hebben gedeelten van de informatiesystemen en/of de technische infrastructuur uitbesteed bij een derde. Daarbij wordt gebruik gemaakt van gedeelde systemen. Bij de uitbesteding is het recht op het uitvoeren van een audit bij deze derde partij contractueel bepaald. In de praktijk blijkt dat deze derde een financiële waarborg vereist, voor bijvoorbeeld het uitvoeren van een kwetsbaarheden scan op de gedeelde infrastructuur. De financiële waarborg is dermate hoog dat “klein” banken het risico niet willen nemen dit bedrag te moeten betalen. Hierdoor wordt er veelal terug gevallen op een TPM (Third Party Mededeling) of SAS70 (Statement on Auditing Standards No. 70) verklaring, om enige zekerheid te verkrijgen over de kwaliteit van de risicobeheersing bij de derde partij. Sector overstijgende en veelal generieke maatregelen zijn onder andere door het FI-ISAC getroffen. Sinds november 2006 zijn het NTD en de CMIS geïnitieerd. Door middel van het NTD kunnen banken phishing sites melden bij GOVCERT.NL. Deze partij gebruikt vervolgens haar internationale netwerk om de phishing sites van het internet te verwijderen (NICC, 2008). CMIS geeft de banken informatie over mogelijk misbruik van bankinformatie op het internet. CMIS is een dienst die bij Fox-IT en RSA, door de NVB en een aantal van haar leden wordt afgenomen. Deze dienst gaat over het verzamelen van informatie over malware, het bestrijden van malware met forensische analyse en cleaning en het leveren van trendrapportages over malware aan de betrokken banken. Zowel de referent doelgroep als de onderzochte “klein” banken nemen deze dienst af. Het is bekend dat niet alle kleine banken deze dienst afnemen. Sinds april 2007 wordt jaarlijks door de FI-ISAC een Information Threat Monitor (ITM) opgesteld. Het ITM draagt bij aan het inzichtelijk maken van bedreigingen, die zijn gericht op Nederlandse financiële instellingen. Technische beheersmaatregelen Op het risicogebied van internetbankieren zijn diverse technische beheersmaatregelen getroffen, om misbruik van dit grotendeels geautomatiseerde proces te voorkomen. Deze maatregelen bestaan uit generieke maatregelen, zoals deze aanwezig zijn in de technische infrastructuur. En specifieke maatregelen die in de informatiesystemen voor het internetbankieren aanwezig zijn. De technische infrastructuur van het internetbankieren bij “klein” banken is ook op het defense-in-depth principe gebaseerd. De netwerkarchitectuur voor het internetbankieren bestaat op abstract niveau uit twee delen, namelijk het Beheersing van cybercrime bij Nederlandse “klein” banken | Risicobeheersing “klein” banken
26
interne netwerk (Local Area Network, LAN) en het perimeter netwerk (Demilitarized Zone, DMZ). Het perimeter netwerk is een laag tussen het internet en het interne netwerk en wordt gebruikt om services, zoals het internetbankieren, te ontsluiten aan het internet. Binnen het perimeter en interne netwerk wordt gebruik gemaakt van netwerkzonering. Hierdoor worden separate netwerksegmenten van elkaar gescheiden en kan de onderlinge communicatie tussen deze segmenten nauwkeurig worden gecontroleerd. De informatiesystemen binnen de separate netwerksegmenten zijn op basis van een classificatie gegroepeerd. Tussen het perimeter netwerk en het internet is een firewall gepositioneerd. Bij sommige “klein” banken wordt het netwerkverkeer tevens door een Intrusion Detection System/Intrusion Prevention System (IDS/IDP) gefilterd. Door middel van periodieke netwerk- en kwetsbaarhedenscans wordt door de IT-organisatie de effectiviteit van de technische maatregelen beoordeeld. Een van de primaire beheersmaatregelen in de informatiesystemen voor het internetbankieren is het gebruik van two-factor authentication. In veel Angelsaksische landen wordt alleen maar gebruik gemaakt van een gebruikersnaam en wachtwoord voor de authenticatie van de gebruiker. Zowel binnen de referentdoelgroep als de onderzochte “klein” banken, wordt voor de authenticatie van de klanten gebruik gemaakt van twee verschillende factoren. Daarbij gaat het veelal om een kennisattribuut, zoals een PIN (Personal Identification Number) code en een bezitskenmerk, bijvoorbeeld een token of een bankpas. Voor het gebruik van mobiel internetbankieren wordt wel (initieel) gebruik gemaakt van een gebruikersnaam en wachtwoord voor de authenticatie van de gebruiker. Additionele maatregelen, zoals het uitsluitend overmaken van kleine bedragen naar een vast aantal voor de klant bekende rekeningen, moet misbruik voorkomen. Voor de autorisatie van transacties wordt gebruik gemaakt van dezelfde middelen/attributen als bij de authenticatie van gebruikers. De referentdoelgroep heeft hier in vergelijking met de “klein” banken, additionele maatregelen getroffen door transactiespecifieke eigenschappen, zoals totaalbedragen en/of rekeningnummers, te verwerken in het autorisatieproces. Hierdoor wordt de kans verkleind op frauduleuze transacties die door malware worden uitgevoerd. Een tweede elementaire technische maatregel in de informatiesystemen van het internetbankieren, is het versleutelen van de communicatie tussen het apparaat van de klant en de informatiesystemen van de bank. Voor de versleuteling wordt gebruikt gemaakt van een Public Key Infrastructure (PKI) die de communicatie versleutelt met behulp van digitale certificaten en het Secure Socket Layer (SSL) protocol. Een digitaal certificaat wordt uitgegeven door een certificate authority (CA) en kan bij een registration authority (RA) worden aangevraagd. De CA fungeert als een onafhankelijke derde partij tussen in dit geval de klant en de bank, om de authenticiteit van de website van het internetbankieren aan de klant te bevestigen. De RA voert het registratieproces voor het aanvragen van een digitaal certificaat uit. Daarbij vindt een zekere mate van validatie van de identiteit van de aanvrager plaats. Nadat het registratieproces succesvol is verlopen, wordt door de CA een digitaal certificaat aan de aanvrager uitgegeven. Dit digitale certificaat wordt vervolgens door de aanvrager aan de website van het internetbankieren gekoppeld. Op het moment dat de klant verbinding maakt met de website voor het internetbankieren wordt de geldigheid van het certificaat door de webbrowser van de klant gecontroleerd. Indien het een geldig certificaat betreft wordt de versleutelde verbinding met het internetbankieren opgezet. Door deze versleuteling kan de informatie die via het internet wordt verstuurd, niet door een derde partij worden gelezen of aangepast. Zowel de referentdoelgroep als de “klein” banken, maken gebruik van digitaal certificaat met Extended Validation (EV). In tegenstelling tot een regulier digitaal certificaat, wordt bij het aanvraagproces van een EV digitaal certificaat extra validatie van de identiteit van de aanvrager door de RA uitgevoerd. Dit biedt een extra waarborg voor de klanten, over de identiteit van de internetbankieren website. In de webbrowser van de klanten is, op basis van de kleur van de adresbalk, te zien wanneer een website gebruik maakt van een regulier digitaal certificaat of een EV certificaat. Indien klanten hiervan op de hoogte zijn wordt het voor phishing websites lastiger om zich voor te doen als de website van een betreffende bank. Beveiligingsbewustzijn bij de klanten in combinatie van het gebruik van EV digitale certificaten, kan in potentie de schade door phishing beperken. Het gebruik van een EV digitaal certificaat biedt tevens bescherming tegen Man in the Middle (MitM) aanvallen, maar kan een Man in the Browser (MitB) aanval door malware niet voorkomen. Daarbij moet de kanttekening worden geplaatst, dat het gebruik van een PKI en de bijhorende digitale certificaten op het vertrouwen en de betrouwbaarheid van onder andere de CA en RA zijn gebaseerd. Recent heeft een beveiligingsincident bij een RA plaatsgevonden, waardoor digitale certificaten van onder andere websites van Google, Yahoo en Microsoft Beheersing van cybercrime bij Nederlandse “klein” banken | Risicobeheersing “klein” banken
27
door de cybercriminelen zijn aangemaakt. Deze certificaten kunnen door de cybercriminelen worden gebruikt voor het uitvoeren van MitM aanvallen (Comodo Group Inc., 2011). Door middel van application controls in de informatiesystemen van het internetbankieren, zoals limieten en invoer validatie, vindt er controle op de juistheid van de gegevens plaats. De inrichting van deze application controls is specifiek per bank. Een stelsel van limieten kan daarbij statisch zijn, zoals een daglimiet, maar ook dynamisch op basis van bekende betaalpatronen. Met uitzondering van één van de “klein” banken maakt zowel de referentdoelgroep als de “klein” banken gebruik van een limietenstelsel. Een belangrijke maatregel binnen de informatiesystemen van het internetbankieren zijn de detectiesystemen. Het doel van de detectiesystemen is frauduleuze betalingen te signaleren, zodat passende maatregelen kunnen worden getroffen. Bij de referentdoelgroep wordt op drie niveaus detectie uitgevoerd, bij de opdrachtverstrekking, na de boeking en IT technisch door een dienst van een derde partij. Voor de eerste twee detectiemechanismen geldt dat detectie anomalie en context gebaseerd plaatsvindt. Door bijvoorbeeld het detecteren van afwijkingen in betaalgedrag, voor zowel beide partijen bij de betaling. De IT technische detectie is van toepassing op het netwerkverkeer van het internetbankieren, waarbij de technische aspecten van de gegevensstroom worden geanalyseerd. Daarbij vindt bijvoorbeeld detectie plaats op basis van de volgorde van de velden in de communicatie tussen de klant en de informatiesystemen. Hierdoor kan malware die de veld volgorde aanpast worden gedetecteerd. Voor de detectie worden op alle drie niveaus door separate functionarissen verschillende fingerprints gemaakt. Transacties krijgen van alle drie detectiesystemen een score. Door de scores van deze detectiesystemen in totaal te beoordelen kunnen mogelijke frauduleuze betalingen worden geblokkeerd of vertraagd. Hierdoor verlaat het geld niet (direct) de bank en kan een manuele opvolging plaatsvinden. De detectiesystemen bij de “klein” banken zijn minder geavanceerd in vergelijking met de referentdoelgroep. Basale detectiemiddelen ten behoeve van bijvoorbeeld terrorismebestrijding zijn wel aanwezig. De “klein” banken zijn zich bewust van de lacunes in de detectiemaatregelen en zijn voornemens hierin maatregelen te treffen.
