Hanneke van Ballegooij Erasmus Universiteit Rotterdam Masterscriptie Criminologie Scriptiebegeleiders: Hans van der Veen en Clarissa Meerts

2010 The Stakes are High (Tech) Een onderzoek naar de verdeling van risico’s en verantwoordelijkheden van high-tech criminaliteit gericht op financiële instellingen

Hanneke van Ballegooij Erasmus Universiteit Rotterdam Masterscriptie Criminologie Scriptiebegeleiders: Hans van der Veen en Clarissa Meerts 8-12-2010

The Stakes are High (Tech)

Masterscriptie Criminologie

1



VOORWOORD

Voor u ligt mijn afstudeerproject ter afronding van de studie Criminologie aan de Erasmus Universiteit Rotterdam. ‘ The Stakes are High (Tech)’ is onderzoek naar de verdeling van risico’s en verantwoordelijkheden van high-tech criminaliteit gericht op financiële instellingen. Daarvoor wil ik een aantal mensen bedanken. Allereerst wil ik Rabobank Nederland bedanken voor de stageplek die ze mij aanboden om dit onderzoek uit te kunnen voeren. In het bijzonder mijn begeleider, Wim Hafkamp, die mij in contact heeft gebracht met een aantal vooraanstaande personen op het gebied van high-tech criminaliteit. Ook dank aan mijn collega’s op mijn afdeling die mij vanuit hun werkterrein een andere kijk op de problematiek boden. Verder wil ik ook mijn scriptiebegeleider Hans van der Veen bedanken, die mij meerdere malen de goede (theoretische) richting op heeft gestuurd. Mijn dank gaat ook uit naar alle respondenten die meegewerkt hebben aan de interviews. Zij hebben (vertrouwelijke) informatie met mij gedeeld die erg waardevol is geweest voor dit onderzoek. Tot slot wil ik Stef bedanken, die geholpen heeft de voor mij onbekende technologische termen en methoden van high-tech criminaliteit te doen begrijpen.

Hanneke van Ballegooij

2



3



INHOUDSOPGAVE

VOORWOORD ......................................................................................................................... 2 INHOUDSOPGAVE .................................................................................................................. 4 1.

2.

3.

INTRODUCTIE ................................................................................................................ 8 1.1

Aanleiding ................................................................................................................... 9

1.2

Relevantie en doelstelling .......................................................................................... 10

1.3

Probleemstelling ........................................................................................................ 11

1.4

Methoden van onderzoek........................................................................................... 13

1.5

Opbouw van de scriptie ............................................................................................. 15

THEORETISCH KADER.............................................................................................. 16 2.1

Bestaande kennis over high-tech criminaliteit........................................................... 16

2.2

Beperkingen in de literatuur ...................................................................................... 17

2.3

Analyse van de problematiek .................................................................................... 20

2.4

Sociaal constructivisme en securitization .................................................................. 22

2.5

Publiek-private samenwerking .................................................................................. 23

2.6

Responsive regulation................................................................................................ 26

2.7

Stakeholdertheorie ..................................................................................................... 26

HIGH-TECH CRIMINALITEIT EN VERSCHIJNINGSVORMEN ....................... 30 3.1

Het ontstaan van high-tech criminaliteit .................................................................... 30

3.2

Discussie en definitie ................................................................................................. 32

3.3

Onderverdeling van verschijningsvormen ................................................................. 34

3.4

Aantasting van het goed functioneren van informatiesystemen ................................ 35

3.4.1

Beschikbaarheid: Spam en Denial-Of-Service ................................................... 36

3.4.2

Integriteit: Hacken ............................................................................................. 37

3.4.3

Vertrouwelijkheid: Aftappen van gegevens ........................................................ 39

3.5

Vermogensdelicten .................................................................................................... 40

3.5.1

Skimming ............................................................................................................ 40

3.5.2

Phishing .............................................................................................................. 42

3.5.3

Identiteitsfraude ................................................................................................. 43

3.6

Conclusie ................................................................................................................... 45

4


4.

AARD EN OMVANG VAN HIGH-TECH CRIMINALITEIT ................................. 46 4.1

6.

Omvang aantasting van het goed functioneren van informatiesystemen .................. 47

4.1.1

Hacken en Denial-Of-Service............................................................................. 47

4.1.2

Spam ................................................................................................................... 50

4.2

5.


Omvang vermogensdelicten ...................................................................................... 51

4.2.1

Skimming ............................................................................................................ 52

4.2.2

Phishing .............................................................................................................. 55

4.2.3

Identiteitsfraude ................................................................................................. 58

4.3

Daderkenmerken aantasting van het goed functioneren van systemen ..................... 59

4.4

Daderkenmerken vermogensdelicten ........................................................................ 64

4.5

Conclusie ................................................................................................................... 67

GEORGANISEERDE HIGH-TECH CRIMINALITEIT........................................... 70 5.1

Theoretische stromingen ............................................................................................ 70

5.2

Definitie van georganiseerde criminaliteit ................................................................ 72

5.3

Het meten van georganiseerde criminaliteit .............................................................. 73

5.4

De relatie tussen high-tech criminaliteit en georganiseerde misdaad ........................ 74

5.5

De rol van Russische en Oost-Europese groepen ...................................................... 77

5.6

Cybercriminele organisaties ...................................................................................... 82

5.8

Conclusie ................................................................................................................... 85

DE VERDELING VAN RISICO’S TUSSEN PUBLIEK EN PRIVAAT .................. 88 6.1

Huidige maatregelen en samenwerkingsverbanden .................................................. 89

6.2

Tit-For-Tat ................................................................................................................. 93

6.3

Het identificeren van stakeholders en hun belangen ................................................. 95

6.3.1

Financiële instellingen ....................................................................................... 97

6.3.2

Overheidsinstanties ............................................................................................ 98

6.3.3

Private partijen ................................................................................................ 102

6.3.4

Burgers en samenleving ................................................................................... 106

6.3.5

Internationale instanties ................................................................................... 107

6.4

Belangentegenstellingen tussen stakeholders .......................................................... 108

6.5

De verdeling van risico’s ......................................................................................... 111

5


7.


CONCLUSIE ................................................................................................................. 114 7.1

Bevindingen ............................................................................................................. 114

7.2

Aanbevelingen ......................................................................................................... 116

7.2.1

Bestuurlijke maatregelen .................................................................................. 117

7.2.2

Preventieve maatregelen .................................................................................. 119

7.2.3

Repressieve maatregelen .................................................................................. 120

7.3

Verder onderzoek .................................................................................................... 123

LITERATUURLIJST .......................................................................................................... 124 BIJLAGEN ........................................................................................................................... 140 Bijlage I: Begrippenlijst...................................................................................................... 140 Bijlage II: Respondenten .................................................................................................... 144

6



7



1. INTRODUCTIE

Op een dinsdagochtend worden banken overladen met telefoontjes van klanten die niet meer kunnen pinnen of betalen in winkels. Al snel blijkt dat iemand het betalingssysteem is binnengedrongen en het system dusdanig heft verstoord dat in heel Nederland het betalingsverkeer plat ligt. De chaos die in de loop van de dag uitbreekt is niet te omschrijven. Mensen kunnen niet meer bij hun geld, geen boodschappen meer doen en de systemen van de lokale banken kunnen de stroom mensen die contant geld komt opnemen niet aan. De Nederlandse betalingssystemen zijn hier niet meer op ingesteld. Het enige dat bekend is over de aanval is dat er iemand het systeem is binnengedrongen via een internetlijn. Maar de locatie van de dader is niet bekend, de toegang tot het internet is wereldwijd. De politie wordt op de zaak gezet, maar heeft geen enkele aanwijzing wat het motief van de dader is en of hij nog vaker zal toeslaan. Gaat het hier om een georganiseerde groep, een hacker die een stunt uithaalt of zit er een terroristisch oogmerk achter? Stel je voor dat de politie op het goede spoor komt en de bron van de aanval traceert naar een Internet Service Provider (ISP) in Rusland. Dit wil nog niet zeggen dat de dader zich ook in Rusland bevindt, deze kan zijn verbinding ook hebben omgeleid en zelf in een ander land zitten. Om meer informatie te kunnen verkrijgen moet er een rechtshulpverzoek richting Rusland gaan om toestemming te vragen om het onderzoek daar voort te zetten. Zonder deze toestemming loopt Nederland het risico de soevereiniteit van Rusland te schenden. En wanneer de dader uiteindelijk wordt gevonden, werpt de volgende vraag zich op, wie heeft de jurisdictie om deze dader te vervolgen.

Dit is slechts een fictieve casus, maar laat ons zien welke problemen de nieuwe wereld van high-tech criminaliteit met zich mee kan brengen.

8



1.1 Aanleiding Niet alleen financiële instellingen zijn afhankelijk van computergestuurde systemen, maar ICT en internet hebben zich ontwikkeld tot vitale infrastructuren voor de meeste maatschappelijke en economische processen. Voorheen werden toepassingen van Informatieen Communicatie Technologie (ICT) gebruikt voor interne netwerken binnen bedrijven en het bezitten van een computer met internetverbinding was maar voor een enkeling weggelegd. Sinds de jaren negentig is het aantal ICT-voorzieningen enorm gegroeid en de toegang tot deze diensten wordt steeds sneller en eenvoudiger. Internet in het bijzonder heeft de afgelopen jaren een vlucht genomen en kent tegenwoordig welhaast onbegrensde mogelijkheden, mede door de laagdrempelige toegang en het wereldwijde bereik. ICT en internet zijn een deel geworden van onze samenleving en een belangrijk middel voor het vergaren en verspreiden van informatie en communicatie (Van der Hulst & Neve, 2008: 31). De Tweede Kamer omschrijft dit proces als de totstandkoming van een elektronische snelweg: het geheel van technische infrastructuren en diensten waarmee verbindingen tot stand worden gebracht en informatie wordt bewerkt, opgeslagen en verspreid (Tweede Kamer, 1997-1998). Niet alleen burgers en organisaties hebben deze nieuwe mogelijkheden ontdekt, ook de criminele wereld is zich hiervan bewust geworden. De ICT-voorzieningen en technische infrastructuren brengen kwetsbaarheden met zich mee waar criminelen misbruik van kunnen maken. Vergeleken met de traditionele vormen van criminaliteit hebben deze nieuwe elektronische mogelijkheden een aantal voordelen: a) de grenzen van tijd en ruimte vervagen waardoor directe en wereldwijde communicatie mogelijk is, b) er is een veel groter bereik van potentiële slachtoffers waar weinig moeite voor gedaan hoeft te worden, c) het internet biedt een grote mate van anonimiteit en d) criminele activiteiten kunnen eenvoudig en vaak worden herhaald of zelfs gelijktijdig worden gepleegd waardoor de opbrengsten hoog kunnen zijn en de pakkans niet vergroot wordt (Van Amersfoort, Smit en Rietveld, 2002: 21-23). Nieuwe mogelijkheden zorgen voor nieuwe vormen van criminaliteit. Traditionele delicten kunnen een andere vorm aannemen door de hulp van ICT-middelen. Daarnaast ontstaan er geheel nieuwe verschijningsvormen van criminaliteit die geheel afhankelijk zijn van ICT (Williams, 2006: 18). Soms is ICT zelfs het expliciete doelwit.

9



1.2 Relevantie en doelstelling In dit onderzoek staat de problematiek rondom de bestrijding van high-tech criminaliteit centraal. Meer in het bijzonder de verschijningsvormen van high-tech criminaliteit gericht op financiële instellingen. Er is maar weinig onderzoek gedaan naar de aard en omvang van hightech criminaliteit, en deze onderzoeken bieden enkel inzicht in de bestaande literatuur op het gebied

van

high-tech

criminaliteit.

De

meeste

onderzoeken

zijn

gedaan

door

softwareproducenten en richten zich voornamelijk op de werkwijze van high-tech criminelen. De omvang van bijna alle verschijningsvormen van high-tech criminaliteit is onbekend, onder andere door het stilzwijgen van banken over informatie en registratieproblemen. De hoge mate van anonimiteit die het internet biedt zorgt ervoor dat er maar weinig daders worden aangehouden. Hierdoor bestaat er bij opsporingsdiensten weinig informatie over de daders en hun kenmerken. Door de beperkte kennis over de ernst en aard van high-tech criminaliteit blijft een effectieve aanpak uit. Daarnaast laat ook de samenwerking tussen de verschillende partijen vaak te wensen over. Om dichter bij deze problematiek te komen heb ik een stage geregeld bij de Rabobank. Zij hebben mij gevraagd een rapport te schrijven over de betrokkenheid van de georganiseerde criminaliteit en de inzet van de politie bij de opsporing en vervolging van high-tech criminaliteit gericht op financiële instellingen. Deze elementen zijn verwerkt in het onderzoek. Het onderzoek heeft als doel een inzicht te bieden in de aard en omvang van high-tech criminaliteit gericht op financiële instellingen, en vervolgens met deze informatie te kijken naar mogelijkheden voor verbetering van het zicht dat we hebben op de problematiek en het overkomen van problemen bij de bestrijding van high-tech criminaliteit. Ik zal in deze scriptie zowel de problematiek met betrekking tot de aard en omvang van high-tech criminaliteit onderzoeken, als ook de betrokkenheid van de georganiseerde criminaliteit bij high-tech delicten en het speelveld van high-tech criminaliteit. Hierbij kijk ik in het bijzonder naar de aansprakelijkheid voor de risico’s van high-tech criminaliteit en de verdeling van verantwoordelijkheden tussen de publieke en private sector.

10



1.3 Probleemstelling Een duidelijk overzicht van de omvang en risico’s van high-tech criminaliteit ontbreekt op dit moment. Dit overzicht is nodig om inzicht te krijgen in de ernst van de problematiek rondom high-tech criminaliteit en de spreiding van risico’s over betrokken partijen. Wanneer we dit in beeld hebben weten we wat voor schade high-tech criminaliteit veroorzaakt en welke partijen voor deze schade opdraaien. Hierbij is ook de achtergrond van de verschillende delicten van belang. Kennis over kenmerken van de daders kan bijdragen aan gerichte maatregelen. Op dit moment worden meldingen van high-tech incidenten door de regiopolitie (al dan niet) opgepakt en zij beslissen of er een onderzoek plaatsvindt. Pas wanneer het gaat om zware of georganiseerde criminaliteit worden onderzoeken op nationaal niveau aangepakt. Volgens de banken zitten er georganiseerde groepen achter high-tech delicten en zou een aanpak op nationaal niveau op zijn plek zijn. Door te bekijken of er aanwijzingen zijn dat deze groepen inderdaad betrokken zijn bij high-tech delicten wordt duidelijk op welk niveau dit probleem opgepakt kan worden. Ook de vraag op welke manier het label georganiseerde criminaliteit in de praktijk invloed heeft op de aanpak van een probleem speelt hierbij een belangrijke rol. Verschillende partijen willen het probleem op een bepaalde manier definiëren zodat het voor hen het meest gunstig is en bijvoorbeeld meer prioriteit in het beleid krijgt. Dit is uiteindelijk van invloed op de wijze van aanpak van een probleem, de toewijzing van middelen en de verdeling van kosten en baten. Een volgend probleem is de verantwoordelijkheid voor het nemen van maatregelen. Zijn het de banken en bedrijven die hun eigen risico’s moeten dichten of ligt er ook een taak bij de overheid om de daders op te sporen en te vervolgen? De overheid heeft een monopolie op opsporingsbevoegdheden dus banken kunnen weinig invloed uitoefenen op het opsporen en vervolgen van verdachten. Een oplossing voor dit probleem zou kunnen liggen bij publiekprivate samenwerking. Een duidelijke taakverdeling en gezamenlijke doelstelling dragen bij aan een effectieve bestrijding van high-tech criminaliteit. Braithwaite laat met zijn ‘responsive regulation’ theorie zien dat deze samenwerking versterkt wordt door de verschillen tussen de partijen en het stimuleren van coöperatief gedrag. De verschillende belangen van publieke en private actoren bij de bestrijding kunnen samenwerking juist in de weg staan. 11



De probleemstelling die centraal staat dit onderzoek luidt als volgt:

Wat zijn de risico’s en kenmerken van high-tech criminaliteit gericht op financiële instellingen in Nederland en waar ligt de verantwoordelijkheid voor het nemen van maatregelen ter bestrijding?

Om deze probleemstelling te kunnen beantwoorden wordt in de komende hoofdstukken getracht de volgende onderzoeksvragen te beantwoorden:

1. Wat is de aard en omvang van high-tech criminaliteit gericht op financiële instellingen? -

Wat

wordt

onder

het

begrip

high-tech

criminaliteit

verstaan

en

welke

verschijningsvormen kunnen met betrekking tot financiële instellingen worden onderscheiden? -

Welke gegevens zijn er bekend over de omvang van high-tech criminaliteit?

-

Welke kenmerken hebben de daders van high-tech criminaliteit?

2. In hoeverre is er sprake van georganiseerde high-tech criminaliteit en is dit in de praktijk ook relevant voor de aanpak? -

Welke aanwijzingen voor de betrokkenheid van georganiseerde criminaliteit kunnen we vinden in zaken die zich de afgelopen jaren hebben voorgedaan?

-

Welke motieven kunnen georganiseerde groepen hebben om high-tech criminaliteit te plegen?

-

Welke invloed heeft het label georganiseerde criminaliteit op de aanpak van high-tech criminaliteit?

12



3. Waar ligt de verantwoordelijkheid voor het nemen van maatregelen? -

Wat zijn de mogelijkheden voor de bestrijding van high-tech criminaliteit en welke rol kan publiek-private samenwerking hierbij hebben?

-

Kan ‘responsive regulation’ worden toegepast op de samenwerking bij de aanpak van high-tech criminaliteit?

-

Welke actoren en belangen spelen een rol in de bestrijding van high-tech criminaliteit?

-

Welke belangentegenstellingen zijn er tussen de betrokken stakeholders en hoe kunnen we de risico’s tussen publiek en privaat verdelen?

1.4 Methoden van onderzoek Voor dit onderzoek zijn drie verschillende informatiebronnen gebruikt; literatuurstudie, dossieranalyse en interviews. Voorafgaand aan het onderzoek is een verkennende literatuurstudie uitgevoerd, gevolgd door een uitgebreide literatuurstudie van zowel primaire als secundaire bronnen1. Op het gebied van high-tech criminaliteit zijn weinig wetenschappelijke teksten geschreven. Allereerst is literatuur geïnventariseerd met betrekking tot de omvang, aard, wetgeving en bestrijding van high-tech criminaliteit. Hiervoor zijn voornamelijk primaire bronnen gebruikt zoals huidige wetgeving, jurisprudentie, (officiële) overheidspublicaties en wetenschappelijke publicaties, zoals onderzoeken van het WODC. Dit zijn bronnen op zowel Nederlands als Europees niveau. Deze informatie is aangevuld met gegevens uit secundaire bronnen, aangezien in vakliteratuur en op websites meer geschreven is over high-tech criminaliteit. De meest relevante informatie over de verschijningsvormen van high-tech criminaliteit was te vinden in vakliteratuur zoals computertijdschriften en ICTboeken. Kranten en internetsites boden inzicht in het beeld dat de Nederlandse samenleving heeft ten aanzien van cybercrime. De toegang tot dossiers verliep moeizaam. Vooral inzage in cijfers met betrekking tot schade en incidenten was zeer moeilijk te verkrijgen. Uiteindelijk is het toch gelukt om een aantal rapporten van bijvoorbeeld softwarebedrijven, opsporingsinstanties en financiële instellingen in te zien waaruit cijfers gehaald konden worden. Naast cijfers is er een casus

1

Primaire bronnen bevatten nieuwe informatie en secundaire bronnen geven een overzicht van deze primaire literatuur. Voorbeelden van primaire bronnen zijn bijvoorbeeld artikelen uit wetenschappelijke tijdschriften, rapporten en informatie uit onderzoeken. Gebruikte secundaire bronnen bestaan uit handboeken, naslagwerken en informatie op websites.

