Economic Crime Survey Nederland 2014 - deel 2 In samenwerking met de VU Amsterdam
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging
www.pwc.nl/forensicservices
Bij PwC in Nederland werken ruim 4.300 mensen met elkaar samen vanuit 12 vestigingen. PwC Nederland helpt organisaties en personen de waarde te creëren waarnaar zij op zoek zijn. Wij zijn lid van het PwC-netwerk van firma’s in 157 landen met meer dan 184.000 mensen. Wij zien het als onze taak om kwaliteit te leveren op het gebied van assurance-, belasting- en adviesdiensten. Vertel ons wat voor u belangrijk is. Meer informatie over ons vindt u op www.pwc.nl
2
PwC
Voorwoord
Algemeen
Onderzoeksstrategie
Dit rapport staat geheel in het teken van een bijzondere vorm van (economische) criminaliteit: cybercrime. Door de snelle ontwikkelingen binnen de ICT is deze vorm van criminaliteit helaas niet meer weg te denken uit onze huidige samenleving. Nieuwsberichten over cybercriminaliteit zijn tegenwoordig eerder regel, dan uitzondering.
In samenwerking met prof. dr. Wim Huisman en dr. Adriaan Denkers, beiden verbonden aan de afdeling Criminologie van de Vrije Universiteit Amsterdam, is een vragenlijst samengesteld. De vragen zijn door Onderzoeksbureau Flycatcher via een webbased enquête voorgelegd aan personen die zich in hun dagelijkse werkzaamheden bezighouden met de aanpak, het voorkomen en/of in kaart brengen van economische criminaliteit binnen hun bedrijf.
Aan de ene kant zijn door de ontwikkelingen binnen de ICT nieuwe vormen van criminaliteit ontstaan, zoals hacking, illegaal downloaden of de verspreiding van virussen. Daarnaast bestaat een vorm van gedigitaliseerde criminaliteit die in feite de klassieke misdrijven een online impuls heeft gegeven, zoals bedreigingen, afpersingen, witwassen of oplichting via de elektronische snelweg. Door deze ontwikkelingen zijn legio mogelijkheden ontstaan voor criminelen om uw bedrijf schade toe te brengen. Dit rapport is onderdeel van een meeromvattend onderzoek naar economische criminaliteit in Nederland: de Economic Crime Survey Nederland 2014. Gezien de sneltreinvaart waarmee criminelen hun weg vinden binnen cybercriminaliteit leek het ons buitengewoon zinvol een aparte editie aan de ontwikkelingen rondom cybercrime te wijden.
Hierbij zijn de respondenten vragen voorgelegd over de vormen van criminaliteit waar hun organisatie de laatste 24 maanden mee is geconfronteerd, of waarvan men een vermoeden heeft. Daarnaast is speciale aandacht besteed aan cybercrime en de rol van bedrijfsculturen. Ook zijn vragen gesteld over de impact en schade van criminaliteit, de daders van de meest recente economische delicten en de oorzaken. Binnen de doelgroep hebben 875 respondenten de vragenlijst ingevuld. Op basis van de antwoorden van deze experts bieden wij u een zo betrouwbaar mogelijk beeld van economische criminaliteit binnen de ‘BV Nederland’ en van cybercriminaliteit in het bijzonder.
Opvallendste bevindingen op een rij • Expertise blijkt van groot belang om cybercriminaliteit binnen organisaties te detecteren. Met name binnen de financiële sector en bij bedrijven die zich bezighouden met informatie en communicatie bevinden zich relatief veel experts op het gebied van cybercrime binnen de organisatie. Deze experts rapporteren beduidend vaker dat hun organisatie slachtoffer is geworden van cybercrime dan niet (functionele) experts. Cybercrime vergt immers een dermate vorm van expertise om te kunnen waarnemen. Binnen de financiële sector en het onderwijs lijken cybercriminelen het meest toe te slaan. Vooral binnen het onderwijs is dit een verontrustend bericht, aangezien deze sector relatief weinig functionele experts bezit. • De resultaten laten zien dat een onderscheid gemaakt kan worden tussen destructieve en instrumentele cybercriminaliteit. Bij destructieve cybercriminaliteit, of cybervandalisme, is het beschadigen van het systeem het primaire doel. Bij instrumentele cybercriminaliteit wordt de computer of het systeem als middel gebruikt om andere criminele activiteiten te ontplooien. Organisaties
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 3
die slachtoffer zijn van instrumentele criminaliteit worden doorgaans ook vaker getroffen door andere vormen van criminaliteit, dan bedrijven die slachtoffer worden van destructieve cybercriminaliteit. Met name de financiële sector heeft met beide vormen van cybercriminaliteit te maken. • De cybercrimineel is doorgaans een grote onbekende. Bij 85% van de meest ernstige vorm van cybercriminaliteit en 79% van de meest recente vorm van cybercriminaliteit zijn daders van buiten de organisatie betrokken. Wanneer wel bekend is wie de dader is, zijn het vooral mannen met uiteenlopende leeftijden, die geen zakelijke relatie onderhouden met het getroffen bedrijf. Wanneer het een interne dader betreft en deze wordt ontmaskerd, wordt over het algemeen aangifte gedaan. Tegen de externe dader kunnen vaak geen stappen worden ondernomen doordat deze dader onbekend blijft. • Organisaties die preventieve maatregelen treffen, lijken vaker slachtoffer te worden van cybercriminaliteit. De controleparadox zou hier mogelijk een rol kunnen spelen: bedrijven die dergelijke maatregelen treffen, detecteren vermoedelijk juist vaker economische criminaliteit. • Bedrijven die getroffen worden door destructieve criminaliteit nemen over het algemeen meer preventieve maatregelen, dan organisaties die slachtoffer zijn van de instrumentele variant. Binnen de financiële sector en informatie en communicatie sector worden de meeste preventieve maatregelen genomen.
Meer experts
Wat kunt u doen om u te wapenen tegen deze criminele activiteiten?
Met dit rapport hopen wij u een zo helder mogelijk beeld te verschaffen over cybercriminaliteit. Het onderzoek biedt u een extra handvat om bewust te zijn van de ontwikkelingen rondom deze bijzondere vorm van criminaliteit en alert te kunnen reageren.
Uiteraard moeten bedrijven blijven investeren in technische middelen om cybercriminaliteit een halt toe te roepen. Daarbij kunt u denken aan het inschakelen van IT-experts en de aanschaf van hardware en software voor de beveiliging van onder andere computernetwerken, websites en cloud-omgevingen. Maar het blijft niet alleen bij het treffen van technische maatregelen. Ook het bewustzijn binnen de gehele organisatie moet worden vergroot. Bedrijven moeten zich realiseren dat deze moderne bedreigingen continu op de loer liggen en niet worden afgevangen door eenmalig technische (voorzorgs)maatregelen te treffen. In de volgende en laatste rapportage van dit drieluik besteden we aandacht aan de rol van bedrijfsculturen bij het voorkomen en constateren van economische criminaliteit.
4
PwC
Uit de resultaten van dit onderzoek blijkt dat schrikbarend weinig experts op het gebied van cybercriminaliteit werkzaam zijn binnen bepaalde sectoren. Vooral de zorg en het onderwijs springen hier bovenuit. Wij bevelen aan te investeren in specifieke expertise.
Meer samenwerking Daarnaast hebben bedrijven en organisaties tegenwoordig meer informatie tot hun beschikking (big data). Het combineren van verschillende databronnen binnen én tussen bedrijven en organisaties kan de mogelijkheid bieden patronen te ontdekken en profielen samen te stellen van (toekomstige) cybercriminaliteit.
Actieve overheid Ten slotte moet er in bredere zin ook maatschappelijke aandacht komen voor cybercrime, want in sommige gevallen kan een enkel bedrijf zich niet wapenen tegen aanvallen en is collectieve actie nodig. Dit is een maatschappelijke én internationale aangelegenheid. Hierbij heeft de overheid een taak: cybercrime stopt niet bij de landsgrenzen.
Amsterdam, september 2014 André Mikkers PwC
Inhoud Voorwoord 3 Algemeen 3 Onderzoeksstrategie 3 Opvallendste bevindingen op een rij 3 Wat kunt u doen om u te wapenen tegen deze criminele activiteiten? 4 Meer experts 4 Meer samenwerking 4 Actieve overheid 4 Cybercriminaliteit: hoe vaak komt het voor en wat is de schade? 7 Bevindingen Economic Crime Survey (ECS): Hoe vaak komt het voor en wat is de schade? 7 Omvang cybercriminaliteit 7 Schade door cybercriminaliteit 10 Vormen van cybercriminaliteit 13 Destructieve cybercriminaliteit, of cybervandalisme 13 Fysieke molest 13 Malware 14 Cyberaanvallen 14 Instrumentele cybercriminaliteit 15 Illegaal downloaden 15 Phishing en pharming 15 Cyberspionage 16 Bevindingen ECS: vormen van cybercriminaliteit 16 Werkwijze (modus operandi) 17 Destructieve en instrumentele cybercriminaliteit naar sector 17 Destructieve en instrumentele cybercriminaliteit naar organisatiegrootte 18 Daders van cybercriminaliteit Externe cybercriminelen Interne cybercriminelen Daders van cybercriminaliteit in Nederland Bevindingen ECS: daders van cybercriminaliteit
19 19 19 20 20
Preventieve maatregelen Preventieve maatregelen in Nederland Bevindingen ECS: preventieve maatregelen Trainingen voor medewerkers Getroffen en voorgenomen maatregelen Schade van cybercriminaliteit en preventieve maatregelen
23 23 23 25 26 27
Methodologische verantwoording 28 Procedure 28 Steekproef 29 Respondenten 29 De vragen 32 Achtergrondkenmerken 32 Omvang en schade 32 Detectie en preventie 32 Organisatiecultuur 32 Literatuur
33
Colofon
34
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 5
Cybercriminaliteit: hoe vaak komt het voor en wat is de schade? Wetenschappers, journalisten en politici zijn het met elkaar eens dat cybercriminaliteit steeds meer organisaties treft en dat het bedrijfsleven en de overheid de negatieve consequenties hiervan steeds nadrukkelijker voelen. De cijfers over de kans dat cybercriminaliteit organisaties treft, en over de consequenties daarvan, lopen echter sterk uiteen. De resultaten uit het eerste deel van de Nederlandse Economic Crime Survey 2014 tonen dat dit niet verwonderlijk is: de mate waarin respondenten aangeven dat hun organisatie is getroffen door cybercriminaliteit blijkt afhankelijk van de functionele expertise van de respondent, de sector en de grootte van de organisatie. Maar liefst 45% van de functionele cybercriminaliteit experts uit de financiële sector meldt dat hun bedrijf de afgelopen twee jaar getroffen is door cybercriminaliteit; van de niet-experts rapporteert slechts 4% slachtofferschap van cybercriminaliteit. Bevindingen Economic Crime Survey (ECS): Hoe vaak komt het voor en wat is de schade? PwC Nederland neemt in het bedrijfsleven om het jaar de Economic Crime Survey af. In 2014 vulden bijna 4.000 respondenten van het panel van Flycatcher de vragenlijst digitaal in. In de survey zijn extra vragen opgenomen over cybercriminaliteit. Deze paragraaf beschrijft, op basis van de antwoorden van deze respondenten, de omvang en de schade van cybercriminaliteit tegen organisaties, waarbij wordt nagegaan wat de invloed is van de expertise van de respondent, de sector waarin de organisatie opereert en de omvang van de organisatie.