4.4
Conclusie
Het internetbankieren wordt gezien als het belangrijkste risicogebied met betrekking tot cybercrime bij “klein” banken. Daarbij zijn malware, phishing en dDoS de meest prominente verschijningsvormen van cybercrime op dit risicogebied. De dreiging van malware op de computer van de klant speelt daarbij een belangrijke rol. Door middel van de CMIS dienst hebben de aangesloten “klein” banken zicht op de ontwikkelingen van malware op het internet. Deze informatie wordt gebruikt voor het treffen van additionele maatregelen, zoals geavanceerde detectiesystemen. “Klein” banken hebben tot op heden geen significante schade geleden als gevolg van malware. Cybercriminelen richten malware in toenemende mate op één van de “klein” banken. Daarbij verzamelt de malware gegevens over het internetbankieren van deze “klein” bank, maar wordt er tot op heden niet actief misbruik gepleegd. Malware is een externe dreiging die buiten de directe beïnvloedingssfeer van de banken ligt. Een additionele maatregel die “klein” banken kunnen treffen om misbruik door malware te mitigeren, is het toepassen van transactiegegevens in het autorisatieproces van transacties. Dit kan worden aangevuld met dual channel communicatie voor het versturen van notificaties en/of de autorisatie van een transactie. Zo kan bijvoorbeeld een SMS (Short Message Service) met het totaalbedrag van de transactie, zoals deze door de bank is ontvangen, naar de klant worden gestuurd. Daarbij kan een autorisatiecode voor de transactie worden verstuurd, die de klant kan gebruiken om de transactie te autoriseren en signeren. Hierbij is het principe van see what you sign van belang, waarbij het voor de klant duidelijke is waaruit de transactie bestaat die wordt gesigneerd. Indien van dual channel communicatie via SMS gebruik wordt gemaakt, is het belangrijk dat het betreffende telefoonnummer voor de SMS niet zonder notificatie kan worden aangepast. Het treffen van additionele geavanceerde detectiemaatregelen voor het (tijdelijk) blokkeren en/of vertragen van transacties kan tevens bijdragen aan het mitigeren van het risico van malware op de computer van de klant. Daarnaast kan een flexibele technische inrichting van het internetbankieren het mogelijk maken om snel wijzigingen door te voeren, zoals het wijzigen van de (technische) veldvolgorde, waardoor malware (tijdelijk) niet meer werkt. De dreiging van phishing geldt voor zowel de “klein” banken als de referentdoelgroep. In toenemende mate wordt phishing in combinatie met social engineering door cybercriminelen gebruikt. Het toepassen van social engineering wordt versterkt door het gebruik van social media. Cybercriminelen verzamelen daarbij gericht Beheersing van cybercrime bij Nederlandse “klein” banken | Risicobeheersing “klein” banken
28
informatie over personen en gebruiken dat voor social engineering of het achterhalen van authenticatiegegevens. Bewustwordingscampagnes van de NVB gericht op bancaire klanten, het NTD en technische maatregelen zoals EV SSL kunnen bijdragen in het bestrijden van phishing. Het SANS Institute heeft zes basale maatregelen voor het bestrijden van phishing beschreven (Ullrich, 2004). Deze maatregelen hebben hoofdzakelijk een detectief karakter. Een aantal van de maatregelen kan mijns inziens door de “klein” banken als aanvulling op de reeds aanwezige maatregelen worden geïmplementeerd. Technische maatregelen, zoals het monitoren van backscatter e-mailberichten en het filteren van de refferer header van de internetbankieren website, kunnen inzicht gegeven in een mogelijke phishing aanval. Deze maatregelen inclusief de procedurele aspecten omtrent deze monitoring en filtering, kunnen de gevolgen van phishing mogelijk beperken en bieden de mogelijkheid om passende additionele maatregelen voor een specifieke situatie te treffen. In essentie is phishing geen technisch probleem en blijft uiteindelijk educatie en bewustwording van de klanten over de veiligheid van internetbankieren de meest essentiële maatregel om phishing te voorkomen. De dreiging van een dDoS aanval wordt versterkt door het gebruik van social media. Het uitvoeren van een dDoS aanval op één van de “klein” banken als middel voor afpersing met als oogmerk financieel gewin, lijkt onder de huidige economische omstandigheden niet zeer waarschijnlijk. Tevens vereist dit van de cybercriminelen een actieve interactie met de betreffende bank. De huidige modus operandi van cybercriminelen wijkt daar vanaf en wordt gekenmerkt door de gerichtheid op de zwakste schakel, namelijk de klanten, en niet direct de bank. Een dDoS aanval vanuit activistische overwegingen lijkt, gezien recente voorvallen (zie hoofdstuk 2 paragraaf (d)DoS), eerder voor de handliggend. Gezien een succesvolle dDoS aanval op een grote bank in Nederland kan de vraag worden gesteld of “klein” banken dergelijke aanvallen kunnen pareren. Immers de capaciteit van de groot bank is op een grote hoeveelheid klanten gebaseerd en vermoedelijk heeft de groot bank meer financiële middelen om passende (duurdere) maatregelen te treffen. Desondanks kunnen “klein” banken onderzoeken in hoeverre effectieve mitigeren maatregelen kunnen worden getroffen. Het filteren van het netwerkverkeer door een firewall en/of IDS/IPS kan worden gezien als mitigerende maatregel. Voor een kleinschalige dDoS aanval kan dit voldoende effectief zijn, in geval van een significante dDoS aanval zijn aanvullende maatregelen nodig. Daarbij kan worden gedacht aan technische maatregelen, maar ook aan de communicatieve en organisatorische aspecten. GOVCERT.NL heeft recent een factsheet over de bescherming tegen dDoS aanvallen uitgebracht (GOVCERT.NL, 2011). Hierin staan een aantal adviezen om het risico van een dDoS aanval te mitigeren. Belangrijke aandachtspunten hierin zijn; het opstellen van een baseline en het monitoren van de infrastructuur; instrueren van de communicatieadviseur, voor het bepalen van de communicatie- en mediastrategie; samenwerken met de Internet Service Provider (ISP) en het implementeren van technische maatregelen. De “klein” banken doen er mijn inziens verstandig aan nader te onderzoeken in hoeverre de adviezen in de factsheet kunnen worden opgevolgd.
Beheersing van cybercrime bij Nederlandse “klein” banken | Risicobeheersing “klein” banken
29
5 Schade door cybercrime 5.1
Inleiding
Dit hoofdstuk beschrijft in hoeverre de ontwikkelingen op het gebied van cybercrime van invloed zijn op mogelijke financiële en reputatieschade door cybercrime bij Nederlandse “klein” banken. Daarbij wordt inzicht gegeven de huidige financiële schade door fraude via het internetbankieren in de bancaire sector. Tevens wordt ingegaan op de wijze waarop de bancaire sector omgaat met de financiële schade en de mogelijke gevolgen voor reputatieschade.
5.2
Financiële schade
Sinds 2009 wordt door de NVB, namens de banken in Nederland, de financiële schade als gevolg van fraude via het internetbankieren gepubliceerd. In 2008 bedroeg de schade € 2,1 miljoen (NVB, 2011). In geheel 2009 was de financiële schade van fraude via het internetbankieren € 1,9 miljoen. In het eerste half jaar van 2010 is dit tot € 4,3 miljoen gestegen (NVB, 2010). De financiële schade over geheel 2010 als gevolg van fraude met internetbankieren bedroeg € 9,8 miljoen. De schade wordt met name veroorzaakt door phishing aanvallen (NVB, 2011). De ontwikkeling van de schade is weer gegeven in Figuur 5 Financiële schade internetbankieren. Het aantal geslaagde fraudes via internetbankieren in geheel 2009 betreft 154, in het eerste halfjaar van 2010 was dit 514 en over geheel 2010 betrof het 1383 incidenten. In 2010 was de gemiddelde schade per geslaagd incident in Nederland € 7100,- (NVB, 2011). De gerapporteerde schade betreft uitsluitend schade die niet meer kan worden achterhaald. Schade die wel achterhaald kan worden, is niet opgenomen in de gepubliceerde cijfers. Tevens betreft dit de directe financiële schade en omvat het niet de indirecte schade, zoals kosten voor herstel, onderzoek, aangifte en mogelijke reputatieschade. Volgens Herley kan de indirecte schade gemakkelijk oplopen tot tien keer de opbrengst voor de cybercrimineel. Dit betreft tevens de kosten voor het nemen van (additionele) preventieve Figuur 6 Financiële schade internetbankieren maatregelen (Herley, 2009). De financiële schade door fraude via het internetbankieren is tot op heden lager dan de schade die door skimming van betaalpassen wordt geleden. In 2008 bedroeg dit in totaal € 31 miljoen. In 2009 bedroeg de schade voor banken door skimming € 36 miljoen; dat is zestien procent meer dan in 2008. De schade in het eerste half jaar 2010 door het skimming van betaalpassen bedroeg € 11,8 miljoen, dit is een sterke afname in vergelijking met 2009 (NVB, 2010). De omvang van de schade door skimming in geheel 2010 bedroeg € 20 miljoen, dit is significant minder vergeleken met 2009, maar nog steeds het dubbele van de schade door fraude via het internetbankieren (Giebels, 2011). De hierboven genoemde financiële schade is een totaal van de banken in Nederland. Een differentiatie naar schade per bancaire instelling wordt niet publiek bekend gemaakt. Op basis van de interviews blijkt dat “klein” banken een zeer beperkt aandeel hebben in het totaal aan gepubliceerde financiële schade door fraude via het internetbankieren. Voor zowel de referentdoelgroep als de “klein” banken, maar in essentie de gehele bancaire sector, geldt dat het behouden van het vertrouwen van klanten in het internetbankieren van strategisch belang is. Hierdoor wordt de financiële schade van klanten in veel gevallen door de betreffende bank vergoed, tenzij nalatigheid van de klant door de bank kan worden aangetoond. GOVCERT.NL stelt in hun Nationaal Trendrapport Cybercrime en Digitale Veiligheid 2010 dat met name de mate waarin klanten zelf de schade als gevolg van cybercrime moeten dragen, de beleving en perceptie lijkt te beïnvloeden. Bancaire instellingen vergoeden tot nu toe vaak de schade van klanten. Deze aanpak leidt ertoe dat klanten zelf nauwelijks economische schade ondervinden. Er is in feite sprake van afwenteling van het risico. Zolang de financiële instellingen schade vergoeden, leidt de klant geen schade (GOVCERT.NL, 2010). Beheersing van cybercrime bij Nederlandse “klein” banken | Schade door cybercrime
30
5.3
Reputatieschade
Het vergoeden van de schade door de banken aan hun klanten speelt een belangrijke rol bij het beperken van imago- en reputatieschade. Dit is primair gericht op het behouden van het vertrouwen van klanten in het internetbankieren. Door het vergoeden van schade aan klanten wordt geprobeerd te voorkomen dat bij klanten een emotionele associatie ontstaat tussen onveiligheid en internetbankieren. Het FEC concludeert in haar rapportage van het project Cybercrime dat in 2009 is afgerond, dat het vertrouwen van het publiek ten aanzien van internetbankieren groot is. Maar dat dit kan omslaan als zich significante incidenten zouden voordoen. Dat schaadt potentieel de stabiliteit van de financiële sector (Financieel Expertise Centrum, 2010). Vertrouwen van klanten in internetbankieren is om meerdere redenen van primair belang voor de gehele bancaire sector. Ten eerste verkopen banken in essentie het vertrouwen dat het geld van haar klanten bij de banken veilig is. Verlies van dat vertrouwen kan grote gevolgen hebben. Dit kwam met name tot uiting bij het faillissement van de DSB Bank. Waarbij klanten, na de oproep van de heer Lakeman, massaal hun geld bij de bank gingen weghalen. Een directe relatie tussen de oproep van de heer Lakeman en het faillissement van de DSB Bank is nooit rechterlijk bewezen. Toch illustreert dit voorbeeld het belang van vertrouwen van klanten in hun bank. Ten tweede is het vertrouwen van klanten in het internetbankieren van belang voor het behalen van schaalvoordelen en kosten besparingen. Het aantal incidenten van fraude van het internetbankieren in 2010 bedroeg 1383. Volgens de NVB maken ongeveer 10 miljoen klanten gebruik van het internetbankieren en is het percentage klanten dat slachtoffer is geworden, met 0,014 procent, zeer beperkt. (NVB, 2011). Hierbij kan de kanttekening worden geplaatst, dat het gaat om het aantal incidenten en de financiële schade, die niet meer kan worden achterhaald. Het aantal klanten dat te maken heeft gehad met fraude via het internetbankieren is mogelijk dus groter. Dit kan de perceptie van de klanten over de veiligheid van het internetbankieren beïnvloeden, ondanks het vergoeden van de financiële schade aan de klanten. Een onderzoek van het CBS in 2010 gaf aan dat respectievelijk 2 en 1 procent van de 12 miljoen internetters, financiële schade door phishing en misbruik van betaal- of creditkaart heeft geleden (CBS, 2010). In de reactie van de NVB op de vraag hoe het CBS onderzoek zich verhouden tot de in oktober 2010 gepubliceerde omvang van fraude via internetbankieren, wordt onder andere aangegeven dat de publicatie van de NVB alleen de feitelijk geleden schade betreft. Tevens wordt aangegeven dat de vraagstelling in de enquête van het CBS niet scherp is gedefinieerd en de beantwoording van de respondenten daardoor subjectief kan zijn; deze heeft betrekking op de beleving van mensen (NVB, 2010). De beleving en perceptie van klanten over de veiligheid van internetbankieren en daarmee het vertouwen in internetbankieren, is van strategisch belang voor de bancaire sector. Angst kan deze perceptie beïnvloeden en bijdragen aan mogelijke reputatieschade voor de gehele bancaire sector, maar ook individuele banken, waaronder de “klein” banken. Zoals in paragraaf 2.3 Beeldvorming over cybercrime is beschreven, is de angst van het slachteroffer worden van cybercrime vaak niet op objectieve informatie gebaseerd. Veelal is de publieke perceptie over het risico niet proportioneel, vergeleken met de feitelijke kans om slachteroffer te worden. Door het vergoeden van financiële schade aan klanten, wordt beoogd de emotionele associatie tussen onveiligheid en het internetbankieren te beperken en mogelijk daarmee ook de angst van het slachtoffer worden. Het bestrijden van cybercrime wordt ook beïnvloed door factoren die buiten de directe invloedssfeer liggen van de bancaire sector. In de keten van het internetbankieren is dit onder andere de computer van de klant. De klant wordt door de bancaire sector verantwoordelijk gehouden voor de beveiliging van zijn/haar eigen computer en het vertrouwelijk en het verantwoord omgaan met het internetbankieren. In de productvoorwaarden van betaalproducten via het internetbankieren van banken, wordt dit impliciet verwoord in de aansprakelijkheidclausule. Desondanks wordt door de banken de financiële schade aan haar klanten veelal vergoed, tenzij er sprake is van onvoorzichtigheid of nalatigheid van de klant. Door het voeren van bewustwordingscampagnes over de veiligheid van internetbankieren, probeert de bancaire sector de klant in toenemende mate inzicht te geven in de risico’s en mogelijke oplossingen. Hierdoor wordt de klant in toenemende mate gewezen op hun eigen verantwoordelijkheid. Naar mate de schade door cybercrime toeneemt en de grens van de verantwoordelijkheid van de klanten dunner wordt, zal er meer discussie ontstaan over het vergoeden van schade aan klanten in relatie tot het beoogde vertrouwen van banken. In het verleden heeft een bank financiële schade aan haar klanten in eerste instantie niet vergoed, omdat deze Beheersing van cybercrime bij Nederlandse “klein” banken | Schade door cybercrime
31
klanten zelf de authenticatie codes aan derden hebben gegeven en de bank vond dat de klanten in voldoende mate hiervoor waren gewaarschuwd. Nadat deze situatie in een uitzending van het televisieprogramma Kassa werd belicht, is de schade als nog door de betreffende bank vergoed (Kassa, 2008). Dit voorbeeld illustreert de fragiele balans tussen het behouden van vertrouwen van klanten in het internetbankieren en het creëren van impulsen bij klanten om verantwoordelijkheid te nemen in het voorkomen van cybercrime in de bancaire sector.