13



bestudeerd over een incident van een paar jaar geleden om inzicht te krijgen in de modus operandi van high-tech criminaliteit en de bestrijding daarvan. Tenslotte zijn een aantal rechterlijke uitspraken bestudeerd in de hoop meer informatie te vergaren over de daders, dit heeft echter niet het gewenste effect gehad aangezien de informatie uit deze uitspraken veelal onvolledig was. Over de daders (of dadergroepen) van high-tech criminaliteit was dus weinig bekend. Daarom was het essentieel om mensen uit de praktijk te interviewen om de gegevens uit de literatuur aan te vullen en te verifiëren. Via de Rabobank heb ik de mogelijkheid gehad om in contact te komen met veel ervaren personen op het gebied van high-tech criminaliteit. De geselecteerde respondenten zijn allemaal aan te merken als experts op het gebied van hightech criminaliteit en zijn werkzaam bij verschillende instanties en organisaties die te maken hebben met high-tech criminaliteit, zoals banken, opsporingsdiensten, bedrijven die beïnvloed worden door (de bestrijding van) high-tech criminaliteit en onderzoeksinstanties. Vanuit mijn stage bij de Rabobank heb ik de mogelijkheid gehad met veel van deze experts in contact te komen. Vrijwel alle benaderde respondenten hebben aan het onderzoek meegewerkt. In totaal zijn er 26 formele interviews afgenomen waarbij gewerkt is zonder gestructureerde vragenlijst. Dit omdat het vooraf onbekend was welke informatie de respondenten ter beschikking hadden en wat ze wilden delen voor het onderzoek. Daarnaast zijn nog een klein aantal informele interviews gehouden met personen die slechts met een klein aspect van hightech criminaliteit in aanmerking kwamen. De interviews zijn afgenomen in de periode van november 2009 tot april 2010. De meeste interviews hebben bij de desbetreffende instanties plaatsgevonden. De gemiddelde duur van een interview betrof 2 uur en sommige respondenten zijn meerdere malen geïnterviewd. De interviews zijn niet ter plekke opgenomen vanwege de vertrouwelijkheid van de gesprekken. In plaats daarvan zijn tijdens het interview aantekeningen gemaakt en deze zijn na afloop zo snel mogelijk uitgewerkt. Van alle interviews is een samenvatting gemaakt die daarna geanalyseerd is aan de hand van een topiclijst. De informatie verkregen uit de interviews is van grote waarde geweest bij de beantwoording van vragen naar de aard en bestrijding van high-tech criminaliteit. In de meeste gevallen hebben de geïnterviewden aangegeven anoniem te willen blijven. In dit onderzoek zullen uitspraken en informatie van deze personen worden weergegeven door middel van een willekeurig gekozen respondentnummer en de datum van het interview, zodat ze niet aan de namen van de respondenten verbonden kunnen worden. In de verantwoording van respondenten zijn alle namen en achtergronden terug te vinden. 14



1.5 Opbouw van de scriptie In hoofdstuk 2 wordt het theoretisch kader van dit onderzoek gevormd. De problematiek van high-tech criminaliteit en relevante concepten komen aan bod. Vervolgens wordt - aan de hand van een literatuuronderzoek - in hoofdstuk 3 het ontstaan van high-tech criminaliteit besproken en het begrip gedefinieerd. Dit zorgt voor duidelijke communicatie over het onderwerp en helpt de schaal van het probleem te bepalen (Gordon & Ford, 2006: 17). Daarnaast worden de verschillende verschijningsvormen die relevant zijn voor financiële instellingen gecategoriseerd en toegelicht, zodat duidelijk is om welke gedragingen het gaat, onder welke strafbepaling ze strafbaar gesteld zijn en hoe we ze kunnen herkennen. Hoofdstuk 4 geeft inzicht in de aard en omvang van verschillende vormen van high-tech criminaliteit zoals die zich de laatste jaren bij Nederlandse banken heeft voorgedaan. De cijfers en gegevens die bekend zijn over de omvang van deze verschijningsvormen en incidenten die zich de laatste jaren hebben voorgedaan, helpen de ernst van de situatie op dit moment te kunnen inschatten, de aard van de schade, de motieven van daders en dus de noodzaak en prioriteiten van bestrijding. Voor zover mogelijk wordt op basis van de uit interviews verkregen informatie een beeld geschetst van de daderkenmerken. In hoofdstuk 5 wordt expliciet aandacht besteed aan de betrokkenheid van de georganiseerde criminaliteit en de eventuele meerwaarde van het label georganiseerde criminaliteit voor de bestrijding. De ‘securitization benadering’ en het sociaal constructivisme bieden een theoretisch kader voor de analyse van de manier waarop bedreigingen gebouwd worden en als instrument worden ingezet door verschillende actoren. In het kader van publiek-private samenwerking kijk ik in hoofdstuk 6 of ‘responsive regulation’ toegepast kan worden op de samenwerking ter bestrijding van high-tech criminaliteit. De belangen en mogelijkheden van overheidsinstanties alsook verschillende private actoren en klanten van banken worden door middel van een stakeholdersanalyse op een rij gezet. Aan de hand van de verkregen informatie uit de voorgaande hoofdstukken wordt het speelveld van de bestrijding van high-tech criminaliteit in beeld gebracht. Op basis hiervan kan kijk ik welke vorm van (publiek-private) samenwerking het meest geschikt is en onder welke voorwaarden dit de meeste kans biedt op succes. Daarnaast laat ik zien hoe de verantwoordelijkheid voor het nemen van maatregelen verdeeld kan worden. In hoofdstuk 7 worden aanbevelingen gedaan voor maatregelen die genomen worden om de bestrijding van high-tech criminaliteit te verbeteren. Tot slot worden er enkele concluderende opmerkingen gemaakt en kanttekeningen geplaatst bij het onderzoek. 15



2. THEORETISCH KADER

2.1 Bestaande kennis over high-tech criminaliteit Er is veel geschreven over de nieuwe mogelijkheden die de komst van een informatiesamenleving biedt. Sinds de jaren ’90 zijn de toepassingen van Informatie- en Communicatie Technologie (ICT) enorm gegroeid en de toegang tot deze diensten en systemen wordt steeds sneller en eenvoudiger. Deze toepassingen worden gekenmerkt door snelle ontwikkelingen en interconnectiviteit. Nog niet zo lang geleden werd ICT enkel gebruikt voor interne netwerken binnen bedrijven, maar tegenwoordig hebben ICTvoorzieningen zich ontwikkeld tot vitale infrastructuren voor veel maatschappelijke en economische processen. Het internet is een onderdeel dat razendsnel populariteit heeft verworven door de laagdrempelige toegang en het wereldwijde bereik. ICT en internet zijn een belangrijk onderdeel van onze samenleving (Van der Hulst & Neve, 2008: 31). Bij de ontwikkeling van het wereldwijde web is echter beperkt nagedacht over de veiligheid. De gevolgen daarvan komen nu steeds meer aan de oppervlakte. De samenleving, economie en overheid zijn in toenemende mate afhankelijk van informatiesystemen en het internet. Onze verwevenheid en afhankelijkheid van ICT en infrastructuren heeft een dominoeffect als risico, wanneer een infrastructuur uitvalt of verstoor wordt kan dit leiden tot ernstige verstoring van een andere belangrijke infrastructuur (Luiijf, 2004: 29). Ook voor de economische sector vormen ICT en het internet vitale infrastructuren. Het zakenverkeer leunt steeds meer op de voorzieningen die ICT biedt en op de mogelijkheden van internet voor het verspreiden en vergaren van informatie. Maar het aantal experts, de kennis en de middelen moeten ook toenemen om de veiligheid van ICT te kunnen waarborgen (Govcert, 2009). Door dit veelvuldig gebruik van ICT vormt de economische sector een interessant doelwit voor criminelen. Want ook criminelen hebben de voordelen van de snelle groei van de informatiesamenleving en het intensieve gebruik van ICT en internet door burgers en organisaties ontdekt. Met de komst van deze diensten zijn er nieuwe kwetsbaarheden ontstaan die misbruikt kunnen worden voor financieel gewin (Molenaar, 2007). Vergeleken

met

traditionele

criminaliteitsvormen

hebben

de

elektronische

alternatieven een aantal voordelen. Allereerst vervagen de grenzen van tijd en ruimte doordat het internet een wereldwijd bereik biedt in slechts een kwestie van seconden. Daarnaast 16



bevatten systemen vaak informatie over duizenden potentiële slachtoffers en zit er genoeg tijd tussen een aanval en het moment waarop een systeeminbraak wordt ontdekt voor criminelen te ‘vluchten’. De dader hoeft na het stelen van de informatie alleen maar uit te loggen. Een derde voordeel is de anonimiteit die voornamelijk het internet biedt. Criminelen kunnen hun identiteit afschermen of zelfs andere, valse identiteiten aannemen. Internet is niet gecentraliseerd, is transnationaal, eindeloos en vluchtig. Maar niet alleen is de locatie vanaf waar de daden worden uitgevoerd moeilijk te traceren, ook neemt de sociale controle door het internet af. Mensen hebben nog minder zicht op elkaars doen en laten waardoor individuen zich gemakkelijker kunnen onttrekken aan de heersende regels (Stol, Van Treeck en Van der Ven, 1999: 172). Tevens kunnen overtreders zich concentreren op meerdere criminele activiteiten op hetzelfde moment. Criminele activiteiten via het internet worden grotendeels door middel van automatische computerprogramma’s en op afstand gepleegd. Ze kunnen vaker herhaald worden en zelfs gelijktijdig met andere delicten gepleegd worden. Hierdoor zijn de opbrengsten hoger dan bij fysieke criminaliteit en wordt de pakkans niet vergroot bij meerdere activiteiten (Van Amersfoort, Smit en Rietveld, 2002: 21-23). De nieuwe mogelijkheden zorgen voor een ontwikkeling binnen het criminele circuit. ICT-mogelijkheden en toepassingen kunnen traditionele delicten faciliteren, hierbij kunnen we bijvoorbeeld denken aan oplichting en fraude. Maar er zijn ook geheel nieuwe verschijningsvormen ontstaan waarbij ICT een onmisbaar element is of zelfs het expliciete doelwit (Rogers, 2001: 2). Deze vormen van criminaliteit waarbij ICT een belangrijke rol speelt kennen verschillende benamingen en definities. De verwarring rondom het begrippenkader van dit criminaliteitsterrein zorgt voor verschillende interpretaties bij alle actoren die betrokken zijn bij dit onderwerp. De verschillende termen worden vaak door elkaar heen gebruikt en een heldere en universele definitie ontbreekt. Harmonisatie van terminologie en definities is daarom gewenst (Gordon & Ford, 2006).

2.2 Beperkingen in de literatuur De bestaande literatuur laat zien dat high-tech criminaliteit een onderwerp is dat maar moeilijk af te bakenen is. Definities worden door elkaar heen gebruikt, mede door de verwevenheid tussen traditionele vormen van criminaliteit waarbij ICT een hulpmiddel is en nieuwe criminaliteitsvormen die niet zonder ICT gepleegd kunnen worden of specifiek op ICT-doelwitten gericht zijn. Hierdoor praten actoren die bij high-tech criminaliteit betrokken 17



zijn langs elkaar heen en kennisdeling en samenwerking is niet optimaal. Onderzoeken naar high-tech criminaliteit beperken zich vaak tot een overzicht van bestaande literatuur. Uit het literatuuronderzoek wat door van der Hulst en Neve (2007) is uitgevoerd blijkt dat de kennis over de omvang, daders en betrokkenheid van georganiseerde criminaliteit voor veel van de verschijningsvormen van high-tech criminaliteit beperkt is. Conclusie uit dit rapport was dat er in de literatuur grove lacunes bestaan over de omvang en daders van high-tech criminaliteit (133). Dit wil niet zeggen dat deze kennis ook binnen alle instanties die betrokken zijn ontbreekt, aangezien veel informatie binnen de muren van de instanties blijft. Daarnaast is veel literatuur gebaseerd op secundaire bronnen en wordt er naar mijn idee veel informatie en onderzoeksresultaten blindelings gekopieerd zonder door te vragen of achtergronden te verifiëren. Omdat veel informatie uit de literatuur gebaseerd is op verkeerde interpretaties van bronnen of onvolledige informatie, wordt high-tech criminaliteit namelijk regelmatig onderof overschat (Security.nl, 24 augustus 2010). Hierdoor bestaat er een gebrek aan kennis over de daders die achter high-tech aanvallen zitten en de uitspraken die over deze daders berusten vaak op speculaties (Broadhurst, 2005). Het onderzoek dat gedaan is richt zich op de werkwijze van daders, maar over de achtergronden en motieven is nog weinig bekend. Inzicht in de daders en hun kenmerken is echter wel essentieel voor een effectieve bestrijding van high-tech criminaliteit (Rogers 2006: 97). Dit kan namelijk als basis dienen voor gerichte preventiemaatregelen en een effectief opsporingsbeleid. Informatie over de aard en omvang van high-tech criminaliteit is schaars en niet altijd even betrouwbaar. De angst voor reputatieschade van financiële instellingen zorgt ervoor dat zij maar weinig informatie loslaten over schadebedragen en aanvallen. Daarnaast kunnen ze naar eigen zeggen geen betrouwbare informatie naar buiten brengen omdat ze high-tech criminaliteit op verschillende manieren registreren. Ook door andere organisaties die met high-tech criminaliteit te maken krijgen wordt high-tech criminaliteit slecht geregistreerd. Dit heeft een aantal oorzaken. High-tech criminaliteit kent, zoals bijna alle vormen van criminaliteit, een dark number2. Dit heeft verschillende redenen. Allereerst vormt de definitie van high-tech criminaliteit

een

probleem,

gedragingen

kunnen

namelijk

onder

meerdere

delictsomschrijvingen vallen of bestaan uit meerdere delicten, waardoor ze niet of verkeerd

2

Het dark number is het verborgen gedeelte van de criminaliteit. Van alle gepleegde delicten wordt slechts een klein gedeelte bekend, de rest blijft onopgemerkt. Cijfers met betrekking tot de schade of ernst zijn daardoor vaak een onderschatting van het werkelijke aantal (Bijleveld, 2005: 53).

18



geregistreerd worden. Bij politieregistraties in Nederland wordt bijvoorbeeld geen onderscheid gemaakt tussen criminaliteit met en zonder gebruik van ICT (Europol, 2003: 12). Tevens spelen capaciteitskwesties bij politie en justitie een rol bij de registratie van delicten. Hoewel de expertise bij deze overheidsinstanties toeneemt, is er toch nog te weinig kennis om effectief op te treden. Het transnationale karakter van high-tech criminaliteit maakt het nog eens moeilijker om alle activiteiten te kunnen opmerken. Bijna alle delicten kunnen vanuit de directe omgeving, maar ook vanaf de andere kant van de wereld, gepleegd worden (Grabosky, 2001: 247). Daarnaast is de pakkans bij high-tech criminaliteit zeer laag. De uitvoeringstijd van delicten kan in sommige gevallen slechts enkele seconden zijn, waardoor de dieven allang gevlogen zijn voordat het delict wordt opgemerkt. Het voorgaande hoofdstuk liet al kort zien dat de aangiftebereidheid voor high-tech criminaliteit zeer laag is. Slachtoffers doen vaak geen aangifte vanwege angst voor imagoschade of het verlies van vertrouwen door klanten. Dit geldt in het bijzonder voor financiële instellingen. Andere motieven om van aangifte af te zien zijn de lage verwachtingen ten aanzien van het justitieel onderzoek en de onduidelijkheid van wetten. Ook geven bedrijven aan dat werkzaamheden van bedrijven en individuen belemmerd kunnen worden door het opsporingsonderzoek (Charbon & Kaspersen, 1990: 24). Tenslotte heeft de prioriteitenstelling bij politie en justitie invloed op het dark number, criminele activiteiten die weinig aandacht krijgen worden ook maar weinig geregistreerd (Cools, 1985: 21). Om deze redenen blijkt dat het vrijwel onmogelijk is om alle relevante delicten op te merken en te registreren. Dit maakt dat officiële statistieken vaak niet realistisch zijn. Wanneer er inderdaad sprake is van een significante onderrapportage kunnen risico’s te laag geschat worden waardoor investeringen in preventie en opsporingen uitblijven (Charbon & Kaspersen, 1990: 125). Naast een dark number vormen ook de verschillen tussen landen een probleem bij het in kaart brengen van high-tech criminaliteit. Veel landen kennen geen verschil tussen high-tech criminaliteit en traditionele vormen van criminaliteit, en bepaalde delicten worden niet of anders gecriminaliseerd (Council of Europe, 2004: 170). Het geheimhouden van informatie en de problemen rondom de registratie van high-tech criminaliteit zorgt voor een slecht overzicht van de omvang. Dit leidt weer tot een onderkenning van het probleem door politie en justitie. Opsporingsinstanties hebben nog maar een klein aantal onderzoeken gedaan naar high-tech aanvallen op financiële instellingen en slechts sporadisch komt er een zaak bij het Openbaar Ministerie terecht. Sinds 2008 publiceert de Nederlandse Vereniging van Banken cijfers omtrent skimming, waardoor er meer 19



onderzoek naar dit fenomeen gedaan wordt. In Engeland worden al langer cijfers over verschillende vormen van high-tech criminaliteit gepubliceerd door UK Payments Administration3. In andere landen worden gegevens over high-tech criminaliteit nog steeds niet gepubliceerd. Ook in Nederland worden cijfers van andere high-tech delicten nog geheimgehouden. Wanneer er wel informatie over de schade of omvang in de literatuur te vinden is zijn het vaak speculaties of is de informatie onvolledig. Ook over daders en dadergroepen van high-tech criminaliteit is in de bestaande literatuur weinig te vinden. Het KLPD meldt dat er wel aanwijzingen zijn dat traditionele georganiseerde groepen betrokken zijn die externe experts inhuren voor het plegen van high-tech delicten (Boerman & Mooij, 2006). Ook wordt er geroepen dat experts zoals hackers en malwareprogrammeurs samen nieuwe groepen vormen, maar in hoeverre kan er inderdaad gesproken worden van georganiseerde high-tech criminaliteit? Al deze tekortkomingen in onze huidige kennis over high-tech criminaliteit staan een effectieve aanpak van het probleem in de weg.

2.3 Analyse van de problematiek Financiële instellingen zijn een interessant doelwit voor cybercriminelen. Net als bij traditioneel vormen van criminaliteit, zijn criminelen primair uit op financieel gewin. En dat een bank de plek waar je moet zijn als je geld nodig hebt is zelfs bij de domste criminelen bekend. Eerst waren het voornamelijk overvallen op banken, maar fraude en oplichting met behulp van ICT en internet kennen minder risico’s en hogere opbrengsten waardoor deze criminaliteitsvormen steeds meer populariteit winnen onder criminelen. Financiële instellingen

worden

dus

in

toenemende

mate

getroffen

door

verschillende

verschijningsvormen van high-tech criminaliteit. De financiële schade rust op hun schouders, aangezien ze de geleden schade van klanten in de meeste gevallen vergoeden. Ondanks technologische beveiligingsmaatregelen blijft de financiële schade oplopen. Ook het elektronisch betalingsverkeer blijft groeien. De verwachting is dat het aantal elektronische transacties blijft stijgen, wat inhoud dat er voor criminelen meer winst te halen valt waardoor het aantal pogingen zal toenemen. Door de oplopende financiële schade kampen banken met een tweestrijd. Aan de ene kant willen ze informatie over de problemen die ze ondervinden binnen de organisatie houden uit angst voor reputatieschade. Dit gebeurt niet alleen in

3

Voorheen de Association for Payment Clearing Systems (APACS), is een organisatie die alle betaalsystemen bij elkaar brengt en banken en kaartgebruikers een forum geeft om samen te werken.

20



Nederland, ook in België, Duitsland en Denemarken wordt bijvoorbeeld fraude met online bankrekeningen verzwegen (Security.nl, 25 juli 2010). Maar door de oplopende kosten proberen ze ook de verantwoordelijkheid voor maatregelen af te schuiven op de overheid. Het geheimhouden van informatie over incidenten staat medewerking van overheidsinstanties echter in de weg. Het informatiemonopolie van banken is zo sterk, dat opsporingsinstanties enkel via banken een inzicht kunnen krijgen in de bredere trends rondom high-tech criminaliteit Het slechte zicht op de risico’s van high-tech criminaliteit en de manier waarop banken hiermee omgegaan wordt heeft ook consequenties voor het beleid en de opsporing. Criminaliteit die beter zichtbaar is krijgt prioriteit boven dit onbekende en vaak mysterieuze fenomeen. Om toch prioriteit te krijgen proberen banken en bedrijven high-tech criminaliteit als georganiseerde criminaliteit te bestempelen. Door dit label op te plakken hopen zij dat het probleem op nationaal niveau wordt opgepakt. Het is echter nog onduidelijk in hoeverre georganiseerde groepen betrokken zijn bij high-tech criminaliteit en welke invloed deze betrokkenheid in praktijk heeft op de bestrijding. De opsporing en vervolging wordt namelijk al bemoeilijkt door het karakter van high-tech criminaliteit. De meeste delicten zijn grensoverschrijdend en zorgen hierdoor voor jurisdictieproblemen. De verschillen in wetgeving en opsporing van high-tech criminaliteit tussen landen belemmeren de noodzakelijke internationale samenwerking. Daarnaast zijn de daders moeilijk te vinden vanwege de hoge mate van anonimiteit die het internet biedt. Omdat de politie volgens de banken te weinig om high-tech criminaliteit terug te dringen proberen ze zelf door middel van private beveiligingsbedrijven en werknemers met recherchebevoegdheden zelf onderzoek te doen. Primair doel van banken en bedrijven is het voorkomen van economische schade. Het daadwerkelijk aanhouden van verdachten en voorkomen van criminaliteit is voor hen minder belangrijk. Ze blijven echter afhankelijk van politie en OM, die de daders op moeten pakken en vervolgen om zaken op te kunnen lossen. Hiervoor hebben ze zelf geen bevoegdheden. De verantwoordelijkheid voor de bestrijding van high-tech criminaliteit wordt dus keer op keer naar andere partijen geschoven en er worden claims gemaakt dat andere partijen onvoldoende inspanning leveren of te weinig beveiligingsmaatregelen treffen (Bauer & van Eeten, 2009: 711). In sommige gevallen zijn zulke claims terecht maar vaak willen partijen de verantwoordelijkheid van zich afschuiven.