Omvang cybercriminaliteit Cybercriminaliteit expertise De expertise op het gebied van cybercriminaliteit kan de perceptie ervan beïnvloeden. Om die reden is nagegaan in hoeverre de respondenten in het panel functioneel belast te zijn met het aanpakken, voorkomen of in kaart brengen van cybercriminaliteit. Deze personen zijn cybercriminaliteit experts. Van de respondenten gaf 8,6% aan functioneel belast
te zijn met cybercriminaliteit. Naast de expertise op het gebied van cybercriminaliteit gaf 14,0% van de respondenten aan functioneel belast te zijn met het aanpakken, voorkomen of in kaart brengen van andere vormen van economische criminaliteit, maar niet met cybercriminaliteit. De rest van de respondenten (77,4%) gaf aan niet functioneel belast te zijn met het aanpakken, voorkomen of in kaart brengen van economische criminaliteit. Figuur 1 geeft de percentages cybercriminaliteit experts weer per sector. Dit figuur toont dat relatief veel cybercriminaliteit experts werkzaam zijn in financiële instellingen (17%) of in bedrijven die zich bezighouden met informatie en communicatie (17%). Binnen de gezondheids- en welzijnszorg (5%), het onderwijs (5%) en de overheid (6%) zijn relatief weinig cybercriminaliteit experts werkzaam. Omvang cybercriminaliteit en andere vormen van economische criminaliteit Vaak wordt verondersteld dat cybercriminaliteit voor organisaties inmiddels een groter probleem vormt dan andere vormen van economische criminaliteit. Figuur 21 toont de omvang van zeven verschillende vormen van economische criminaliteit, uitgesplitst
1 In het vooronderzoek ten behoeve van de Economic Crime Survey is aan 4.960 werkzame volwassen respondenten gevraagd in hoeverre hun bedrijf de afgelopen twee jaar geconfronteerd is met zeven vormen van economische criminaliteit. In het hoofdonderzoek is aan 3.865 respondenten uit hetzelfde panel onder andere gevraagd naar de functionele expertise op het gebied van cybercriminaliteit. De resultaten in figuur 2 zijn gebaseerd op de antwoorden van de 3.269 respondenten die participeerden in zowel het vooronderzoek als het hoofdonderzoek.
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 7
Figuur 1 Percentage functioneel belast met de aanpak, het voorkomen of in kaart brengen van economische criminaliteit, uitgesplitst naar sector en naar cybercrime expertise Groot- en detailhandel; reparaties in auto’s
28%
Financiële instellingen
11%
17%
Informatie en communicatie
17%
7%
17%
Advisering, onderzoek en overige specialistische dienstverlening
12%
Industrie
11%
11%
(Semi-) overheidsinstellingen
14%
6%
Onderwijs
11%
Gezondheids- en welzijnszorg
10%
Overig
11%
5% 5%
19%
0%
10%
10%
Expert op andere economische criminaliteit
20%
30%
40%
50%
Cybercriminaliteit experts
naar de functionele expertise van de respondenten. Daarbij is een onderscheid gemaakt tussen algemene expertise en specifieke expertise. Bij algemene expertise is de respondent wel functioneel belast met de aanpak, het voorkomen of in kaart brengen van economische criminaliteit, maar niet van de betreffende vorm ervan. Bij specifieke expertise is de betrokken respondent functioneel belast met de aanpak, het voorkomen of in kaart brengen van de betreffende vorm van economische criminaliteit Figuur 2 Omvang van economische criminaliteit, uitgesplitst naar andere of specifieke expertise op het gebied van de aanpak, het voorkomen of in kaart brengen van de vorm economische criminaliteit Cybercriminaliteit Concurrentievervalsing Corruptie
19%
5% 4% 3% 1% 3% 1%
Diefstal van informatie
2%
Fraude
8%
7%
6%
10%
18% 14%
6%
Diefstal van goederen
19%
0%
10%
49%
26% 25%
11% 9%
Diefstal van geld
20%
30%
40%
50%
Specifieke expertise Algemene expertise Geen functionele betrokkenheid
8
PwC
Figuur 2 toont aan dat: • Respondenten met specifieke expertise, ten opzichte van andere respondenten, beduidend vaker rapporteren dat hun organisatie in de afgelopen twee jaar is getroffen door die specifieke vorm van economische criminaliteit. Zo geeft de expert op het gebeid van corruptie aan dat deze vorm van criminaliteit in 7% van de gevallen voorkomt. Dit is meer dan de algemene expert (3%) en de niet-expert (1%) aangeven. Dit resultaat suggereert dat specifieke functionele experts beter in staat zijn economische criminaliteit waar te nemen dan anderen binnen de organisatie. • Het percentage respondenten dat aangaf dat hun organisatie getroffen was door cybercriminaliteit verschilt relatief veel tussen specifieke experts en anderen. Dit suggereert dat het voor niet experts moeilijk is om cybercriminaliteit waar te nemen, meer dan dat het geval is bij andere vormen van economische criminaliteit. Daarmee lijkt het voor het vaststellen van de omvang van cybercriminaliteit binnen organisaties van groot belang functionele cybercriminaliteit experts binnen de organisatie te raadplegen. • Beduidend minder respondenten melden dat hun organisatie slachtoffer is geworden van cybercriminaliteit, dan van diefstal van goederen, diefstal van geld of van fraude. Cybercriminaliteit wordt wel vaker gerapporteerd dan corruptie, concurrentievervalsing of diefstal van informatie. Daarmee nuanceren de resultaten in figuur 2 de opvatting dat cybercriminaliteit inmiddels vaker voorkomt dan andere vormen van economische criminaliteit. Dit neemt niet weg dat de resultaten tonen dat cybercriminaliteit een veelvoorkomende vorm van economische criminaliteit is: ongeveer één op de vijf experts meldt dat het bedrijf gedurende het afgelopen jaar getroffen is.
60%
Omvang cybercriminaliteit naar sector Figuur 3 toont de omvang van cybercriminaliteit naar sector en expertise. Dit figuur toont dat er grote verschillen zijn in de gerapporteerde cybercriminaliteit tussen sectoren. Vooral financiële instellingen hebben te maken met digitale economische criminaliteit. Organisaties uit deze sector lijken redelijk goed doordrongen te zijn van hun digitale kwetsbaarheid. De resultaten die zijn weergegeven in figuur 1 tonen immers dat financiële instellingen relatief veel cybercriminaliteit experts in dienst hebben. Van de specifieke functionele experts meldt 45% dat hun financiële organisatie is getroffen door cybercriminaliteit. Ook experts die werkzaam zijn binnen informatie en communicatie (24%),
Figuur 3 Omvang cybercriminaliteit naar sector en functionele expertise Financiële instellingen Informatie en communicatie
14% 24%
8% 7%
Onderwijs
5%
Advisering, onderzoek en overige specialistische zakel ke dienstverlening
19%
9%
19%
4% 6% 10% 7% 3%
Industrie Gezondheids- en welzijnszorg
3%
7%
13%
10% 6% 7%
(Semi-) overheidsinstellingen
7% 3% 4%
Groot- en detailhandel; reparaties in auto’s 0% Cybercriminaliteit experts
45%
4%
10%
20%
30%
Expert op andere economische criminaliteit
40%
50%
Niet experts
het onderwijs (19%) en de specialistische zakelijke dienstverlening (19%) melden relatief vaak dat hun organisatie getroffen is door cybercriminaliteit. Omvang cybercriminaliteit en omvang van de organisatie Figuur 4 toont de frequentie van het aantal cybercriminaliteit incidenten waarmee de organisatie geconfronteerd is naar omvang van de organisatie. Dit figuur toont dat het al dan niet geconfronteerd worden met cybercriminaliteit niet gerelateerd is aan de omvang van de organisatie. Slachtofferschap van cybercriminaliteit wordt gerapporteerd door 21% van de respondenten uit grote organisaties (1.000 personeelsleden of meer), 24% van de respondenten uit middelgrote organisaties (100 tot 999 personeelsleden) en 20% van de respondenten uit kleine organisaties (minder dan 100 personeelsleden). Indien cybercriminaliteit binnen de organisatie voorkomt, rapporteren de respondenten uit grote bedrijven, dat zij vaker slachtoffer worden dan de middelgrote of kleine organisaties. Figuur 4 Frequentie cybercriminaliteit in afgelopen twee jaar, naar omvang van de organisatie 1.000 en meer
9%
3%
9%
100 tot 999
16%
6%
1 tot 99
15%
4% 3%
0%
5%
10%
Ten minste 1x
15%
20%
Meer dan 5x
2%
25%
30%
Meer dan 10x
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 9
Figuur 5 Relatieve schade, opgelopen en verwacht als gevolg van cyber criminaliteit, corruptie, concurrentievervalsing, informatiediefstal en diefstal van geld of goederen of fraude 3,9
Diefstal van geld of goederen, of fraude
4,3
3,5 3,3
Informatiediefstal 2,6 2,6
Cocurrentievervalsing
2,4 2,5
Corruptie Cybercriminaliteit
2,3
1,0
2,6
2,0
3,0
Verwachte schade
4,0
5,0
Opgelopen schade
Figuur 6 Relatieve schade, opgelopen en verwacht, als gevolg van cyber criminaliteit bij experts en niet experts van cybercriminaliteit, waarvan de organisatie wel of niet is geconfronteerd met cybercriminaliteit Expert
3,8
2,2
Niet expert
Opgelopen schade 3,2
1,7
Expert
3,8
1,6
Niet expert
Verwachte schade 3,2
1,5
1,0
2,0
3,0
Wel cybercriminaliteit
4,0
5,0
Geen cybercriminaliteit
Figuur 7 Relatieve schade door cybercriminaliteit in de afgelopen twee jaar en relatieve verwachte schade in de komende twee jaar naar sector
Overig
1,9
Groot- en detailhandel; reparaties in auto’s
2,4
1,9 1,7 2,2 2,1
Gezondheids- en welzijnszorg Industrie
2,2
Advisering, onderzoek en overige specialistische zakel ke dienstverlening
2,5 3,1
2,6 2,7 2,6
(Semi-) overheidsinstellingen Onderwijs
2,7
3,1
Financiële instellingen Informatie en communicatie
3,5
1,0
2,0
Verwachte schade
10
PwC
3,8
3,1
3,0
3,8
4,0
5,0
Opgelopen schade
Schade door cybercriminaliteit In de Economic Crime Survey die PwC in 2014 heeft afgenomen onder werknemers die functioneel belast zijn met één of meerdere vormen van economische criminaliteit, is aan de respondenten gevraagd vijf verschillende vormen van economische criminaliteit te rangordenen naar de ernst van de opgelopen schade gedurende de afgelopen twee jaar en naar de te verwachten schade in de komende twee jaar. Figuur 5 geeft de gemiddelde antwoorden van de respondenten op deze vragen weer. Daarbij geeft een hogere score, maximaal een vijf en minimaal een één, aan dat respondenten de ernst van cybercriminaliteit hoger achten dan de ernst van andere vormen van economische criminaliteit. Gemiddeld geven respondenten aan dat zij de gedurende de afgelopen twee jaar opgelopen schade als gevolg van cybercriminaliteit beduidend lager inschatten (Gemiddelde = 2,3) dan die als gevolg van andere vormen van economische criminaliteit. De opgelopen schade als gevolg van diefstal van geld of goederen of fraude schatten de respondenten relatief het hoogst in (Gemiddelde = 4,3). Deze resultaten nuanceren de berichtgeving over de impact van cybercriminaliteit voor organisaties. Wel schatten de respondenten de relatieve schade als gevolg van cybercriminaliteit gedurende de komende twee jaar wat hoger in (Gemiddelde = 2,6). Dit neemt niet weg dat ook voor de komende twee jaar de gevolgen van cybercrime beduidend lager worden ingeschat, dan de schade van diefstal van geld of goederen of fraude. Figuur 6 toont dat respondenten uit organisaties die geconfronteerd waren met cybercriminaliteit de opgelopen en verwachte relatieve economische schade van cybercriminaliteit beduidend hoger inschatten dan respondenten uit bedrijven waar geen cybercriminaliteit heeft plaatsgevonden. Daarnaast schatten cybercriminaliteit experts zowel de opgelopen als de verwachte relatieve schade van cybercriminaliteit beduidend hoger in dan respondenten die zich niet functioneel bezighouden met cybercriminaliteit. Figuur 7 geeft de relatieve opgelopen en verwachte schade weer per sector. Dit figuur toont dat de relatieve schade, zowel opgelopen als verwacht, vooral hoog wordt ingeschat in de informatie en communicatie sector en bij financiële instellingen. De opgelopen en verwachte schade van cybercriminaliteit is daarentegen relatief laag in de gezondheids- en welzijnszorg, de groot- en detailhandel en overige sectoren.