5.4
Conclusie
De NVB publiceert namens de Nederlandse banken de geleden financiële schade door fraude via internetbankieren. Fraude via internetbankieren bestaat daarbij uit diverse verschijningsvormen van cybercrime, zoals malware en phishing. Financiële schade die wordt geleden door vormen van cybercrime die niet aan het internetbankieren zijn gerelateerd en de indirecte schade, door bijvoorbeeld dDoS aanvallen, defacing, maar ook insider threat door corrupt ICT-personeel, worden niet gepubliceerd. Daarmee is er geen totaalbeeld van de financiële schade door cybercrime in de bancaire sector in Nederland. Een differentiatie van de schade naar individuele banken wordt niet publiek gemaakt. Op basis van de interviews ontstaat het beeld dat “klein” banken een zeer beperkt aandeel hebben in het totale schade bedrag. Dit is een logisch gevolg, aangezien de huidige cybercrime dreigingen op het internetbankieren zich nog hoofdzakelijk richten op de grotere banken in Nederland en de inherent lagere financiële geldstroom bij “klein” banken. De ontwikkeling van de omvang van financiële schade door fraude via internetbankieren vertoont sinds 2008 een snel stijgende trend. Het aandeel van de “klein” banken hierin is naar schatting zeer beperkt. De ontwikkelingen die samenhangen met cybercrime, zoals beschreven in hoofdstuk 2 Professionalisering cybercrime, geven aanleiding om te verwachten dat de financiële schade als gevolg van cybercrime bij “klein” banken de komende jaren zal stijgen. De mate waarin individuele “klein” banken de toename in financiële schade zullen ervaren, lijkt voor de komende jaren nog afhankelijk van de omvang van de clientèle van de betreffende bank. Daarbij moet de kanttekening worden geplaatst dat door het vervangen van het massacomponent in de modus operandi van de huidige cybercrime dreigingen, met een doelgericht karakter, banken met een kleiner clientèle interessanter worden voor cybercriminelen. Daarbij kan worden gedacht aan bijvoorbeeld een toenemende manifestatie van spear phishing gericht op vermogende klanten. Hierdoor is het aannemelijk dat de financiële en reputatieschade, als gevolg van de ontwikkelingen van cybercrime, bij “klein” banken zal stijgen.
Beheersing van cybercrime bij Nederlandse “klein” banken | Schade door cybercrime
32
6 Samenvatting en conclusies 6.1
Inleiding
In dit hoofdstuk worden de slotconclusies van dit onderzoek beschreven. Daarbij wordt ingegaan op welke wijze en in hoeverre door de professionalisering van cybercrime, via de organisatie van de interne risicobeheersing binnen banken, de kans op financiële en reputatieschade bij Nederlandse “klein” banken wordt beïnvloed.
6.2
Slotconclusies
De professionalisering van cybercrime wordt in toenemende mate door financieel gewin gedreven. Hierdoor is een underground economy ontstaan, waarbij sprake is van verdienmodellen en marktwerking, die bijdragen aan verdere innovaties binnen cybercrime. De ontwikkeling van cybercrime wordt door veel facetten beïnvloed, waardoor een complex samenspel ontstaat tussen de diverse actoren die daarbij zijn betrokken. De bancaire sector is in toenemende mate afhankelijk van de digitale communicatie met hun klanten via het internet. Deze afhankelijkheid wordt versterkt door het toepassen van straight through processing (STP), waardoor realtime gegevensverwerking zonder manuele tussenkomst kan plaatsvinden. Deze ontwikkeling wordt onder andere gedreven door een groeiende verwachting van de klanten van een snelle verwerking van hun financiële transacties. Door het verhogen van de effectieve automatiseringsgraad, bieden banken de klanten een 24x7 dienstverlening via het internet. Dit heeft mede tot gevolg dat traditionele bankkantoren worden gesloten en kostenbesparingen op zowel materialen (post, panden, etc.) als personeel worden gerealiseerd. Door de toenemende automatisering verschuift een deel van de voorheen interne betaal-, service- en afsluitprocessen naar de klant. Deze verschuiving verzwakt de beïnvloedingsmogelijkheden van de bank op de gehele keten en de daarbij horende processen. Cybercriminelen richten zich in deze keten op de zwakste schakel die vaak buiten de directe beïnvloedingssfeer van de bank ligt. Zowel de hiervoor beschreven interbancaire ontwikkelingen als de professionalisering van cybercrime dragen bij aan een toenemende druk op de risicobeheersing in de bancaire sector. De organisatie van de interne risicobeheersing en de informatiesystemen bij ”klein” banken, wordt in toenemende mate toegespitst op de risico’s van cybercrime. Daarbij is de focus met name op het internetbankieren gericht. Gezien de inherente risico’s die gepaard gaan met het aanbieden van diensten via het internet lijkt dit een logisch concentratiepunt. Tevens geeft de huidige modus operandi van de cybercriminelen aanleiding tot het leggen van de focus op het internetbankieren. De huidige modus operandi van cybercriminelen bestaat primair uit drie elementen, het gaat uit van een grote massa, directe toegang tot geldstromen en is gericht op de zwakste schakel, namelijk de klant. Verschijningsvormen van cybercrime, zoals malware en phishing, proberen optimaal de drie elementen te benutten. De modus operandi wordt beïnvloed door de dalende kosten en een vermindering in de benodigde inspanning van cybercriminelen, door taakdiversificatie en het gebruik maken van geavanceerde en in hoge mate geautomatiseerde malware. Desondanks lijkt de inherent kleinere massa aan klanten bij “klein” banken en de bank specifieke en unieke internetbankieren applicaties, een directe verschuiving van de huidige modus operandi, en de bijhorende verschijningsvormen van cybercrime, naar de “klein” banken te weerhouden. Tenzij de massa van een “klein” bank dermate groeit dat het voor de cybercriminelen loont om bestaande middelen aan te passen en in te zetten tegen een “klein” bank. De trend waarbij cybercriminelen in toenemende mate doelgerichte aanvallen uitvoeren, lijkt voor de risicobeheersing bij “klein” banken relevant. Hiervoor is immers geen grote massa benodigd en kan de cybercrimineel zich nog steeds richten op de klant en daarmee op directe geldstromen via het internetbankieren. De focus van cybercriminelen zal naar waarschijnlijkheid liggen op vermogende klanten, zodat de additionele tijd en inspanning die noodzakelijk is voor gerichte aanvallen, voldoende baten voor de cybercriminelen genereren. Hierdoor krijgt het modus operandi de karakteristieken van een hit-and-run, waarbij cybercriminelen zullen anticiperen op de detectieve maatregelen van de banken. Een eerste indicatie van dergelijke doelgerichte aanvallen is reeds waargenomen, daarbij was echter geen sprake van klanten van “klein” banken.
Beheersing van cybercrime bij Nederlandse “klein” banken | Samenvatting en conclusies
33
Een essentieel onderdeel van de huidige modus operandi van cybercriminelen is het gebruik van money mules. Door de groeiende economie van cybercrime, ontstaat bij de cybercriminelen een groeiende behoefte naar money mules. In de keten van cybercrime, gericht op het internetbankieren, zijn de money mules het sluitstuk en spelen daarmee een belangrijke rol in het bestrijden van cybercrime. De "klein" banken kunnen bijdragen aan de bestrijding van money mules door informatie over reeds bekende money mules te gebruiken bij zowel het aanname proces van potentieel nieuwe klanten als in het proces voor transactiemonitoring. De totale financiële schade door cybercrime in de bancaire sector is niet inzichtelijk. De financiële schade door fraude via het internetbankieren wordt wel publiek bekend gemaakt. Daarbij is over de afgelopen jaren een snelle stijging van de omvang van de financiële schade en het aantal incidenten te herkennen. Een differentiatie van de schade naar individuele banken is niet publiek aanwezig. Uit de interviews is het beeld ontstaan dat de schade bij “klein” banken een zeer beperkt deel is van het totale bedrag. Gezien de huidige modus operandi van de cybercriminelen en de inherent lagere geldstroom bij “klein” banken lijkt dit aannemelijk. Toch is bij “klein” banken een stijging in de omvang van de financiële schade door cybercrime waargenomen. Dit wordt mogelijk mede veroorzaakt door het aanscherpen van detectieve maatregelen, zoals transactiemonitoring, waardoor fraudes beter inzichtelijk worden. Tevens zijn er signalen in de bancaire sector die een indicatie geven over een mogelijke stijging van cybercrime bij “klein” banken. Daarbij valt te denken aan malware die zich richt op een “klein” bank en spear phishing aanvallen op vermogende klanten. De “klein” banken kunnen voor het internetbankieren additionele maatregelen treffen, zoals het verbeteren van de detectiesystemen, het toepassen van transactiegegevens in het autorisatieproces van transacties en door gebruik te maken van dual channel communicatie met de klant voor het versturen van notificaties. Daarnaast kunnen “klein” banken hun klanten in toenemende mate wijzen op de risico’s omtrent internetbankieren, door dit duidelijk op de website te vermelden. De crux in het toepassen van beheersmaatregelen, ligt in een stelsel van organisatorisch, procedurele en technische maatregelen die zijn gericht op het snel kunnen anticiperen en acteren op nieuwe ontwikkelingen en incidenten met betrekking tot cybercrime. Op deze manier kan worden ingespeeld op de relevante dreigingen en de snelle ontwikkelingen van cybercrime, om de effecten daarvan passend te mitigeren. De noodzaak tot het treffen van additionele maatregelen wordt mede beïnvloed door het behouden van het vertrouwen van klanten in het internetbankieren en het voorkomen van reputatieschade. Indien de schade door cybercrime bij Nederlandse “klein” banken toeneemt, kan dit mogelijk gevolgen hebben voor het vertrouwen van de klanten in de gehele bancaire sector. Sensationele media aandacht over schade via cybercrime in de bancaire sector kan de beleving van klanten beïnvloeden. Daarbij is de perceptie van de klanten over het risico van cybercrime veelal niet op objectieve informatie gebaseerd en daarmee niet proportioneel vergeleken met de feitelijke kans om slachtoffer te worden. Communicatie vanuit de banken naar de klanten over de gevaren van internetbankieren is van essentieel belang om de perceptie van de klanten te beïnvloeden. De aanwezige interbancaire en sector overstijgende initiatieven voor het creëren van bewustwording bij de klanten kunnen daarbij ondersteunen. Verdere interbancaire samenwerking binnen “klein” banken, op het gebied van cybercrime, is aan te bevelen, waardoor kennisdeling over de ontwikkelingen en maatregelen binnen deze banken wordt bevorderd. Door de professionalisering van cybercrime, de toename in gerichte aanvallen, de toenemende afhankelijkheid van internet en de toename in straight through processing en internationaal gestandaardiseerd betalingsverkeer, neemt de druk op de risicobeheersing bij “klein” banken toe en wordt de kans op financiële en reputatieschade bij Nederlandse “klein” banken de komende jaren vergroot. Hierdoor zijn mijns inziens investeringen door “klein” banken, in de hiervoor beschreven aanvullende maatregelen, aan te bevelen.
Beheersing van cybercrime bij Nederlandse “klein” banken | Samenvatting en conclusies
34
7 Reflectie 7.1
Inleiding
Dit hoofdstuk beschrijft de persoonlijke reflectie van de auteur op het onderzoek. Daarbij wordt een beschouwing gegeven over het onderzoeksproces, de onderzoeksresultaten en de persoonlijke leerresultaten. Tevens worden aanbevelingen voor vervolgonderzoek gedaan.