21



Ook de burgers en klanten van de banken hebben slechts zicht op de risico’s van high-tech criminaliteit en de manier waarop hun bank hiermee omgaat. Slachtoffers worden aangespoord om via de banken aangifte te doen, in het bijzonder voor gevallen van skimming. Dit scheelt voor de politie veel papierwerk omdat agenten geen individuele aangiftes hoeven te behandelen, maar zorgt er ook voor dat alle informatie over de omvang van skimming binnen de banken blijft. Volgens de Nederlandse Vereniging van Banken is deze constructie opgezet om structuur en duidelijkheid te creëren over de aangifteprocedure. De bank moet aangifte doen omdat zij de gedupeerde zijn, aangezien zij de slachtoffers schadeloos stellen (De Boer, 9 september 2008). Maar klanten willen graag op de hoogte zijn van de risico’s omdat het wel om hun spaartegoeden gaat die in handen zijn van de banken. Wanneer klanten het vertrouwen in hun bank verliezen kan dit tot een faillissement van de bank leiden, zoals in 2009 bij de DSB bank is gebeurd. Het vertrouwen in het Nederlandse bankwezen is ook belangrijk in het kader van de informatiesamenleving, waarin we steeds verder afhankelijk worden van ICT-voorzieningen. Wanneer klanten het vertrouwen in banken verliezen kan dit vergaande gevolgen hebben voor het betalingsverkeer in Nederland. De opkomst van elektronisch bankieren, zoals pintransacties en internetbankieren, heeft banken enorm veel kosten bespaard en het betalingsverkeer een stuk sneller en effectiever gemaakt. Wanneer high-tech criminaliteit zorgt voor een verlies van vertrouwen in dit elektronisch bankieren, zullen we terug moeten naar de oude situatie met contant geld en papieren overboekingen. Hier is onze maatschappij echter niet meer op ingesteld en de systemen kunnen de omloop van contant geld niet meer aan. Dit betekent een nieuwe kostenpost, niet alleen voor banken, maar ook voor andere partijen uit het bedrijfsleven en de overheid. De risico’s van high-tech criminaliteit zijn dus verspreid over verschillende partijen maar het is niet duidelijk wie aansprakelijk gesteld zou moeten worden voor het dichten van deze risico’s.

2.4 Sociaal constructivisme en Securitization Georganiseerde criminaliteit is geen duidelijk en logisch empirisch fenomeen, maar een constructie die afhankelijk is van zijn context (Lampe, 2006: 6). Het gaat om een sociale constructie die voortdurend blijft veranderen en welke criminaliteitsvormen weergeeft die op een bepaald moment gevaarlijk kunnen zijn voor de samenleving en politieke beslissingen kunnen beïnvloeden. Georganiseerde criminaliteit is dus sociaal geconstrueerd en dit heeft gevolgen voor de beoordeling van de objectiviteit van dit begrip. Een criminaliteitsvorm kan als georganiseerde criminaliteit bestempeld worden door middel van interpretatie en sociale 22



interactie in plaats van vooraf opgestelde objectieve kenmerken, wat de realiteit ervan in twijfel trekt. Zo wegen vooroordelen van georganiseerde misdaad als maffia groepen mee in de beoordeling of iets onder georganiseerde criminaliteit valt. Hierdoor kan een bepaalde definitie van georganiseerde criminaliteit door partijen gebruikt worden om hun eigen belangen te behartigen. De totstandkoming van een sociaal fenomeen is beschreven in de ‘Securitization theorie’ van de Copenhagen School. Deze theorie stelt dat een probleem via articulatie een hogere prioriteit kan krijgen (Olson, 2008: 8). Een bepaalde ‘securitizing actor’ bestempeld een bepaald probleem als een veiligheidsprobleem. Wanneer anderen dit accepteren en erover communiceren is het probleem ‘securitized’. De kwestie die wordt aangedragen hoeft geen reëel probleem te vormen, maar wordt dus wel zo gezien (Balzacq, 2005). Deze theorie laat zien dat onderzoek naar georganiseerde criminaliteit altijd beperkt door de term zelf. Daarnaast worden verschillende termen door elkaar gebruikt, wat voor verwarring zorgt, en worden gemeenschappelijke inzichten over de realiteit van georganiseerde criminaliteit tegengesproken door empirisch onderzoek (Lampe, 2002: 191). In de literatuur zijn verschillende uitspraken te vinden over mogelijke relaties tussen hightech criminaliteit en georganiseerde misdaad. Maar slechts in een enkel geval zijn deze uitspraken gebaseerd op uitkomsten van opsporingsonderzoeken of informatie verkregen uit aanvallen. Het gaat vaak om speculaties en het kopiëren van (niet-wetenschappelijke) bronnen. De betrokkenheid van georganiseerde groepen bij high-tech criminaliteit kan invloed hebben op de inzet van bestrijdingsmiddelen. Het label georganiseerde criminaliteit is voor opsporingsinstanties zoals Europol en het KLPD vaak een vereiste om criminaliteitsvormen in hun takenpakket op te kunnen nemen. Deze problemen doen zich echter op dit moment ook al voor door het grensoverschrijdende karakter van high-tech criminaliteit. Wat is dan meerwaarde van het subjectieve label georganiseerde criminaliteit? In hoofdstuk 5 bekijk ik in hoeverre georganiseerde groepen betrokken zijn en welke invloed dit op de bestrijding heeft.

2.5 Publiek-private samenwerking Publiek-private samenwerking is een samenwerkingsvorm tussen een overheidsinstantie en een of meer private partijen. Het is de meest verregaande vorm van samenwerking tussen de overheid en de markt. Hierbij is de regie over het project vaak in handen van de overheid en de uitvoering wordt grotendeels door private partijen gedaan. Een veel gehanteerde definitie van publiek-private samenwerking is: ‘een samenwerkingverband waarbij overheid en 23



bedrijfsleven, met behoud van eigen identiteit en verantwoordelijkheid, gezamenlijk een project realiseren op basis van een heldere taak- en risicoverdeling’ (ING Economisch Bureau & Nyenrode Business Universiteit, 2006: 10). Daarnaast bestaan er een aantal criteria voor publiek-private samenwerking zoals een combinatie van publieke en private actoren, die samenwerken aan het realiseren van onderlinge doelstellingen, in een organisatorisch verband, met de inbreng van middelen en aanvaarding van risico’s. Voorbeelden van geslaagde samenwerkingsprojecten tussen publieke en private actoren zijn de HSL-Zuid lijn, de Zuiderzeelijn en de aanleg van de A59 tussen Oss en ’s-Hertogenbosch. Sinds het beleidsplan ‘Samenleving en Criminaliteit’ (Ministerie van Justitie, 1985) is het criminaliteitsbeleid van de overheid een andere richting ingeslagen. De overheid stelde in dit beleidsplan dat ze niet langer alleen verantwoordelijk kon zijn voor de aanpak van criminaliteit vanwege de complexheid van het criminaliteitsvraagstuk. Twee belangrijke concepten liggen aan het beleidsplan ten grondslag: het stimuleren van eigen verantwoordelijkheid en samenwerking. De eigen verantwoordelijkheid wordt vertaald in het calculeren en inperken van risico’s door private partijen. Daarnaast gaan overheidsinstanties samenwerkingsverbanden aan met private partijen om criminaliteitsvormen te beheersen. Deze publiek-private samenwerking kan aan op twee manieren invulling krijgen. Volgens de Junior-Partner theorie ligt het accent voor criminaliteitsbeheersing bij de overheid om zo over-reactie te voorkomen, het overheidsmonopolie op fysiek geweld te beschermen en eigenrichting te voorkomen. De private sector vormt een verlengstuk van de publieke sector. Publieke en private partijen zijn geen concurrenten, want ze hebben ieder een ander takenpakket, en werken samen tegen criminaliteit (Hoogenboom, 1994). Hier tegenover staat de Economische theorie die stelt dat de particuliere sector op basis van eigendomsrecht in hun eigen beveiliging kan voorzien. Deze theorie legt dus meer nadruk op de eigen verantwoordelijkheid. Bedrijven kunnen zowel preventieve als repressieve maatregelen nemen om risico’s te dichten. Volgens de economische theorie ligt het primaire doel van de particuliere sector bij het voorkomen van economische schade in plaats van criminaliteit (Geerts & Boekhoorn, 1990: 14). Een belangrijk verschil tussen beide theorieën is dat bij de Junior-Partner theorie de private sector de opsporing en vervolging overdraagt aan politie en justitie terwijl dit bij de Economische theorie door private partijen zelf gedaan kan worden. De Economische theorie erkent dus de verschillende doelstellingen en belangen van de publieke en private sector.

24



Ook voor de aanpak van high-tech criminaliteit zijn de concepten eigen verantwoordelijkheid en samenwerking belangrijk. Partijen kunnen alleen weinig invloed uitoefenen op de bestrijding van high-tech criminaliteit. Financiële instellingen en bedrijven hebben de middelen en bevoegdheden niet om alle onderdelen in de bestrijding op zich te nemen. Maar ook opsporingsdiensten zijn niet in staat op eigen kracht high-tech criminaliteit tegen te gaan. Volgens het WODC rapport ‘Politiële Misdaadbestrijding’ (Fijnaut, Spickenheuer & Nuijten-Edelbroek, 1985) draagt opsporing door de politie niet of nauwelijks bij aan een vermindering van criminaliteit. De criminaliteit kan wel beheerst worden, maar het gaat dan vooral om zichtbare criminaliteit. Het kan ook negatieve effecten teweegbrengen zoals een toenemende organisatiegraad van criminelen. De conclusie van dit rapport is dat er geen monopoliepositie meer is voor politie en justitie als het gaan om criminaliteitsbeheersing (Geerts en Boekhoorn, 1990: 13). Overheidsinstanties stellen zich echter terughoudend op met betrekking tot publiek-private samenwerking. Ze moeten rekening houden met het eigen werkaanbod en prioriteitenstelling en hebben vaak een gebrek aan kennis op specialistische gebieden (Hoogenboom & Muller, 2002: 43). Daarnaast stellen ze zich gereserveerd op ten opzichte van het bedrijfsleven vanwege de private belangen van bedrijven. Wanneer ze informatie nodig hebben van private partijen hebben ze al formele mogelijkheden om informatie af te dwingen. Tenslotte is de behoefte van politie en justitie voor samenwerking minder omdat een samenwerkingsverband een structurele respons van hen vraagt. Daartegenover staat dat ze wel graag samenwerken wanneer bedrijven over interessante informatiebestanden beschikken of deskundigheid bezitten op een bepaald gebied (Hoogenboom & Muller, 2002: 46). Banken zijn niet de enige die getroffen worden door high-tech aanvallen. In 2004 zijn bijvoorbeeld een aantal overheidswebsites zoals regering.nl en overheid.nl uit de lucht gehaald door middel van een Denial-Of-Service aanval (De Volkskrant, 10 februari 2006). Ook de samenleving is slachtoffer van delicten als skimming en phishing. Criminelen maken dus geen onderscheid tussen publieke of private partijen. Ter bestrijding van deze criminelen heeft een samenwerking tussen publieke en private actoren een aantal voordelen: de kennis die bij verschillende partijen aanwezig is kan gebundeld worden, er is meer financiële slagkracht en er zijn meer bronnen en middelen die aangesproken kunnen worden.

25



2.6 Responsive regulation Het werk van John Braithwaite is in de criminologische literatuur een veel gebruikte inspiratiebron. Een centraal thema in zijn werken is de regulering en handhaving van wetten. Een belangrijke theorie op dit gebied is de ‘responsive regulation’ theorie. Deze theorie richt zich op toezicht op het naleven van regels door bedrijven. Deze theorie wordt ook door toezichthouders in Nederland toegepast zoals de Onderwijsinspectie. De term ‘responsive’ duidt op de wijze waarop toezichthouders moeten reageren op regelovertreders. De manier waarop zij op regelovertredingen reageren, moet samenhangen met de belangen en houdingen van de regelovertreder (Van de Bunt, van Erp & Van Wingerde, 2007). Braithwaite heeft hiervoor een Tit-For-Tat (TFT) strategie ontwikkeld, die Scholz (1984) al eerder als model voor het gevangeniswezen had opgesteld. Kern van deze strategie is dat coöperatief gedrag leidt tot coöperatief gedrag. Volgens Braithwaite heeft dit een zelfde effect op bedrijven. Wanneer een bedrijf meewerkt, zal de toezichthouder dit ook doen (Ayres & Braithwaite, 1992). Deze strategie kan ook worden toegepast op de problematiek van high-tech criminaliteit. Wanneer betrokken partijen zich coöperatief opstellen, doen andere partijen dit ook. Deze garantie voor wederzijdse controle zal volgens Braithwaite leiden tot een goede (publiek-private) samenwerking. De strategie kent echter wel een belangrijk kritiekpunt want niet alle partijen zijn op de hoogte van het speelveld van het probleem. Zelfs wanneer de publieke en private actoren samenwerken zijn er toch bepaalde actoren en belangen die over het hoofd gezien worden. Als we kijken naar de problematiek van high-tech criminaliteit zien we bijvoorbeeld dat belangen van burgers niet meegenomen worden in afwegingen die partijen maken bij de bestrijding. Een stakeholdersanalyse kan helpen om inzicht te krijgen in de conflicterende belangen en houdingen van betrokken partijen.

2.7 Stakeholdertheorie Het niveau van cyberveiligheid hangt of van beslissingen die door verschillende stakeholders worden gemaakt. De meeste beslissingen op het gebied van informatiebeveiliging worden door individuele actoren binnen bedrijven of overheidsinstanties genomen (Bauer & van Eeten, 2009: 707). De onderlinge afhankelijk tussen stakeholders resulteert in het dumpen van aansprakelijkheid. De schuld wordt telkens bij een ander gelegd en er worden claims gedaan over onvoldoende beveiligingsmaatregelen door andere partijen, welke slechts in enkele gevallen terecht zijn (Bauer & van Eeten: 711). Niemand schijnt de verantwoordelijkheid voor de bestrijding van het high-tech criminaliteitsprobleem te willen nemen. Daarom is het 26



belangrijk om te begrijpen welke belangen de verschillende stakeholders hebben bij een bestrijding van dit probleem en door welke factoren ze beïnvloed worden evenals inzicht in de overwegingen waarom ze de bal doorschuiven. De stakeholdertheorie is een methode om deze belangen en factoren te analyseren. De stakeholder theorie is een belangrijk en veel gebruikt kader voor bedrijfsethiek (Gibson, 2000: 245). De term stakeholder is een vrij krachtige term die wordt toegepast bij verschillende contexten en empirische fenomenen (Heugens & van Oosterhout, 2002: 387). Dit is grotendeels te wijten aan de conceptuele breedte, de bijdragen aan het stakeholder concept blijven groeien waardoor het nog omvangrijker wordt (Friedman & Miles, 2002: 2). De term betekent verschillende dingen voor verschillende mensen, en wordt zowel ondersteund als afgekeurd door wetenschapper uit talloze disciplines en achtergronden (Philips, Freeman & Wicks, 2003: 479). Donaldson en Preston (1995) melden dat er ongeveer een dozijn boeken en meer dan honderd artikelen zijn die primair de nadruk leggen op het stakeholder concept. In de literatuur worden vele pogingen gedaan om stakeholders te definiëren en classificeren. Freeman (1984), een van de eerste die invulling gaf aan de stakeholdertheorie, beargumenteerd dat bedrijven en overheidsinstanties gehoor moeten geven aan de behoeften, belangen en invloed van degenen die getroffen worden door het beleid en de activiteiten van een organisatie. Organisaties zijn namelijk afhankelijk van meerdere actoren in hun omgeving die materialen leveren, bronnen beheersen of invloed hebben op de financiële situatie. Hierdoor kunnen deze actoren de activiteiten van de organisatie beïnvloeden (Coff, 1999). Om de ondersteuning van de stakeholders te behouden moet de organisatie de relevante belangen van deze stakeholders afwegen en balanceren (Clarkson, 1998). Dit balanceren van belangen is een proces van beoordelen, afwegen en het aanpakken van conflicterende claims (Reynolds, Schultz & Hekman, 2006: 286). Succesvol stakeholdermanagement vereist dat organisaties of managers zichzelf in de positie van de stakeholders kunnen plaatsen zodat ze de ware belangen kunnen inzien en ze deze belangen overwegen en meenemen om tot een goed strategisch beleid te komen (Heugens & van Oosterhout, 2002: 388). Omdat stakeholders vaak uit netwerken van invloeden bestaan, hoeven organisaties niet altijd te reageren op elke stakeholder afzonderlijk, maar op de interactie van verschillende invloeden uit de stakeholder omgeving (Rowley, 1998). Er kunnen een aantal kanttekeningen geplaatst worden bij deze stakeholdertheorieën. Om een onderzoek uit te kunnen voeren is het van belang om precies te identificeren welke partijen daadwerkelijk als belanghebbende aangemerkt worden. Maar aan de hand van de 27



stakeholdertheorie is het onduidelijk op basis van welke belangen buitenstaanders meegenomen zouden moeten worden bij beslissingen. Daarnaast is het moeilijk te meten wie precies als stakeholder aangemerkt kan worden (Ambler & Wilson, 1995: 34). In diverse studies is onderzoek gedaan naar het identificeren van stakeholders (Mitchell, Agle & Wood, 1997; Eden & Ackerman, 1998). Een stakeholder kan gedefinieerd worden als ‘een groep of individu die beïnvloedt wordt door de doelen die een organisatie wil bereiken of deze kan beïnvloeden’ (Stieb, 2009: 402). Wie als stakeholders kunnen worden aangemerkt hangt af van de reikwijdte van de definitie. Een brede definitie van stakeholders zorgt voor meer betrouwbaarheid van conclusies terwijl een smalle definitie het overzicht en de werkbaarheid bevordert. In dit onderzoek is de keuze gemaakt om te kiezen voor een nauwe definitie. Alleen actoren die invloed kunnen uitoefenen op high-tech criminaliteit of hierdoor – direct of indirect – getroffen worden, worden hier als stakeholder meegenomen.

Omdat het in dit onderzoek niet gaat om een organisatie, maar een probleem, moeten we de stakeholdertheorie in een ander perspectief plaatsen. De stakeholderanalyse zal worden toegepast op een probleem in plaats van een organisatie. Hier is in de literatuur maar weinig over geschreven. Het gaat in dit geval niet om stakeholders die invloed hebben op, of beïnvloed worden door een organisatie. Er is bepaald (maatschappelijk) probleem waar verschillende partijen bij betrokken zijn. Zij worden direct of indirect getroffen door de problematiek of hebben invloed op de aanpak van het probleem. De problematiek die centraal staat in dit onderzoek is in het begin van dit hoofdstuk uitgebreid beschreven. Ondanks dat we ons concentreren op high-tech criminaliteit gericht op financiële instellingen zijn er nog veel meer

partijen

betrokken.

Deze

partijen

kunnen

zowel

slachtoffer

zijn

van

verschijningsvormen van high-tech criminaliteit, als schakel in de bestrijding ervan. Maar ze spelen allemaal een rol bij een effectieve aanpak van het probleem rondom high-tech criminaliteit. De eerste stap in de analyse is om deze stakeholders te identificeren. Op basis van de stakeholdersanalyse worden deze stakeholder en de belangen die zij hebben bij de aanpak van high-tech criminaliteit (of juist het in stand houden of negeren ervan) vervolgens in kaart gebracht. Wanneer we een beeld hebben van het speelveld van high-tech criminaliteit gericht op financiële instellingen kan gekeken worden naar passende antwoorden. Welke stakeholders hebben nog meer informatie nodig, welke hebben de beste middelen om het probleem aan te pakken, hoe kunnen partijen het beste samenwerken en bij wie ligt de verantwoordelijkheid 28



om high-tech criminaliteit aan te pakken. Belangen en houdingen van stakeholders zijn cruciaal voor het slagen van een eventuele samenwerken (Braithwaite, 2002; Ridder, Buuron & Knols, 2004).

De analyse moet antwoord geven op de volgende vragen: - Wie zijn de belangrijke actoren? - Op welke manier worden ze beïnvloedt door high-tech criminaliteit of oefenen ze invloed uit op het probleem? - Welke kennis is bij de partijen aanwezig en welke belangen spelen een rol? - Wat zijn de middelen waarover de partijen beschikken om het probleem aan te pakken? - Welke knelpunten zien we tussen de belangen van partijen en hoe kunnen ze het meest optimaal samenwerken?

29



3. HIGH-TECH CRIMINALITEIT EN VERSCHIJNINGSVORMEN Cyberaanvallen op financiële instellingen staan centraal in dit onderzoek. Zij kunnen direct of indirect getroffen worden door diverse verschijningsvormen van high-tech criminaliteit. Niet alle high-tech delicten richten zich direct op de financiële instellingen, in sommige gevallen kunnen ze ook indirect slachtoffer zijn. Bijvoorbeeld als ze de schade aan klanten moeten vergoeden of wanneer er vertrouwelijke informatie gestolen wordt. In dit hoofdstuk zet ik de verschillende verschijningsvormen van high-tech criminaliteit uiteen aan de hand van een literatuuronderzoek. Allereerst wordt het ontstaan van high-tech criminaliteit besproken en de verschillende fasen in de totstandkoming van de huidige problematiek. Vervolgens ga ik dieper in op de problemen rondom het definiëren van hightech criminaliteit. De verschijningsvormen die relevant zijn voor financiële instellingen kunnen in categorieën worden verdeeld. Op basis van deze categorisering wordt de inhoud en werkwijze van de delicten toegelicht. Zo ontstaat een duidelijk beeld van de kenmerken van deze delicten, de manier waarop ze financiële instellingen beïnvloeden en onder welke strafbepaling ze strafbaar gesteld zijn. Deze informatie is niet alleen behulpzaam voor de lezer die nog niet bekend is met het fenomeen high-tech criminaliteit maar ondersteunt ook de analyses in de volgende hoofdstukken.