Figuur 8 Relatieve schade door cybercriminaliteit in afgelopen twee jaar en relatieve verwachte schade in de komende twee jaar naar omvang van de organisatie
1.000 en meer
2,3
2,6
2,4 2,3
100 tot 999 1 tot 99
2,8
2,3
1,0
2,0
3,0
Verwachte schade
4,0
5,0
Opgelopen schade
Figuur 9 Omvang van de schade van economische criminaliteit uitgesplitst naar aard, bij respondenten waarvan de organisatie wel of niet is geconfronteerd met cybercriminaliteit
Aandelenkoers
2,2
1,6
Relatie met de autoriteiten
2,0
Zakenrelaties
2,2
2,2
Reputatie
2,3
2,5 2,6 2,5 2,5
Arbeidsmoraal Controle/eisen autoriteiten
2,6
2,8 3,0 3,0
Managementtijd 1,0
2,0
Wel cybercriminaliteit
3,0
4,0
Geen cybercriminaliteit
Figuur 8 toont de relatieve opgelopen en verwachte schade als gevolg van cybercriminaliteit naar omvang van de organisatie. Dit figuur toont dat de relatieve inschatting van de gevolgen van cybercriminaliteit over de afgelopen twee jaar niet verschilt tussen grote, middelgrote en kleine organisaties. Wel rapporteren de respondenten uit de kleinere organisaties, met minder dan 100 personeelsleden, in de toekomst relatief meer schade te zullen ondervinden van cybercriminaliteit dan de respondenten die werkzaam zijn bij grotere ondernemingen. Figuur 9 toont de aard van de gevolgen van economische criminaliteit, uitgesplitst naar respondenten die wel en niet hadden aangegeven dat hun organisatie geconfronteerd was met cybercriminaliteit. Dit zijn inschattingen van de gevolgen die de organisatie ondervindt van alle vormen van economische criminaliteit. De resultaten in figuur 9 tonen dat meer respondenten uit organisaties die in de afgelopen twee jaar getroffen zijn door cybercriminaliteit, dan andere respondenten rapporteren, dat hun organisatie te lijden heeft gehad van controles en eisen die door de autoriteiten worden gesteld, een aantasting van de reputatie en een aantasting van zakenrelaties. Daarbij melden respondenten uit beursgenoteerde ondernemingen vaker een aantasting van de aandelenkoers wanneer de organisatie getroffen is door cybercriminaliteit.
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 11
Vormen van cybercriminaliteit
Er kan een onderscheid worden gemaakt tussen destructieve en instrumentele cybercriminaliteit. Beide vormen van cybercriminaliteit komen ongeveer even vaak voor. Bij destructieve cybercriminaliteit, of cybervandalisme, richt de crimineel zich op het vernielen van de computer of het systeem. Daarbij maakt de crimineel vaker dan bij instrumentele cybercriminaliteit gebruik van hacken en virussen. Bij instrumentele cybercriminaliteit lijken criminelen, meer dan bij cybervandalisme, gebruik te maken van cyberspionage, informatiediefstal, illegaal downloaden en het illegaal onderscheppen van informatie. Daders van instrumentele cybercriminaliteit gebruiken de computer of het systeem om hun misdrijven uit te voeren. Organisaties die getroffen worden door instrumentele cybercriminaliteit worden doorgaans ook getroffen door andere vormen van economische criminaliteit. Om beter vat te krijgen op cybercriminaliteit onderscheiden wetenschappers dikwijls verschillende categorieën van cybercriminaliteit (zie bijvoorbeeld: Zhang e.a. (2012), of Erp, Stol, en Van Wilsem, (2013)). Hier onderscheiden wij twee vormen van cybercriminaliteit: 1. destructieve cybercriminaliteit, of cybervandalisme, waarbij de computer of het ICTnetwerk doelwit zijn van de crimineel; en 2. instrumentele cybercriminaliteit, waarbij de crimineel de computer of het ICT-netwerk gebruikt om de delicten te faciliteren.
Destructieve cybercriminaliteit, of cybervandalisme Veel van de computercriminaliteit richt zich op het vertragen, beschadigen of vernietigen van de computer of het netwerk. Dit kan bijvoorbeeld gebeuren aan de hand van fysieke molest, door computers te infecteren met malware of door het uitvoeren van cyberaanvallen op computers of systemen. De gevolgen van zulk “cybervandalisme” kunnen voor organisaties zeer groot zijn.
Fysieke molest Vanaf de jaren ’60 tot ongeveer de jaren ’80 van de vorige eeuw betrof een belangrijk deel van de cybercriminaliteit het beschadigen van computers of systemen door geautoriseerde rancuneuze of hebzuchtige medewerkers, dan wel door activisten of terroristen. In veel gevallen beschadigden medewerkers de fysieke computers. Een aangrijpend voorbeeld hiervan is het verhaal van de vereenzaamde nachtbewaker “Alfred de saboteur”. Na een serie van 56 onverklaarbare computercrashes in 1970-1972 bij National Farmers Union Service Corporation van Denver liep hij bij de 57e crash tegen de lamp, door de beelden van in het geheim opgehangen beveiligingscamera’s. Hij bleek, nadat hij intens had genoten met het menselijke contact van het in allerijl ingevlogen crisisteam naar aanleiding van de eerste spontane crashes, vervolgens eigenhandig de Burroughs B3500 computer met behulp van zijn autosleutel te lijf te zijn gegaan. Hoewel dergelijke fysieke computer molest onschuldig aandoet, zijn de gevolgen voor de betrokken organisaties dikwijls aanzienlijk (Kebay, 2008).
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 13
Malware
Cyberaanvallen
Een meer geavanceerde manier om computers of systemen aan te vallen betreft het gebruik van zogenaamde malware. Vanaf het begin van de jaren ’80 van de vorige eeuw ontwikkelden vooral wetenschappers voor het eerst malware, een term die ontstaan is uit de Engelstalige term “malicious software”. Er zijn vele verschillende vormen van malware. De bekendste zijn: • een computervirus, een computerprogramma dat zich vasthecht aan een bestand en daarna schade kan aanrichten aan bestanden of de opgeslagen gegevens; • een computerworm, een zichzelf verspreidend computerprogramma dat via de open poorten van computers binnendringt en zichzelf zo verspreid.
Om een computersysteem te vertragen, stil te leggen of te beschadigen, maken cybercriminelen gedurende het afgelopen decennium steeds vaker gebruik van cyberaanvallen. Met behulp van een aanval zorgt de cybercrimineel ervoor dat de aangevallen computer te druk is met het verwerken van de opgegeven opdrachten zodat deze niet meer in staat is de normale functies uit te oefenen. Theoretisch kunnen deze aanvallen vier verschillende doelstellingen hebben: het gedurende de aanval, oftewel kortstondig, vertragen van de computer van het slachtoffer; het laten crashen van de computer van het slachtoffer, waarna deze opnieuw moet worden opgestart; het onherstelbaar beschadigen van de hardware van de computer; of het langdurig (ongemerkt) vertragen van de computer van het slachtoffer (Mirkovic & Reiher, 2004).
Het verschil tussen een computerworm en een computervirus is dat de computerworm zich niet hoeft te nestelen in een bestand, maar zichzelf verspreid over het netwerk. Een computervirus doet een gerichte aanval op een computer, terwijl de computerworm juist schade aan het netwerk toebrengt. In 1999 verschenen de eerste virussen die zich na besmetting verstopten en de geïnfecteerde computer tot “slaaf”, of “zombie”, maakte (Hancock, 2000). Met behulp van deze virussen kan een extern persoon, via de “master-computer”, de computers van de slaven desgewenst functies laten uitvoeren. Een door een master beheerde groep van dergelijke zombiecomputers vormt een zogenaamd botnet. Met behulp van een botnet kan de beheerder ervan spam versturen, creditcardnummers en wachtwoorden verzamelen en websites platleggen. Cybercriminelen verhuren volgens Herbert Blankesteijn (NRC Handelsblad, 2014) botnets, waarmee bijvoorbeeld bedrijven in staat zouden worden gesteld om de website van hun concurrenten te vertragen of uit de lucht te halen.
Een dergelijke aanval vanuit één computer wordt een DoS (Denial of Service)-attack genoemd. Waarschijnlijk bestaat de eenvoudigste DoS-aanval uit door het toezenden van grote hoeveelheden “pingberichten” naar de computer van het slachtoffer. Als een computer een pingbericht ontvangt, stuurt deze een ping terug. Een pingbericht wordt gebruikt om na te gaan of een andere computer bereikbaar is voor communicatie. Door met een krachtigere computer dan die van het slachtoffer bijzonder veel pingberichten naar een computer van het slachtoffer te sturen, kan het ontvangen en terugsturen van pingen, te veel geheugencapaciteit vergen van de computer van het slachtoffer, waardoor het systeem uiteindelijk overbelast raakt. Steeds regelmatiger verschijnen in de media berichten over systeemaanvallen die worden uitgevoerd met behulp van een omvangrijk botnet; een zogenaamde distributed denial of service (DDoS) attack. Het gebruik van een botnet maakt het mogelijk om zeer grote computersystemen, zoals van multinationals of overheden effectief aan te vallen. De cyberaanvallen van de hacktivisten-groep Anonymous hebben de DDoS aanvallen met de destructieve mogelijkheden van het gebruik van botnets verdere bekendheid gegeven onder het bredere publiek (Serracino-Inglott, 2013). DDoS aanvallen zijn nog steeds zeer actueel. Gedurende de eerste helft van 2013 waren Nederlandse banken slachtoffer van zulke aanvallen, waardoor de sites van deze banken voor langere tijd niet beschikbaar waren voor klanten (zie bijvoorbeeld Trouw, 2013). Ook Ideal en DigiD kregen in dezelfde periode DDoS aanvallen te verduren.
14
PwC
Instrumentele cybercriminaliteit Cybercriminaliteit bestaat niet louter uit ‘digitaal vandalisme’, waarbij computers of systemen worden vernield of onbruikbaar gemaakt. Cybercriminelen richten zich ook op diefstal van geld, informatiediefstal, goederen, informatie of kennis of op het afpersen van bedrijven. De gereedschappen die cybercriminelen daarvoor gebruiken kunnen hetzelfde zijn als die gebruikt worden bij het intentioneel schade toebrengen aan computers of systemen. Zo kan spyware worden gebruikt om toegang te verkrijgen tot informatie, of kan een DDoS aanval worden uitgevoerd om bedrijven te chanteren tot het betalen van ‘protectiegeld’. In veel gevallen gebruiken criminelen de computer of het netwerk om geheime of vertrouwelijke informatie te ontfutselen. Met behulp van deze informatie kunnen zij vervolgens de beoogde delicten plegen. Om de geheime informatie te ontfutselen, kunnen zij gebruik maken van social engineering en van specifieke malware die vervaardigd is om informatie te verkrijgen.
Illegaal downloaden Het illegaal downloaden is momenteel sterk geassocieerd met digitale piraterij waarbij auteursrechtelijk materiaal via het internet op illegale wijze wordt verkregen (Williams, Nicholas, & Rowlands, 2010). Door de technologische ontwikkelingen gedurende de laatste decennia zijn steeds meer individuen in staat om zelf via het internet muziek, films en tv-series, software en elektronische boeken te downloaden, zonder voor deze producten te betalen. Dit downloaden gebeurt vaak via peer-to-peer-netwerken waarbij meerdere gebruikers (peers) bestanden onderling uitwisselen. Voorheen werd hiervoor vaak gebruik gemaakt van open source software zoals Limewire, Kazaa of Napster. Tegenwoordig komen veel illegale downloads tot stand door Torrents, die via torrentsites – zoals de tijdelijk verboden geweest zijnde site The Pirate Bay – kunnen worden gedownload. Volgens Bastiaan Leeuw (2012) zijn er binnen Nederland 4.7 miljoen Nederlanders die illegaal downloaden. Het is echter niet alleen de amusementssector die getroffen kan worden door het illegaal downloaden van documenten en bestanden. Wanneer een cybercrimineel zich toegang verschaft tot het ICTnetwerk van een organisatie is het mogelijk dat hij illegaal bestanden downloadt, wat vele nadelige
gevolgen voor een organisatie kan hebben. Ook een eigen medewerker met kwade bedoelingen die illegaal bestanden van het bedrijfsnetwerk downloadt, kan het bedrijf ernstig schade toebrengen.