7.2
Reflectie
Onderzoeksproces Er is een grote hoeveelheid (kwalitatieve) literatuur aanwezig over de verschillende aspecten van de complexe materie van cybercrime. Daarbij viel het op dat de literatuur veelal zeer generiek van aard is, en daarmee enigszins oppervlakkig, of dat een specifiek deelgebied van cybercrime zeer detaillistisch is beschreven en daarmee de samenhang met het geheel uit het oog werd verloren. Publieke onderzoeken naar de aard en omvang van cybercrime in de Nederlandse bancaire sector zijn beperkt. Het aggregeren van de literatuur op de diverse onderzoeksgebieden en deze te plaatsen in de context van de bancaire sector en specifiek de “klein” banken, was een uitdagend onderdeel van het onderzoek. Het casusonderzoek heeft bijgedragen aan een verdieping op het literatuuronderzoek, waarbij de context van cybercrime in de bancaire sector in Nederland in grote mate werd verhelderd. De praktijkervaring en observaties van de respondenten hebben bijgedragen aan een kritische analyse en beschouwing van het literatuuronderzoek. De interviews heb ik als zeer plezierig en uiterste interessant en zinvol ervaren, waarbij de bereidheid en het enthousiasme van de respondenten me hebben geholpen om het plezier tijdens het onderzoek te behouden. Tijdens het uitvoeren van het casusonderzoek is me opgevallen dat de diepgang van de gespreksonderwerpen uitsluitend door de gestelde tijd voor het interview werd beperkt. Dit geeft aan dat er veel over de diverse facetten en de effecten van cybercrime op de bedrijfsvoering van de banken valt te vertellen en het onderwerp als zodanig ook ruim aandacht heeft bij de banken. Tijdens zowel het literatuur- als het casusonderzoek is in zekere mate gebruik gemaakt van vertrouwelijke informatie. Het delen van informatie is op vertrouwen gebaseerd, daarom is bij het benaderen van de respondenten gekozen om de anonimiteit van de respondenten te behouden. Het gebruik van vertrouwelijke informatie heeft, tijdens het uitvoeren van dit onderzoek, tot een incidentele discussie geleid over het gebruik van de betreffende informatie in dit onderzoek. Mijns inziens hebben deze discussies bijgedragen aan het verkrijgen van additioneel inzicht in de belangen van de diverse actoren die bij de beheersing van cybercrime zijn betrokken. Onderzoeksresultaten Dit onderzoek was gericht op de beheersing van cybercrime bij Nederlandse “klein” banken. De professionalisering van cybercrime vergroot de druk op de risicobeheersing bij “klein” en verhoogt de kans op financiële en reputatieschade. Hierbij moet worden opgemerkt dat aspecten buiten de Nederlandse bancaire sector mogelijk ook een rol kunnen spelen in de verdere ontwikkeling van cybercrime. Cybercrime wordt gekenmerkt door het landsgrens overschrijdende karakter en cybercriminelen opereren daarmee internationaal. Een passende metafoor daarbij is dat water naar het laagste punt stroomt. Dit betekent dat cybercriminelen zich richten op welvarende landen, met een relatief laag beveiligingsniveau, maar met een goede digitale infrastructuur. Dit onderzoek heeft zich op de Nederlandse bancaire sector geconcentreerd. Gezien het gebruik van een zwakker authenticatiemechanisme, van gebruikersnaam en wachtwoord, bij welvarende Angelsaksische landen is het waarschijnlijk dat cybercriminelen zich in toenemende mate op dergelijke landen focussen. Vanuit het perspectief van de cybercrimineel kan de bancaire sector in Nederland worden gezien als een interessant onderzoekgebied, men zou kunnen spreken van Research & Development, om zich voor te bereiden op dergelijke maatregelen door andere landen.
Beheersing van cybercrime bij Nederlandse “klein” banken | Reflectie
35
De financiële sector is van oudsher een interessant doelwit voor cybercriminelen, met name om de potentiële toegang tot directe geldstromen. Daarmee heeft de financiële sector, in vergelijking met andere branches, zoals de energiemarkt, veel maatregelen getroffen, waardoor het ontvreemden van geld lastiger wordt. Hierdoor is het aannemelijk dat een gedeelte van de cybercriminelen zich in mindere mate gaan richten op de directe geldstromen, maar in toenemende mate hun activiteiten verschuiven naar branches die zeer waardevolle digitale informatie verwerken. Een recent voorbeeld hiervan is de digitale diefstal van CO2 emissierechten in de Europese Unie (EU). Daarbij is in een aantal maanden vermoedelijk reeds € 48,7 miljoen gestolen door de handel in CO2 emissiecertificaten, hierdoor is de handel in dergelijke emissiecertificaten (tijdelijk) stilgelegd (Computer Crime Research Center, 2011). Persoonlijke leerresultaten Dit onderzoek heeft mij geholpen in het verder ontwikkelen van mijn persoonlijke competenties in het op systematische wijze analyseren en onderzoeken van een breed en complex onderwerp. Daarbij heb ik het analyseren van de samenhang van de diverse facetten en de benodigde diepgang voor het onderzoek ervaren als een uitdaging. Daarbij heb ik meer ervaring opgedaan in het toepassen van mindmaps, om de relaties en het overzicht van de diverse bronnen te behouden. Dit heeft geholpen om zinvolle informatie te kunnen destilleren en dit overzichtelijk te bewaren, zodat het eenvoudiger was dit gedurende het onderzoek te raadplegen. Het uitvoeren van de interviews tijdens het casusonderzoek heeft mij meer inzicht gegeven in de effectiviteit van de gebruikte interviewtechnieken. Gedurende het casusonderzoek heb ik leerpunten van de voorgaande interviews, verwerkt in de aanpak van de nog uit te voeren interviews. Tevens heeft dit onderzoek bijgedragen aan het verder ontplooien van mijn schrijfvaardigheden.
7.3
Aanbevelingen voor vervolgonderzoek
Mijns inziens zou de bancaire sector, en met name “klein” banken, er bij zijn gebaat om meer inzicht te hebben in de directe en indirecte financiële schade als gevolg van cybercrime. Hierdoor kan de financiële impact voor de bedrijfsvoering beter worden bepaald en kan besluitvorming over te nemen maatregelen in toenemende mate op kwantitatieve gegevens worden gebaseerd. Nader wetenschappelijk kwantitatief onderzoek naar het meten van de directe en indirecte schade van cybercrime is daarom aan te bevelen. Niet alleen de financiële schade speelt een belangrijke rol in het besluitvormingsproces, maar ook de mogelijke imago- en reputatieschade. Daarbij bestaan raakvlakken naar de maatschappelijke problematiek van cybercrime en het vertrouwen in de digitale wereld. Nader onderzoek naar de relatie tussen cybercrime en het vertrouwen in internetbankieren door de klanten, is vanuit wetenschappelijk oogpunt maar ook vanuit de bancaire sector aan te bevelen. Met betrekking tot het IT-audit vakgebied, kan een verdieping van dit onderzoek plaatsvinden door het onderzoeken van methoden voor het effectief beoordelen van complexe ketens, zoals het internetbankieren, in relatie tot de dreigingen van cybercrime. Daarbij kan aandacht zijn voor de auditaanpak, de toegevoegde waarde van een multidisciplinair auditteam, de totstandkoming van normenkaders en de verwachte organisatorisch, procedurele en technische maatregelen.
Beheersing van cybercrime bij Nederlandse “klein” banken | Reflectie
36
Bijlage A, Literatuur
Amersfoort, P. v., Smit, L., & Rietveld, M. (2002). Criminaliteit in de virtuele ruimte. Zeist: Kerckebosch. Apvrille, A. (2010, september 27). Zeus In The Mobile (Zitmo): Online Banking’s Two Factor Authentication Defeated. Opgeroepen op januari 3, 2011, van Fortinet: http://blog.fortinet.com/zeus-in-the-mobile-zitmoonline-bankings-two-factor-authentication-defeated/ Baarda, D., Goede, M. d., & Teunissen, J. (2009). Basisboek Kwalitatief Onderzoek. Groningen/Houten: Noordhoff Uitgevers bv. Bauer, J. M., & Eeten, M. J. (2009). Securing Cyberspace - Realigning Economic Incentives in the ICT Value Net. East Lansing, Michigan. Becker, G. S. (1995). The Economics of Crime. Cross Sections . Boerman, F., & Mooij, A. (2006). Vervolgstudie nationaal dreigingsbeeld: Nadere beschouwing van potentiële dreigingen en witte vlekken uit het nationaal dreigingsbeeld 2004. Zoetermeer: KLPD Dienst Nationale Recherche Informatie. Brenner, S. W. (2002). Organized Cybercrime? How Cyberspace May Affect the Structure of Criminal Relationships. North Carolina Journal of Law & Technology, Volume 4 Issue 1 . Brenner, S. W., & Clarke, L. L. (2009). Combatting cybercrime through distributed security. International Journal of Intercultural Information Management, Volume 1 Number 3 , 259-274. Brown, S. (2010). Fiction, fantasy and transformation in the imaginaries of cybercrime: the novel and after. In Y. Jewkes, & M. Yar, Handbook of Internet Crime (pp. 145-172). Willian Publishing. Caspers, C., & Scholtz, T. (2010). Marketscope for Managed Security Services in Europe. Gartner Research. CBS. (2010, oktober 26). Internetters bezorgd over online dreigingen. Opgeroepen op maart 11, 2011, van Centraal Bureau voor de Statistiek: http://www.cbs.nl/NR/rdonlyres/7D740D65-5F5B-4F0C-B33BB9D9AD1CA4EE/0/pb10n067.pdf CBS. (2010, oktober 26). Internetters bezorgd over online dreigingen. Opgeroepen op maart 11, 2011, van Centraal Bureau voor de Statistiek: http://www.cbs.nl/NR/rdonlyres/7D740D65-5F5B-4F0C-B33BB9D9AD1CA4EE/0/pb10n067.pdf Certified Secure. (2010, december 21). Cybercriminelen stelen 5,6 miljoen bij ABN Amro. Opgeroepen op december 21, 2010, van Security.nl: http://www.security.nl/artikel/35571/1/Cybercriminelen_stelen_5%2C6_miljoen_bij_ABN_Amro.html Certified Secure. (2010, december 29). GSM-gesprekken voor 10 euro af te luisteren. Opgeroepen op december 30, 2010, van Security.nl: http://www.security.nl/artikel/35643/1/GSMgesprekken_voor_10_euro_af_te_luisteren.html Certified Secure. (2010, december 29). GSM-gesprekken voor 10 euro af te luisteren. Opgeroepen op december 30, 2010, van Security.nl. Beheersing van cybercrime bij Nederlandse “klein” banken | Literatuur
IV
Certified Secure. (2010, december 12). MasterCard offline na DDoS-aanval botnet. Opgeroepen op december 12, 2010, van Security.nl: http://www.security.nl/artikel/35404/MasterCard_offline_na_DDoSaanval_botnet.html Certified Secure. (2010, december 20). Mobiele site Rabobank lekte inlogcodes. Opgeroepen op december 30, 2010, van Security.nl. Certified Secure. (2010, december 9). PayPal platgelegd via botnet van 30.000 computers. Opgeroepen op december 12, 2010, van Security.nl: http://www.security.nl/artikel/35420/1/PayPal_platgelegd_via_botnet_van_30.000_computers.html Choo, K.-K. R. (2007). Zombies and botnets. Trends & Issues in crime and criminal justice . Choudary, O. S. (2010). The Smart Card Detective: a hand-held EMV interceptor. Cisco. (2011). Cisco 2010 Annual Security Report. Cisco Systems Inc. Clough, J. (2010). Principles of cybercrime. Cambridge University Press. Comodo Group Inc. (2011, maart 23). Report of incident on 15-MAR-2011. Opgeroepen op maart 25, 2011, van Comodo: http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html Computer Crime Research Center. (2011, januari 15). Carbon Credit Cybercrime for Dummies. Opgeroepen op maart 27, 2011, van Computer Crime Research Center: http://www.crimeresearch.org/news/01.25.2011/3858/ Cressey, D. R. (1953). Other Peoples Money: A Study in the Social Psychology of Embezzlement. Glencoe, Illinois: The Free Press. DNB. (2011, januari 25). De Nederlandsche Bank. Opgeroepen op februari 3, 2011, van Stand der inschrijvingen in het register Wft: http://www.statistics.dnb.nl/index.cgi?lang=nl&todo=BankReg DNB. (2009, november 13). Ernstige zorg over nieuwe, onveilige betaaldiensten op internet. Opgeroepen op februari 20, 2011, van De Nederlandse Bank: http://www.dnb.nl/nieuws-en-publicaties/nieuwsoverzicht-enarchief/nieuws-2009/dnb224684.jsp DNB. (2009, november 13). Toelichting standpunt DNB 'Overlay betaaldiensten'. Opgeroepen op februari 20, 2011, van De Nederlandse Bank: http://www.dnb.nl/binaries/Toelichting_tcm46-223391.pdf Dorminey, J. W., Fleming, A. S., Kranacher, M.-J., & Riley, R. A. (2010). Beyond the Fraud Triangle - Enhancing Deterrence of Economic Crime. CPA Journal, july 2010 , 17-23. Drimer, S., Murdoch, S. J., & Anderson, R. (2009). Optimised to Fail: Card Readers for Online Banking. Financial Cryptography and Data Security (pp. 184-200). Springer. ECIIA. (2011, januari 12). The ECIIA endorses the three lines of defence model for internal governance. Opgeroepen op februari 26, 2011, van European Confederation of Institutes of Internal Auditing: http://www.eciia.eu/about-us/news/whats-hot Economides, N. (1995). The Economics of Networks. International Journal of Industrial Organization, Volume 14, Number 2 . Beheersing van cybercrime bij Nederlandse “klein” banken | Literatuur
V