3.1 Het ontstaan van high-tech criminaliteit Om de inhoud van het begrip high-tech criminaliteit beter te kunnen begrijpen, gaan we eerst terug naar het ontstaan van de hackers4, zij vormen namelijk de basis voor de hedendaagse computercriminelen. Het Massachusetts Institute of Technology (MIT) wordt gezien als de geboorteplaats van het hacken. Studenten aan de MIT hebben de term ‘hack’ in de jaren ‘60 bedacht, deze stond voor ‘een technische verbetering van een systeem’. De vrije informatieuitwisseling, het fundament van het hacken, werd ook bij het MIT gelegd. Studenten wisselden hun progamma’s, informatie en kennis uit in computerlokalen (Rochford, 2002: 26). Deze studenten waren nog redelijk onschuldig bezig, maar in 1966 vond de eerste computermisdaad plaats die tot vervolging leidde. Een bankmedewerker en tevens 4

Een hacker is dringt zonder toestemming geautomatiseerde gegevensverwerkende systemen binnen door de beveiliging te kraken.

30



programmeur uit Minneapolis had aan de banksoftware een extra code toegevoegd waardoor hij zelf niet meer rood kon staan (Dasselaar, 2005: 21). Andere bekende hackers in die tijd zijn ‘Captain Crunch’ en Kevin Mitnick. Captain Crunch, wiens echte naam John Draper is, vond in 1972 de beige box uit. Hiermee kon in de Verenigde Staten kosteloos worden getelefoneerd met behulp van een 2600 MHz-puls die ook door de telefoonbedrijven gebruikt werd (Rochford, 2002: 253). Een iets meer omstreden en misschien wel de beroemdste hacker aller tijden is Kevin Mitnick, alias de Condor. Mitnick werd in 1981 veroordeeld voor het vernietigen van data op een netwerk nadat hij met een groep hackers bij de grootste leasemaatschappij in de Verenigde Staten was binnengedrongen. Vervolgens werd hij in 1983 veroordeeld voor een inbraak bij het Pentagon, en nogmaals in 1987 voor het binnendringen bij een Amerikaans bedrijf. In 1992 werd hij weer gezocht, dit keer voor het hacken van het telefoonbedrijf PacBell. Er wordt gespeculeerd dat hij ook had ingebroken in de computersystemen van de NSA, maar hiervoor is nooit bewijs geleverd. Op 15 februari 1995 werd hij wederom opgepakt (Rochford, 2002: 253). In totaal heeft hij meer dan vijfendertig grote bedrijven en organisaties weten te hacken (Dasselaar 2005: 27). Het grootste gedeelte van de ontwikkelingen op het gebied van high-tech criminaliteit hebben zich afgespeeld in de Verenigde Staten. In Nederland werd de eerste grote hack pas gepleegd in 1985, toen twee mannen een computer met telefoonnummers van de PTT wisten binnen te dringen (Dasselaar, 2005: 29). De ontwikkeling van gebruik van Informatie en Communicatie Technologie (ICT) naar ICT-gerelateerde criminaliteit wordt gekenmerkt door verschillende fasen. De eerste fase duurde ongeveer 30 jaar, van 1946 tot 1976. In deze periode werd geprobeerd de aard van de opkomende computercriminaliteit te ontdekken. In de daaropvolgende jaren werden verschijningsvormen van high-tech criminaliteit gecriminaliseerd. Dit is de tweede fase, van 1977 tot 1988. Vormen van high-tech criminaliteit zijn in deze periode vaak nog vrij onschuldig. Het gaat de dader vooral om de technische uitdaging en niet zozeer om financieel gewin. Er wordt geprobeerd om een verschil te maken tussen hackers en crackers5 (Capeller, 2001: 235). Deze derde fase duurde ongeveer 1995. Tijdens de volgende fase, van 1996 tot 2002, vindt de ICT een plek in de samenleving. Er ontstaat een driedeling in de samenleving; er zijn geïnteresseerden die alles willen weten over de ICT-mogelijkheden, er zijn mensen die geen verstand hebben van ICT en zich er (bijna) niet mee bezighouden en er zijn mensen die 5

Het word cracker wordt gebruikt voor iemand die dezelfde acties uitvoert als een hacker, maar bij deze groep nemen financiële en criminele motieven de overhand. Hackers handelen vooral om de kick en om aan te tonen dat er een beveiligingslek bestaat.

31



zich er wel mee bezighouden maar geen besef hebben van wat ze eigenlijk doen. De ontwikkeling van ICT, en in het bijzonder het internet, neemt een vlucht en ook criminelen ontdekken de nieuwe mogelijkheden om het internet niet alleen te gebruiken als communicatiemiddel, maar ook als extra inkomstenbron. De laatste en vijfde fase, 2003 tot heden, wordt gekenmerkt door een toenemende professionalisering van computercriminelen (NHTCC, 2006: 10). De samenleving is voor een groot deel afhankelijk van ICT en het besef van de gevaren begint door te dringen. Aanvallen worden uitgebreid van grote systemen en bedrijven naar computers voor thuisgebruikers.

3.2 Discussie en definitie Het definiëren van high-tech criminaliteit is belangrijk om verschillende redenen. Het geeft onderzoekers een gemeenschappelijke taal voor discussies en zorgt voor een duidelijke communicatie over het onderwerp, het helpt de omvang van de problematiek te bepalen, maakt nationale en internationale opsporing en vervolging mogelijk en een gebrek aan definitie wordt gezien als een onprofessionele benadering van het probleem (Gorden en Ford, 2006: 17). Een definitie is echter nooit onomstreden en de manier waarop een probleem gedefinieerd wordt bepaald de doelgroep en hoe ermee wordt omgegaan. Er zijn al vele pogingen gedaan om high-tech criminaliteit te definiëren. Veel voorkomende benamingen zijn ‘cybercrime’, ‘e-crime’, ‘computercriminaliteit’ en ‘high-tech criminaliteit’. De bestaande literatuur over high-tech criminaliteit laat ons zien het geen eenvoudige opgave is om dit begrip te definiëren en een overzichtelijke indeling naar verschijningsvormen te maken (Grabosky, 2004; Yar, 2005a). Er is nog steeds geen algemeen geaccepteerde definitie van een van deze begrippen. Hiervoor zijn een aantal redenen te noemen. Allereerst wordt cybercrime niet altijd gezien als een nieuwe vorm van criminaliteit, maar als een traditionele vorm wat uitgevoerd wordt met nieuwe instrumenten. Criminaliteit wordt in de meeste gevallen namelijk niet gedefinieerd aan de hand van het instrument dat gebruikt wordt, dit speelt enkel een rol bij de strafoplegging. Er zijn echter ook nieuwe delicten bijgekomen die voorheen niet bestonden. Dit maakt een aparte definitie van cybercrime wenselijk omdat deze nieuwe delicten in onderzoeken anders buiten beschouwing worden gelaten (Brenner, 2004: 116).

32



De verschillende vormen van criminaliteit die betrekking hebben op het gebruik van ICT en internet worden vaak aangeduid als cybercrime. Deze term wordt door Gordon en Ford (2006) aangeduid als: ‘elk delict dat is ondersteund of gepleegd door het gebruik van een computer, netwerk of hardware apparaat’. De computer of het hardware apparaat kan de drager van het delict zijn, het delict ondersteunen of zelf doelwit ervan zijn. Bij deze term worden echter alleen de vormen van criminaliteit betrokken waarbij gebruikt gemaakt wordt van computers en ICT, maar delicten waarbij ICT het doelwit is worden buiten beschouwing gelaten. In de literatuur is geen eenduidige betekenis van het begrip cybercrime terug te vinden (Van der Hulst en Neve, 2008: 32). In Nederland zijn ook pogingen gedaan om tot een definitie van het fenomeen cybercrime te komen. Stol e.a. (1999) gebruiken de term ICTcriminaliteit. Hieronder verstaan zei: ‘ criminaliteit die door ICT is mogelijk gemaakt of danig faciliteerd’. Maar hierbij kunnen alle delicten waarbij ICT een rol speelt worden ondergebracht onder ICT-criminaliteit, waardoor het onderscheid vervalt en de term haar waarde verliest. Zo vallen activiteiten als kinderpornografie en fraude in dezelfde categorie als virussen en spam (Husser, 22 mei 2008). Een andere uit Nederland afkomstige definitie is die van computercriminaliteit: ‘ elk in Nederland begaan strafwaardig feit, voor de uitvoering waarvan de geautomatiseerde verwerking en overdracht via gegevens van overwegende betekenis is’ (Charbon en Kaspersen, 1990: 21). Deze definitie is echter te beperkt doordat het zich alleen richt op delicten die in Nederland begaan zijn, terwijl de computerdelicten meestal grensoverschrijdend zijn. Het Korps Landelijke Politiediensten (KLPD) richt zich bij haar definitie van cybercrime vooral op zware en georganiseerde criminaliteit. De aandacht gaat vooral uit naar delicten die gericht zijn op vitale belangen en in georganiseerd verband gepleegd zijn. De term high-tech criminaliteit biedt een breder en meer dynamisch perspectief dat beter aansluit bij de snelle technologische ontwikkelingen. Van der Hulst en Neve (2009) gebruiken dit begrip in hun onderzoek als overkoepelend begrip en definiëren high-tech criminaliteit als: ‘het gebruik van ICT voor het plegen van criminele activiteiten tegen personen,

eigendommen,

organisaties

of

elektronische

communicatienetwerken

en

informatiesystemen’. Deze definitie betrekt echter alle delicten waarbij gebruik gemaakt wordt van ICT, inclusief de delicten die ook zonder ICT gepleegd zouden kunnen worden.

33



High-tech criminaliteit is naar mijn mening specifieker en om deze reden hanteer ik in mijn onderzoek de volgende definitie: High-tech crime betreft criminele activiteiten tegen personen, eigendommen, organisaties of elektronische communicatienetwerken en informatiesystemen, waarbij het gebruik van ICT essentieel is. Deze definitie omvat zowel activiteiten waarbij gebruikt gemaakt wordt van computers en ICT, als ook delicten waarbij ICT het doelwit is. Doordat alleen activiteiten waarbij ICT essentieel is onder de definitie vallen blijft er een onderscheid en behoud de term haar waarde. Niet relevante delicten en waarbij het gebruik van ICT niet doorslaggevend is vallen namelijk buiten deze definitie.

3.3 Onderverdeling van verschijningsvormen De Tweede Kamer (1997-1998) maakt een onderscheid van high-tech criminaliteit gebaseerd op de strafbare feiten, en hanteren hiervoor drie categorieën: 1. Aantasting van het goed functioneren van informatiesystemen 2. Vermogensdelicten (fraude) 3. Uitingsdelicten Deze onderverdeling is ook terug te vinden in het ‘Organised Crime Situation Report’ wat in 2004 door de Council of Europe werd uitgebracht. Voornamelijk de eerste twee categorieën zijn in dit onderzoek van belang. Uitingsdelicten komen in de bancaire sector maar zeer zelden voor. Het gaat hierbij om het verspreiden van aanstootgevend materiaal of beledigingen. Daarnaast vervult ICT bij het vergaren en verspreiden van dit materiaal geen essentiële functie. Deze categorie zal in dit onderzoek dan ook niet worden meegenomen. De eerste categorie bevat delicten die enkel met behulp van ICT mogelijk zijn, terwijl de tweede categorie delicten omschrijft die al bestonden maar door ondersteuning van ICT-middelen veranderd zijn. Zowel delicten uit de eerste als uit de tweede categorie ontbraken lange tijd in de Nederlandse wetgeving. De eerste wetgeving op het gebied van high-tech crime ontstond in 1993, de Wet Computercriminaliteit I. In 2006 is de wetgeving rondom computercriminaliteit uitgebreid

met

de

Wet

Computercriminaliteit

II.

Hiermee is

de definitie van 34



computervredebreuk verbreed en is het uitvoeren van een Denial-Of-Service aanval apart strafbaar gesteld. Ook de wetgeving over het verspreiden en voorhanden hebben van malware6 is aangepast. Niet alleen de delictsomschrijvingen zijn veranderd, er zijn ook opsporingsbevoegdheden bijgekomen. De meeste vormen van high-tech criminaliteit zijn nu ook in Nederland strafbaar, wanneer een Nederlander ze in het buitenland begaat.

3.4 Aantasting van het goed functioneren van informatiesystemen Wanneer informatiesystemen uitvallen of verstoord worden kan dit voor financiële instelling ver strekkende gevolgen hebben. Het gehele betalingssysteem kan uitvallen of gevoelige informatie van instellingen of klanten kan in de verkeerde handen vallen. Om een verder onderscheid te maken in de verschillende functies van informatiesystemen kan de aantasting van het goed functioneren van informatiesystemen nog verder opgedeeld worden op basis van de ‘CIA-delicten’7. Door banken in Nederlands wordt dit ook wel de BIV-code genoemd. Dit staat voor beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en systemen. Bepaalde vormen van high-tech criminaliteit kunnen in verschillende categorieën vallen. Hieronder een overzicht van de BIV-code en bijbehorende vormen van high-tech crime. Figuur 1. Beschikbaarheid

Spam

DoS

Hacken Sniffing Vertrouwelijkheid

Integriteit

6

Malware is een afkorting voor malicious software, een verzamelnaam voor schadelijke software. ‘CIA’ staat voor confidentiality, integrity en availability, en deze drie vormen de basisprincipes voor informatiebeveiliging. 7

35


3.4.1


Beschikbaarheid: Spam en Denial-Of-Service

Spam8 refereert naar het versturen van commerciële, ideële en charitieve e-mailberichten zonder toestemming van de ontvangers. Deze berichten worden bijna altijd in enorme hoeveelheden verstuurd (Govcert, 2006: 23). Spam is een vorm van high-tech criminaliteit die vooral veel overlast bezorgd. Daarnaast kunnen netwerken worden aangetast door grote hoeveelheden spamberichten en ook de privacy van internetgebruikers kan worden geschonden (Alberdingk Thijm, 2004: 44). Ook faciliteert spam andere high-tech delicten als de Nigeriaanse ‘419 fraude’ (die we in het volgende hoofdstuk zullen behandelen) en afpersing. De grootste categorie spam bestaat uit massamails verstuurd door botnets9. Achter deze botnets zitten organisaties die hun netwerken verhuren aan bedrijven die spam willen versturen. Voor het verzamelen van e-mailadressen worden vaak spamrobots gebruikt die zelfstandig op internet zoeken naar alles met een @-teken of software die willekeurige letter en cijfercombinaties uitprobeert. Ook zijn er cd-roms met e-mailadressen te koop op internet (Rijke, 2009). Om spam te bestrijden is in 2004 de Richtlijn 2002/58/EG van de Europese Commissie geïmplementeerd. In Nederland zijn hier de artikelen 11.7 en 11.8 van de Telecommunicatiewet uit voortgevloeid. Deze artikelen verbieden het versturen van elektronische berichten met een commercieel, ideëel of charitatief doel aan consumenten zonder toestemming van de ontvanger. Telecombedrijf OPTA (Onafhankelijke Post en Telecommunicatie Autoriteit) is verantwoordelijk voor het uitvoeren van dit spamverbod. OPTA kan op basis van de Telecommunicatiewet een boete opleggen aan overtreders. Op 1 oktober 2009 is dit spamverbod uitgebreid naar bedrijven (Volkskrant, 17 september 2009). Een probleem bij dit verbod is echter dat de meeste spam verstuurd wordt door bedrijven vanuit andere landen zoals Brazilië, China en de Verenigde Staten, waardoor Nederland niet kan ingrijpen. In oktober 2009 bestond 87% van alle e-mailberichten uit spam, in februari 2010 is dit aantal gedaald naar 19% (Symantec, 2010). Wanneer spam leidt tot aantasting van het functioneren van computernetwerken of systemen is versturen ervan strafbaar onder artikel 161 sexies en 161 septies van het Wetboek van Strafrecht.

8

De term spam werd voor het eerst gebruikt in 1994. Twee immigratieadvocaten uit Arizona hadden duizenden nieuwsgroepen van Usenet overspoeld met e-mailberichten met bijgevoegde advertentie. De advocaten boden hun diensten aan bij het invullen van het formulier uit deze e-mail. De gebruikers van Usenet waren woedend en de twee advocaten werden vergeleken met varkensvlees in blik, of spam van de firma Hormel (Grosheide, 2007: 201). 9

Een botnet is een leger computers die geïnfecteerd zijn door malware. Dit leger kan op afstand bestuurd worden door een persoon zonder medeweten van de eigenaren van de computers.

36



Een Denial-Of-Service aanval (DoS-aanval) is het veroorzaken van een elektronische verkeersopstopping. Hierbij wordt een system of netwerk voortdurend belast doordat de aanvaller grote hoeveelheden gegevens naar het slachtoffer stuurt, waardoor het systeem vastloopt en geen diensten meer kan leveren aan gebruikers. Vaak gebeurt dit door honderden computers tegelijk, dit wordt wel een Distributed Denial-Of-Service aanval genoemd (DDoSaanval). Voor deze aanval worden computers ingezet die geïnfecteerd zijn met een virus of andere vormen van malware. Deze computers samen vormen een botnet. Ze zenden grote hoeveelheden verzoeken naar een server waardoor het systeem het begeeft. Wanneer door een grootschalig aanval het betalingssysteem uitvalt, levert dat volgens een van de respondenten niet alleen capaciteitsproblemen op voor financiële instellingen maar ook andere delen van de samenleving worden hierdoor getroffen. Respondent 3: ‘(…) In Nederland zijn we niet voorbereid op een situatie waarbij we terug moeten vallen op het gebruik van contant geld. Banken kunnen het aantal aanvragen niet aan wanneer klanten massaal hun geld van de bank willen halen. Dit leidt tot chaos en paniek in de samenleving en een deuk in het vertrouwen in het Nederlandse bankwezen (…).’ Met de wet Computercriminaliteit II is een nieuw artikel toegevoegd aan de wetgeving over high-tech criminaliteit, artikel 138b Wetboek van Strafrecht, dat zich specifiek richt op Denial-Of-Service aanvallen. Een Denial-Of-Service aanval kan ook worden gezien als computersabotage en is in dat geval strafbaar op grond van artikel 161 sexies en 161 septies van het Wetboek van Strafrecht. Het moet dan wel gaan om een opzettelijke belemmering. Wanneer een Denial-Of-Service aanval data beschadigd of vernield kan het zelfs strafbaar zijn als vernieling, artikel 350a en 350b Wetboek van Strafrecht.

3.4.2

Integriteit: Hacken

Hacken is het verkrijgen van ongeautoriseerde toegang tot een informatie- of computersysteem. ICT speelt een belangrijke rol bij het hacken want zonder ICT zou hacken niet bestaan (Stol 1999: 51). Hacken gaat volgens de hackers zelf samen met onderwerpen als vrijheid van meningsuiting en privacy (Respondent 17, 6 januari 2010). Wanneer men eenmaal toegang heeft tot een systeem is er echter ook toegang tot alle informatie op dit systeem. Hackers zien hun bezigheid zelf vaak vanuit een idealistisch perspectief. Ze bedoelen het niet verkeerd, en als bedrijven schade oplopen is dit een onbedoeld neveneffect. 37



Daarbij zouden bedrijven juist dankbaar moeten zijn dat hackers hen wijzen op fouten in de informatiebeveiliging (Stol, 1999: 45). Het gaat om de kick van het inbreken in systemen van iemand anders (Himanen, 2001: 47). Deze digitale inbrekers vormen een bedreiging voor financiële instellingen. Bedoeld of onbedoeld kunnen er vertrouwelijke gegevens over klanten op straat komen. Ook kunnen kwaadwillende hackers (of crackers) toegang verkrijgen tot cruciale informatiesystemen en deze manipuleren voor financieel gewin. Tenslotte zijn ze in staat om de computers van klanten te infiltreren en zich op deze manier onopgemerkt voordoen als klant om vervolgens diens rekening te plunderen. Er bestaan drie strategieën om te hacken; het achterhalen van een naam en wachtwoord combinaties, het verleiden van een gebruiker om een Trojan Horse binnen te halen en het ontdekken van systeemfouten (Stol, 1999: 159). Hackers gebruiken verschillende software als hulpmiddelen voor criminele activiteiten. Een belangrijk hulpmiddel is de Trojan Horse (Respondent 17, 6 januari 2010). Vaak zit deze Trojan Horse verstopt in e-mailberichten of downloads. Dit is een programma dat eruit ziet als een onschuldig en legaal programma maar ongewenste functies uitvoert wanneer het geïnstalleerd is. Hierdoor kan de verspreider ervan ongewenst en onopgemerkt toegang tot de computer verkrijgen. Door middel van bijvoorbeeld keylogging10 kunnen persoonlijke gegevens worden achterhaald (Europol, 2007: 22). Wanneer een Trojan Horse geïnstalleerd is kan hij een achterdeur openzetten waardoor de verspreider de computer op afstand kan besturen. Bots, afkorting voor robots, zijn een ander hulpmiddel van hackers. Een bot is een automatisch softwareprogramma dat zelfstandig andere computers kan besmetten (Trend Micro, 2006: 3). Hiermee kan een geheel botnet opgezet worden van geïnfecteerde computers. De verspreider kan een botnet vanuit een centraal punt besturen zonder medeweten van de computergebruikers. Botnets worden weer gebruikt voor andere activiteiten zoals het versturen van spam of Denial-Of-Service aanvallen. Virussen en wormen worden ook veelvuldig gebruikt door hackers om toegang te krijgen tot systemen. Een worm is een programma dat zichzelf vermenigvuldigd en verspreid zonder dat menselijke interventie nodig is. Een virus kan zich ook vermenigvuldigd en verspreiden, maar heft een bestand nodig om dit te kunnen doen. Het programma hecht zich aan een bestaand programma en wordt zo meegestuurd met e-mailberichten en uitwisseling van gegevens. Wormen en virussen kunnen de instellingen van computers beschadigen en kunnen dienen als verspreiders

10

Bij keylogging wordt software geïnstalleerd dat alle toetsaanslagen en muisklikken registreert. De gegevens worden automatisch naar een derde partij gestuurd.