Phishing en pharming Phishing en pharming maken gebruik van social engineering. Social engineering kan opgevat worden als digitale flessentrekkerij. Om zichzelf toegang tot het netwerk te verschaffen, maken computercriminelen middels social engineering gebruik van de zwakste schakel in de beveiliging van de computer: de gebruiker. Met behulp van via de gebruiker verkregen informatie, zoals toegangscodes en wachtwoorden, kan de computercrimineel zich eenvoudig toegang verschaffen tot de digitaal beschikbare buit. Om het vertrouwen van het slachtoffer te winnen, maken cybercriminelen vaak gebruik van persoonlijke informatie. Deze informatie kunnen zij verworven hebben via persoonlijk contact, sociale media, het internet, of in sommige gevallen via “dumpster diving”. Hieronder verstaat men het uit kopieerapparaten, vuilnisbakken, containers of afvalbakken verzamelen van persoonlijke informatie. Twee methoden van social engineering waarmee grote groepen slachtoffers kunnen worden getroffen, zijn phishing en pharming (Han, Cao, Bertino, & Yong, 2012). Phishing is het verleiden van slachtoffers door middel van elektronische berichten, meestal e-mailberichten, om informatie prijs te geven, aan de hand waarvan de cybercrimineel voordeel kan verwerven. Dit betekent in de praktijk doorgaans dat het slachtoffer een e-mail bericht ontvangt waarin deze wordt uitgenodigd om op een site toegangscodes en wachtwoorden in te voeren. Het e-mail bericht is dusdanig opgesteld dat het slachtoffer veronderstelt dat de site betrouwbaar is. Nadat het slachtoffer de informatie heeft ingevoerd, beschikt de cybercrimineel over deze informatie, waarna deze daar vervolgstappen mee kan ondernemen (Khonji, Iraqi, & Jones, 2013). Pharming wordt doorgaans gezien als een specifieke vorm van phishing, waarbij de cybercrimineel een site opmaakt die volkomen overeenkomt met de site waar een slachtoffer naar op zoek is, bijvoorbeeld de site van een bank. Als het argeloze slachtoffer de toegangscode en het wachtwoord voor de betreffende site intoetst, beschikt de cybercrimineel over deze informatie.
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 15
Cyberspionage Met de introductie van computers richten industriële spionnen zich op de informatie die daarin is opgeslagen. Aanvankelijk gebeurde dit vooral door collega’s, schoonmakers, of installateurs die onbewaakte computers in kantoren “leegtrokken”. Ook richtten spionnen zich op het al dan niet tijdelijk bemachtigen van laptops. Na de ontwikkeling van het computervirus en – worm, werd het eerste Trojaanse paard aangetroffen in 1986. Een Trojaans paard is een functie dat verborgen in een programma zit en ervoor zorgt dat men de geïnfecteerde computer kan binnendringen. Het eerste Trojaanse Paard was verstopt in de nieuwste versie van een populair Word-programma. De nietsvermoedende gebruikers van het programma bemerkten tot hun schrik dat het Trojaanse Paard de harde schijf van hun computer formatteerde en daarbij alle bestanden verwijderde. De recente Trojaanse paarden zijn doorgaans gericht op het vrijgeven van informatie en computeractiviteiten, waarmee het gebruik van deze paarden meer instrumenteel lijkt, gericht op het faciliteren van fraude, identiteitsdiefstal en afpersing (Hughes & DeLone, 2007). In het afgelopen decennium lijken er zich steeds meer vormen van malware ontwikkeld die gericht zijn op het binnenhalen van persoonlijke of gevoelige informatie. In 2005 arresteerde de Israëlische
Figuur 10 Frequenties van vormen van destructieve en intrumentele cybercriminaliteit
Stilleggen systeem
15%
Destabiliseren systeem
Destructieve cybercriminaliteit
23%
Binnendringen systeem
55%
Manipulatie informatie
23%
Informatiediefstal
28%
Diefstal geld of goederen
27%
0%
16
PwC
Instrumentele cybercriminaliteit
10%
20%
30%
40%
50%
60%
politie 21 executives vanwege het inhuren van privédetectives om spyware te installeren bij concurrenten. In 2009 beschuldigde Starwood hotels een manager van het Hilton van het illegaal kopiëren van documenten, waaronder concurrentiegevoelige informatie, zoals een marktstudie en het ontwerp van een nieuwe hotelformule. In 2014 bleken studenten van de Haagse Hogeschool tentamens digitaal te stelen en door te verkopen.
Bevindingen Economic Crime Survey: vormen van cybercriminaliteit Aan de 194 respondenten die in de Economic Crime Survey hadden aangegeven dat hun organisatie gedurende de afgelopen twee jaar slachtoffer was geworden van cybercriminaliteit, is gevraagd waar de cybercriminaliteit zich op richtte. Daarbij hadden zij de mogelijkheid om één of meer van zes doelen te kiezen. Drie van deze doelen waren destructief (stilleggen van het systeem, vertragen van het systeem en binnendringen in het systeem) en drie waren instrumenteel van aard (diefstal van geld of goederen, informatiediefstal en manipuleren van informatie). Voor deze zes doelen is gekozen, omdat deze doorgaans goed waar te nemen zijn voor de betrokkenen en omdat ze op zichzelf exemplarisch zijn voor destructieve en instrumentele cybercriminaliteit. Dit betekent niet dat met deze vragen de twee vormen van cybercriminaliteit elkaar uitsluiten; destructieve cybercriminaliteit kan gebruikt worden voor instrumentele doelen en instrumentele cybercriminaliteit kan leiden tot destructie. In die situaties zouden respondenten items uit beide categorieën aanvinken. De antwoorden van de respondenten zijn weergegeven in figuur 10. Figuur 10 toont aan dat iets meer dan de helft van de respondenten aangeeft dat de cybercriminaliteit gericht was op het binnendringen van het systeem, bijna een kwart geeft aan dat de cybercriminaliteit gericht was op het destabiliseren van het systeem en 15% geeft aan dat cybercriminelen probeerden het systeem stil te leggen. In totaal geeft 63% aan dat ten minste één van deze drie vormen van destructieve cybercriminaliteit binnen hun bedrijf aan de orde was. Met betrekking tot de instrumentele cybercriminaliteit toont figuur 10 dat rond een kwart van de respondenten heeft aangegeven dat de cybercriminaliteit uit de afgelopen twee jaar bedoeld was om geld en goederen te stelen, informatie te ontfutselen of informatie te manipuleren. In
totaal geeft 62% van de respondenten aan dat ten minste één van de drie vormen van instrumentele cybercriminaliteit gedurende de afgelopen twee jaar binnen hun bedrijf aan de orde was.
Figuur 11 Gebruikte modus operandi naar aard van de cybercriminaliteit (destructief, instrumenteel of beide) 16%
Cyberspionage
37% 41%
18%
Identiteitsdiefstal
46% 48%
Intentionele beschadiging systeem of computer
37% 43% 27%
Illegaal onderscheppen gegevens
Werkwijze (modus operandi)
52%
43%
57%
57% 49% 63%
Hacken of hacktivisme
34% 44%
Illegaal downloaden
63%
Virussen
63%
76% 76%
57% 59%
Phishing of pharming 0%
20%
40%
Destructief
60%
80%
80%
Instrumenteel
100%
Beide
Figuur 12 Verdeling instrumentele en destructieve cybercriminaliteit naar sector Industrie
35%
Groot- en detailhandel; reparaties in auto’s
46%
36%
Informatie en communicatie
41%
46%
Financiële instellingen
27%
Advisering, onderzoek en overige specialistische dienstverlening
23%
25% 18% 14% 50%
58%
(Semi-) overheidsinstellingen Onderwijs
40%
29% 12%
41%
47%
Gezondheids- en welzijnszorg
42%
Overig
42%
0%
41% 42% 29%
50% Instrumenteel
Destructieve en instrumentele cybercriminaliteit naar sector
42% 29%
Destructief
De respondenten zijn gevraagd naar de methode van de cybercriminaliteit die hun organisatie gedurende de afgelopen twee jaar heeft getroffen. Daarbij zijn acht verschillende methoden voorgelegd. Nagegaan is in hoeverre respondenten, waarvan de organisaties in de afgelopen twee jaar getroffen zijn door destructieve cybercriminaliteit (35%), instrumentele cybercriminaliteit (36%) of door beide vormen van cybercriminaliteit (29%), deze methoden rapporteren. Figuur 11 toont aan dat het verspreiden van virussen en hacken of hacktivisme vaker worden gebruikt om destructieve cybercriminaliteit te plegen dan instrumentele cybercriminaliteit. Voor de overige zes vormen geldt het omgekeerde, waarbij met name cyberspionage en identiteitsdiefstal aanzienlijk vaker worden gebruikt voor instrumentele cybercriminaliteit. Voor bijna alle verschillende methoden geldt wel dat ze het vaakst gerapporteerd worden wanneer een bedrijf van beide soorten cybercriminaliteit slachtoffer is geworden.
16% 29%
100% Beide
Onderzocht is in hoeverre bedrijven uit bepaalde sectoren vaker slachtoffer worden van instrumentele cybercriminaliteit of van destructieve cybercriminaliteit, of van beide vormen van cybercriminaliteit. Figuur 12 toont, voor de bedrijven die slachtoffer zijn geworden van cybercriminaliteit, per sector de omvang van instrumentele en destructieve cybercriminaliteit. Uit figuur 12 blijkt dat financiële instellingen en (semi-) overheidsinstellingen het vaakst slachtoffer worden van instrumentele cybercriminaliteit. Bij de financiële instellingen die getroffen zijn door cybercriminaliteit ging het in 77% (27% alleen instrumenteel, 50% beide) van de gevallen om instrumentele cybercriminaliteit, terwijl dit percentage bij (semi-) overheidsinstellingen 70% is. Binnen alle sectoren werd minimaal de helft van de slachtoffers van cybercriminaliteit getroffen door instrumentele cybercriminaliteit. Figuur 12 toont daarnaast aan dat organisaties binnen het onderwijs vaak slachtoffer worden van destructieve cybercriminaliteit: in totaal is 88% (47% destructief, 41% beide) van de slachtoffers binnen het onderwijs slachtoffer geworden van een destructief delict. Ook financiële
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 17
instellingen (73%) en (semi-) overheidsinstellingen (70%) worden relatief vaak getroffen door destructieve cybercriminaliteit.
Figuur 13 Verdeling instrumentele en destructieve cybercriminaliteit naar bedrijfsgrootte
1-99 werknemers
39%
100-999 werknemers
40%
Meer dan 1.000 werknemers
45% 23%
26%
0%
37%
38%
20%
36%
40%
Instrumenteel
Destructieve en instrumentele cybercriminaliteit naar organisatiegrootte
16%
60%
80%
Destructief
100%
Beide
Figuur 14 Verdeling instrumentele en destructieve cybercriminaliteit specialisme
Wel specialist cybercrime
37%
Geen specialist cybercrime
34%
31%
0%
29%
40%
20%
40%
Instrumenteel
29%
60%
80%
Destructief
100%
Daarnaast is onderzocht of specialisten op het gebied van cybercriminaliteit vaker slachtofferschap van instrumentele of destructieve cybercriminaliteit rapporteren dan specialisten op het gebied van andere vormen van economische criminaliteit. Figuur 14 toont aan dat er slechts kleine verschillen zijn: cybercriminaliteit-specialisten rapporteren iets vaker instrumentele cybercriminaliteit (66% in totaal) terwijl de specialisten op andere gebieden iets vaker destructieve cybercriminaliteit (69% in totaal) rapporteren.
Beide
Figuur 15 Slachtofferschap van economische criminaliteit naar type cybercriminaliteit
Concurrentievervalsing
23%
Diefstal van informatie
22%
Corruptie
17%
0%
18
PwC
28% 49% 34% 44% 36% 47%
32% 28%
Diefstal van geld, goederen en fraude 10% Beide
41%
20% 30% 40% 50% Destructief Instrumenteel
Onderzocht is of bedrijven van verschillende grootte ook verschillen in de soorten cybercriminaliteit waardoor ze getroffen worden. Figuur 13 laat zien dat relatief kleine bedrijven, met minder dan 100 medewerkersvaker slachtoffer worden van instrumentele (39%) of destructieve cybercriminaliteit (45%), terwijl het slachtofferschap van beide soorten cybercriminaliteit bij de kleinere organisaties wat minder vaak voorkomt (16%). Middelgrote bedrijven worden het vaakst slachtoffer van instrumentele cybercriminaliteit. In totaal zijn 77% (40% destructief, 37% beide) van de bedrijven met 100 tot 999 medewerkers getroffen door deze vorm van cybercriminaliteit. De grootste bedrijven worden daarentegen juist vaker getroffen door destructieve cybercriminaliteit.