ECP-EPN. (sd). Platform Internet Veiligheid. Opgeroepen op februari 26, 2011, van ECP-EPN: http://www.ecpepn.nl/platform-internetveiligheid Eeten, M. J., & Bauer, J. M. (2008). Economics of Malware - Security Decisions, Incentives and Externalities. OECD Publishing. Eeten, M. J., Asghari, H., Bauer, J. M., & Tabatabaie, S. (2011). Internet Service Providers and Botnet Mitigation - A Fact-Finding Study on the Dutch Market. Faculty of Technology, Policy and Management, Delft University of Technology. Ernst & Young. (2010). Onderzoekresultaten ICT Barometer over cybercrime. Jaargang 10, 24 februari 2010. Europol. (2011). Internet Facilitated Organised Crime Threat Assessment (iOCTA). Den Haag: Europol. Faber, W., Mostert, S., Faber, J., & Vrolijk, N. (2010). Phishing, Kinderporno en Advance-Fee internet Fraud: Hypothesen van cybercrime en haar daders. Faber organisatievernieuwing b.v. FEC. (2010). FEC Jaarverslag 2009. Financieel Expertise Centrum. FEC. (2010). Jaarplan 2011 FEC. FEC. (2009). Jaarplan FEC 2010. FERMA & ECIIA. (2010). Monitoring the effectiveness of internal control, internal audit and risk management systems. Federation of European Risk Manangement Associantions & European Confederation of Institutes of Internal Auditing. FI-ISAC. (2010). Financial Institutions - Information Threat Monitor 2010. FI-ISAC. Financieel Expertise Centrum. (2010). Jaarverslag FEC 2009. Forrester Research. (2008). Dutch Online Banking Forecast: 2008 To 2013. Franklin, J., Paxson, V., Perrig, A., & Savage, S. (2007). An Inquiry into the Nature and Causes of the Wealth of Internet Miscreants. Computer and Communications Security 07. Gartner Research. (2010). Despite a Widely Hyped Exploit, Chip and PIN Card Security Is Not 'Broken'. Gartner Inc. Gartner Research. (2010). Findings: Consumerization Is Affecting Enterprise Mobility Strategies . Gartner Inc. Gartner Research. (2010). Findings: In January 2010, the Consumerization of IT Became a Business Strategy Issue. Gartner, Inc. Gartner Research. (2010). Forecast: Public Cloud Services, Worldwide and Regions, Industry Sectors, 20092014. Gartner Inc. Gartner Research. (2010). Key Issues for Cloud Computing. Gartner Inc. Gartner Research. (2009). Key Issues for the Consumerization of IT. Gartner, Inc. Gartner Research. (2010). Security in 2013 and Beyond. Giebels, R. (2011, maart 15). Tien keer zoveel fraude internetbankieren. De Volkskrant , p. 20. Beheersing van cybercrime bij Nederlandse “klein” banken | Literatuur
VI
Gordon, G. R., Hosmer, C. D., Siedsma, C., & Rebovich, D. (2002). Assessing technology, Methods, and Information for Committing and Combating Cyber Crime. Rockville: The Computer Forensics Research & Development Center. GOVCERT.NL. (2009). Beveiliging van mobiele apparatuur en datadragers. GOVCERT.NL. (2011, januari 3). Factsheet FS 2010-03 - Bescherm uw online dienst(en) tegen (d)DoS-aanvallen. Opgeroepen op maart 11, 2011, van GOVCERT.NL: http://www.govcert.nl/binaries/live/govcert/hst%3Acontent/dienstverlening/kennis-enpublicaties/factsheets/factsheet-over-bescherming-tegen-dos-aanvallen/factsheet-over-bescherming-tegendos-aanvallen/govcert%3AdocumentResource/govcert%3Aresource GOVCERT.NL. (2010). Factsheet: Afluisteren van GSM-communicatie. GOVCERT.NL. (2010). Nationaal Trendrapport Cybercrime en Digitale Veiligheid 2010. GOVCERT.NL. Haver, J. (2010). De valkuilen van internetbankieren. Banking Review , 62-64. Herley, C. (2009). So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. Redmond, WA, USA: Microsoft Research. HP. (2010). Top Cyber Security Risks Report. Hewlett-Packard Development Company, L.P. Hulst, R. C., & Neve, R. (2008). High-tech crime: Inventarisatie van literatuur over soorten criminaliteit en hun daders. Den Haag: WODC. IFM & SSF. (2010). Shadows in the Cloud: Investigating Cyber Espionage 2.0. Information Warfare Monitor & Shadowserver Foundation. Inside Cyber-Crime Money Mule Operations. (2011, januari 6). Opgeroepen op maart 11, 2011, van National Cyber Security: http://nationalcybersecurity.net/inside-cyber-crime-money-mule-operations/ ISF. (2010). Threat Horizon 2012 - Emerging information security threats to business. Information Security Forum Limited. Jewkes, Y., & Yar, M. (2010). Handbook of Internet Crime. Willian Publishing. Kark, K. (2010). The Forrester Wave: Managed Security Services, Q3 2010. Forrester Research. Kassa. (2010, juli 12). Phishing via telefoon bij Rabobank- en ING-klanten. Opgeroepen op februari 20, 2011, van Kassa: http://kassa.vara.nl/actueel/algemeen-artikel/nieuws/phishing-via-telefoon-bij-rabobank-en-ingklanten/ Kassa. (2008, september 6). Postbank vergoedt internetfraude niet zonder meer. Opgeroepen op februari 20, 2011, van Kassa: http://kassa.vara.nl/tv/afspeelpagina/fragment/postbank-vergoedt-internetfraude-nietzonder-meer/speel/1/ KLPD. (2007). Identiteitsfraude met behulp van phishing op internet: verslag van een onderzoek voor de vervolgstudie NDB. Zoetermeer: Dienst Nationale Recherche Informatie. KLPD. (2010). Overall beeld Aandachtsgebieden. KLPD Dienst Nationale Recherche.
Beheersing van cybercrime bij Nederlandse “klein” banken | Literatuur
VII
Krehnke, M. E., & Krehnke, D. C. (2007). Formulating an Enterprise Information Security Architecture. In H. F. Tipton, & M. Krause, Information Security Management Handbook (pp. 1451-1486). New York: Auerbach Publications. Kshetri, N. (2009). Positive Externality, Increasing Returns, and the Rise in Cybercrimes. Communications of the ACM, Volume 52, Number 12 , 141-144. Kshetri, N. (2010). The Global Cybercrime Industry - Economic, Institutional and Strategic Perspectives. Springer. Kshetri, N. (2006). The Simple Economics of Cybercrimes. IEEE Security and Privacy, Volume 4, Number 1 . Leukfeldt, E., Domenie, M., & Stol, W. P. (2010). Verkenning cybercrime in Nederland 2009. Den Haag: Boom Juridische Uitgevers. Microsoft. (2011). Security Intelligence Report, Special Edition: Battling the Zbot threat. Microsoft Corporation. Ministerie van Veiligheid en Justitie. (2011, februari 22). Nationale Cyber Security strategie gepresenteerd. Opgeroepen op maart 11, 2011, van Rijksoverheid: http://www.rijksoverheid.nl/documenten-enpublicaties/persberichten/2011/02/22/nationale-cyber-security-strategie-gepresenteerd.html Miniwatts Marketing Group. (2010, juli 1). Netherlands Internet Usage Stats and Telecom Reports. Opgeroepen op maart 11, 2011, van Internet World Stats: http://www.internetworldstats.com/eu/nl.htm Mooij, J., & Werf, J. v. (2002). Cybercrime. KLPD (NRI 22/2002). Moore, T., Clayton, R., & Anderson, R. (2009). The Economics of Online Crime. Journal of Ecomic Perspectives, Volume 23, Number 3 , 3-20. Morris, S. (2004). The future of netcrime now: Part 1 – threats and challenges. UK Home Office. Murdoch, S. J., & Anderson, R. (2010). Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication. Financial Cryptography and Data Security. Springer. Murdoch, S. J., Drimer, S., Anderson, R., & Bond, M. (2010). Chip and PIN is Broken. IEEE Symposium on Security and Privacy. Oakland, California, USA. Nederlandse Vereniging van Banken. (sd). Identiteitsfraude. Opgeroepen op december 30, 2010, van Veilig Bankieren: http://www.veiligbankieren.nl/nl/internetbankieren/identiteitsfraude.html Nederlandse Vereniging van Banken. (sd). Money Mules. Opgeroepen op december 30, 2010, van Veilig Bankieren: http://www.veiligbankieren.nl/nl/internetbankieren/money-mules.html NICC. (2008, oktober 9). NTD. Opgeroepen op januari 3, 2011, van Samen tegen Cybercrime : http://www.samentegencybercrime.nl/UserFiles/File/,DanaInfo=ex01tp+NTD_Gedragscode_Opmaak.pdf NICC. (2008). Publiek-private samenwerking in het Informatieknooppunt Cybercrime. Schiedam: OBT / TDS printmaildata. NICC. (2010, december 27). Succesvolle aanpak cybercrime voortgezet bij TNO. Opgeroepen op maart 16, 2011, van NICC - Samen tegen cybercrime: http://www.samentegencybercrime.nl/Nieuws_over_cybercrime/Vanaf_1_januari_CPNInl?p=content Beheersing van cybercrime bij Nederlandse “klein” banken | Literatuur
VIII
Nohl, K., & Munaut, S. (2010, december 28). Decrypting GSM phone calls. Opgeroepen op januari 3, 2011, van Security Research Labs: http://srlabs.de/research/decrypting_gsm/ NOS. (2010, augustus 12). Geen gratis geld na pinstoring. Opgeroepen op maart 11, 2011, van NOS Nieuws: http://nos.nl/artikel/177856-geen-gratis-geld-na-pinstoring.html Nu.nl. (2011, februari 23). Brand en cyberaanval bij Rabobank opgeëist . Opgeroepen op maart 3, 2011, van Nu.nl: http://www.nu.nl/binnenland/2453704/brand-en-cyberaanval-bij-rabobank-opgeeist.html Nu.nl. (2011, maart 16). Utrecht getroffen door lange storing KPN. Opgeroepen op maart 19, 2011, van Nu.nl: http://www.nu.nl/internet/2469638/utrecht-getroffen-lange-storing-kpn.html NVB. (2011, januari 28). Bezorgdheid over toename ronseling katvangers. Opgeroepen op maart 11, 2011, van Nederlandse Vereniging van Banken: http://www.nvb.nl/index.php?p=11177#item_573419 NVB. (2010, oktober 27). Cijfers financiële schade CBS en banken niet vergelijkbaar. Opgeroepen op maart 11, 2011, van Nederlandse Vereniging van Banken: http://www.nvb.nl/index.php?p=11219#item_535095 NVB. (2009). Cybercrime - Alleen gezamenlijke aanpak werkt. Bank | Wereld , 10-11. NVB. (2010). Identiteitsfraude. Opgeroepen op december 30, 2010, van Veilig Bankieren: http://www.veiligbankieren.nl/nl/internetbankieren/identiteitsfraude.html NVB. (2011, maart 14). Intensieve samenwerking politie, justitie en banken tegen internetfraude. Opgeroepen op maart 14, 2011, van Nederlandse Vereniging van Banken: http://www.nvb.nl/scrivo/asset.php?id=574144 NVB. (2010). Jaarverslag 2009 - Vertrouwen door verbinding. NVB. NVB. (sd). Leden. Opgeroepen op maart 3, 2011, van Nederlandse Vereniging van Banken: http://www.nvb.nl/index.php?p=10803#ledenlijst NVB. (2010). Money Mules. Opgeroepen op december 30, 2010, van Veilig Bankieren: http://www.veiligbankieren.nl/nl/internetbankieren/money-mules.html NVB. (2010, oktober 13). Start campagne veilig internetbankieren. Opgeroepen op februari 20, 2011, van Veiligbankieren: http://www.veiligbankieren.nl/nl/nieuws/start-campagne-veilig-bankieren.html NVB. (2010, December). Voorkomen en genezen. Bank | Wereld , 10-11. NVB. (2011, maart 17). Vragen en antwoorden: Fraude met internetbankieren en oprichting ECTF. Opgeroepen op maart 19, 2011, van Nederlandse Vereniging van Banken: http://www.nvb.nl/scrivo/asset.php?id=574165 Politie. (2011, januari 28). Onderzoek internetfraude leidt tot zestig aanhoudingen. Opgeroepen op maart 11, 2011, van Politie - Regio Haaglanden: http://www.politie.nl/haaglanden/nieuws/2803onderzoekinternetfraudeleidttotzestigaanhoudingen.asp Praat, J. V., & Suerink, J. (2008). Inleiding EDP-auditing. Den Haag: Acadamic Service. Sandywell, B. (2010). On the globalization of crime: the Internet and new criminality. In Y. Jewkes, & M. Yar, Handbook of Internet Crime. Willian Publishing. SecureWorks. (2010). ZeuS Banking Trojan Report. Beheersing van cybercrime bij Nederlandse “klein” banken | Literatuur
IX
Symantec. (2010). Internet Security Threat Report 2009. Symantec. (2011). Report on Attack Kits and Malicious Websites. Symantec. TNO. (2009). Perceptieonderzoek Veilig Internet - Onderzoek naar de ruimte tussen wat (on)veilig ís en wat als zodanig gepercipieerd wordt. Delft. Tweakers.net. (2010, september 30). Bedrijven en overheden krijgen meldplicht voor datalekken. Opgeroepen op maart 13, 2011, van Tweakers: http://tweakers.net/nieuws/69969/bedrijven-en-overheden-krijgenmeldplicht-voor-datalekken.html Ullrich, J. (2004, september 10). 6 Simple Steps to Beat Phishing. Opgeroepen op maart 19, 2011, van SANS Internet Storm Center: http://isc.sans.org/presentations/phishthat.pdf Varian, H. R. (2003). Economics of Information Technology. Verizon. (2010). 2010 Data Breach Investigations Report. Verizon Business. Verizon Business. (sd). VERIS Framework home. Opgeroepen op januari 3, 2011, van VERIS Framework: https://verisframework.wiki.zoho.com/ Verizon Business. (2011). VERIS Framework home. Opgeroepen op januari 3, 2011, van VERIS Framework: https://verisframework.wiki.zoho.com/ Wall, D. (2010). Criminalising cyberspace: the rise of the Internet as a `crime problem’. In Y. Jewkes, & M. Yar, Handbook of Internet Crime. Willian Publishing. Wall, D. (2007). Cybercrime - The transformation of crime in the information age. Crime and society series, Polity. Wall, D. (2008). Cybercrime, media and insecurity: The shaping of public perceptions of Cybercrime. International Review of Law, Computers & Technology, Volume 22 . Wall, D. S. (2008). Cybercrime and the culture of fear. Information, Communication & Society, Volume 11, Issue 6 , 861-884. Webber, C., & Vass, J. (2010). Crime, film and the cybernetic imagination. In Y. Jewkes, & M. Yar, Handbook of Internet Crime (pp. 120-144). Willian Publishing. Wikipedia. (2010, december 5). Consumerization. Opgeroepen op januari 3, 2011, van Wikipedia: http://en.wikipedia.org/wiki/Consumerization Wikipedia. (2010, december 27). Economies of scale. Opgeroepen op januari 3, 2011, van Wikipedia: http://en.wikipedia.org/wiki/Economies_of_scale Wikipedia. (2011, januari 2). Generation Y. Opgeroepen op januari 3, 2011, van Wikipedia: http://en.wikipedia.org/wiki/Generation_Y Wikipedia. (2011, februari 20). Willie Sutton. Opgeroepen op maart 18, 2011, van Wikipedia: http://en.wikipedia.org/wiki/Willie_Sutton Wolfe, D. T., & Hermanson, D. R. (2004). The Fraud Diamond: Considering the Four Elements of Fraud. CPA Journal, December 2004 . Beheersing van cybercrime bij Nederlandse “klein” banken | Literatuur
X
Yar, M. (2010). Public perceptions and public opinion about internet crime. In Y. Jewkes, & M. Yar, Handbook of Internet Crime (pp. 104-119). Willian Publishing.