38



voor Trojan Horses. Bekende aanvallen waarbij gebruikt gemaakt werd van virussen, wormen of Trojan Horses zijn het ‘Explore-zip’11 virus in 1999, het ‘ILOVEYOU’12 virus in 2000 en het ‘Anna Kournikova’13 virus in 2001 (Burkhart, 2001: 56). Hacken valt onder de strafbepaling computervredebreuk van art 138a Wetboek van Strafrecht. Het verspreiden of ter beschikking stellen van programma’s die bestemd zijn om schade aan te richten in een geautomatiseerd werk is strafbaar volgens artikel 350a (vernieling) Wetboek van Strafrecht. Hieronder vallen wormen, virussen en Trojan Horses.

3.4.3

Vertrouwelijkheid: Aftappen van gegevens

Er zijn drie methoden om gegevens van gebruikers te achterhalen door ze als het ware af te luisteren. De eerste mogelijkheid is sniffing, het onderscheppen en bekijken van informatie zoals gebruikersnamen, wachtwoorden en e-mailberichten. Bij sniffing wordt de netwerkverbinding afgeluisterd. Alle IP-pakketten die de netwerkkaart passeren worden door speciale software opgevangen en weergegeven op de computer van een derde partij. Door criminelen kan deze methode worden gebruikt om waardevolle en persoonlijke informatie te achterhalen waar later misbruik van gemaakt kan worden. Een respondent geeft aan dat technologische ontwikkelingen een grote rol spelen bij sniffing: Respondent 11: ‘(…) De mogelijkheden voor het afluisteren van gegevens gaan samen met technologische ontwikkelingen. De beveiliging van het netwerkverkeer wordt voortdurend aangescherpt, maar criminelen reageren hier met nieuwe technologieën op om deze beveiliging te omzeilen. Het is een kat-en-muis spel tussen criminelen en beveiligers (…).’ Daarnaast heet de opkomst van draadloze netwerken en bluetooth sniffing vereenvoudigd. Een tweede methode is het installeren van spyware. Dit is een verzamelnaam voor spionageprogramma’s. Zulke software wordt op een computer geplaatst om informatie te zoeken. De gevonden informatie wordt doorgestuurd naar een derde partij. Deze methode wordt vaak gebruikt door adverteerders die zo doelgericht informatie kunnen versturen, maar 11

De eerste worm die bedrijven aanviel van achter de firewall. De worm had zich gehecht aan e-mailbijlagen en installeerde een Trojan Horse die automatisch verschillende bestanden en programma’s op de harddrive vernietigde. 12 ‘ILOVEYOU’ was een virus dat zichzelf vermenigvuldigde via e-mailberichten en automatisch gevonden gebruikersnamen en wachtwoorden doorstuurde naar de ontwerper. Naar verluid heeft dit virus meer dan 15 miljoen computers geïnfecteerd. 13 Het ‘Anna Kournikova’ virus bestond uit een worm die computers besmet en kwam binnen via Microsoft Outlook. Het verspreidde zich met 1,5 e-mailberichten per seconde.

39



ook criminelen maken er gebruik van. Keylogging is een derde methode om informatie af te luisteren. Bij keylogging wordt geregistreerd welke toetsen de gebruiker aanslaat inclusief muisklikken. Keylogsoftware wordt vaak geïnstalleerd als deel van een spywareprogramma. Het aftappen van gegevens en informatie is specifiek strafbaar gesteld onder artikel 139c Wetboek van Strafrecht. Het plaatsen van een technisch hulpmiddel is strafbaar volgens artikel 139d Wetboek van Strafrecht. Daarnaast is er vaak ongeautoriseerde toegang tot een systeem nodig om spyware te installeren, wat strafbaar is gesteld door artikel 138a Wetboek van Strafrecht.

3.5 Vermogensdelicten Fraude is een gedraging waarbij overtreders zich veelal richten op financiële instellingen. Juridisch gezien is fraude geen eenduidig begrip en wordt vaak gerelateerd aan bedrog (Charbon en Kaspersen, 1990: 30). Maar een ding is duidelijk; fraude is gericht op financieel winstbejag. Het is een delict dat deels op internet wordt gepleegd maar voltooid moet worden door handelingen in de echte wereld (Stol 2004: 78). Oplichting en vervalsing zijn twee vormen van fraude die deels op internet en deels daarbuiten worden uitgevoerd. Bij beide delicten kan de financiële schade van instellingen en bedrijven hoog oplopen. Hieronder worden drie vermogensdelicten waarbij de computer van essentieel belang is uiteengezet die relevant zijn voor financiële instellingen.

3.5.1

Skimming

Het begrip skimming is steeds vaker terug te vinden in krantenkoppen en nieuwsartikelen. De eerste serieuze gevallen van skimming in Nederland werden in 2002 ontdekt (Respondent 9, 13 januari 2010). Bij skimming worden de gegevens die op de magneetstrip van een bankpas staan gekopieerd en daarna op een valse pas gezet. De pincode wordt afgekeken, gefilmd of geregistreerd. Met de valse pas en pincode wordt, vaak in het buitenland, geld van de rekening gehaald (KLPD, 2008: 178). Door de snelle technologische ontwikkelingen kunnen de gegevens van de magneetstrip en de pincode steeds sneller worden doorgegeven en zit er nog maar weinig tijd tussen het bemachtigen van de gegevens en het pinnen. Skimming kan op twee manieren gepleegd worden; het skimmen van gelduitgifteautomaten en van betaalautomaten in winkels. Bij gelduitgifteautomaten wordt het opzetmondje verwisseld door speciale skimapparatuur dat de gegevens van de magneetstrip kopieert. De bijbehorende 40



pincode wordt achterhaald door camera’s, een lay-over14 of door over de schouder van het slachtoffer mee te kijken. De gegevens van de magneetstrip worden op een lege pas gezet en met de achterhaalde pincode kan zo geld van de rekening worden gehaald. Omdat gelduitgifteautomaten vaak op openbaren plaatsen staan zijn deze eenvoudig toegankelijk. Betaalautomaten in winkels zijn minder toegankelijk en vereisen dan ook een andere benadering. De automaten worden ‘s nachts gestolen en zodanig aangepast dat de magneetstrip van een klant gekopieerd wordt en tegelijkertijd wordt de pincode geregistreerd. Ook doen criminelen zich voor als monteur om automaten aan te passen (Volkskrant, 2 mei 2006). Soms worden betaalautomaten in zijn geheel vervangen door een geprepareerd betaalautomaat. Na enige tijd wordt de betaalautomaat weer op dezelfde manier verwijderd en worden de gegevens op lege passen gezet waarmee de criminelen geld van de rekeningen kunnen halen (KLPD, 2008: 179). Ook bij deze vorm spelen technologische ontwikkelingen een rol. De skimapparatuur wordt steeds geavanceerder. Er bestaan nu zelf opzetstukken die over de betaalautomaten in winkels geplaatst worden, ze hebben dezelfde functies als de geprepareerde betaalautomaten, maar het plaatsen van de opzetstukjes kost slechts enkele seconden. Winkeliers proberen zich hiertegen te wapenen door stickers op de betaalautomaten te plakken zodat het zichtbaar is wanneer er een valse kap overheen gezet is. Tussen 2003 en 2004 hebben banken in Nederland maatregelen genomen tegen skimming. De gelduitgifteautomaten zijn uitgerust met een nieuw opzetmondje en door deze maatregel is in 2005 het aantal skimming-incidenten gedaald. Vanaf 2006 heeft skimming zich echter verplaats naar betaalautomaten in winkels, op NS-stations en het nieuwste doelwit benzinestations. Op 27 mei 2009 hebben banken en detailhandel een akkoord gesloten om voor 2012 over te stappen op een nieuw betaalsysteem, de EMV-chipkaart. Andere EUlanden, waaronder Engeland, zijn al overgestapt naar deze nieuwe techniek. De gegevens staan dan niet meer op de magneetstrip, maar op de chip van de pinpas. Verwacht wordt dat met de invoering van de EMV-chipkaart het aantal skimming-incidenten drastisch zal afnemen. In hoofdstuk 4 zal verder ingegaan worden op de invoering en gevolgen van de EMV-chipkaart. Skimming is strafbaar gesteld onder artikel 232 Wetboek van Strafrecht, als vervalsen en gebruiken van betaalkaarten. Dit artikel wordt vaak toegepast in combinatie met artikel 234 Wetboek van Strafrecht, het voor handen hebben van vervalsingapparatuur.

14

Een lay-over is een kunststof plaatje dat over het toetsenbord geplaatst wordt en alle aanslagen registreert.

41


3.5.2


Phishing

Phishing is een vorm van social engineering via het internet. Doel is het stelen van persoonlijke en financiële gegevens. De namen van bedrijven, banken en andere instellingen worden misbruikt om deze gegevens te achterhalen. Phishing kent veel varianten die uit de traditionele vorm geëvolueerd zijn. Bij de traditionele vorm van phishing ontvangen internetgebruikers een e-mailbericht waarin ze worden overgehaald via een link een site te bezoeken en daar persoonlijke gegevens in te typen (KLPD, 2008: 204). Deze e-mail lijkt afkomstig van een bedrijf of financiële instelling, maar men wordt via de link doorgestuurd naar een namaaksite. Een phishingaanval bestaat dus uit twee componenten; een nagemaakt emailbericht en een frauduleuze website (Trend Micro, 2006: 4). De e-mails worden steeds persoonlijker om wantrouwen van slachtoffers te voorkomen en beveiligingspakketten te omzeilen. Naast deze traditionele vorm kent phishing nog vier varianten. De eerste is pharming, slachtoffers die een site bezoeken worden stiekem omgeleid naar een namaaksite waar om persoonlijke gegevens gevraagd wordt. Deze omleiding wordt veroorzaakt door malware op de computer van de slachtoffers. Deze malware knoeit met de DNS-server. De DNS-server stuurt een gebruiker door naar het juiste webadres wanneer deze het adres intypt. Doordat er een criminele code aan deze server is toegevoegd wordt de gebruiker automatisch doorgestuurd naar een frauduleuze website (Trend Micro, 2006: 2). Een tweede variant is ‘spy-phishing’. Hierbij wordt het gedrag van slachtoffers bestudeerd met behulp van malware. Via het zogenaamde keylogging worden aanslagen geregistreerd en doorgestuurd naar de criminelen. Op deze manier kunnen ze gebruikersnamen en wachtwoorden bemachtigen waarvan later misbruik gemaakt kan worden. Besmetting met malware bij pharming en ‘spy-phishing’ kan plaatsvinden via e-mailberichten, websites, software, downloads en zoekmachines (KLPD, 2008: 204). Vishing is een derde variant op phishing. Fraude wordt hierbij gepleegd via VOIP15 in plaats van het internet. Waneer een slachtoffer denkt zijn financiële instelling aan de telefoon te hebben, krijgt hij een automatische stem te horen die zich voordat als het bedrijf of de instelling. Deze stem vraagt het slachtoffer om creditcardnummers, codes en wachtwoorden. Een laatste variant is SMiShing, waarbij mobiele telefoons met toegang tot internet worden aangevallen. Slachtoffers ontvangen een link en wanneer ze de desbetreffende website bezoeken dringt er een Trojan Horse binnen die enorme schade kan aanrichten aan de mobiele telefoon en zijn inhoud. Ook bestaat de

15

VOIP staat voor Voice-Over-IP. Een IP-netwerk, zoals het internet, wordt gebruikt om spraak te transporteren. Spraak en data kunnen op deze manier worden samengevoegd.

42



mogelijkheid dat informatie die op de mobiele telefoon is opgeslagen doorgestuurd wordt naar de criminelen (Europol, 2007: 29). Met het toenemende gebruik van mobiele telefoons voor internetbankieren nemen ook de risico’s van deze nieuwe variant toe. In het verleden waren phishing e-mails en websites nog redelijk eenvoudig te herkennen. De e-mailberichten waren vaak in gebrekkig Nederlands opgesteld of zaten vol spelfouten en de website had geen domeinnaam maar een simpel IP-adres (MacAfee, 2006: 4). Doordat mensen zich steeds meer bewust worden van het bestaan van phishing zoeken phishers steeds nieuwe manieren om slachtoffers op te lichten. Veel phishers springen tegenwoordig in op actuele gebeurtenissen zoals aardbevingen of tornado’s, waarbij ze donatiesites en e-mails misbruiken (Trend Micro, 2006: 6). Het doel van phishers is misbruik te maken van de achterhaalde gegevens. Aanvallen op het betalingsverkeer zijn het meest geliefd onder phishers, in 2008 waren financiële instellingen het meest gekopieerd met 79% van de totaal geanalyseerde phishing-incidenten (Symantec, 2008: 74). Dit is logisch aangezien criminelen met deze gegevens eenvoudig financiële transacties kunnen uitvoeren. Om anonimiteit te waarborgen en om het geld naar eigen rekening te kunnen overmaken, gebruiken phishers vaak moneymules16. Deze tussenpersonen worden vaak via e-mailberichten of websites benaderd en wordt hen een baan aangeboden waarbij ze overgemaakt geld moeten doorstorten (KLPD, 2008: 206). In sommige gevallen weten de moneymules niet dat ze betrokken zijn bij criminele activiteiten. In het Wetboek van Strafrecht is geen aparte wet opgenomen tegen phishing. Ook met de komst van de wet Computercriminaliteit II is phishing als op zichzelf staan feit niet strafbaar gesteld. In de praktijk worden verdachten van phishing meestal veroordeeld op grond van oplichting, artikel 236 Wetboek van Strafrecht, of valsheid in geschrift, artikel 225 Wetboek van Strafrecht.

3.5.3

Identiteitsfraude

De betekenis van identiteit is veranderd in de huidige samenleving. Vanuit een sociaaltheoretisch perspectief kan gesteld worden dat informatie steeds belangrijker is geworden, maar doordat deze informatie digitaal wordt opgeslagen en verwerkt leidt dit weer tot een vorm van anonimisering. Al onze gegevens staan in digitale dossiers die bewaakt worden door verschillende organisaties, zowel publiek als privaat, waardoor we gevoeliger

16

Een moneymule is iemand die zijn of haar bankrekening tegen beloning laat misbruiken voor criminele activiteiten.

43



worden voor fraude (De Vries, e.a., 2007: 24). Identiteitsfraude is een set van activiteiten voor het stelen van iemands persoonlijke informatie. Deze persoonlijke informatie kan vervolgens worden misbruikt. Motivaties voor identiteitsfraude zijn financieel gewin (iemands gegevens gebruiken voor fraude) of bij verdere criminelen activiteiten (het overnemen van een identiteit of begaan van delicten onder iemand anders naam). Identiteitsfraude is wel als apart onderwerp opgenomen in het Cybercrime verdrag 2001 (De Vries, e.a., 2007:22), maar niet terug te vinden als strafbare gedraging in de Nederlandse strafwet. Ook het begrip fraude kent geen wettelijke definitie (De Vries e.a., 2007: 204). Toch worden beide gedragingen als strafbaar gezien. Fraude kent vaak twee aspecten; bedrog en valsheid. Wanneer we specifiek kijken naar identiteitsfraude zijn deze aspecten ook terug te vinden. De valsheid is gericht op de identiteit van een ander, en het bedrog op het doel wat met de valse identiteit bereikt kan worden. Maar onder fraude valt ook het ruilen van identiteiten waarin beide partijen toestemmen of het manipuleren van eigen gegevens. Dit wordt over het algemeen niet als identiteitsfraude gezien (De Vries e.a., 2007: 186). In de Verenigde Staten gebruiken ze de term identiteitsdiefstal om aan te duiden dat het niet gaat om fraude met eigen gegevens. Daar wordt identiteitsdiefstal gezien als een sociaal probleem en is het een aantal jaren geleden gecriminaliseerd (Marron, 2008: 21). In Nederland blijven we de term identiteitsfraude gebruiken. Identiteiten kunnen namelijk niet al ‘goederen’ worden beschouwd, het gaat om vastgestelde gegevens. Ze kunnen daarom niet gestolen worden, maar enkel worden overgenomen of misbruikt. Juridisch gezien is de term persoonsgegevens17 van belang bij identiteitsfraude. In de Nederlandse wetgeving wordt ook het wordt persoonsgegevens gebruikt, bijvoorbeeld in de Wet bescherming persoonsgegevens. In de praktijk worden activiteiten die samenhangen met identiteitsfraude regelmatig onder andere strafbepalingen vervolgd (Van der Meulen, 2006: 20). Bij identiteitsfraude wordt vaak gebruik gemaakt van valse of vervalste papieren (De Vries e.a. 2007: 208). Pas wanneer deze papieren ook daadwerkelijk gebruikt worden om een valse hoedanigheid aan te nemen of er voordeel mee te behalen is dit strafbaar onder artikel 225 Wetboek van Strafrecht. Daarnaast liggen diefstal, verduistering en heling ten grondslag aan fraude. Betaalpassen, creditcardnummers en identiteitsbewijzen kunnen worden gestolen en daarna worden 17

De term persoonsgegevens wordt door de Europese regelgeving als volgt gedefinieerd: ‘iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijk persoon, hierna ‘betrokkene’ genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die voor zijn fysieke, fysiologische, psychische, economische, culturele of sociale identiteit kenmerken zijn’ (Artikel 2 onder a Verordening (EG) Nr. 45/2001 18 december 2000). .

44



doorverkocht. Wanneer identiteitsgegevens verkregen worden door middel van inbraak in computersystemen, valt dit onder computervredebreuk. Ook kunnen technieken als phishing, keylogging en sniffing gebruikt worden om aan gegevens te komen. Vaak wordt in deze situaties oplichting ten laste gelegd.

3.6 Conclusie Deze verschijningsvormen van high-tech criminaliteit beïnvloeden financiële instellingen op verschillende manieren. We kunnen een onderscheid maken in delicten die zich specifiek richten op informatiesystemen en netwerken, de delicten tegen het goed functioneren van systemen, en delicten die met behulp van ICT andere vormen aannemen en nieuwe kenmerken krijgen, de vermogensdelicten. Nu we de kenmerken, werkwijze en strafbaarstelling van de verschijningsvormen op een rij hebben kan de aard en omvang bekeken worden. Van zowel delicten tegen het goed functioneren van systemen als ook de vermogensdelicten geeft het volgende hoofdstuk meer inzicht in de schade en kenmerken van de daders.

45



4. AARD EN OMVANG VAN HIGH-TECH CRIMINALITEIT Nu we een overzicht hebben van de verschillende verschijningsvormen van high-tech criminaliteit die van invloed zijn op financiële instellingen, kunnen we dieper ingegaan op de aard en omvang van de delicten. Op dit moment is er weinig zicht op de omvang van deze vormen van high-tech criminaliteit. Volgens financiële instellingen vormt delicten als skimming, phishing en internetfraude een maatschappelijk probleem, maar binnen de politiek en opsporingsinstanties wordt het gezien als een probleem van de banken. Dit heeft als gevolg dat high-tech criminaliteit geen opsporingsprioriteit heeft en de Nederlandse wetgeving op dit gebied sinds 2006 niet meer aangepast is. Voor de burgers is high-tech criminaliteit een vrij onzichtbaar fenomeen en zij hebben geen zicht op de ernst van de problematiek. Het ontbreken van informatie over de omvang van high-tech criminaliteit ligt gedeeltelijk bij de financiële instellingen zelf. Zij doen zaken van fraude intern of en hebben afspraken met de politie over aangifteprocedures. Hierdoor blijft belangrijke informatie binnen de banken en heeft de samenleving geen beeld van wat er daadwerkelijk speelt. Naast dit stilzwijgen van banken worden aanvallen van high-tech criminaliteit slecht geregistreerd. Vaak overlopen high-tech delicten met andere delicten zoals oplichting en valsheid in geschrift. Bij politieregistraties in Nederland wordt geen onderscheid gemaakt tussen criminaliteit met en zonder het gebruik van ICT (Europol, 2003: 12). Het is in deze scriptie dan ook onmogelijk als deze gebreken uit de weg te helpen, maar door middel van interne rapporten van banken en informatie van experts wordt geprobeerd de huidige omvang van de verschillende verschijningsvormen in kaart te brengen. Dit draagt bij aan de analyse in hoofdstuk 6, waar we kijken naar de verdeling van risico’s over de stakeholders. Wanneer we een idee hebben wie de belangrijkste risico’s draagt en hoe ernstig de schade is voor betrokken partijen hebben we ook meer duidelijkheid over welke partijen aansprakelijkheid zijn voor het dichten van deze risico’s en het nemen van (preventieve) maatregelen. Naast ontbrekende informatie over de omvang is er over de daders van high-tech delicten ook weinig bekend (Broadhurst, 2005). Het meeste onderzoek is gedaan door (private) beveiligingsbedrijven en gericht op de werkwijze van daders, om zo producten en diensten hierop aan te kunnen passen. Over de achtergronden en motieven is echter nog weinig bekend. Veel informatie uit de literatuur en media berust op (subjectieve) uitspraken van anderen (Klaver, 19 september 2006) en wordt niet ondersteund door wetenschappelijk 46



onderzoek. Inzicht in de daders en hun kenmerken is echter wel essentieel voor een gerichte bestrijding van high-tech criminaliteit (Rogers 2006: 97). Met deze informatie kunnen we namelijk kijken welke partijen de verantwoordelijkheid voor de bestrijding en opsporing kunnen en zouden moeten nemen. Daarnaast biedt dit inzicht mogelijkheden voor samenwerkingsverbanden dus private en publieke partijen. Voor zowel de delicten tegen het functioneren van informatiesystemen als vermogensdelicten wordt in dit hoofdstuk eerst de omvang in kaart gebracht door middel van gepubliceerde cijfers, rechtszaken, mediaberichtgeving en informatie van experts. Hierbij wordt ook gekeken naar de verwachtingen voor de toekomst. Vervolgens wordt geprobeerd een beeld te schetsen van de daderkenmerken per verschijningsvorm. Omdat er weinig officiële gegevens bekend zijn over high-tech criminaliteit leunt dit hoofdstuk sterk op informatie verkregen door middel van interviews met experts op het gebied van high-tech criminaliteit.