60%
Tot slot is in deze paragraaf onderzocht of bedrijven die slachtoffer worden van verschillende vormen van cybercriminaliteit ook verschillen in de mate waarin ze slachtoffer worden van andere vormen van economische criminaliteit. Figuur 15 toont aan dat de bedrijven die slachtoffer worden van instrumentele cybercriminaliteit het vaakst getroffen worden door andere vormen van economische criminaliteit (tussen de 41 en 49%). Bedrijven die getroffen zijn door destructieve cybercriminaliteit worden juist het minst vaak slachtoffer van andere vormen van economische criminaliteit (tussen de 17% en 28%). Een verklaring voor deze bevindingen is dat de doelen van instrumentele cybercriminaliteit, zoals diefstal van geld of informatie, ook bereikt kunnen worden via traditionele criminaliteit. De doelen van destructieve cybercriminaliteit, zoals het stilleggen en destabiliseren van het ICT systeem, kunnen dat niet.
Daders van cybercriminaliteit
Respondenten melden dat, in zoverre de daders bekend zijn, externe cybercriminelen verantwoordelijk zijn voor 85% van de meest ernstige cybercriminaliteit en 79% van de meest recente cybercriminaliteit. Externe daders zijn relatief vaak individuen die geen zakelijke relatie met de organisatie hebben. Interne daders riskeren aangifte, terwijl bij externe daders vaker geen stappen worden ondernomen. Over de daders van cybercriminaliteit meldt de literatuur opvallend weinig. Een belangrijke reden voor het ontbreken van deze kennis is dat cybercriminelen relatief zelden ontmaskerd worden. De resultaten van het onderzoek van Kjaerland (2006) tonen bijvoorbeeld dat de dader onbekend was bij 64% van de onderzochte incidenten. In dit hoofdstuk bespreken we de kenmerken van daders van cybercriminaliteit en de uitkomsten van het onderzoek naar de stappen die tegen de daders worden ondernomen. We onderscheiden twee typen cybercriminelen: de in- en externe.
Externe cybercriminelen
• Script kiddies: wannabee hackers met weinig
technologische expertise. Door technieken van anderen te gebruiken kunnen ze toch veel schade aanrichten. • Political or religious extremists: hackers die ICT gebruiken om terroristische daden te plegen. Zoals blijkt uit de categorieën hacktivists en political or religious extremists opereren hackers niet altijd zelfstandig, maar kunnen ze deel uitmaken van ideologische of terroristische groeperingen. Ook kunnen hackers gerekruteerd en ingezet worden door overheden, concurrerende bedrijven of criminele organisaties.
Interne cybercriminelen
De bestaande onderzoeken naar cybercriminelen richten zich met name op hackers en laten zien dat er niet één profiel van hackers bestaat, maar dat verschillende typen hackers te onderscheiden zijn. Er bestaan verschillende classificaties meestal gebaseerd op de motivatie en expertise van de hackers. Europol (2003) en Dasselaar (2005) onderscheiden zes soorten hackers: • White hats: hackers die hun technologische expertise gebruiken voor legale en constructieve doeleinden. • Black hats of crackers: hackers die hun technologische expertise gebruiken voor illegale doeleinden. • Grey hats: hackers die tussen de white hats en black hats in vallen, bijvoorbeeld doordat ze een computer illegaal hacken voor constructieve doeleinden (zoals het testen van de beveiliging). • Hacktivists: hackers die ICT gebruiken voor hun ideologische doeleinden.
Interne daders van cybercriminaliteit, of insiders, worden doorgaans gedefinieerd als individuen met rechtmatige toegang tot het ICT-systeem van een bedrijf (Hunker & Probst, 2011). Volgens deze definitie kunnen er verschillende soorten interne cybercriminelen zijn, bijvoorbeeld gefrustreerde medewerkers, aannemers en leveranciers die werken voor het bedrijf of ex-werknemers bij wie de toegangsrechten tot het systeem nog niet zijn ingetrokken. De mogelijkheid bestaat ook dat een delict wordt gepleegd door zowel een interne als een externe dader. Externe daders kunnen bijvoorbeeld werknemers ronselen om te helpen om een delict tegen een bedrijf te plegen, zodat ze gemakkelijker toegang hebben tot het ICT-systeem van het bedrijf. Er zijn verschillende redenen om te verwachten dat een aanzienlijk deel van de cybercriminaliteit tegen bedrijven (mede) wordt veroorzaakt door interne
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 19
daders. Allereerst blijkt uit empirische studies dat de eigen medewerkers van bedrijven verantwoordelijk zijn voor een groot deel van de traditionele economische misdaden waardoor bedrijven worden getroffen. Uit de Global Economic Crime Survey van PwC (2014) blijkt, bijvoorbeeld, dat bij 56% van de organisaties die economische criminaliteit hebben ervaren, de dader een insider was. Vaak wordt betoogd dat bepaalde soorten cybercriminaliteit, met name instrumentele cybercriminaliteit, ‘oude wijn in nieuwe zakken’ is en in feite traditionele misdaden zijn die gepleegd worden met nieuwe hulpmiddelen en technieken. Daarom kan verwacht worden dat werknemers tegenwoordig, in toenemende mate, cybercriminaliteit in plaats van traditionele criminaliteit plegen tegen hun werkgever. Bovendien zou cybercriminaliteit tegen bedrijven vaak door insiders gepleegd kunnen worden, omdat zij makkelijker toegang hebben tot de ICT-systemen van de bedrijven en meer kennis kunnen hebben van de (zwakke punten in de) ICT-infrastructuur en -beveiliging van hun bedrijven. Ook kunnen de interne daders een beter beeld hebben van de potentiële opbrengsten wanneer het delict tegen de eigen werkgever wordt gepleegd.
Daders van cybercriminaliteit in Nederland In Nederland is er nog maar betrekkelijk weinig onderzoek naar de kenmerken van cybercriminelen gedaan. Leukfeldt, Domenie en Stol (2010) rapporteren in hun verkenning van cybercriminaliteit in Nederland dat de motivatie van cybercriminelen om delicten te plegen aan het verschuiven is. In de literatuur vonden zij een verschuiving van hacking for fame naar hacking for fortune. Zelf vonden zij in hun onderzoek naar verdachten van verschillende vormen van cybercriminaliteit, dat cybercriminaliteit niet langer alleen het domein is van gevorderde computerexperts maar dat het steeds meer ‘van het
Figuur 16 Interne en externe daders van de meest recente en meest ernstige cybercriminaliteit
8% 12%
Intern
85% 79%
Extern 8% 9%
Zowel intern als extern 0%
20,%
Meest ernstig
20
PwC
40%
60%
Meest recent
80%
100%
volk is’. Zij merkten daarbij ook een verschuiving naar hacking for revenge op, waarbij bijvoorbeeld ex-geliefden elkaar hacken. Het overgrote deel van de verdachten van diverse vormen van cybercriminaliteit in dit onderzoek waren mannen, jonger dan 45 jaar. Ruiter en Bernaards (2014) vergeleken de verdachten van computervredebreuk met verdachten van andere criminaliteit. Zij concludeerden dat beide groepen verdachten niet veel van elkaar verschillen. Zo werd er geen significant verschil gevonden wat betreft etniciteit en geslacht en toont ook het leeftijdscriminaliteitsverloop van beide groepen sterke gelijkenissen. Deze studies richten zich echter op cybercriminaliteit in het algemeen en bevatten hierdoor ook veel zaken die gericht zijn op individuen. Er kunnen op basis van deze studies dus geen uitspraken worden gedaan van de daders van cybercriminaliteit die specifiek gericht is op bedrijven.
Bevindingen Economic Crime Survey: daders van cybercriminaliteit Externe en interne daders In de survey zijn op twee manieren vragen gesteld over daders van cybercriminaliteit. Allereerst is aan alle respondenten, wiens bedrijf minstens één keer in de afgelopen 2 jaar slachtoffer is geworden van cybercriminaliteit, gevraagd naar de daders van de meest recente cybercriminaliteit waarvan hun organisatie slachtoffer is geworden. Daarnaast zijn aan alle respondenten vragen gesteld over de daders van het meest ernstige economische delict waarvan de organisatie gedurende de twee voorafgaande jaren slachtoffer is geworden. Bij deze vragen gaven zeventig respondenten aan dat een vorm van cybercriminaliteit het meest ernstige delict was. In de meeste gevallen was deze meest ernstige cybercriminaliteit hacken of hacktivisme (20 keer genoemd), gevolgd door phishing en pharming (19), het verspreiden van virussen (12) illegaal downloaden van bestanden, illegaal onderscheppen van computergegevens, intentionele schade toegebracht aan/aanval op computersystemen of gegevens (allen 5) en online identiteitsdiefstal (4). Bij zowel de meest recente cybercriminaliteit als het meest ernstige delict is allereerst gevraagd of de dader een interne of een externe dader was. Figuur 16 toont aan dat in beide gevallen de dader meestal een externe dader is. Daarnaast blijkt er in een klein aantal gevallen een in- en externe dader samen te werken.
In additionele analyses (niet weergegeven in figuur 16) is ook onderzocht of specialisten op het gebied van cybercriminaliteit vaker of juist minder vaak een externe dader rapporteren, dan specialisten op een ander gebied dan cybercriminaliteit. De percentages gerapporteerde externe en interne daders blijken echter nagenoeg hetzelfde te zijn en de inschatting van de cybercriminaliteit-specialisten blijkt dus niet anders. Het type dader bij het meest recente delict verschilt echter wel enigszins wanneer er gekeken wordt naar het soort cybercriminaliteit waar een bedrijf slachtoffer van wordt. Figuur 17 toont namelijk aan dat bedrijven die slachtoffer worden van instrumentele cybercriminaliteit vaker getroffen worden door alleen een interne dader (12%) dan bedrijven die slachtoffer worden van destructieve cybercriminaliteit (10%). Bij externe daders is dit verschil groter: bedrijven getroffen door destructieve cybercriminaliteit worden vaker slachtoffer van externe daders (87%) dan bedrijven getroffen Figuur 17 Interne en externe daders van de meest recente cybercriminaliteit naar type cybercriminaliteit 12% 10% 14%
Intern
Instrumenteel 79% 87% 71%
Extern
Destructief Beide
9% 4% 16%
Zowel intern als extern
0%
20% 40% 60% 80% 100%
Figuur 18 Externe daders van meest ernstige cybercriminaliteit
Een klant of opdrachtgever Een zakenpartner, leverancier of dienstverlener
2%
0%
Een concurrent
8%
Een individu
22%
De overheid
2%
Een idealistische organisatie
8%
0%
5%
10%
15%
20%
25%
door instrumentele cybercriminaliteit (79%). Wanneer het meest recente delict is gepleegd door zowel een interne als externe cybercrimineel dan gebeurt dit relatief vaak bij bedrijven die slachtoffer worden van zowel instrumentele als destructieve cybercriminaliteit (16%). Daderkenmerken Aan de respondenten, die hebben aangegeven dat het meest ernstige delict een vorm van cybercriminaliteit was, zijn ook een aantal vragen gesteld over de kenmerken van de dader. Doordat veel van deze delicten gepleegd worden door externe cybercriminelen geven veel respondenten aan niet te weten wie de dader van de cybercriminaliteit was. Slechts 15 van de 70 respondenten rapporteren een geslacht van de dader: bij bijna drie kwart van de delicten (73%) is de dader een man. Zes respondenten rapporteren dat de dader een gemiddelde leeftijd heeft van 40 jaar met een minimum van 18 jaar en een maximum van 64 jaar. Wanneer de dader van het meest ernstige delict een externe dader was, is de respondent ook gevraagd om de relatie van de dader tot de organisatie te benoemen. Figuur 18 toont aan hoe vaak de mogelijke relaties genoemd worden. Het vaakst blijkt de externe dader een individu zonder zakelijke relatie met de organisatie te zijn (22%). De meeste respondenten geven echter aan niet te weten wie de externe daders zijn. Afhandeling dader Tot slot wordt in dit hoofdstuk besproken hoe de meest recente cybercriminaliteit zaken zijn afgehandeld. Hierbij wordt met name gekeken naar verschillen tussen de afhandeling van zaken gepleegd door interne daders en externe daders. Figuur 19 toont de omvang van verschillende stappen die worden genomen tegen interne en externe daders. Bijna elke stap wordt vaker ondernomen tegen een interne dader dan tegen een externe dader, alleen het inlichten van de autoriteiten wordt ongeveer even vaak genoemd als stap tegen beide type daders. Bij interne daders wordt vaak aangifte gedaan (42%) of een waarschuwing (33%) gegeven. Ook stappen die alleen tegen interne daders kunnen worden ondernomen – zoals overplaatsing, een vertrekregeling of ontslag – worden vaak ondernomen (58%). Slechts in 6% van de gevallen wordt er geen enkele stap ondernomen. Bij de externe daders wordt in veel meer gevallen (14%) geen enkele stap ondernomen. Dit komt mogelijk doordat de bedrijven niet weten wie het delict heeft gepleegd en daardoor mogelijk vaker denken dat het
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 21
ondernemen van stappen geen zin heeft. Wanneer wel stappen worden ondernomen tegen externe daders dan doet men in de meeste gevallen aangifte (30%). Daarnaast worden relatief vaak stappen ondernomen die specifiek tegen externe daders kunnen worden genomen (33%). Het gaat hierbij om het opzeggen van bestaande contracten, het waarschuwen van collega-bedrijven en het opzoeken van publiciteit.