Beheersing van cybercrime bij Nederlandse “klein” banken | Literatuur
XI
Bijlage B, Template introductiebrief Geachte heer/mevrouw
,
Cybercrime heeft zich ontwikkeld tot een significante dreiging voor banken. Daarnaast is de afhankelijk van de digitale wereld, voor zowel de banken als haar cliënten, toegenomen. De organisatie van cybercrime wordt steeds doeltreffender en de mogelijkheden van malware nemen toe. Hierdoor zal de modus operandi van cybercriminelen zich meer gaan richten op specifieke en kleinere banken. Om meer inzicht te krijgen in de ontwikkelingen en de gevolgen van cybercrime, ben ik bezig met een onderzoek naar De beheersing van cybercrime bij Nederlandse “klein” banken. Het betreft een afstudeeronderzoek en maakt deel uit van de opleiding IT-audit van de Vrije Universiteit te Amsterdam. Mijn afstudeeronderzoek zal bijdragen aan een inzicht in de gevolgen van cybercrime voor kleinere banken. Daarmee kan de bancaire sector als geheel de impact hiervan tijdig inschatten en hierop passend acteren. De onderzoeksresultaten kunnen worden gebruikt door IT-auditors en beveiligingsspecialisten bij het uitvoeren van hun functie. Afgelopen maanden ben ik bezig geweest met een literatuurstudie. In het kader van het praktijkonderzoek wil ik u vragen te participeren aan het onderzoek, door middel van een interview. Vooraf aan het interview zal ik u een vragenlijst toesturen, waarin onder andere de volgende onderwerpen worden behandeld; • • • •
Professionalisering en trends van cybercrime Organisatie van de interne risicobeheersing in relatie tot cybercrime Beheersmaatregelen in de primaire processen in relatie tot cybercrime Financiële en reputatieschade naar aanleiding van cybercrime
Het interview zal ongeveer 1,5 uur duren. Op basis van het interview wordt een gesprekverslag opgesteld. Dit verslag wordt met u afgestemd en de resultaten worden anoniem in het rapport verwerkt. Het rapport zal geen referentie naar u of uw organisatie bevatten. Als dank voor uw medewerking ontvangt u uiteraard een versie van het definitieve vertrouwelijke rapport. Dit rapport zal slechts in zeer beperkte kring worden gedeeld. Naar aanleiding van deze e-mail zal ik telefonisch contact met u opnemen om te horen of u wilt participeren aan het onderzoek en om eventueel een afspraak voor het interview te maken. Met vriendelijke groet,
Anne Wouda
Beheersing van cybercrime bij Nederlandse “klein” banken | Template introductiebrief
XII
Bijlage C, Topic- en vragenlijst Professionalisering cybercrime
a. Hoe definieert uw organisatie cybercrime? b. Welke ontwikkelingen onderkent uw organisatie op het gebied van cybercrime?
Organisatie interne risicobeheersing en informatiesystemen c. Op welke wijze is de interne risicobeheersing en de beveiliging van uw informatiesystemen georganiseerd met betrekking tot cybercrime? d. Hoe gaat uw organisatie om met dreigingen en ontwikkelingen van cybercrime in relatie tot de interne risicobeheersing en de beveiliging van informatiesystemen? Beheersmaatregelen e. Wat zijn de meest belangrijk risicogebieden binnen uw organisatie? f. Welke beheersmaatregelen heeft uw organisatie op de belangrijkste risicogebieden getroffen of is uw organisatie voornemens te treffen? g. Op basis waarvan vindt de rationalisatie van het nemen van beheersmaatregelen plaats binnen uw organisatie? Financiële en reputatieschade h. Op welke wijze wordt de schade door cybercrime binnen uw organisatie gekwantificeerd? i. In hoeverre is cybercrime van invloed op financiële en reputatieschade in uw organisatie? j. Wat zijn de verwachtingen van uw organisatie van financiële en reputatieschade binnen uw organisatie als gevolg van de ontwikkelingen van cybercrime?
Beheersing van cybercrime bij Nederlandse “klein” banken | Topic- en vragenlijst
XIII
Bijlage D, Rollencomplex
Beheersing van cybercrime bij Nederlandse “klein” banken | Rollencomplex
XIV
Bijlage E, Verschijningsvormen Relevante verschijningvormen van cybercrime
Legale communicatie en afscherming: – radicalisering en extremisme – terrorisme en ideologisch gemotiveerde misdaad – afscherming met behulp van ICT (1) Illegale handel: – drugs – geneesmiddelen – vuurwapens en explosieven – kinderporno – heling – mensenhandel en -smokkel – softwarepiraterij – illegale kansspelen Financieel-economische criminaliteit: – internetfraude – voorschotfraude – identiteitsfraude (2) – marktmanipulatie (3) – afpersing en chantage (4) – witwassen Illegale communicatie: – cyberstalking – discriminatie – grooming – spionage
Legale communicatie en afscherming: 1. Afscherming met behulp van ICT Financieel-economische criminaliteit: 2. Identiteitsfraude 3. Marktmanipulatie 4. Afpersing en chantage Ongeautoriseerde toegang tot ICT: 5. Hacking 6. Botnets
Ongeautoriseerde toegang tot ICT: – hacking (5) – botnets (6)
ICT-storing door gegevensverkeer: – (d)DoS-aanval (7) – spamming (8)
ICT-storing door gegevensverkeer: 7. (d)DoS-aanval 8. Spamming (/phising) ICT-storing door manipulatie van data en systemen: 9. Malware 10. Defacing (pharming) Dienstverleners: 11. Corrupt ICT-personeel 12. Infiltratie criminele ICT’ers 13. Inhuur ICT-experts
ICT-storing door manipulatie van data en systemen: – malware (virussen, wormen, Trojaanse paarden) (9) – defacing (pharming) (10) – (h)acktivisme – cyberterrorisme Dienstverleners: – corrupt ICT-personeel (11) – infiltratie criminele ICT’ers (12) – inhuur ICT-experts (13)
Beheersing van cybercrime bij Nederlandse “klein” banken | Verschijningsvormen
XV
Bijlage F, VERIS - Threat action
Beheersing van cybercrime bij Nederlandse “klein” banken | VERIS - Threat action
XVI
Bijlage G, Trends
Politiek I. Toename overheidsinspanningen
De overheid neemt in toenemende mate maatregelen tegen cybercrime, met een steeds bredere reikwijdte. Dit betreft op het gebied van het ontwikkelen van beleidvorming, het coördineren van de Publiek-Private Samenwerken (PPS), het aanscherpen van wet- en regelgeving, de handhaving van regelgeving over spam en het meewerken aan bewustwording en kennisdeling met betrekking tot cybercrime. Zowel nationaal als internationaal neemt het aantal plannen, regelgeving en concrete maatregelen op het gebied van cybersecurity toe. De groeiende overheidsinspanningen in Nederland zijn niet uniek. Andere geïndustrialiseerde landen nemen steeds meer beleidsmaatregelen om de digitale veiligheid te vergroten, zowel in nationaal verband als in internationale verdragen. Zeker vanaf 2007, na de dDoS aanval op Estland, is er grote aandacht voor cybersecurity op politiek en ambtelijk niveau. In toenemende mate vindt samenwerking met buitenlandse collega-organisaties plaats (GOVCERT.NL, 2010). In februari 2011 is de Nationale Cyber Security Strategie (NCSS) door minister Opstelten van Veiligheid en Justitie aangeboden aan de Tweede Kamer. Daarbij is aangegeven dat bij de Nederlandse politie meer capaciteit wordt vrijgemaakt om cybercriminaliteit aan te pakken (Ministerie van Veiligheid en Justitie, 2011). Tevens is in maart 2011 door de NVB aangekondigd dat het Korps Landelijke Politiediensten (KLPD), het Landelijk Parket en de banken gaan samenwerken in het Electronic Crimes Taskforce (ECTF) tegen cybercriminaliteit zoals internetfraude (NVB, 2011).
Economisch II. Toename afhankelijkheid van het internet Steeds meer activiteiten verplaatsen zich naar het internet. Nederlanders gebruiken internet meer en meer als alternatief voor winkelen en bankieren (GOVCERT.NL, 2010). Het internetbankieren groeit in Nederland. Van 9,7 miljoen gebruikers, zowel privé als zakelijk, in 2008 tot naar verwachting 11,2 miljoen in 2013 (Forrester Research, 2008). Ook de grote meerderheid van Nederlandse bedrijven en organisaties is, naar eigen zeggen, al (zeer) afhankelijk van ICT (Ernst & Young, 2010). Intensifiëren van verkoopkanalen en communicatie via het internet kan ervoor gaan zorgen dat alternatieve manieren van interactie met organisatie, zoals banken, veelal zullen verdwenen. Dit vergroot de afhankelijkheid van het internet en zorgt voor een verhoogt risico op langdurige uitval van de dienstverlening, bij aanhoudende regionale Internet storingen (ISF, 2010). Een voorbeeld hiervan heeft zich in Utrecht voorgedaan, waar ruim een dag geen internet en telefonie beschikbaar was, naar aanleiding van een kabelbreuk. Bij veel winkels kon tevens niet worden gepind (Nu.nl, 2011). III.
Toename professionalisering cybercrime
Bij hightech cybercrime hebben technische specialisten de leiding. Zij zoeken hun doelwitten steeds gerichter uit en benaderen ze ook gerichter (HP, 2010). Technisch specialisten bepalen het doelwit en de modus operandi terwijl minder kundige criminelen specifieke taken uitvoeren, verspreid over de hele wereld als dat nodig is. Op die manier zijn cybercriminelen in staat om internationaal te operen en snel de buit te verzilveren (IFM & SSF, 2010). Volgens de USSS blijft het aantal lidmaatschappen van cybercrime organisaties groeien en groeit de illegale winst voor top cybercriminelen significant. De commercialisering van cybercriminaliteit blijft voortdurend zich ontwikkelen en cybercriminelen ontwikkelen kennis en expertise voor specifieke typen systemen, zoals financiële verwerkingssystemen. Daarnaast ontwikkelen en implementeren cybercrime organisaties nieuwe back-office services voor het ontsteunen en vergroten van huidige werkwijzen. Cybercriminelen zijn uiterst adaptief in het ontwikkelen van nieuwe vormen van online fraude (Verizon, 2010). Cybercrime heeft zich geprofessionaliseerd tot een digitale underground economy met een hoge innovatiegraad, snelle onderlinge communicatie en handel. Oudere en simpele versies van malware zijn nog gratis of voor enkele tientallen dollars te krijgen, maar geavanceerdere malware en diensten kosten al snel in de orde van duizenden dollars. De eigenaren van dergelijke diensten hechten daarom ook steeds meer aan hun auteursrecht en beveiligen zich tegen illegaal kopiëren (SecureWorks, 2010). Naar mate de cybercrime Beheersing van cybercrime bij Nederlandse “klein” banken | Trends
XVII
economie blijft groeien en het eenvoudiger wordt authenticatiegegevens te bemachtigen, ontstaat er bij de cybercriminelen een groeiende behoefte naar money mules. Het rekruteren van money mules krijgt een steeds groter en internationaal bereik, naar verwachting zal dit een belangrijk aandachtspunt zijn voor investeringen van de cybercriminelen (Cisco, 2011). Een mogelijk eerste indicatie hiervan in Nederland is waar te nemen, door het groeiende aantal jongeren dat zich laat ronselen door mule recruiters (ronselaars) en hun rekeningen beschikbaar stelt voor cybercriminelen. Dit heeft reeds recent geleid tot de aanhouding van zestig verdachten naar aanleiding van een onderzoek van de Politie Haaglanden (Politie, 2011). In de keten van fraude via internetbankieren zijn de money mules het sluitstuk, waardoor ze een belangrijke rol spelen in het bestrijden van cybercrime. Uit de interviews is gebleken dat money mules reeds een belangrijk aandachtspunt zijn voor de banken. Money mules worden meer en meer gewezen op hun verantwoordelijkheid. Soms wordt geleden schade bij de betreffende money mules geclaimd. In 2010 zou het aantal money mules rond 5000 liggen (NVB, 2011). Bewustwordingscampagnes van de NVB in samenwerking met de overheid, en het publiek maken van sancties tegen money mules, beoogt het aantal money mules op termijn te verkleinen. IV.