4.1 Omvang aantasting van het goed functioneren van informatiesystemen

4.1.1

Hacken en Denial-Of-Service

Delicten waarbij gebruik gemaakt wordt van malware, botnets of Denial-Of-Service aanvallen zijn zeldzaam in officiële statistieken. Dit komt vooral doordat deze gedragingen niet altijd worden opgemerkt en ze vaak bestaan uit meerdere stappen waardoor ze niet goed onder een specifieke gedraging te registreren zijn. Om toch een inschatting te kunnen maken van de ernst van deze gedragingen zijn naast informatie verkregen van experts ook de berichten uit de media en het Openbaar Ministerie van de afgelopen vijf jaar geanalyseerd. Uit deze gegevens komt naar voren dat er slechts sporadisch een verdachte wordt opgepakt of veroordeeld voor het aantasten van het functioneren van informatiesystemen. Een van de eerste high-tech delicten die breed in de media werd uitgemeten was de Denial-Of-Service aanval op diverse Nederlandse websites in oktober 2004. Een groep jongeren voerde een Denial-Of-Service aanval uit waarbij 180.000 slecht beveiligde computers werden misbruikt om voortdurend internetpagina’s op te vragen. De aanval was onder andere gericht op overheidswebsites welke enkele dagen niet meer bereikbaar waren (De Volkskrant, 10 februari 2006). Vijf jongeren tussen de vijftien en negentien jaar werden hiervoor in 2006 47



veroordeeld tot jeugddetentie, gevangenis- en werkstraffen. De eerste aanval op financiële instellingen die het nieuws haalde vond plaats in 2006. Een groep internetoplichters werd opgepakt op verdenking van fraude met internetbankieren, waarvan zes verdachten in voorlopige hechtenis hebben gezeten. Dit onderzoek leidde in totaal tot achttien verdachten die zich voornamelijk op oudere slachtoffers hadden gericht, en rekeningen bij banken plunderden die waren geopend met valse paspoorten en documenten voor het aanvragen van internetbankieren (Openbaar Ministerie, 26 september 2006). Twee jaar later is een 19-jarige hacker uit Sneek opgepakt voor het verkopen van een besmet computernetwerk. De Verdachte wilde een botnet overdragen aan een Braziliaan. Het netwerk bleek uit 40.000 geïnfecteerde computers te bestaan, waarvan 1100 computers zich in Nederland bevonden (Govcert, 2009: 33). De directe schade bij hacking en malware in Nederland is op dit moment niet zorgwekkend. Respondent 3: ‘(…) Ondanks dat er over internetfraude weinig cijfers bekend zijn valt de feitelijke schade wel mee. Het aantal incidenten van hacken en malware zijn voor het Nederlandse bankwezen op dit moment niet zorgwekkend. Wel zorgwekkend is het geld wat er met een grote geslaagde aanval te verdienen is (…).’ Volgens een expert op het gebied van malware zijn er de afgelopen vier jaar slechts vier boetes uitgedeeld voor het verspreiden van malware (Respondent 15, 23 december 2009). Denial-Of-Service aanvallen vinden wel geregeld plaats, maar veroorzaken volgens een respondent geen noemenswaardige schade. Respondent 4: ‘(…) Er vinden een paar honderd Denial-Of-Service per dag plaats op het netwerk van een internetserviceprovider. Deze aanvallen zijn te klein om echte schade te kunnen veroorzaken. Wanneer een aanval in de media vermeld word is het vaak niet waar. Daadwerkelijke bedreigingen of aanvallen blijven geheim omdat bedrijven ze niet willen meld omdat ze bang zijn voor hun imago (…).’ Ondanks dat de omvang van criminaliteit tegen het functioneren van systemen op dit moment geen bedreigende situatie oplevert, baart het toekomstbeeld veel experts zorgen (Respondent 14, 2 december 2009). Onze afhankelijkheid van informatiesystemen maakt ons zeer kwetsbaar voor aanvallen op vitale infrastructuren. Een verstoring of vernietiging van deze infrastructuur kan serieuze gevolgen hebben voor onze gezondheid, veiligheid en economische situatie (Europol 2007: 32). Zo zijn de gevolgen van een crimineel die pacemakers weet te hacken, een inbreuk in militaire data, of het platleggen van het totale 48



betalingsverkeer in Europa niet te overzien. De betalingssystemen in Europa zijn niet voorbereid op zo een aanval. Er zijn niet genoeg middelen wanneer alle burgers ineens geld van hun rekening op moeten nemen, wat chaotische gevolgen kan hebben (Respondent 3, 15 december 2009). Deze situaties worden door velen als doemscenario’s gezien en de kans dat Nederland getroffen wordt door een grootschalige internationale aanval is niet heel groot, maar wanneer het gebeurd zijn we slecht uitgerust en lopen we achter de feiten aan (McAfee, 2008: 3). Bij banken in het bijzonder stijgt de dreiging van high-tech criminaliteit in tijden van economische crisis. Internetgebruikers en bedrijven geven minder uit aan beveiliging voor hun systemen. De software wordt minder vaak geüpdate en de aanschaf van nieuwe virusscanners worden uitgesteld uit overwegingen van kostenbesparing (McAfee, 2008: 6). Aan de andere kant spelen criminelen in op de onzekere situatie van mensen. Als de werkeloosheid stijgt, gaan meer mensen zijn op zoek naar een baan, waarbij het internet een belangrijke rol speelt. Ze zijn geneigd eerder te reageren op valse vacatures waarbij ze ten prooi vallen aan criminelen die ze misbruiken als moneymule18. Ook zijn internetgebruikers gemakkelijker afgeleid door mooie aanbiedingen en gratis downloads, die vaak malware bevatten waarmee criminelen computers kunnen overnemen. Ze kunnen dan eenvoudig gegevens van klanten verzamelen. Respondent 11: ‘(…) Gegevens van computergebruikers worden verzameld door diverse malware programma’s en vervolgens doorgestuurd naar een dropsite. Hoe meer gegevens er op deze dropsite verzameld worden, hoe aantrekkelijker bijvoorbeeld een aanval op een bank wordt. Naast het verzamelen van gegevens nemen criminelen de computers over om ze in te zetten als onderdeel van een botnet. Dit botnet ondersteund weer andere vormen van criminaliteit (…).’ Een cyberaanval op een bank kan op veel grotere schaal worden uitgevoerd dan bijvoorbeeld het fysiek beroven van een bank. Wanneer crimineel 100 banken proberen te beroven is de pakkans per bank vele malen groter dan wanneer ze virtueel aanvallen. Verwacht wordt dan ook dat aanvallen door middel van botnets en malware zullen gaan toenemen (Respondent 26, 6 januari 2010). Botnets kunnen een dreiging vormen omdat ze moeilijk te detecteren zijn, er nog maar weinig bekend is over het probleem door een tekort aan data, en middelen van opsporingsdiensten schieten vaak tekort om botnets verder te onderzoeken. Daarnaast wordt er door slachtoffers maar zelden aangifte gedaan omdat ze niet weten dat ze slachtoffer zijn 18

Een moneymule, ook wel katvanger genoemd, is iemand die een bankrekening op zijn naam laat misbruiken (tegen een kleine vergoeding) om zo criminelen buiten bereik van de justitiële autoriteiten te houden.

49



(Europol 2007: 20). Door de vele verschillende vormen van malware en de snelle ontwikkeling van nieuwe virussen zal ook malware in de toekomst voor problemen kunnen zorgen. In 2009 heeft Symantec 90.000 verschillende vormen van malware gevonden, die allemaal gemaakt waren met de Zeus toolkit (Spitsnieuws, 20 april 2010). Met dit programma kunnen criminelen eenvoudig zelf bestanden maken om computers mee te besmetten en gegevens mee te stelen. Deze toolkit wordt specifiek gebruikt om bank en creditcardgegevens te achterhalen. Veel van deze gegevens worden vervolgens doorverkocht op internet, waar veel geld mee te verdienen is. Doordat er zoveel verschillende vormen zijn kunnen antivirussoftware ze onmogelijk allemaal blokken en loopt het risico op infecties van computers toe.

4.1.2

Spam

Het spamverbod dat sinds 2004 geldt19, heeft het registreren van overtredingen met betrekking tot spam vereenvoudigd. Telecomwaakhond OPTA20 is verantwoordelijkheid voor de handhaving van het spamverbod en kan boetes uitdelen aan overtreders. Via het meldpunt spamklacht.nl kunnen mensen klacht indienen over spamberichten en e-mails die zij ongewenst ontvangen. In 2007 kreeg OPTA 17.000 klachten, maar mede door de uitbreiding van het spamverbod in 2009 nam het aantal klachten ditzelfde jaar af naar ruim 12.000 (Govcert, 2009: 35). In 2008 heeft OPTA een recordboete uitgedeeld van 510.000 euro aan twee bedrijven uit Breda voor het verspreiden van spam. De bedrijven stuurden in 3 jaar ongeveer 4,5 miljoen e-mails waarin thuiswerk21 werd aangeboden, waarmee ze 1,7 miljoen euro verdiend hebben (De Volkskrant, 20 mei 2008). Een jaar later deelde OPTA een boete uit van 250.000 euro aan een spammer die 21 miljoen e-mails heeft verstuurd in bijna 5 jaar tijd. OPTA had, onder andere via spamklacht.nl, 379 klachten hierover ontvangen (De Volkskrant, 27 juli 2009). IT-beveiliger Symantec brengt maandelijks een rapport uit over de status van spam en phishing in de Verenigde Staten. In juli 2010 bestond volgens dit rapport bijna 92% van alle berichten uit spam, vergeleken met 88% in juni datzelfde jaar (Symantec, 2010).Of het percentage spam in Nederland ook zo hoog ligt is niet bekend. Symantec houdt wereldwijd het aantal spamberichten in de gaten. Spam lijkt een vrij onschuldige vorm van 19

Het ongevraagd verzenden van spam naar consumenten is sinds 2004 verboden, maar sinds 1 oktober 2009 geldt dit verbod ook voor bedrijven. 20 OPTA staat voor Onafhankelijke Post en Telecommunicatie Autoriteit en is op 1 augustus 1997 opgericht. 21 Er worden werkzaamheden aangeboden die mensen vanuit hun eigen huis kunnen uitvoeren, het gaat meestal om taken die via de computer uitgevoerd kunnen worden.

50



high-tech criminaliteit, omdat het voornamelijk de ontvangers ervan overlast bezorgd. Spam bevat tegenwoordig echter steeds minder advertenties en is voornamelijk winstgevend voor andere vormen van criminaliteit. Criminelen proberen door middel van spam campagnes die heel normaal lijken andere vormen van high-tech criminaliteit te faciliteren. Vaak worden aanbiedingen voor toners, printers en weekendjes weg gebruikt om malware te verspreiden of mensen naar frauduleuze site te lokken voor phishingaanvallen. De meeste spam in Nederland is gericht op een specifieke doelgroep waardoor ze gemakkelijk door spamfilters van emailproviders heenkomen. Spam zelf vormt dus voornamelijk een irritatieprobleem, maar doordat criminelen spam gebruiken om andere delicten de faciliteren moet de verspreiding van spam tegengegaan worden.

4.2 Omvang vermogensdelicten Banken liggen aan de frontlinie van criminelen als het gaat om vermogensdelicten, want ook voor hen is de bank de plaats om naar toe te gaan als ze geld nodig hebben. Over fraudedelicten is meer bekend omdat deze delicten vaak een component kennen die buiten de digitale wereld valt. Hierdoor kunnen delicten sneller worden ontdekt en hebben verdachten meer kans om betrapt te worden. Toch zijn er ook weinig officiële statistieken met betrekking tot deze vermogensdelicten. Dit komt omdat er geen centrale instanties zijn die incidenten registreren. Bij politieregistraties worden de delicten vaak onder verschillende noemers geregistreerd waardoor een algemeen beeld onmogelijk te geven is. Daarnaast houden bedrijven vaak informatie over incidenten achter uit angst voor imagoschade. Engeland is tot nu toe het enige land waar cijfers rondom high-tech vermogensdelicten gepubliceerd worden, APACS22 is hier verantwoordelijk voor. Toch zijn er ook in Nederland een aantal instanties die een zicht hebben op incidenten en schade van verschillende high-tech vermogensdelicten. We bespreken de omvang en aard van de twee fraudedelicten die financiële instellingen de meeste schade bezorgen; skimming en phishing. Ook kijken we naar identiteitsfraude omdat dit fenomeen in de Verenigde Staten voor veel problemen zorgt en verwacht wordt dit in Nederland de komende jaren zal gaan toenemen.

22

APACS is de Britse associatie voor betalingen.

51


4.2.1


Skimming

Skimming is het high-tech crime delict waarvoor de meeste verdachten kunnen worden aangehouden omdat ze op heterdaad betrapt worden of via camerabeelden achterhaald kunnen worden. Toch is het moeilijk om informatie te krijgen over het aantal skimincidenten en de totale schade. Banken houden de exacte gegevens over de omvang van skimming namelijk al jarenlang voor zichzelf. Met de politie zijn afspraken gemaakt over de aangifteprocedure waarbij slachtoffers van skimming worden aangespoord aangifte te doen via de bank. Equens23 stelt de dossiers samen en doet dan een gezamenlijke aangifte bij de politie. Dit scheelt voor de politie veel papierwerk maar geeft hen geen inzicht in de ernst van skimming. Een totaaloverzicht van het aantal skimincidenten ligt dus bij de betalingsverwerker Equens. Zij mogen deze informatie echter niet publiceren omdat de banken eigenaar zijn van de informatie. Omdat hier in 2008 veel kritiek op geweest is, en zelfs heeft geleid tot Kamervragen, heeft de Nederlandse Vereniging van Banken (NVB) besloten om jaarlijks cijfers over de financiële schade van skimming te publiceren. Volgens overheidsinstanties, banken en de media vormt skimming het grootste cyberprobleem op dit moment. Ook bij politie en justitie heeft skimming een hoge prioriteit gekregen. Skimming werd in de begintijd gekenmerkt door aanvallen op geldautomaten, waarbij valse opzetmondjes en camera’s werden gebruikt. De Nederlandse banken hebben daar in 2003 en 2004 maatregelen tegen genomen door nieuwe pasmondjes op de geldautomaten te plaatsen. Hierdoor is het aantal skimincidenten in 2005 behoorlijk gedaald, en werden er door Equens vijftien incidenten geregistreerd met een geschatte financiële schade van ongeveer 1,8 miljoen euro. Dit bedrag kan enigszins gerelativeerd worden door te kijken naar het totaal aantal transacties. In 2005 hebben er in totaal 11,7 miljard pintransacties plaatsgevonden met een waarde van 111,8 miljard euro. Het fraudebedrag per pintransactie komt dus neer op 0,0021 euro. (KLPD 2008: 181). In 2006 hebben criminelen de overstap gemaakt van geldautomaten naar betaalautomaten in winkels en in openbare ruimten. Dit zorgde ervoor dat het aantal skimincidenten dat jaar opliep naar zeventig met een financiële schade van 4,9 miljoen euro. Dit bedrag is in 2007 meer dan verdubbeld naar 12,1 miljoen euro met meer dan tweehonderd incidenten (KLPD 2008: 180). Het aantal pintransacties is deze jaren echter ook gestegen doordat steeds meer winkels toestonden om kleine bedragen te pinnen. In 2008 kwam de NVB voor het eerst met officiële cijfers over de financiële schade

23

Equens is een bedrijf dat alle financiële transacties verwerkt, voorheen bekend als Interpay.

52



van skimming. Volgens de NVB heeft skimfraude Nederland dat jaar 31 miljoen euro gekost. Dit is een verdubbeling van het schadebedrag van het jaar daarvoor. Bijna 27.000 Nederlanders zijn slachtoffer geworden van skimming, wat neerkomt op 1 op de 450 Nederlanders en gemiddeld 75 slachtoffers per dag (De Nederlandsche Bank, 2009: 15). De enorme stijging komt vooral door het grote aantal skimaanvallen bij NS-kaartjesautomaten. Afgelopen jaar is er voor 36 miljoen euro geskimd, slechts een kleine toename van het jaar daarvoor. Er zijn 32.000 Nederlanders geskimd en er werd gemiddeld 1100 euro per geskimde kaart buitgemaakt. Ondanks dat de omvang van skimming dankzij de publicatie van de NVB vrij nauwkeurig wordt weergegeven, is het aantal veroordelingen nog een onbekend gegeven. Doordat de strafvervolgingen in de computers van politie en justitie onder verschillende soorten wetsartikelen staan is er geen overzicht van het aantal zaken. Volgens Bernard Streefland van het Openbaar Ministerie zijn er in vorig jaar ruim honderd skimmers veroordeeld. Wel is bekend dat er in 2009 ongeveer 1236 keer aangifte wegens skimming gedaan is, waarvan 508 keer bij een geldautomaat en 627 keer bij een betaalautomaat (Het Parool, 2010). Aangifte wordt in de meeste gevallen bij de banken zelf gedaan, die gezamenlijk aangifte doen bij de politie. Maar zelden doen slachtoffers van skimming zelf aangifte bij de politie (Respondent 3, 15 december 2009). Op Europees niveau zijn er weinig cijfers bekend over de schade van skimming. De Europese Fraud Prevention Expert Group24 (FPEG) schat in een rapport dat de schade van skimming voor Europa in 2007 tussen de 500 en 1.000 miljoen euro lag (De Nederlandsche Bank, 2009: 14). Het European ATM Security Team25 (EAST) heeft in een intern rapport aangegeven dat er in het eerste half jaar van 2009 zeker 4629 skimincidenten in Europa gemeld waren, met een totaal verlies van 156,80 miljoen euro. Ook hier is dus een stijging in van het schadebedrag zichtbaar. Skimming kan aan de hand van deze cijfers gezien worden als een groot probleem, toch bestempeld het KLPD skimming in het Nationaal Dreigingsbeeld (2008: 182) niet als dreiging. De schade blijft namelijk beperkt door de fysieke component. Criminelen moeten de pasmondjes handmatig vervangen of aanpassen en later ook weer verwijderen. Ook is het schadebedrag slechts 2 tot 3% van het totale bedrag van alle pintransacties. Voor banken vormt skimming een echter wel een serieus probleem. Slachtoffers van skimming worden door de banken namelijk volledig schadeloos gesteld. Maar naast de directe schade kent skimming voor de banken nog een extra kostenpost, namelijk de kosten voor bestrijding en extra maatregelen. 24

De FPEG is opgericht om fraude met niet-contante betaalmiddelen te voorkomen. Verschillende deskundigen op Europees niveau maken deel uit van deze groep. 25 EAST is een in 2004 opgericht non-profit organisatie die informatie verzameld over ATM’s, inclusief criminaliteit gepleegd bij ATM automaten.