Figuur 19 Afhandeling van meest recente cybercriminaliteit 33%
Waarschuwing
15% 18% 19%
Autoriteiten ingelicht
42%
Aangifte gedaan
30% 12% 8%
Rechtszaak aangespannen
58%
Andere stappen ondernomen
33% 6%
Geen stappen ondernomen
14%
0%
10% 20% 30% 40% 50% 60% 70%
Interne dader
22
PwC
Externe dader
Preventieve maatregelen
Uit dit rapport blijkt dat een aanzienlijk deel van de Nederlandse bedrijven gedurende de afgelopen twee jaar slachtoffer is geworden van cybercriminaliteit. Het is dus van belang voor bedrijven dat ze zich goed beschermen tegen deze vorm van criminaliteit en hiervoor de nodige maatregelen treffen. Door de snelle ontwikkelingen op het gebied van ICT veranderen risico’s op het gebied van cybercriminaliteit voortdurend. Veiligheidsmaatregelen en – strategieën hebben vaak moeite om deze ontwikkelingen bij te houden en beschermen hierdoor vaak slechts tegen “de risico’s van gisteren”. Om deze reden werd het rapport over de bevindingen uit The Global State of Information Security Survey 2014 van PwC dan ook Defending Yesterday genoemd. Desalniettemin heeft 74% van de respondenten uit dit grootschalige, globale onderzoek er vertrouwen in dat de genomen veiligheidsmaatregelen effectief zijn en ziet de helft van de respondenten de eigen organisatie als voorloper op het gebied van veiligheid. De budgetten die bedrijven beschikbaar stellen voor veiligheidsmaatregelen zijn tussen 2012 en 2013 met 50% gestegen. Preventieve maatregelen in Nederland MKB-Nederland en het ministerie van Veiligheid en Justitie zijn bezorgd dat Nederlandse bedrijven niet genoeg preventieve maatregelen nemen en lanceerden daarom vorig jaar de campagne “Stop Cybercrime.nu” om ondernemers bewust te maken van de gevaren van cybercriminaliteit. Ook het Nationaal Cyber Security Centrum kwam in 2012 met een handreiking Cybercriminaliteit waarmee het bedrijven en overheidsinstanties wil ondersteunen bij het herkennen van, en het doen van aangifte tegen, criminele activiteiten in de digitale wereld. Dat het nemen van preventieve maatregelen niet zomaar leidt tot een daling van het aantal delicten blijkt uit het eerste deel van de Economic Crime Survey Nederland 2014. In dit rapport wordt aangetoond dat bedrijven die preventieve maatregelen tegen criminaliteit nemen juist vaker slachtoffer worden dan bedrijven die dit niet doen. De controleparadox speelt hier mogelijk een rol: wanneer bedrijven maatregelen treffen, detecteren ze vaker delicten. Economische criminaliteit komt namelijk zelden aan het licht door externe instanties en blijft hierdoor mogelijk onopgemerkt als bedrijven zelf geen maatregelen treffen.
Bevindingen Economic Crime Survey: preventieve maatregelen In dit hoofdstuk bespreken we welke preventieve maatregelen worden genomen door bedrijven in Nederland. Allereerst wordt onderzocht welke sectoren de meeste maatregelen tegen cybercriminaliteit nemen en gaan we in op de vraag of bedrijven die maatregelen nemen vaker of minder vaak slachtoffer worden van cybercriminaliteit. Vervolgens bespreken we welke preventieve maatregelen bedrijven nemen die slachtoffer worden van verschillende vormen van cybercriminaliteit. Tot slot vergeleken we of bedrijven die veel schade ondervinden of verwachten te ondervinden, verschillen in de genomen en voorgenomen preventie maatregelen ten opzichte van bedrijven die weinig (verwachte) schade rapporteren. Compliance programma Allereerst kijken we naar de aanwezigheid van compliance programma’s binnen bedrijven. Compliance programma’s stimuleren de naleving van regels binnen bedrijven. Hoewel in het voorgaande hoofdstuk bleek dat de respondenten
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 23
vooral externe actoren als daders aanwijzen van de cybercriminaliteit die hun organisatie treft, zouden compliance programma’s toch moeten bijdragen aan het verminderen van cybercriminaliteit. Ten eerste zou het aantal interne daders moeten afnemen. Ten tweede zouden compliance programma’s, zeker het deel dat ziet op de naleving van regels en procedures met betrekking tot toegang en gebruik van informatie en ICT, ook de kwetsbaarheid voor externe cybercriminelen moeten reduceren. Immers, de gebruiker is ook voor wat betreft externe cyberaanvallen een “zwakke schakel” (Nationaal cybersecurity Centrum, 2014).
Figuur 20 Aanwezigheid compliance programma naar sector en slachtofferschap cybercriminaleit 35%
Industrie Groot- en detailhandel; reparaties in auto's
60%
21% 17% 24%
Informatie en communicatie
36% 49%
Financiële instellingen Advisering, onderzoek en overige specialistische zakelijke dienstverlening
36%
5%
29% 16% 24%
Gezondheids- en welzijnszorg Overig
46%
23% 29%
(Semi-) overheidsinstellingen Onderwijs
77%
13%
38%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
Niet Slachtoffer
Slachtoffer
Figuur 21 Aanwezigheid compliance programma naar slachtofferschap van cybercriminaliteit
Instrumenteel
40%
Destructief
33%
Beide
57%
0%
24
PwC
10%
20%
30%
40%
50%
60%
70%
Het eerste deel van de Economic Crime Survey Nederland 2014 toont aan dat bedrijven met compliance programma’s vaker rapporteerden slachtoffer te zijn geworden van criminaliteit dan bedrijven zonder compliance programma. Hetzelfde geldt voor specifiek slachtofferschap van cybercriminaliteit. Onder de bedrijven die geen slachtofferschap van cybercriminaliteit rapporteerden, was in 21% van de gevallen een compliance programma aanwezig, terwijl compliance programma’s twee maal zo vaak aanwezig zijn bij bedrijven die wel slachtoffer van cybercriminaliteit zijn geworden. Figuur 20 toont de aanwezigheid van compliance programma’s opgesplitst naar de sector waarin organisaties actief zijn en naar slachtofferschap van cybercriminaliteit. Uit deze figuur blijkt dat er bij bedrijven uit de industrie en de financiële sector het vaakst een compliance programma aanwezig is. In totaal hebben respectievelijk 42% en 62% van de bedrijven uit deze sectoren een compliance programma. In het onderwijs zijn compliance programma’s het minst vaak aanwezig (10%). Daarnaast toont figuur 20 dat voor bijna alle sectoren geldt dat er vaker een compliance programma is wanneer het bedrijf slachtoffer is geworden van cybercriminaliteit. Figuur 21 geeft weer hoe vaak een compliance programma aanwezig is bij bedrijven die slachtoffer zijn geworden van instrumentele en/of destructieve cybercriminaliteit. Bedrijven die de afgelopen twee jaar slachtoffer zijn geworden van instrumentele cybercriminaliteit hebben vaker een compliance programma (40%) dan bedrijven die slachtoffer zijn geworden van destructieve cybercriminaliteit (33%). Het vaakst komen compliance programma’s echter voor bij bedrijven die door beide soorten cybercriminaliteit zijn getroffen (57%). Figuur 22 geeft weer in hoeverre het compliance programma zich volgens respondenten richt op cybercriminaliteit of zou moeten richten op cybercriminaliteit, op een schaal van 1 (zeer geringe mate) tot 5 (zeer sterke mate). Bij alle drie de groepen ligt het gemiddelde tussen de 3 en de 4 wat betekent dat de respondenten gemiddeld aangeven dat de compliance programma’s zich in normale tot sterke mate op cybercriminaliteit moeten richten. Bij bedrijven die alleen slachtoffer worden van instrumentele cybercriminaliteit richt het compliance programma zich in de minst sterke mate op cybercriminaliteit (3,4). Bij bedrijven die slachtoffer worden van destructieve cybercriminaliteit is dit een stuk hoger (3,6), maar de compliance programma’s van bedrijven die van beide vormen van
cybercriminaliteit slachtoffer worden, richten zich het meest op cybercriminaliteit (4,0). De respondenten zijn ook gevraagd in hoeverre het compliance programma zich volgens hen zou moeten richten op cybercriminaliteit. Deze resultaten lijken sterk op de resultaten met betrekking op de huidige focus van het compliance programma.
Figuur 22 Focus compliance programma op cybercriminaliteit
3,4
Compliance programma richt zich op cybercriminaliteit
3,6 4,0
Trainingen voor medewerkers
3,4
Compliance programma zou zich moeten richten op cybercriminaliteit
3,7 3,9
3
3,2 3,4 3,6 3,8
Instrumenteel
Destructief
4
4,2
Beide
Figuur 23 Georganiseerde trainingen op het gebied van cyberveiligheid en/of ICT-infrastructuur naar sector en slachtofferschap cybercriminaliteit
35%
Industrie
Groot- en detailhandel; reparaties in auto's
45%
9% 8%
52%
Informatie en communicatie
46%
46%
Financiële instellingen
63%
Advisering, onderzoek en overige specialistische zakelijke dienstverlening
36% 54%
35%
(Semi-) overheidsinstellingen
Onderwijs
71%
22% 29%
Gezondheidsen welzijnszorg
Overig
25% 24%
19% 36%
0% 10% 20% 30% 40% 50% 60% 70% 80% Niet Slachtoffer
Slachtoffer
Naast een compliance programma kan een bedrijf nog andere maatregelen nemen ter preventie van (cyber) criminaliteit. Zo bieden veel organisaties trainingen aan voor eigen medewerkers. In de survey zijn de respondenten gevraagd naar acht soorten trainingen. Twee daarvan, trainingen op het gebied van cyberveiligheid en ICT-infrastructuur, lijken het meest gericht op het tegengaan van cybercriminaliteit. Ook hier geldt opnieuw dat er vaker door organisaties trainingen worden gegeven op het gebied van cyberveiligheid en/of ICT-infrastructuur wanneer het bedrijf slachtoffer is geworden van cybercriminaliteit (43%) dan wanneer het bedrijf hier geen slachtoffer van is geworden (26%). Figuur 23 toont het percentage bedrijven dat trainingen organiseert voor het eigen personeel op het gebied van cyberveiligheid en/of ICT-infrastructuur, opgesplitst naar sector en slachtofferschap. Bedrijven in de financiële sector (54%) en in de sector van informatie en communicatie (49%) organiseren het vaakst trainingen op het gebied van cyberveiligheid en/of ICT-infrastructuur. Bedrijven in de groot-en detailhandel doen dit het minst vaak (9%). Ook hier geldt voor de meeste sectoren dat vaker trainingen worden georganiseerd wanneer er slachtofferschap van cybercriminaliteit wordt gerapporteerd. Figuur 24 toont aan hoeveel procent van de bedrijven die slachtoffer zijn geworden van verschillende vormen van cybercriminaliteit deze trainingen, en andere trainingen (op het gebied van ethiek, integriteit, anticorruptie, bestrijding van concurrentievervalsing, risicomanagement en security & control), aan hun personeel aanbieden. Uit de figuur blijkt dat de bedrijven die slachtofferschap van beide soorten cybercriminaliteit (instrumenteel en destructief) rapporteren vaker trainingen aanbieden op het gebied van cyberveiligheid (56%) en ICT-infrastructuur (32%) dan de overige bedrijven.