Toename overlay services
In 2009 verscheen een nieuw fenomeen op de Nederlandse markt: overlay services. Partijen vroegen klanten, bijvoorbeeld bij het doen van een betaling op internet, hun gegevens om in te loggen binnen de persoonlijke internetbankierenomgeving. De partij kon met deze gegevens inloggen bij de bank, doen alsof hij de klant was en zo betalingen aanbieden en uitvoeren. De NVB constateerde dat dit hoge risico’s meebracht voor het internetbankieren en heeft haar zorgen hierover geuit. KPMG heeft namens de NVB de opdracht gekregen om een onafhankelijke risicoanalyse op te stellen. In deze risicoanalyse onderschrijft KPMG dat de risico’s van overlay services hoog zijn. (NVB, 2010) Deze overlay services doorbreken in beginsel de beveiliging van de bestaande toepassingen van internetbankieren. Om internetbankieren veilig te houden, moeten klanten die gegevens juist geheim houden en niet afgeven aan derden. Volgens de deelnemende partijen in het MOB (Maatschappelijk Overleg Betalingsverkeer) bieden overlay services onvoldoende waarborgen voor de veiligheid van de betrokken partijen. Omdat aanbieders van dergelijke diensten niet onder toezicht staan, heeft het MOB deze zorgen kenbaar gemaakt aan de Minister van Financiën en hem gevraagd voor voldoende waarborgen te zorgen (DNB, 2009; DNB, 2009). V.
Sociaal-cultureel Laag beveiligingsbewustzijn en hoog vertrouwen in ICT Het vertrouwen dat Nederlandse burgers en bedrijven hebben in de veiligheid van ICT en internet in het bijzonder is hoog in vergelijking met andere landen. Burgers zijn naar eigen beleving voldoende voorgelicht en toegerust om veilig gebruik te kunnen maken van internet (GOVCERT.NL, 2010). Een peiling uit 2009 wijst uit dat 70% van de internetgebruikers elektronisch bankieren veilig vindt (TNO, 2009). In het verlengde van het vertrouwen in de veiligheid van ICT staat het beveiligingsbewustzijn. Volgende de KLPD is het veiligheidsbewustzijn in de maatschappij op het gebied van cybercrime vaak nog laag (KLPD, 2010). Daar aan wordt toegevoegd dat mensen zowel thuis als zakelijk een zwakke schakel zijn bij de beveiliging van informatie, bijvoorbeeld omdat ze besmette USB-sticks gebruiken, ingaan op phishing e-mails of (al te) persoonlijke gegevens plaatsen op sociale netwerken (zie KLPD in (GOVCERT.NL, 2010)).
VI.
Toename social engineering & identiteitsdiefstal
Om de slagingskans van hun aanvallen te verhogen, gaan cybercriminelen steeds gerichter te werk op specifieke slachtoffers (Verizon, 2010). In openbare bronnen als sociale netwerken is veel persoonlijke informatie beschikbaar. Met deze informatie worden mensen verleid tot het verstrekken van vertrouwelijke informatie, zoals (inlog-) codes en wachtwoorden om beveiligingsmaatregelen te omzeilen. Een ander voorbeeld is de opkomst van steeds professionelere nep-antivirusprogrammatuur, compleet met updates, handleiding en ondersteuning vanuit een callcenter. De eindgebruiker denkt hiermee een veiligere computer te krijgen, maar wordt juist tegen betaling besmet (GOVCERT.NL, 2010). De toename in social engineering en identiteitsdiefstal is gerelateerd aan de verwachting op gerichte aanvallen op individuen (spearphishing attacks) (FI-ISAC, 2010). VII.
Lage aangiftebereidheid Beheersing van cybercrime bij Nederlandse “klein” banken | Trends
XVIII
De bereidheid van burgers en bedrijven om aangifte te doen van cybercrime is niet erg hoog. Uit een (kleinschalige) internetenquête blijkt bijvoorbeeld een aangiftebereidheid van vier procent (Leukfeldt, Domenie, & Stol, 2010). Mogelijke oorzaken die worden genoemd zijn de beperkte impact op het slachtoffer en angst voor imagoschade (vooral bij bedrijven). Bij bedrijven wordt in onderzoeken van Ernst & Young een hogere en stijgende aangiftebereidheid gevonden, vooral bij grote organisaties (Ernst & Young, 2010). De meeste organisaties voeren bij incidenten het onderzoek vooral in eigen beheer uit. Een kleine minderheid doet aangifte, hoewel de aangiftebereidheid in de afgelopen jaren wel is gestegen. Grote organisaties zijn veel meer geneigd om aangifte te doen dan kleine. Van de kleine organisaties zegt de helft zelfs helemaal geen actie te ondernemen bij cybercrime (zie Ernst & Young in (GOVCERT.NL, 2010)). VIII.
Opkomst Generation Y
De opkomst van de Internet generatie ofwel Generation Y (Wikipedia, 2011), in combinatie met een hoge mate van adoptie van persoonlijke technologie, heeft geleid tot een onomkeerbare verandering in houding ten opzichte van de bescherming van informatie. Voor Generation Y zijn de grenzen tussen werk en het privéleven minder relevant, waardoor deze grenzen vervagen (ISF, 2010). Dit kan mogelijk van invloed zijn op de wijze waarop personen van Generation Y omgaan met vertrouwelijke informatie. Een andere trend die van invloed is op de IT in relatie tot de opkomst van Generation Y, is een "anything goes" mentaliteit, die gebruikers toestaat om toepassingen en programma's van hun keuze te downloaden en te beheren (HP, 2010). Deze attitude brengt met zich mee, dat de aard van de beheersmaatregelen zwakker wordt, doordat technische maatregelen worden vervangen door het plaatsen van een grotere verantwoordelijkheid voor de beveiliging bij de gebruikers. Technologisch IX. Software kwetsbaarheden Software wordt nog altijd gezien als een van de belangrijkste bronnen van kwetsbaarheden. De groei van het aantal nieuw bekend geworden ernstige en middelzware kwetsbaarheden in software stabiliseert nu na jaren van sterke groei. Afgezet tegen een nog altijd sterk groeiende hoeveelheid softwareregels en toename in complexiteit van programmatuur, is die stabilisatie een gunstige ontwikkeling (GOVCERT.NL, 2010). Ondanks de stabilisatie in het aantal ernstige kwetsbaarheden geldt dat reeds bekende kwetsbaarheden en dreigingen een aandachtspunt blijven bij het implementeren van nieuwe applicaties en systemen (HP, 2010). De belangrijkste redenen van de kwetsbaarheden zijn onvoldoende validatie van ingevoerde gegevens, het lage kennisniveau van programmeurs van informatiebeveiligingsmaatregelen en het ontbreken van een standaard voor veilig ontwikkelen (GOVCERT.NL, 2010). In het Top Cyber Security Risks Report van HP wordt aangegeven dat web-applicaties één van de grootste risico’s blijven voor bedrijfsnetwerken. Omdat web-applicaties relatief eenvoudig zijn te bouwen en goedkoop en eenvoudig zijn uit te breiden, blijft het aantal webapplicaties gestaag groeien (HP, 2010). De dreiging van onveilige programmatuur wordt tevens versterkt door een groei in de outsourcing van (delen van) het ontwikkelproces. Als gevolg hebben buitenstaanders toegang tot verschillende fasen in het ontwerpproces. Buitenstaanders kunnen minder makkelijk onderworpen worden aan de interne controle van de organisatie. Taalproblemen kunnen gevolgen hebben voor de juiste implementatie van maatregelen. Een toename in de dreiging van onveilige programmatuur wordt versterkt door de druk op het steeds sneller ontwikkelen van software, waardoor er minder zorgvuldig ontwikkelde programma’s en webapplicaties ontstaan. Tevens wordt het uitbuiten van diverse bugs sneller benut (FI-ISAC, 2010). Zo kunnen bijvoorbeeld standaard hackertools gebruikt worden voor het vinden van kwetsbaarheden en kunnen standaard exploits worden toegepast (GOVCERT.NL, 2010). Een positieve ontwikkeling is het toenemende aantal leveranciers dat een automatisch patchmechanisme inbouwt in hun software. Hiertoe behoren enkele belangrijke bedrijven: Google, Microsoft, Apple en Adobe. Met automatisch patchen worden automatisch de laatste updates geïnstalleerd. De gebruiker hoeft zelf weinig te doen, waardoor de software makkelijker up-to-date blijft (GOVCERT.NL, 2010). X.
Monocultuur en internetinfrastructuur kwetsbaarheden
Een monocultuur van gebruikte software is eveneens een kwetsbaarheid. Grote groepen gebruikers kunnen in deze situatie op dezelfde manier worden aangevallen en vormen een aantrekkelijk doelwit volgens het Beheersing van cybercrime bij Nederlandse “klein” banken | Trends
XIX
principe van de economy of scale (Wikipedia, 2010). Er is in Nederland een monocultuur op het gebied van besturingssystemen voor pc’s en laptops (90% penetratie Windows in alle voorkomende versies) en browsers (bijna 70% Microsoft Internet Explorer in alle voorkomende versies), pdf-readers (Adobe Acrobat) en Adobe Flash (98% penetratie wereldwijd) (GOVCERT.NL, 2010). De internetinfrastructuur bevat kwetsbaarheden, die van belang zijn omdat het internet als basis wordt gebruikt voor veel zakelijke en privétoepassingen. De zwakte zit in de protocollen waarop internet als netwerk functioneert. Protocollen als IP (Internet Protocol), BGP (Border Gateway Protocol) en DNS (Domain Name System) zijn ruim veertig jaar oud en destijds ontworpen voor het routeren van gegevens, niet voor vertrouwelijkheid en integriteit van gegevens (GOVCERT.NL, 2010). XI.
Toename mobiele communicatie
Steeds meer mensen gebruiken hun smartphone voor meer dan alleen telefoneren, bijvoorbeeld om voor het versturen van e-mail of om bedrijfsinformatie te raadplegen. Het gebruik van dergelijke apparaten brengt een aantal risico’s met zich mee (GOVCERT.NL, 2009; ISF, 2010). De smartphones staan vaker en langer aan dan gewone computers en hebben meerdere verbindingen met de digitale buitenwereld, zoals GSM, GPRS, 3G, bluetooth, UMTS, USB en WiFi. Het apparaat is daarmee voortdurend bereikbaar van buitenaf. Tevens bepalen veel smartphones hun locatie met GPS of WiFi, waardoor deze zijn te herleiden. Daarnaast schiet de kennis van organisaties vaak tekort over het veilig beheren van mobiele apparatuur en is het voor hen ook minder beheersbaar dan vaste apparatuur. Tot slot zijn de apparaten zelf ook interessant om te stelen, vanwege de waarde van het apparaat of juist vanwege de informatie die erop staat. De dreiging van malware aanvallen op mobiele telefoons is nog klein, maar groeit. Aanvallen via mobiele toepassingen zijn mogelijk, maar in de praktijk nog te ingewikkeld om op dit moment grootschalig te realiseren. Er is nog steeds geen grote uitbraak van een virus op mobiele apparatuur geweest, wel diverse kleinere incidenten. Een mogelijke reden voor het nog kleine aantal incidenten ligt waarschijnlijk in de grote diversiteit van besturingssystemen op mobiele apparatuur, waardoor er per besturingssysteem minder gebruikers zijn. Tevens worden bij het ontwerp van mobiele besturingssystemen eerder geleerde beveiligingslessen van vaste besturingssystemen toegepast (GOVCERT.NL, 2010). De toename van het aantal smartphones en het gebruik van mobiel internet is inmiddels al herkend als nieuw kanaal voor de klant/bank relatie. Als financiële transacties via het mobiele kanaal toenemen zal naar waarschijnlijkheid ook de dreiging toenemen (FI-ISAC, 2010). Recente ontwikkelingen geven aan dat malware, zoals Zitmo (Zeus in the mobile), zich meer gaat richten op het mobiele platform, met onder andere als doel het onderscheppen van beveiligingscodes voor het omzeilen van twee factor authenticatie (Apvrille, 2010). Cisco geeft in hun jaarlijkse beveiligingrapportage aan dat ze een verschuiving zien van cybercriminelen die zich richten op de computer naar mobile apparatuur (Cisco, 2011). Daarnaast is het met beperkte middelen mogelijk om een GSM signaal af te luisteren. Door zwakheden in het GSM A5/1-algoritme bestaat de mogelijkheid tot het afluisteren van gesprekken en SMS berichten (GOVCERT.NL, 2010). Het afluisteren van communicatie tussen klanten en financiële instellingen, alsmede tussen medewerkers onderling, kan leiden tot ongewenste onthulling van vertrouwelijke informatie. Tevens kan het afluisteren van authenticatiegegevens die via SMS worden verstuurd, leiden tot frauduleuze transacties. Daarbij dient de kanttekening worden geplaatst, dat dergelijke dual channel communicatie veelal het tweede kanaal voor authenticatie vormt. In recente ontwikkelingen is live aangetoond dat een versleuteld gesprek kan worden opvangen, ontsleutelen en afgespeeld (Nohl & Munaut, 2010). Tevens is de broncode voor de benodigde programmatuur publiek vrijgegeven (Certified Secure, 2010). Door deze ontwikkelingen zal het dreigingniveau op kort termijn toenemen, maar naar verwachting zal de dreiging over drie jaar afnemen, doordat operators hun GSM verkeer zullen uitfaseren en zullen vervangen door UMTS / HSDPA (FI-ISAC, 2010). XII.