53



Zo moeten er passen preventief geblokkeerd worden, nieuwe passen worden uitgegeven en mensen moeten geïnformeerd worden. Ook de extra controles, mensen en systemen die nodig zijn voor de bestrijding van skimming brengen kosten met zich mee. Technologische vooruitgang is een belangrijke factor bij de ontwikkelingen omtrent skimming in de toekomst (KLPD 2008: 181). Verwacht wordt dat de omvang van skimming zal afnemen met de invoer van de EMV-chipkaart26. Met de nieuwe chipkaart verandert de manier van pinnen. Voorheen stond alle informatie op de magneetstrip van de kaart. Deze wordt vervangen door een chip met pincode. Banken en toonbankinstellingen hebben in mei 2009 een pinakkoord gesloten waarin afspraken gemaakt zijn zodat de EMV-migratie in 2011 voltooid kan zijn (MOB, 2008: 10). Op dit moment loopt Nederland met achter op andere Europese landen met de invoering van de EMV-chipkaart. Volgens een interne rapportage van EAST is ongeveer 92% van alle Europese geldautomaten is EMV-chip bestendig, dit percentage is gelijk aan het aantal geldautomaten dat in Nederland is uitgerust met de EMVtechnologie. Voor betaalautomaten wordt verwacht dat deze voor eind 2010 voor 60% vervangen zijn (De Nederlansche Bank, 2006: 11). In combinatie met moderne en veiligere betaalautomaten zou deze maatregel het aantal skimincidenten in Nederland moeten beperken. Toch zal skimming niet geheel verdwijnen. Er zijn namelijk nog steeds automaten, in bijvoorbeeld niet-Europese landen, die nog steeds informatie vanaf de magneetstrip van een kaart halen. Ondanks het feit dat er jaarlijks meer dan 30.000 Nederlanders geskimd worden, schat men de kans om geskimd te worden laag in. De veiligheidsbeleving van mensen hangt af van hun perceptie van de kans op slachtofferschap (De Nederlandsche Bank, 2009: 25). Deze veiligheidsbeleving en de mate waarin zij risico’s inschatten zorgt weer voor aanpassen in hun betaalgedrag. Uit een belevingsonderzoek van De Nederlandsche Bank blijkt dat 32% van de respondenten die over een pinpas beschikt de kans klein acht dat ze slachtoffer worden van skimming. Daarnaast staat 20% niet eens stil bij een kans om geskimd te worden. Slechts 21% vindt het gebruik van een pinpas onveilig geworden na berichten over skimming (De Nederlandsche Bank, 2009: 32). Wel geeft 52% van de ondervraagden aan de opzetmondjes bij geldautomaten te controleren. Het bezit van een pinpas of creditcard wordt maar door 3,4% onveilig gevonden en het gebruik ervan door 4,2%. Het gebruik van een pinpas of creditcard wordt vooral onveilig gevonden door de kans op zakkenrollerij, een gewelddadige beroving of het verlies ervan (De Nederlandsche Bank, 2009: 18). Uit het belevingsonderzoek

26

EMV staat voor Europay Mastercard Visa en is een nieuwe internationale standaard voor betalingen en geldopnames met zowel creditcards als bankpassen.

54



komt ook naar voren dat de invoering van de EMV-chipkaart als meest effectieve maatregel tegen skimming wordt gezien.

4.2.2

Phishing

Phishing wordt nergens centraal geregistreerd en het is moeilijk om uitspraken rondom dit fenomeen te doen. Niet alleen blijft phishing in veel gevallen onopgemerkt of komen slachtoffer er pas later achter, ook het achterhalen van de daders is een uitdaging. Phishingmails kunnen worden verstuurd via botnets of het IP-adres van de verzender wordt omgeleid of gespoofd27. Maar bij phishing wordt niet alleen gebruik gemaakt van e-mails of nepsites, er zijn ook nieuwe vormen ontstaan, zoals pharming, waarbij de computer zelf het doelwit is. In het Nationaal Dreigingsbeeld van 2004 was phishing nog een vrij onbekend verschijnsel, maar vier jaar later kreeg phishing toch de stempel van voorwaardelijke dreiging. De Anti-Phishing Working Group (APWG)28 verzamelt en publiceert gegevens en documenten over phishing. Uit deze rapporten blijkt dat phishing een enorme toename kent. Volgens de APWG werden er in juli 2004 nog 584 unieke phishingsites waargenomen. Dit aantal is geleidelijk gestegen tot halfweg 2006, waarna het een vogelvlucht nam naar een piek van 55.643 meldingen in april 2007. Sinds 2008 is het aantal meldingen weer langzaam aan het dalen. Ook Symantec houdt cijfers bij over phishing. Zij zien sinds 2010 weer een lichte stijging in het aantal phishingsites. Doelwit voor criminelen is voornamelijk de financiële sector, ruim 85% van alle aanvallen richt zich op deze sector. Resterende aanvallen richten zich op informatiediensten en overheidsinstellingen (Symantec, 2010). Het aantal aangiftes in Nederland is blijven stijgen. In 2005 was er sprake van 15 meldingen, in 2006 waren dit er al 25 en in 2007 later meer dan 30 (KLPD, 2008: 207). Hiermee kunnen we echter nog geen conclusies trekken over het aantal slachtoffers in Nederland. De meeste slachtoffers van phishing doen namelijk geen aangifte bij de politie, maar leggen een klacht neer bij de bank of creditcardmaatschappij. Net als bij skimming worden de slachtoffers in de meeste gevallen schadeloos gesteld (KLPD 2008:107). Ook het internationale karakter van phishing maakt het moeilijk inzicht te geven in de locaties van slachtoffers en daders. Maar dat 2007 een piekjaar was voor phishingcriminelen blijkt ook wel uit de mediaberichten van dat jaar. Zo werd de 27

Bij IP spoofing wordt de identiteit van een andere computer vervalst om zo het slachtoffer te laten geloven dat hij een vertrouwde computer is. Op deze manier kan ongeautoriseerde toegang tot een computer verkregen worden. 28 Een organisatie die probeert identiteitsdiefstal en fraude door middel van phishing wereldwijd tegen te gaan. Deze organisatie is opgezet door bedrijven. http://www.antiphishing.org/

55



ABN Amro bank getroffen door een grote phishing aanval. Klanten van deze bank ontvingen in maart 2007 een phishingmail met aangehecht virus waardoor ze werden omgeleid naar een frauduleuze site van de bank. Via deze nepsite werden extra bedragen overgeboekt naar de rekeningen van katvangers, die dit geld op hun beurt moesten opnemen en vervolgens via moneytransfers overboeken naar andere katvangers in de Oekraïne en Rusland. Van dit bedrag mochten ze 5% als beloning houden. Kort na de aanvallen op klanten van ABN Amro werden ook de Rabobank en toenmalige Postbank getroffen door vergelijkbare aanvallen. Volgens een respondent vinden er dagelijks phishingaanvallen plaats. Respondent 4: ‘(…) Phishing gebeurt tientallen keren per dag en slechts 0,5% van deze aanvallen betreft een mail of nepsite. Internetserviceproviders monitoren deze mailstromen op herkomst en de meeste e-mails komen van één pc. De andere phishingaanvallen vinden de plaats in de computer zelf29 (…).’ Over de schade door kosten van phishing zijn in Nederland geen exacte gegevens bekend. Wel geven banken aan dat phishing in combinatie met Trojans ze in totaal jaarlijks ongeveer 5 miljoen euro kost. Het gaat dan niet alleen om de directe schade, maar ook indirecte schade zoals beveiligingsmaatregelen, imagoschade en vertrouwensschending. Dit bedrag kan worden vergeleken met cijfers die bekend zijn uit Engeland en de Verenigde Staten. De financiële schade werd in Engeland door APACS in 2004 geschat op 12,2 miljoen pond, dit liep in 2006 op naar 45,7 miljoen pond en in 2008 was het schadebedrag 52,5 miljoen pond (APACS, 2009: 45). Het Internet Crime Complain Center30 berekende de schade voor online bankfraude in de Verenigde staten en kwam uit op een financiële schade van 65 miljoen dollar in 2008 en dit bedrag steeg naar 558,7 miljoen dollar in 2009 (Internet Crime Complain Center, 2009). Bij andere instanties in de Verenigde Staten varieerde het schadebedrag tussen de 630 miljoen en 50 miljard dollar (KLPD 2008: 208). In Engeland is het aantal frauduleuze websites ook enorm gestegen tussen 2005 en 2008. Werden er in 2005 nog 1,700 phishing websites gevonden, in 2008 waren dit er bijna 44,000 (Respondent 20, 24 november 2009). Als we naar deze cijfers kijken lijkt de geschatte schade in Nederland hoger te zijn dan door de banken wordt aangegeven.

29

Het gaat dan vaak om pharming-incidenten waarbij de DNS server wordt aangepast. Het Internet Crime Complain Center (IC3) is een samenwerking tussen de FBI en het National White Collar Crime Center (NW3C) en ontvangt, registreert en zoekt oplossingen bij klachten over criminelen op het gebied van cybercrime. 30

56



Internetgebruikers worden constant gewaarschuwd voor phishing e-mails en valse websites.

Zo

sturen

banken,

universiteiten

en

e-mailproviders

regelmatig

waarschuwingsberichten om niet zomaar inloggegevens vrij te geven. Mensen worden zich dus steeds meer bewust van het fenomeen phishing. Criminelen reageren hierop door hun werkwijze aan te passen. Zo proberen ze computers te infiltreren via de browser, ook wel pharming genoemd. Pharming is een geëvolueerde vorm van phishing die moeilijker te ontdekken is doordat de Domain Name Server (DNS) wordt gemanipuleerd. Criminelen zijn hiermee niet meer afhankelijk van acties van internetgebruikers want deze worden omgeleid naar een frauduleuze site zonder er het zelf door te hebben. Wanneer een internetgebruiker bijvoorbeeld naar de site van zijn bank wil gaan wordt hij omgeleid naar een namaaksite, vaak een exacte kopie van de originele site, die wordt gehost door criminelen. Gebruikersnamen en wachtwoorden worden eenvoudig geregistreerd en misbruikt voor het plunderen van rekeningen of verkocht op de ondergrondse markten (KLPD 2008: 29). Om dit tegen te gaan gebruiken steeds meer overheidsinstellingen en bedrijven versleutelde websites31. Een andere nieuwe technologische ontwikkelingen wordt door criminelen gebruikt om persoonlijke informatie te achterhalen, vishing. Vishing is ontstaan doordat steeds meer bedrijven en particulieren gebruik maken van VOIP32. Bij Vishing wordt men gebeld door een crimineel die zich voordoet als een financiële instelling en vraagt naar persoonlijke informatie. Daarnaast is er een vorm van phishing ontstaan die zich specifiek richt op gebruikers van mobiele telefoons. Bij SMiShing proberen criminelen gegevens te achterhalen van telefoons met een internetverbinding. Gebruikers ontvangen een link naar een website en door op deze link te klikken dringt er een Trojan Horse de software van de telefoon binnen. Deze Trojan Horse werkt hetzelfde als bij een computer (KLPD 2008: 30). Aangezien steeds meer telefoons verbinding kunnen maken met internet kan SMiShing in de toekomst een behoorlijke dreiging vormen. Maar niet alleen deze nieuwe vormen van phishing vormen een bedreiging voor de toekomst. Technologische ontwikkelingen op verschillende gebieden bieden nieuwe mogelijkheden tot phishing. Zo wordt er veelvuldig gebruik gemaakt van wireless netwerken (wifi) en bieden steeds meer openbare ruimten (gratis) draadloze verbindingen met internet aan. Deze draadloze netwerken zijn vaak inbraakgevoelig en het bereik van deze netwerken beperkt zich niet tot ruimte rondom het netwerk (KLPD, 2004). Buren en omwonende kunnen 31

Om een website te versleutelen worden SSL certificaten gebruikt die ervoor zorgen dat de site zich in een beveiligde omgeving bevindt. Deze websites zijn te herkennen aan een sleutelteken rechtsboven op de adresbalk. 32 Bij Voice Over IP wordt spraak getransporteerd via een IP-netwerk.

57



dit draadloze netwerk dus ook zien en criminelen kunnen vanaf een andere locatie proberen in te breken op het netwerk (Williams, 2006). Een andere ontwikkeling die phishing aantrekkelijk maakt voor criminelen is de opkomst van online winkelen, betalen en bankieren (KLPD 2008: 209). Banken zien een stijging in het aantal fraudemeldingen met Ideal-betalingen. Daarnaast worden frauduleuze emails van banken in combinatie met een economische dip eerder serieus genomen. Ook zijn er specifieke ‘Banking Trojans’ ontwikkeld die soms in combinatie met phishing e-mails klanten van banken misleiden. Wanneer klanten een link vanuit de phishingmail openen en op een frauduleuze website terechtkomen, veranderd de Trojan de gegevens van betalingen. Bij internetbankieren kunnen bijvoorbeeld de over te maken bedragen en het rekeningnummer veranderd worden, zonder dat de klant het zelf in de gaten heeft. Dit is gelijk aan de werking van een normale ‘Banking Trojan’. De nieuwe versie kan daarnaast ook nog automatisch online bankafschriften vervalsen, zodat de klanten in eerste instantie niet door hebben dat er iets mis is met de betaling. Het kan hierdoor langer duren voordat de klant een melding bij de bank doet waardoor de criminelen meer tijd hebben om het geld weg te sluizen. Niet alleen passen criminelen de techniek aan op een specifieke doelgroep, ook de inhoud van de phishingmails wordt aangepast op deze doelgroep om de kans van slagen te verhogen (KLPD 2008: 209). Natuurrampen of het WK van afgelopen jaar werden bijvoorbeeld misbruikt om slachtoffers aan te zetten tot het overmaken van valse liefdadigheidsdonaties, waarvan de bedragen direct in de zakken van criminelen verdwijnen (Symantec, 2010). Daarnaast worden via e-mail goederen en diensten aangeboden om fraude te verhelpen. Deze producten zijn echter in handen van criminelen die ze juist gebruiken om de slachtoffers op te lichten (RSA, 2009: 3). Phishing zal dus ook in de toekomst een bedreiging blijven omdat de uitvoeringskosten laag zijn, het een breed bereik heeft onder internetgebruikers en het relatief weinig technische kennis vereist om een aanval op te zetten.

4.2.3

Identiteitsfraude

Over identiteitsfraude in Nederland zijn nauwelijks cijfers bekend. In het geval van identiteitsfraude geldt, net als bij phishing, dat slachtoffers vaak niet weten dat ze slachtoffer zijn geworden, of hier pas maanden later achterkomen. Uit een onderzoek van Fellowes33 33

Fellowes is in 1917 opgericht door Harry Fellowes en richt zich op informatiebeheer. Het bedrijf helpt mensen bij het ordenen, opslaan, behouden, beschermen en uiteindelijk vernietigen van informatie.

58



onder zeker 130.000 Nederlanders blijkt dat 0,78% van de bevolking in 2009 slachtoffer is geweest van identiteitsfraude (Fellowes, 2009). In de Verenigde Staten is meer onderzoek gedaan naar identiteitsfraude onder andere omdat het daar een groter probleem vormt. Uit verschillende onafhankelijke studies komt naar voren dat er ongeveer 500,000 tot 700,000 Amerikaanse individuen per jaar slachtoffer worden van identiteitsfraude (Givens, 2000). Schattingen geven aan dat er over de afgelopen vijf jaar circa 27,3 miljoen mensen ontdekt hebben dat ze slachtoffer van identiteitsfraude zijn geweest (Synovate, 2003). In Nederland bestaan er echter nog maar weinig voorbeelden van geslaagde fraudepogingen. Toch kan identiteitsfraude ook hier de komende jaren een probleem vormen. Uit onderzoek dat Fellowes in augustus 2009 in Nederland heeft laten uitvoeren blijkt dat 82% van de respondenten papieren en documenten met wachtwoorden, codes en inloggegevens gewoon in de vuilnisbak gooit in plaats van deze te versnipperen. Ook onderzocht Fellowes huishoudelijk afval van 30 willekeurige huishoudens. Ongeveer 90% van het gevonden papierafval bevatte persoonlijke informatie en in 23% van de gevallen was deze informatie zelfs zeer fraudegevoelig, zoals combinaties van inloggegevens en wachtwoorden (Fellowes, 2009). Criminelen kunnen persoonlijke gegevens dus eenvoudig bemachtigen door middel van dumpster diving34. In de Verenigde Staten wordt identiteitsfraude als een serieus probleem gezien. Mede doordat ze werken met een ‘social security number’ (SSN) worden de risico’s voor fraude groter. In de Verenigde Staten kun je met andermans SSN bij veel instellingen al contracten afsluiten, en wanneer je er een creditcardnummer bij hebt zijn er nog meer vormen van fraude mogelijk. De verwachting is dan ook dat identiteitsfraude in de Verenigde Staten de komende jaren ernstig zal toenemen.

4.3 Daderkenmerken aantasting van het goed functioneren van systemen Volgens Yar (2005b) zijn er weinig verschillen tussen de daders van high-tech criminaliteit en traditionele criminaliteit. Maar er zijn geen studies te vinden waarin de daderkenmerken van beide soorten criminaliteit wetenschappelijk met elkaar vergeleken worden. Omdat er in de literatuur en statistieken zelden onderscheid wordt gemaakt tussen de traditionele en high-tech criminaliteit, bestaat er geen algemeen beeld van de high-tech crimineel. Veel delicten tegen het

34

functioneren

van

systemen

fungeren

mogelijk

als

instrument

voor

andere

Dumpster diving is het rondsnuffelen in andermans vuilnis om nuttige spullen en informatieve te bemachtigen.

59



verschijningsvormen zoals phishing en internetfraude35van high-tech criminaliteit, waardoor daderkenmerken kunnen overlappen met andere high-tech delicten. Over hackers is veel geschreven, maar eigenlijk nog maar weinig bekend. Het fenomeen hacken is relatief nieuw en er is nog maar weinig achtergrondinformatie bekend over de motieven en kenmerken van daders. Enkel documenten als de ‘Jargon File’36 en ‘The New Hacker’s Dictionary’37 werpen een klein licht op de achtergronden van hackers (Europol 2007: 13). Hacken wordt al vanaf het begin in verband gebracht jeugdcriminaliteit, met het gebruik van ICT als extra uitdaging (Yar, 2005b). Ook populaire culturele vertegenwoordigingen, zoals de films Wargames (1983) en Hackers (1995) schilderen hackers af als nieuwsgierige en opstandige tieners (Yar, 2005a). Veel van deze tieners, ook wel script kiddies genoemd, zien hacken als een manier om indruk te maken op vrienden door te laten zien wat ze allemaal met een computer kunnen. Ze maken vaak gebruik van informatie op forums en kant en klare programma’s die via internet te downloaden zijn en beschikken vaak over te weinig expertise om daadwerkelijk te beseffen wat ze precies doen en welke gevolgen dit heeft. Een indicator voor de jonge leeftijd van hackers is de chattaal die gebruikt wordt op discussiefora (Beemsterboer, 13 januari 2010). Maar empirische data ter ondersteuning van deze stellingen is bijna niet te vinden. Over de motivaties van hackers is meer bekend, al zijn ook hier wetenschappelijke onderzoeken zeldzaam. Een onderzoek van Post (1996) laat zien dat de eerste generatie hackers vooral gemotiveerd is door de adrenaline kick van een geslaagde poging en het opdien van kennis. Slechts enkele hackers gaven aan te handelen uit wraak of om vernielingen aan te richten. Script kiddies worden door sommige dan ook vergeleken met vandalen (van der Werf, 2003: 28). In de literatuur over hackers wordt een onderscheid gemaakt tussen twee soorten hackers, de white-hat hacker en black-hat hacker38. De white-hat hacker handelt vanuit een ideologie en wil zijn technische vaardigheden niet voor kwade doelen aanwenden (Dasselaar, 2005: 9). De black-hat hacker, ook wel cracker genoemd, trekt zich niet zoveel aan van wetten en regels en gebruikt zijn kennis ook wel eens voor illegale doelen, zoals het vernielen van websites of het verspreiden van illegale software (Dasselaar 2005: 12). De

35

Met internetfraude wordt bedoeld het voordoen als geautoriseerde gebruiker om geld van rekeningen van klanten te kunnen stelen. Hierbij denkt de klant bijvoorbeeld de originele inlogpagina van zijn bank voor zich te hebben terwijl de criminelen deze site spiegelen. Zij vullen afwijkende gegevens in op de originele site zodat de klant niet door heeft dat hij andere bedragen overmaakt naar een andere rekening. 36 De Jargon File is geschreven door Raphael Finkel in 1975 en is een verzameling van hackers termen en subculturen. 37 The New Hacker’s Dictionary is een geprinte en geüpdatee versie van de Jargon File, samengesteld door Eric S. Raymond en uitgebracht in 2003. 38 De termen white-hat en black-hat komen vanuit de wildwestfilms, waar de schurken zwarte hoeden dragen en de helden witte hoeden (Dasselaar, 2005: 9).

60



meeste hackers zijn zichzelf als white-hat hackers: computerexperts die gemotiveerd zijn door nieuwsgierigheid en het verlangen om grenzen van kennis te verleggen, met als doel om computerbeveiliging te verbeteren door gaten en lekken in de beveiliging bloot te leggen (Yar, 2005a: 391). De opvatting dat hackers tieners zijn die met goede bedoelingen proberen ongeautoriseerde toegang te krijgen tot computersystemen is echter sinds 2004 niet meer van toepassing. Hacken en het schrijven en verspreiden van malware is een lucratieve business met het maken van winst als belangrijk aspect. Vooral de opkomst van een ondergrondse economie waar specialismen bij elkaar komen om handel te drijven zorgt voor een verschuiving van ideologische motieven naar louter financiële motieven. De zelf toegeschreven motivaties dienen voor hackers vaak als rechtvaardiging voor hun regelovertredende gedrag en om zichzelf te verdedigen tegen beschuldigingen van crimineel gedrag

(Yar,

2005a).

Deze

rechtvaardigingen

kunnen

gezien

worden

als

neutralisatietechnieken. Volgens Sykes en Matza worden deze technieken gebruikt om schuldgevoel over de regelovertredende gedraging weg te werken (Sykes & Matza, 1957). Zo wordt er vaak gezegd dat er geen slachtoffers vallen bij cyberaanvallen en er is ook geen sprake

van

daadwerkelijke

schade

volgens

de

hackers.