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 25
Getroffen en voorgenomen maatregelen
Figuur 24 Georganiseerde trainingen naar type cybercriminaliteit 28%
Cyberveiligheid
21% 56%
Instrumenteel 15%
IT-infrastructuur
Destructief
25%
Beide
32%
69%
Andere trainingen
54% 76%
0%
20%
40%
60%
80%
Figuur 25 Genomen maatregelen op het gebied van cyberveiligheid naar sector en slachtofferschap cybercriminaliteit 59% 60%
Industrie 40% 42%
Groot- en detailhandel; reparaties in auto's
79% 82%
Informatie en communicatie 64%
Financiële instellingen Advisering, onderzoek en overige specialistische zakelijke dienstverlening
51%
80%
69% 75% 82%
(Semi-) overheidsinstellingen 48%
Onderwijs
65%
43% 48%
Gezondheidsen welzijnszorg
38%
Overig 0%
20%
40%
Niet Slachtoffer
52%
60%
80%
100%
Slachtoffer
Figuur 26 Genomen maatregelen op het gebied van cyberveiligheid naar type cybercriminaliteit
Interne forensisch technologische onderzoeker
3%
12%
31%
28%
IT-deskundigen gespecialiseerd in bestrijden cybercriminaliteit
21%
52%
61%
45%
69%
48%
26
PwC
Instrumenteel Destructief Beide
57% 65% 70%
Andere maatregelen 0%
Vervolgens is met behulp van figuur 26 onderzocht in hoeveel procent van de bedrijven die slachtoffer zijn geworden van instrumentele en/of destructieve cybercriminaliteit de specifieke maatregelen tegen cybercriminaliteit zijn genomen. Ook het percentage bedrijven met minimaal één andere getroffen maatregel wordt weergegeven. Deze andere maatregelen richten zich niet specifiek op cybercriminaliteit of het ICT-netwerk en bestaan onder meer uit: regelmatige wisseling van personeel op kwetsbare posities of transparante richtlijnen, gedragscodes en sanctiebeleid.
20%
Actieve monitoring elektronisch verkeer
Noodprocedure afsluiten IT-netwerk
Tot slot zijn respondenten gevraagd naar tal van mogelijke maatregelen die het bedrijf heeft getroffen of van plan is om te nemen om (cyber)criminaliteit tegen te gaan. Vier van deze maatregelen richten zich in het bijzonder op de technologie binnen het bedrijf en zijn daarom met name relevant in het bestrijden van cybercriminaliteit. Het gaat hierbij om de aanwezigheid van een interne forensisch technologische onderzoeker, de actieve monitoring van intern en extern elektronisch verkeer, de aanwezigheid van ICT-deskundigen gespecialiseerd in het voorkomen en bestrijden van cybercriminaliteit en een noodprocedure voor het afsluiten van het ICT-netwerk. Van de bedrijven die slachtoffer zijn geworden van cybercriminaliteit heeft 64% ten minste één van deze maatregelen genomen, terwijl dit maar bij 49% van de bedrijven die niet slachtoffer geworden zijn het geval is. Figuur 25 toont de omvang van genomen maatregelen op het gebied van cyberveiligheid, opgesplitst naar sector en slachtofferschap van cybercriminaliteit. Maatregelen blijken het vaakst genomen te zijn in de volgende sectoren: informatie en communicatie (80%), (semi-) overheidsinstellingen (77%) en financiële instellingen (71%). In de groot- en detailhandel worden het minst vaak maatregelen op het gebied van cyberveiligheid genomen (40%).
20%
40%
60%
80%
93%
100%
Ook hier blijkt uit figuur 26 dat de meeste maatregelen tegen cybercriminaliteit worden genomen door bedrijven die van zowel instrumentele als van destructieve cybercriminaliteit slachtoffer zijn geworden. Daarnaast blijken bedrijven die alleen slachtoffer zijn geworden van destructieve criminaliteit de meeste maatregelen ook vaker te nemen dan bedrijven die getroffen zijn door instrumentele cybercriminaliteit. Een uitzondering hierop vormt de aanwezigheid van een interne forensisch technologische onderzoeker, die vaker aanwezig is bij bedrijven getroffen door instrumentele
cybercriminaliteit (12%) dan bedrijven die slachtoffer zijn van destructieve cybercriminaliteit (3%). Figuur 27 geeft aan in hoeverre de groepen verschillen in het percentage bedrijven dat van plan is om in het komende jaar een van de maatregelen te nemen. In dit figuur is te zien dat slachtoffers van instrumentele cybercriminaliteit vaker van plan zijn om maatregelen te nemen dan slachtoffers van destructieve cybercriminaliteit. Dit is echter niet heel opmerkelijk aangezien de slachtoffers van destructieve cybercriminaliteit deze maatregelen vaker al hebben genomen. Verder valt op dat ook de
Figuur 27 Voorgenomen maatregelen op het gebied van cyberveiligheid naar type cybercriminaliteit Interne forensisch technologische onderzoeker
18%
5%
Actieve monitoring elektronisch verkeer
20%
9% 13%
IT-deskunidigen gespecialiseerd in bestrijden cybercriminaliteit
25%
13% 19%
Noodprocedure afsluiten IT-netwerk
12%
28%
Instrumenteel Destructief Beide
24% 24%
Andere maatregelen
33%
57% 57%
0% 10% 20% 30% 40% 50% 60% 70%
Figuur 28 Genomen maatregelen op het gebied van cyberveiligheid naar opgelopen en verwachte schade
Interne forensisch technologische onderzoeker
Actieve monitoring elektronisch verkeer
IT-deskunidigen gespecialiseerd in bestrijden cybercriminaliteit
Noodprocedure afsluiten IT-netwerk
Andere maatregelen
5% 6% 10% 8% 30% 38% 33% 47% 23% 35% 23% 44%
Weinig schade, weinig verwacht
bedrijven die getroffen zijn door zowel instrumentele als destructieve cybercriminaliteit nog relatief vaak van plan zijn om maatregelen te nemen. Het overgrote deel van de bedrijven in deze groep heeft dus of al maatregelen genomen of is van plan om ze in het komende jaar te nemen.
Schade van cybercriminaliteit en preventieve maatregelen Tot slot is onderzocht in hoeverre de ondervonden en verwachte schade van cybercriminaliteit samenhangt met het al dan niet nemen van maatregelen op het gebied van cyberveiligheid. Om dit te onderzoeken is onderscheid gemaakt tussen vier groepen. De 299 bedrijven in de eerste groep ondervinden relatief weinig schade van cybercriminaliteit en verwachten ook in de komende jaren relatief weinig schade te ondervinden. In de tweede groep zitten 99 bedrijven die ook relatief weinig schade ondervinden, maar in de toekomst relatief veel schade veroorzaakt door cybercriminaliteit verwachten. Een derde groep van 48 bedrijven heeft te maken gehad met relatief veel schade door cybercriminaliteit, maar verwacht in de toekomst relatief weinig schade. Tot slot is er nog een groep van 196 bedrijven waarin zowel de ondervonden als de verwachte schade van cybercriminaliteit relatief hoog is. Figuur 28 laat voor elk van deze vier groepen zien bij hoeveel procent van de bedrijven maatregelen op het gebied van cyberveiligheid zijn genomen. Voor de meeste maatregelen geldt dat ze het meest genomen zijn door bedrijven die verwachten relatief veel schade op te lopen door cybercriminaliteit. De meeste maatregelen worden over het algemeen genomen door de bedrijven die veel schade hebben geleden, maar ook veel schade verwachten. De groep bedrijven die relatief veel schade hebben geleden door cybercriminaliteit, maar minder schade verwachten in de toekomst hebben relatief weinig maatregelen getroffen, maar zijn wel vaak van plan om het komende jaar maatregelen te nemen tegen cybercriminaliteit (niet weergegeven in figuur 28).
Weinig schade, veel verwacht Veel schade, weinig verwacht Veel schade, veel verwacht
22% 31% 29% 39% 70% 80% 58% 78%
0% 20% 40% 60% 80% 100%
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 27
Methodologische verantwoording
Procedure Voor dit onderzoek is gebruik gemaakt van het Flycatcher panel. Dit panel voldoet aan de ISOkwaliteitseisen voor sociaalwetenschappelijk onderzoek, markt-, en opinieonderzoek. Het panel bestaat uit ongeveer 15.000 personen van twaalf jaar of ouder, die ongeveer acht vragenlijsten per jaar ontvangen. Gemiddeld vult tussen de 60% en 70% van de benaderde panelleden de verstuurde vragenlijsten in. Als een vragenlijst volledig is ingevuld ontvangen panelleden een aantal punten die ze kunnen inwisselen voor een cadeaubon naar keuze. Bij aanmelding voor het panel worden enkele achtergrondgegevens ingevuld (bijvoorbeeld geslacht, geboortedatum, opleidingsniveau, woonsituatie, arbeidssituatie). Deze gegevens moeten minimaal eens per jaar geactualiseerd worden. Op basis van deze achtergrondgegevens zijn uit het panel alle Nederlanders geselecteerd die tussen de 18 en 65 jaar oud zijn, werkzaam zijn, en ten minste één collega hebben. De steekproef is verder niet gestratificeerd naar achtergrondkenmerken, alle respondenten die aan bovenstaande criteria
voldoen zijn benaderd voor deelname. In totaal voldeden 8024 panelleden aan de genoemde criteria. Zij ontvingen op maandag 24 februari 2014 de vragenlijst en deze kon tot maandag 3 maart 2014 ingevuld worden. Tabel 1 geeft een overzicht van de respons. In totaal zijn er 8.024 panelleden via e-mail benaderd, wat in 27 gevallen een foutmelding opleverde (bijvoorbeeld een foutief e-mailadres of een volle mailbox). Netto zijn er dus 7997 vragenlijsten verstuurd. In totaal zijn 3865 vragenlijsten ingevuld, wat neer komt op een response percentage van ruim 48%. Onder de non-response vallen 459 onvolledig ingevulde vragenlijsten en 18 vragenlijsten die verwijderd zijn wegens slechte responskwaliteit2. De benaderde respondenten ontvingen een e-mail met daarin een, voor elke respondent unieke, hyperlink waarmee men bij de inlogpagina van het onderzoek terecht kwam. De respondenten loggen in met een persoonlijke toegangscode en wachtwoord waardoor zoveel mogelijk voorkomen wordt dat eventuele familieleden, huisgenoten of anderen de vragenlijst kunnen openen en invullen.
Tabel 1: Responsoverzicht Aantal benaderde panelleden Foutmeldingen Netto verstuurd (=aantal panelleden – foutmeldingen) Verwijderd wegens slechte responskwaliteit* Vragenlijst onvolledig ingevuld / drop-out* Response
8024 27 7997 18 459 3865
* De gegevens van deze respondenten zijn niet meegenomen in de respons en de resultaten.
2 Er is op responsekwaliteit gecontroleerd door onder andere te kijken naar de invultijd, consistentie van de antwoorden, open antwoorden, straightlining. Van straightlining is sprake indien bijv. bij een reeks stellingen overal de eerste antwoordoptie gekozen wordt.
28
PwC
Tabel 2: Selectievraag “Bent u uit hoofde van uw functie belast met het …” In kaart brengen
Voorkomen
Aanpakken
Totaal aantal respondenten
Diefstal van geld of goederen of fraude
288
503
250
674
Corruptie
152
238
120
356
Diefstal van informatie
190
375
145
495
Concurrentievervalsing
136
185
79
296
Cybercriminaliteit
135
235
94
334
Totaal
413
658
316
875
Steekproef
Respondenten
Vanuit de assumptie dat experts binnen organisaties meer kennis bezitten dan andere medewerkers over de omvang, de gevolgen en de verschijningsvormen van economische criminaliteit, alsmede over de maatregelen die daartegen binnen de organisatie zijn getroffen, zijn uit het panel de respondenten geselecteerd die functioneel betrokken zijn bij economische criminaliteit. Daartoe zijn de 3865 respondenten allereerst gevraagd of zij uit hoofd van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van vijf verschillende vormen van economische criminaliteit: diefstal van geld of goederen of fraude, corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit. Van de respondenten beantwoordden 23,6% ten minste één keer bevestigend. Alleen deze 875 respondenten hebben de vragenlijst verder ingevuld. De bevestigende antwoorden van de respondenten op deze selectievraag zijn weergegeven in tabel 2.