Toename consumerization
Het begrip consumerization is een neologisme dat de trend beschrijft, waarbij nieuwe IT-producten en diensten eerste in de consumentenmarkt verschijnen en vervolgens zich verspreiden in zakelijke organisaties (Wikipedia, 2010). Consumerization is in sterke mate toegenomen doordat mensen privéapparatuur, zoals Beheersing van cybercrime bij Nederlandse “klein” banken | Trends
XX
smartphones en tablets, en internetapplicaties, zoals social network sites, instant messaging en blogs, niet alleen thuis maar ook op het werk gebruiken (GOVCERT.NL, 2010; Gartner Research, 2009; Gartner Research, 2010). De beveiliging van een organisatie wordt hierdoor beïnvloed (GOVCERT.NL, 2010; HP, 2010). Een recente enquête van Gartner toont aan dat bedrijven bereid zijn van meerdere mobiele apparaten te gebruiken, waarbij de keuze meer worden beïnvloed door consumentenoverwegingen dan door beheersbaarheid en veiligheid (Gartner Research, 2010). Voor veel organisaties is het bedrijfsnetwerk als harde buitengrens van de eigen digitale omgeving vervaagd. Mobiel werken, het koppelen van bedrijfsnetwerken en het aansluiten van privéapparatuur op het bedrijfsnetwerk hebben de buitengrens veranderd in een dun membraam (ISF, 2010). Deze apparatuur bevindt zich daarbij niet meer binnen het bedrijfsnetwerk van de organisatie, waardoor de organisatie ook geen (volledige) controle meer heeft over de beveiliging van deze apparaten, ook wel end points genoemd. Steeds meer financiële instellingen zullen als gevolg van erosie van de netwerkgrenzen transformeren naar een internet centrische organisatie, waarbij het belang van end point security en de bijbehorende bedreigingen steeds groter worden (FI-ISAC, 2010). XIII.
Toename cloud computing
Door de toename in het koppelen van bedrijfsnetwerken, het aansluiten van privéapparatuur en de toename van het mobiel werken, is het ICT landschap bij organisaties complexer geworden en moeilijker te overzien en te beheren. Dit effect wordt versterkt door een tweetal verwante trends: het uitbesteden van ICT en het gebruik van cloud computing diensten. Het gebruik van Software as a Service (SaaS) en cloud computing neemt toe, ingegeven door voordelen als lagere kosten, snelle ingebruikname en hergebruik van bestaande functionaliteit (Gartner Research, 2010). Er dreigt een ‘vlucht’ naar cloud computing zonder passend risicomanagement (Gartner Research, 2010; ISF, 2010). Grote cloud computing leveranciers zijn een aantrekkelijk doelwit voor cybercriminelen, doordat ze veel data beschikbaar hebben om te ontsluiten De klant krijgt dan onbedoeld een hoger risicoprofiel door aansluiting bij grote cloud computing leveranciers (GOVCERT.NL, 2010). In het rapport Financial Institutions - Information Threat Monitor 2010 wordt aangegeven dat in de huidige financiële wereld het gebruik van cloud computing vooralsnog niet wordt ingezet in het primaire rekencentrum en voor primaire processen. Maar voor secundaire processen wordt er wel gebruik gemaakt van cloud computing, veelal om kostentechnische redenen. Er ontstaat een verhoogd dreigingniveau doordat het steeds ondoorzichtiger wordt waar de verschillende gegevens zich bevinden. De mate waarin cloud computing door financiële instellingen wordt geadopteerd, zal bepalend zijn voor de omvang van de dreiging (FI-ISAC, 2010). Cybercriminelen maken in de combinaties van aanvalsmethoden ook gebruik van cloud computing. Daarbij wordt het moeilijker, mede door het doorverhuren van diensten, om de activiteiten te herleiden naar de cybercriminelen (GOVCERT.NL, 2010). XIV.
Toename geavanceerde malware en botnets
In malware worden meerdere verspreidingstechnieken ingebouwd om een zo groot mogelijke verspreiding te realiseren en detectie te vermijden, hierdoor zijn botnets nog steeds relatief makkelijk op te zetten. Naast het verspreiden van dezelfde malware via e-mail, kan dit ook via websites, netwerken, netwerkschijven en USBsticks gebeuren. Ook sociale netwerken (Hyves, Facebook, Twitter en MySpace) en peer-to-peer verbindingen worden ingezet voor het verspreiden van spam of het aansturen van botnets. Door botnets decentraal aan te sturen zijn de Command & Control servers minder zichtbaar en kunnen de botnetbeheerders (botnet herders) bots makkelijker van updates voorzien, beter beheren en zijn botnets hierdoor moeilijker te bestrijden (GOVCERT.NL, 2010). Voor het bestrijden van botnets kunnen ISP’s tot op zekere hoogte een controlepunt vormen voor geïnfecteerde computers (bots). Dat ISP’s in potentie de mogelijkheid hebben om de gevolgen van botnets te beperken, wil niet zeggen dat ze dat ook moeten doen. Zij zijn immers niet de bron van het probleem, maar zouden wel substantiële directe en indirecte kosten moeten maken om het probleem van de botnets te beperken. Desondanks hebben de toonaangevende ISP’s in Nederland een convenant gesloten,
Beheersing van cybercrime bij Nederlandse “klein” banken | Trends
XXI
waar ze zich committeren aan het beperken van botnets binnen hun eigen netwerken (Eeten, Asghari, Bauer, & Tabatabaie, 2011). Symantec signaleert een aanzienlijke groei in de ontwikkeling, verkoop en het gebruik van steeds geavanceerdere malware. Daarbij worden verschillende vormen van malware als een samengestelde pakket verkocht, waarbij vooraf geschreven malware code voor het exploiteren van kwetsbaarheden aanwezig is (Symantec, 2011). Naast de diversiteit van verspreidingsmethoden is er een sterke groei van het aantal gevonden unieke varianten van malware (Symantec, 2010). Om virusscanners te omzeilen distribueren cybercriminelen malware in veel verschillende varianten, waarbij één variant een beperkt aantal keer wordt gedistribueerd. Virusscanners die gebaseerd zijn op het herkennen van kenmerken van malware worden daardoor minder effectief, omdat er slechts op een beperkt aantal verschillende kenmerken kan worden gescand. De gemiddelde omvang van malwarecode neemt verder af en veel malware maakt gebruik van polymorfisme, zodat het moeilijker detecteerbaar is (KLPD, 2010). Bekende malware die zich richten op bancaire systemen in Nederland zijn onder andere, Carberp, Silon, Zeus, Sinowal en SpyEye. De gemiddelde detectiegraad van virusscanners voor het detecteren van deze malware is zeer laag. Vanwege de impact van Zeus malware publiceerde Microsoft een apart rapport over deze malware. Daarin staat ook de geografische locatie van het aantal gevonden infecties. Vooral landen met een hoog BNP (Bruto Nationaal Product) staan in de top 10 van meest geïnfecteerde landen (Microsoft, 2011). In de het ISF rapport Threat Horizon 2012 - Emerging information security threats to business wordt aangegeven dat er, op basis van ontdekte zaken, er een sterk vermoeden bestaat dat een groeiend deel van de aanvallen niet meer zichtbaar is met bestaande middelen, of pas zichtbaar wordt nadat de schade is ontstaan (ISF, 2010). XV.
Toename STP en standaardisering betalingsverkeer
Bancaire processen worden in toenemende mate geautomatiseerd, waarbij de menselijke tussenkomst tot een minimum wordt beperkt. Dit wordt ook wel Straight Through Processing (STP) genoemd. De uitvoering van deze processen verschuift van de traditionele bankkantoren naar technologische oplossingen via het internet. Daarbij worden gedeelten van de bankprocessen niet meer intern uitgevoerd, maar door de klant. Adequate controles op de betrouwbaarheid van deze gegevens zijn daardoor essentieel. De technologisch oplossingen om STP te kunnen realiseren, zijn veelal afhankelijke van het reeds bestaande applicatie- en infrastructuurlandschap. Daarnaast worden bestaande processen aangepast, waarbij niet in alle gevallen rekening wordt gehouden met het effect van realtime inzicht door de ontsluiting via het internet. Een voorbeeld hiervan was in december in de media, waarbij € 5,6 miljoen in 2007 van een Nederlandse bank was gestolen (Certified Secure, 2010). In dit voorval ging het om een lacune in een afhandelingproces, waarbij procesmatig een tijdsverschil van uren zat tussen de creditering en debitering. Vanuit de historie was dit geen aandachtspunt, aangezien posities voor de klant niet inzichtelijk waren en boekingen op dezelfde datum plaatsvonden. Door de ontsluiting aan het internet werd het mogelijk gebruik te maken deze lacune, door in het tijdsverschil van een aantal uren het geld na de creditering weg te boeken. Op internationaal gebied vindt er ook een ontwikkeling in de bancaire sector plaats voor een efficiëntere inrichting van het Europese betalingsverkeer. Onder aanhoudende politieke druk van meer regelgeving hebben de Europese banken besloten tot het ontwikkelen van Europese productstandaarden en verwerkingsafspraken om één eurobetaalmarkt mogelijk te maken. Dit wordt vormgegeven in SEPA (Single Euro Payments Area). SEPA stelt Europeanen in staat om binnen Europa te bankieren alsof het één land betreft. Door de invoering van SEPA zullen internationale transacties sneller kunnen worden doorgevoerd. Dit is een positieve ontwikkeling voor de bancaire klanten en belangrijk voor de concurrentiepositie van de EU. De keerzijde van deze ontwikkeling is dat het hierdoor eenvoudiger wordt voor cybercriminelen internationaal te opereren. Het werven van money mules door een mule recruiter (zie Bijlage D, Rollencomplex) wordt door de introductie van SEPA eenvoudiger. Een mule recruiter hoeft daarbij geen lokale money mules te rekruteren, maar kan internationaal binnen de EU opereren (Inside Cyber-Crime Money Mule Operations, 2011). Het belang van adequate transactiemonitoring in de bancaire sector wordt hierdoor vergroot.
Beheersing van cybercrime bij Nederlandse “klein” banken | Trends
XXII
Juridisch XVI. Aanscherping wet- en regelgeving De overheid neemt in toenemende mate maatregelen tegen cybercrime, met een steeds bredere reikwijdte. Met betrekking tot wet- en regelgeving heeft aanscherping van de Telecommunicatiewet voor het versturen van spam plaatsgevonden (1 oktober 2009). Wetgevingsvoorstellen voor diefstal en heling van gegevens, en Notice-and-Take-Down (NTD) (NICC, 2008) zullen worden geconcretiseerd. Voor het online binnentreden van computers, in het kader van opsporing en het kunnen vorderen van encryptiesleutels, zijn nog geen wetgevingsvoorstellen voorzien (GOVCERT.NL, 2010). In het regeerakkoord van de VVD, CDA en PVV is een meldplicht voor datalekken opgenomen voor Nederlandse bedrijven en overheden. Ook moeten misbruik van privégegevens worden gemeld. Als de meldplicht niet wordt nageleefd, mag de toezichthouder boetes uitdelen. Het kabinet moet met een uitgewerkt voorstel komen, waarna zowel de Tweede Kamer als de Eerste Kamer het voorstel voor de meldplicht moet goedkeuren. Daarna krijgt de meldplicht pas kracht van wet (Tweakers.net, 2010).
Beheersing van cybercrime bij Nederlandse “klein” banken | Trends
XXIII