Van de 875 respondenten die hebben aangegeven functioneel betrokken te zijn bij het in kaart brengen is 47% vrouw en hun gemiddelde leeftijd is 41 jaar. Het opleidingsniveau van de meerderheid van de respondenten (61%) is hoog (WO of HBO). De respondenten zijn gemiddeld zeven jaar werkzaam binnen de huidige afdeling. Aan de respondenten is een vraag voorgelegd over de functie die zij vervullen. Daarbij zijn twaalf verschillende opties gegeven of konden de respondenten hun eigen functie beschrijven. Van de respondenten koos 53% een van de gegeven opties. Daarvan vervult meer dan de helft (55%) een functie als leidinggevende; waarvan 4% als CEO, 13% als algemeen directeur, 9% als directielid en 29% als hoofd / manager. Een functie als analist / onderzoeker vervult 13%. Daarnaast vervult 11% een functie als accountant / controller, 7% als juridisch medewerker, 8% als (Chief / senior) security / risk officer, 4% als veiligheidsmanager en 3% als compliance officer. Zie figuur 29 voor een overzicht van de functies van de respondenten.
Tabel 2 toont dat 72% van de geselecteerde respondenten zich functioneel richt op het voorkomen van economische criminaliteit. Met het in kaart brengen en aanpakken van economische criminaliteit houdt respectievelijk 47% en 36% van de respondenten zich in het kader van hun functie bezig. Daarnaast blijkt meer dan de helft van deze experts zich te richten op diefstal van geld of goederen of fraude (77%) en diefstal van informatie (56%). Op het in kaart brengen, voorkomen of aanpakken van corruptie, cybercriminaliteit en concurrentievervalsing richt respectievelijk 41%, 38% en 34% van de respondenten zich.
Van de organisaties heeft 39% binnen Nederland minder dan honderd personeelsleden, 30% ten minste honderd maar minder dan duizend personeelsleden en 31% duizend personeelsleden of meer. De helft (52%) van de organisaties heeft geen personeelsleden buiten Nederland. Bij 15% van de organisaties werken buiten Nederland minder dan duizend personeelsleden, bij 12% is dat meer dan duizend maar minder dan tien duizend, bij 14% van de bedrijven werken tienduizend of meer mensen buiten Nederland.
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 29
Figuur 32 geeft de sectoren weer waarbinnen de respondenten werkzaam zijn. Een afwijking van het percentage werkzame personen per sector kan gelegen zijn aan de selectie die voor dit onderzoek is gebruikt. Figuur 32 toont dat 16% van de 875 respondenten werkzaam is in de gezondheidszorg en 13% in de detailhandel. Relatief weinig respondenten zijn werkzaam in de bouwnijverheid net zoals binnen de cultuur, sport en recreatie sector (beide 3%). Ook de horeca (4%) lijkt enigszins ondervertegenwoordigd binnen de steekproef.
Figuur 29 Functies binnen de organisatie Analist / onderzoeker
62
Senior security / risk officer
8
Juridisch medewerker
34
Hoofd afdeling / manager
135
Accountant / controller
49
Veiligheidsmanager
19
Compliance officer
12
Security / risk officer
16
Chief security / risk officer
12
Directielid
44
Algemeen directeur
60
CEO
17
0
20
40
60
80
100
120
140
160
Figuur 30 Personeelsleden in Nederland 1.000 of meer
31%
500 t/m 999
12%
100 t/m 499
18%
50 t/m 99
8%
10 t/m 49
15%
5 t/m 10
7%
Minder dan 5
10%
0%
5%
10%
15%
20%
25%
30%
35%
Figuur 31 Personeelsleden buiten Nederland
weet niet
7%
10.000 of meer
14%
5.000 tot 10.000
4%
1.000 tot 5.000
8%
500 tot 1.000
6%
minder dan 500
10%
geen buiten Nederland
52%
0%
30
PwC
10%
20%
30%
40%
50%
60%
Figuur 32 Respondenten naar sectoren Overig
52
Overige diensten
46
Cultuur, sport & recreatie
30
Gezondheidszorg
143
Onderwijs
75
Overheid
82
Zakelijke dienstverlening
60
Financiële sector
63
Informatie en communicatie
51
Horeca
34
Vervoer en opslag
33
Detailhandel
110
Bouwnijverheid
25
Industrie
71
0
20
40
60
80
100
120
140
160
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 31
De vragen
De vragenlijst bestaat uit vier delen: achtergrondkenmerken, omvang en schade, detectie en preventie en organisatiecultuur. Hieronder volgt een korte beschrijving van de vragenlijst. Achtergrondkenmerken Aan de respondenten is gevraagd of zij uit hoofde van hun functie belast zijn met het in kaart brengen, voorkomen of aanpakken van economische criminaliteit. Daarnaast zijn onder meer vragen gesteld over de functie van de respondenten, het aantal jaren dat men werkzaam is, de sector waar zij werkzaam zijn en de grootte van het bedrijf.
Omvang en schade De respondenten kregen eerst vragen voorgelegd over de mate waarin de organisatie gedurende de afgelopen twee jaar geconfronteerd was met vijf verschillende vormen van economische criminaliteit: diefstal van geld of goederen of fraude, corruptie, diefstal van informatie, concurrentievervalsing en cybercriminaliteit. Over elke categorie van economische criminaliteit waarvan de respondent had aangegeven dat de organisatie daarmee van doen had gehad kregen de respondenten vervolgvragen over de specifieke vorm van criminaliteit. Aan de respondenten die hadden aangegeven dat de organisatie gedurende de afgelopen twee jaar geconfronteerd was met cybercriminaliteit is doorgevraagd over het meest recente cyberdelict: wat voor type delict het betrof, wat het doel was van dat delict, wanneer dat plaatsvond, over de dader(s), over de slachtoffers en over de afhandeling. Vergelijkbare vragen zijn voorgelegd aan alle respondenten die hadden aangegeven dat de organisatie geconfronteerd was met economische
32
PwC
criminaliteit over het meest recente (andere) economische delict. Aan alle respondenten die economische criminaliteit rapporteerde is gevraagd welk van de inmiddels afgehandelde delicten uit de afgelopen twee jaar het meest ernstig was. Over dit delict is gevraagd naar wanneer dat plaatsvond, wat de (financiële) schade was en naar het profiel van de daders.
Detectie en preventie Aan de respondenten is gevraagd op welke wijze economische criminaliteit binnen de organisatie aan het licht komt. Vervolgens is hen gevraagd of de organisatie beschikt over een compliance programma en waar dat programma, indien aanwezig, zich op richt en uit bestaat. De vragenlijst bevat voorts vragen over de maatregelen die de organisatie treft om economische criminaliteit tegen te gaan, de perceptie van de medewerkers op kwetsbare en de trainingen die de organisatie aanbiedt.
Organisatiecultuur Ten aanzien van de cultuur van de organisatie zijn de respondenten bevraagd over de oorzaken van economische criminaliteit, de perceptie over de integriteit van managers en over het belang van bonussen en targets binnen de organisatie.
Literatuur Erp, J., Stol, D., & van Wilsem, J. (2013). Criminaliteit en criminologie in een gedigitaliseerde wereld. Tijdschrift voor Criminologie, 5(4), 327-341. Han, W. L., Cao, Y., Bertino, E., & Yong, J. M. (2012). Using automated individual white-list to protect web digital identities. Expert Systems with Applications, 39(15), 11861-11869. doi: 10.1016/j. eswa.2012.02.020 Hancock, B. (2000). Mass network flooding attacks (distributed denial of service - DDoS) surface in the wild. computers & security, 19(1), 6-7. doi: 10.1016/s0167-4048(00)86356-7 Hughes, L. A., & DeLone, G. J. (2007). Viruses, worms, and Trojan horses - Serious crimes, nuisance, or both? Social Science Computer Review, 25(1), 78-98. doi: 10.1177/0894439306292346 Hunker, J., & Probst, C. W. (2011). Insiders and insider threats—an overview of definitions and mitigation techniques. Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications, 2(1), 4-27. Kebay, M.E. (2008). A brief history of computer crime: An introduction for students. http://www.mekabay. com/overviews/history.pdf Khonji, M., Iraqi, Y., & Jones, A. (2013). Phishing detection: a literature survey. Communications Surveys & Tutorials, IEEE, 15(4), 2091-2121. Kjaerland, M. (2006). A taxonomy and comparison of computer security incidents from the commercial and government sectors. computers & security, 25(7), 522-538. doi: http://dx.doi.org/10.1016/j. cose.2006.08.004 Leeuw, H. B. M. (2012). Zin en onzin van het downloadverbod. Veiligheid in cyberspace, 83-96. Leukfeldt, E. R., Domenie, M. M. L., & Stol, W. Ph. (2010). Verkenning cybercrime in Nederland 2009. The Hague: Boom Juridische uitgevers. Mirkovic, J., & Reiher, P. (2004). A taxonomy of DDoS attack and DDoS Defense mechanisms. Acm Sigcomm Computer Communication Review, 34(2), 39-53. doi: 10.1145/997150.997156. Nationaal Cyber Security Centrum (2014). Cybersecuritiebeeld Nederland 4. https://www.ncsc.nl/ dienstverlening/expertise-advies/kennisdeling/trendrapporten/cybersecuritybeeld-nederland-4.html NRC Handelsblad, 6-8-2014. Door Herbert Blankensteijn: De Kwetsbare Cloud; Gratis proberen. PwC (2014). Global Economic Crime survey 2014. Retrieved March 3, 2014 from http://www.pwc.nl/nl_NL/ nl/assets/documents/pwc-global-economic-crime-survey- 2014.pdf PwC (2014). US cybercrime: Rising risks, reduced readiness. Key findings from the 2014 US State of Cybercrime Survey. Serracino-Inglott, P. (2013). Is it OK to be an Anonymous? Ethics & Global Politics, 6(4). Williams, P., Nicholas, D., & Rowlands, I. (2010). The attitudes and behaviours of illegal downloaders. Aslib Proceedings, 62(3), 283-301. doi: 10.1108/00012531011046916 Zhang, Y. P., Xiao, Y., Ghaboosi, K., Zhang, J. Y., & Deng, H. M. (2012). A survey of cyber crimes. Security and Communication Networks, 5(4), 422-437. doi: 10.1002/sec.331
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 33
Colofon Projectteam PwC Drs. André Mikkers RA Dr. Martijn Schut Warner van der Colk MSc Extern onderzoeksbureau Flycatcher Internet Research B.V. Methodologie, validatie en tekstbijdragen Faculteit der Rechtsgeleerdheid, sectie Criminologie VU Amsterdam Prof. Dr. Wim Huisman Dr. Adriaan Denkers Dr. Steve van de Weijer
34
PwC
De informatie zoals opgenomen in deze publicatie is uitsluitend bestemd voor algemene informatiedoeleinden. De informatie in deze publicatie mag niet worden beschouwd als professioneel advies. Wij raden u aan advies in te winnen bij een PwC professional, voordat u beslist of handelt. Hoewel wij de grootst mogelijke zorgvuldigheid betrachten in de samenstelling en het onderhoud van de in deze publicatie verstrekte informatie, kan PwC niet garanderen dat deze informatie compleet, actueel en/of accuraat is. PwC aanvaardt dan ook geen aansprakelijkheid voor directe of indirecte schade die is ontstaan door gebruikmaking van, vertrouwen in of handelingen verricht naar aanleiding van de in deze publicatie verstrekte informatie, tenzij er aan de zijde van PwC sprake is van opzet of bewuste roekeloosheid. PwC geeft geen enkele garantie met betrekking tot deze informatie, noch uitdrukkelijk, noch impliciet, daaronder mede begrepen – maar niet beperkt tot – garanties van prestatie, verhandelbaarheid of geschiktheid voor een bepaald doel.
Cybercriminaliteit tegen Nederlandse organisaties: een digitale dreiging 2014 - deel 2 35
© 2014 PricewaterhouseCoopers B.V. (KvK 34180289). Alle rechten voorbehouden. PwC verwijst naar de Nederlandse firma en kan soms naar het PwC-netwerk verwijzen. Elke aangesloten firma is een afzonderlijke juridische entiteit. Kijk op www.pwc.com/structure voor meer informatie.