Een

andere

populaire

neutralisatietechniek onder hackers is het veroordelen van de veroordeelaars. Ze zetten zich af tegen de samenleving en bestempelen hun gedrag als vrijheid van meningsuiting. Anderen hebben een slechte beveiliging en soms wordt het testen van deze beveiliging en het aangeven van lekken gebruikt als een beroep op hogere plichten, namelijk de veiligheid van de samenleving. Ook de differentiële associatietheorie van Sutherland kunnen we toepassen op de hackersgroep. Deze theorie bestaat uit negen stellingen waarbij feitelijke en symbolische interacties tussen mensen centraal staat (Bruinsma, 2001: 120). Crimineel gedrag wordt geleerd in interactie met andere personen, hoofdzakelijk in intieme en persoonlijke groepen. Forums en IRC-kanalen dienen vaak als communicatiemiddel voor hackers waarbij ze mogelijk vaste groepjes kunnen vormen om interesses te delen. Wanneer er zich in deze groepen meer personen bevinden die positief staan tegenover wetsovertredingen kunnen individuen zich associëren met crimineel gedrag. De differentiële associatietheorie kan echter niet verklaren waarom hackers in contact komen met bepaalde groepen. Daarnaast zal niet iedere individu die in contact komt met criminele gedragspatronen ook daadwerkelijk crimineel gedrag vertonen.

61



Wanneer we kijken naar de herkomst van botnets en malware is dit in sommige gevallen te herleiden naar specifieke landen. Belangrijke informatie met betrekking tot de herkomst komt vaak uit onderzoeken door opsporingsdiensten. Op het gebied van Trojans is Brazilië een van de grootste bronnen. Dit geldt in het bijzonder voor Trojans die speciaal ontworpen worden om data van gebruikers van internetbankieren te stelen. De Braziliaanse Trojans hebben een aantal specifieke kenmerken; ze zijn bijna allemaal geschreven in Delphi, sommige bestanden zijn geïnfecteerd met het Virut of Induc virus en legale websites worden overgenomen voor de verspreiding van de Trojans (Bestuzhev, 2009). Hieruit kunnen een aantal conclusies worden

getrokken.

Delphi

is

als

programmeertaal

geen

onderdeel

van

universiteitsprogramma’s maar enkel op speciale cursussen te leren, wat betekent dat de schrijvers van de malware niet hoogopgeleid hoeven te zijn. De virussen Virut en Induc worden veel verspreid via downloadsites, pornosites en P2P netwerken, waar vooral jongeren in Brazilië gebruik van maken. Het feit dat legale websites worden overgenomen duidt op een teamverband met verschillende specialisaties. Er kan dus geconcludeerd worden op basis van bovenstaande gegevens dat de Braziliaanse hackers in groepen te werk gaan, over het algemeen vrij jong zijn en laagopgeleid zijn of uit armere gezinnen komen. Redenen voor deze hackers om het criminele pad te kiezen liggen bij de gestratificeerde structuur van Brazilië, de lage lonen en de ineffectieve en onvolledige wetgeving tegen cybercrime. De Braziliaanse Trojans zijn voornamelijk gericht op Braziliaanse internetgebruikers. Bij aanvallen in Nederland wordt Rusland aangewezen als belangrijk herkomstland van Trojans (Respondent 7, 5 januari 2010). Na aanvallen op banken worden de computers van klanten onderzocht en veel software die gevonden wordt bij aanvallen is geschreven in het Russisch. Daarnaast kunnen de codes van het command and control center39 in sommige gevallen het herkomstland verraden. Tevens wordt het geld dat gestolen wordt bij aanvallen gevolgd, wat in meerdere gevallen via moneymules terecht komt in Rusland en andere OostEuropese landen. Onderzoeken naar de bron van de malware wordt echter gehinderd door de mate van corruptie in Rusland en het saboteren van een effectieve samenwerking door Russische overheidsinstanties. Dit is onder andere gebleken uit een groot onderzoek dat het Nationale Team High Tech Crime (NTHTC) van de KLPD in 2007 heeft uitgevoerd. Aanleiding voor dit onderzoek waren de grootschalige phishingaanvallen op Nederlandse banken. Klanten van de ABN Amro waren de eerste slachtoffers van phishers en deze aanval werd opgepakt door het NTHTC. Het onderzoek leidde naar servers in Rusland, de bron van 39

Vanuit hier worden alle servers en systemen beheerd.

62



de verzonden phishingmails. Opsporingsautoriteiten in Rusland weigerde echter hun medewerking voor verder onderzoek, waardoor het NTHTC de herkomst van de e-mails niet verder kon onderzoeken (Respondent 7, 5 januari 2010). Uiteindelijk zijn er wel een aantal verdachten opgepakt maar dit waren voornamelijk Nederlandse moneymules. Naast medewerking van de overheid wordt beweerd dat Russische cybercriminelen ondersteuning van georganiseerde groepen krijgen. (Symantec, 2009: 9). In het volgende hoofdstuk zullen we dieper op deze beschuldiging ingaan. Naast Trojans hebben de Russen een groot aandeel in de Denial-Of-Service aanvallen omdat hier veel geld mee valt te halen door afpersing. In Rusland worden voornamelijk goksites afgeperst, al zijn daar nu meer technische maatregelen tegen genomen door de providers. Denial-Of-Service aanvallen worden door Russische daders verder gebruikt om de concurrentie uit te schakelen. Het grote aandeel van Russische en OostEuropese daders kan volgens een respondent verschillende redenen hebben. Respondent 7: ‘(…) In Rusland heerst de gedachte dat het stelen van buitenlanders niet zo erg is. Er wordt wel van de eigen inwoners gestolen maar criminelen kiezen hoofdzakelijk buitenlandse slachtoffers. En bij het uiteenvallen van de Sovjet Unie is een generatie ontstaan die vaderloos is opgegroeid of veel gezinsproblemen kende. Deze generatie heeft nu de leeftijd waarop ze zich met cybercrime bezighouden in combinatie met een lage moraal. Er leeft een soort ‘Robin Hood gevoel’ waarbij het stelen van de rijken en dit zelf houden als een alternatieve bron van inkomsten wordt gezien (…).’

Daders van spam zijn gebaat bij een goede infrastructuur om de massa’s e-mails te versturen. Landen als China en de Verenigde Staten worden om deze reden gebruikt voor het verspreiden van spam. Volgens een respondent komt er veel spam uit China om de volgende redenen: Respondent 4: ‘(…) Veel spam komt uit China, want het is in het Chinees, omdat hier maar twee internetserviceproviders actief zijn. Eentje is heel actief in de bestrijding en de andere juist helemaal niet, daar wordt dus alle spam via verspreid. In China staan veel servers en ‘command and control centers’ en de opsporing in China is slechts geregeld. Ze kennen bijvoorbeeld geen uitleveringsverdrag voor verdachten (…).’ De Verenigde Staten zijn populair vanwege de verschillen tussen staten in wetgeving tegen cybercrime. Ook dit land heeft een goede infrastructuur met veel servers. Door de nieuwe 63



technische maatregelen tegen spam, waaronder het invoeren van CAPTCHA codes40, is India in opkomst om deze maatregelen te omzeilen. De codes worden automatisch naar India gestuurd waar voornamelijk huisvrouwen ze razendsnel kraken en terugsturen (Respondent 4, 9 december 2009).

4.4 Daderkenmerken vermogensdelicten Daders van skimming worden in sommige gevallen op heterdaad betrapt of vastgelegd op beveiligingscamera’s, en sporadisch zelfs gevonden in winkels wanneer zij apparatuur proberen te vervangen41. Als we de media moeten geloven zijn het enkel Oost-Europese mannen, voornamelijk Roemenen, die valse mondjes plaatsen op geldautomaten en betaalautomaten manipuleren. Maar in hoeverre komt dit beeld overeen met gegevens van opsporingsdiensten en instellingen die zich bezighouden met skimming? In Nederland verzamelt

Equens

de

informatie

over

de

daders

en

houdt

dossiers

bij

over

samenwerkingsverbanden en daderkenmerken. Uit deze gegevens blijkt inderdaad dat het in ongeveer 97% van de gevallen gaat om Roemeense mannen die zich bezighouden met skimming (Respondent 9, 13 januari 2010). Ook zijn er een aantal Bulgaarse daders bekend en zijn er signalen die wijzen op een nieuwe lichting skimmers uit Sri Lanka.Volgens informatie van politie en KLPD bestaan er Roemeense organisaties die zich specifiek richten op Europa. Binnen de organisatie bestaat een taakverdeling en de hoofdorganisatie bevindt zich in Roemenië. Er wordt niet verwacht dat deze organisaties ook betrokken zijn bij andere criminele activiteiten (KLPD 2008: 180). Volgens de NVB is het aandeel van Roemenen ook terug te vinden in de omvang van skimming. De afgelopen jaren was een daling in het aantal skimincidenten te zien in april en aan het eind van de december maand. Dit zou samen kunnen hangen met de katholieke achtergrond van Roemenen die dan teruggaan om thuis de feestdagen te vieren. Volgens experts is het grote aandeel van Roemenen bij skimming te verklaren doordat er een voedingsbodem in het land zelf bestaat. Er zijn aanwijzingen dat de universiteit in Bacau als opleidingsinstituut geldt voor skimmers. Er is echter nog geen concrete informatie over het bestaan van een opleidingsinstituut bekend (Respondent 7, 5 40

CAPTCHA (Completely Automatic Public Turing-test to tel Computers and Humans Apart) is een test om te bepalen of het gaat om een menselijke gebruiker, vaak aan de hand van cijfers en tekens in een scherm die overgetypt dienen te worden. 41 In november 2007 wilde een Roemeen zich laten insluiten boven het plafond van een toilet in een winkel. Het winkelpersoneel had de politie gealarmeerd en deze heeft in totaal drie Roemenen aangehouden. Ook vonden ze tussen het plafond gereedschap om betaalautomaten te vervalsen (De Volkskrant, 2007).

64



januari 2010). Een theorie die de aanwezigheid van Roemeense skimmer kan verklaren is de ‘routine activities’ benadering. Deze benadering is opgezet door Cohen en Felson (1979) die zich vooral op het verklaren van criminaliteitspatronen op macroniveau. Aan de hand van deze theorie is het aandeel van Roemeense skimmers te verklaren door het overschot aan technisch opgeleide jongeren, een tekort aan banen die bij deze opleidingen aansluiten en de lage lonen die hier het gevolg van zijn. De technische opleiding komt goed van pas bij het manipuleren van betaalautomaten, waar voor de jonge Roemenen ontzettend veel geld mee te verdienen is. Een criminele gedraging ontstaat wanneer aan drie voorwaarden is voldaan: een gemotiveerde dader, een aantrekkelijk doelwit en de afwezigheid van voldoende toezicht (Kleemans, 2001: 164). Ook Grabosky (2001) ziet deze drie factoren als belangrijke voorwaarden voor high-tech criminaliteit. Het toezicht is de laatste jaren steeds effectiever geworden, maar ook de Roemeense skimmers kunnen tegenwoordig erg onopvallend te werk gaan om toezichtmaatregelen alsnog te omzeilen. De criminele voedingsbodem in Roemenië kan echter in twijfel getrokken worden aangezien landen als China en India dezelfde situatie kennen, maar niet betrokken zijn bij skimming. Niet alleen de ‘routine activities’ benadering, maar ook de straintheorie van Merton (1968) biedt een verklaring voor de Roemeense skimmers. Volgens deze theorie is crimineel gedrag het gevolg van spanning tussen behoeften van individuen en de mogelijkheden en verwachtingen om deze behoefte op legale wijze te vervullen. Wanneer er geen legale mogelijkheden zijn, kan een individu kiezen om op illegale wijze in zijn of haar behoefte te voorzien. Roemeense jongeren willen niet falen in de ogen van familie, die in de Katholieke cultuur erg belangrijk is, en zullen overgaan tot (illegitieme) tactieken die tot succes kunnen leiden. De Katholieke cultuur is terug te zien in de verspreiding van het aantal delicten over een jaar. Respondent 9: ‘(…) Elk jaar zien we een daling van het aantal fraudegevallen met skimming in april en rond de kerstdagen. Dit kan komen door de Katholieke achtergrond van de Roemenen, die met de feestdagen in april en kerst teruggaan naar Roemenië om deze met familie te vieren (…).’

Phishers weten hun identiteit vaak goed geheim te houden, onder andere door het afschermen van IP-adressen (KLPD 2008: 207). Toch proberen beveiligingsbedrijven, opsporingsdiensten en financiële instellingen kennis te vergaren over de daders van phishing. In sommige gevallen kan het land waar de phishingsite gehost wordt achterhaald worden. Dit 65



wil echter niet zeggen dat de eigenaren van de site zich ook in dat land bevinden. Volgens de Anti-Phishing Working Group bevindt slechts 2% van alle phishingsites zich in Nederland. Informatie over het land van herkomst en de daders wordt vergaard aan de hand van zogenaamde honeypots. Een honeypot42 is een computersysteem dat zich bewust openstelt voor virussen en aanvallen en zo aanvallers in de val lokt, om de verkregen informatie te analyseren.

Uit

verschillende

Nederlandse

opsporingsonderzoeken

blijkt

dat

veel

phishingaanvallen in Nederland georganiseerd worden door Oost-Europese studenten. Er bestaat een onderlinge taakverdeling waarbij botnets worden gehuurd, e-mailadressen worden gekocht en malware wordt geschreven. Om anonimiteit te behouden schakelen ze het Russian Business Netwerk43 in (KLPD 2008: 207). Als katvanger of moneymule worden vaak Nederlandse studenten gebruikt. Ook buitenlandse ervaringen laten een beeld zien van OostEuropese groepen die gezamenlijk een aanval plegen. Zo is in Engeland vorig jaar mei een groep van 13 Oost-Europeanen opgepakt op verdenking van het versturen van frauduleuze emails om klanten van banken te beroven (Respondent 12, 16 december 2009). Maar niet alleen Oost-Europeanen houden zich bezig met phishing, ook vanuit Afrikaanse landen worden frauduleuze e-mails verzonden. Deze e-mails staan ook wel bekend als de ‘419 fraude’, wat wijst naar een artikel in het Nigeriaanse wetboek van strafrecht44. In de e-mail worden

prijzen

en

geldbedragen

beloofd

als

het

slachtoffer

eerst

een

kleine

onkostenvergoeding voorschiet. Na een aantal herhalingen van deze vergoeding verdwijnen de oplichters weer. De ‘419 fraude’ begon met brieven en fax, maar wordt tegenwoordig massaal per e-mail verstuurd, vaak met loterijen als onderwerp. Het zijn voornamelijk Nigerianen die zich met deze fraude bezighouden. Uit informatie van het KLPD blijkt dat dit niet altijd vanuit Nigeria zelf gebeurt maar ook door Nigerianen die zich bijvoorbeeld in Amsterdam bevinden. Een andere grote verspreider van phishingmails zijn de Verenigde Staten. Volgens beveiligingsbedrijven als Symantec en Trend Micro USA staan de Verenigde Staten al jaren op de eerste plaats met het aantal gehoste phishingsites. In 2008 was 43% van alle door Symantec gedetecteerde phishingsites gelegen in de Verenigde Staten (Symantec, 2008: 78). Vooral de goede en snelle internetverbindingen maken dit land populair voor het hosten van phishingsites. Niet al deze phishingsites worden beheerd door Amerikanen en er

42

De naam honeypot wijst naar Winnie de Poeh, die de potten met honing niet kon weerstaan en daardoor keer op keer in de problemen kwam. 43 Het Russian Business Network is een Russische service provider die klanten anoniem gebruik laat maken van het netwerk. 44 De fraude heeft zijn naam te danken aan een Nigeriaans wetsartikel omdat veel oplichtingpraktijken vanuit Nigeria werden opgezet.

66



wordt gedacht dat veel van deze websites een Russische eigenaar hebben, al zijn hier geen concrete bewijzen voor (Respondent 26, 6 januari 2010).

Het aantal onderzoeken naar identiteitsfraude in Nederland is beperkt. Er is meer bekend over de identiteiten van de slachtoffers dan de daders. Op basis een internationaal onderzoek van Newman en McNally (2005) onder politieofficieren in de Verenigde Staten, kan gezegd worden dat steeds meer criminelen die zich voorheen bezighielden met drugshandel nu ook de overstap maken naar identiteitsfraude. Omdat de pakkans bij identiteitsfraude een stuk kleiner is dan bij drugshandel, en de opbrengsten zeker even groot zijn, wordt dit als een goed alternatief beschouwd (Hulst & Neve, 2008: 103). De lage pakkans en grote opbrengsten zijn voor de meeste daders van identiteitsfraude belangrijke motieven (Respondent 10, 30 oktober 2009). Naast de betrokkenheid van de drugshandel gaven officieren uit het onderzoek van Newman en McNally (2005) ook aan dat ze een opkomst van georganiseerde groepen zagen die identiteitsfraude ondersteunen. Deze relatie tussen identiteitsfraude en drugs of georganiseerde criminaliteit vraagt echter om dieper onderzoek. Identiteitsfraude is in de meeste gevallen geen op zichzelf staand delict en gaat vaak gepaard met andere vormen van high-tech criminaliteit, zoals botnets, spam en phishing. Specialismen op al deze gebieden kunnen worden gecombineerd om de uiteindelijke identiteitsfraude te plegen.

4.5 Conclusie Informatie over de omvang van delicten tegen het goed functioneren van informatiesystemen is schaars en er worden maar te weinig verdachten aangehouden of vervolgd om op basis van zaken uitspraken te doen. Volgens de meeste respondenten zijn delicten als hacking en Denial-Of-Service aanvallen op dit moment niet zorgwekkend, maar kunnen ze in de toekomst een bedreiging vormen door onze afhankelijkheid van ICT. Over de daders van deze delicten, voornamelijk hackers, is meer geschreven maar dit beeld is verouderd. Hacken is nu een manier voor financieel gewin en wordt zelden nog uit nieuwsgierigheid gedaan. De malware die gebruikt wordt is in veel gevallen terug te leiden naar bronnen in Brazilië. In Nederland zien we ook malware uit Rusland. Deze Russen zijn naast malware ook actief met Denial-Of-Service aanvallen, waarbij het afpersen van bedrijven en organisaties een belangrijk doel is. Voor spam worden in Nederland door OPTA boetes uitgedeeld aan 67



overtreders. Maar in de meeste gevallen komt spam vanuit de Verenigde Staten en China. Vermogensdelicten worden eerder opgemerkt omdat deze vaak een fysieke component bevatten. Bij skimming worden daders soms op heterdaad betrapt en ook bij identiteitsfraude kunnen daders door de mand vallen in de fysieke wereld. Skimming is momenteel een groeiend probleem met een schade die vorig jaar opliep naar 36 miljoen euro. Banken draaien voor deze schade op dus de impact van skimming op burgers blijft beperkt. Met de komst van de nieuwe EMV-technologie moet het aantal skimincidenten afnemen. Betrouwbare bronnen melden dat het vooral Roemenen en Bulgaren zijn die zich met skimming bezighouden. Phishing kan door banken worden ontdekt wanneer ze tips van klanten krijgen over verdachte e-mailberichten. Maar wanneer de criminelen DNS-servers omleiden blijft dit high-tech delict onopgemerkt. Dit is dan ook de grootste dreiging voor de toekomst. Cijfers over phishing gaan meestal over het aantal phishingsites dat is aangetroffen en deze bevinden zich in OostEuropa, Afrika en de Verenigde Staten. Over identiteitsfraude is nauwelijks informatie bekend, niet over de omvang en niet over de daders. In de Verenigde Staten wordt identiteitsfraude als groot probleem gezien maar het is afwachten of het ook in Nederland zal toenemen. Uit deze informatie kunnen we concluderen dat de verschijningsvormen van high-tech criminaliteit momenteel geen maatschappelijk probleem vormen. Niet alleen omdat het aantal daadwerkelijke delicten niet zorgwekkend is, maar ook omdat de schade wordt gedragen door de banken. Wel is er een duidelijke toename van verschillende delicten te zien, zoals malware en skimming, wat maatregelen wel wenselijk maakt. Het slechte zicht op de daders en hun kenmerken vraagt om verder onderzoek voor een efficiënte en effectieve bestrijding. In het volgende hoofdstuk ga ik nog dieper in op de kenmerken van de daders, in het bijzonder de betrokkenheid van georganiseerde groepen bij high-tech criminaliteit.

68



69



5. GEORGANISEERDE HIGH-TECH CRIMINALITEIT Om de verantwoordelijkheid voor de bestrijding van high-tech criminaliteit gedeeltelijk op de overheid te kunnen schuiven willen financiële instellingen aantonen dat het gaat om georganiseerde criminaliteit. Als dit namelijk het geval is denken zij dat het probleem eerder door opsporingsinstanties op nationaal niveau wordt aangepakt. Dit roept een tweetal vragen op. Allereerst, in hoeverre zijn georganiseerde groepen daadwerkelijk betrokken bij high-tech criminaliteit gericht op financiële instellingen. High-tech criminaliteit wordt vaak in verband gebracht met de georganiseerde misdaad. Aanvallen op banken worden in Nederland door de media toegeschreven aan georganiseerde groepen uit Oost-Europese landen. Onduidelijk is echter wat er onder georganiseerde criminaliteit wordt verstaan en in welke mate deze groepen invloed hebben op de verschijningsvormen van high-tech criminaliteit. Om de betrokkenheid van georganiseerde groepen bij high-tech aanvallen in kaart te kunnen brengen is het noodzakelijk eerst het begrip georganiseerde criminaliteit te definiëren en de verschillende typen georganiseerde criminaliteit op een rij te zetten. Vervolgens kijken we naar de kenmerken van de daders van zowel high-tech criminaliteit als georganiseerde criminaliteit om de betrokkenheid van georganiseerde groepen in kaart te brengen. Een tweede vraag is of het label georganiseerde criminaliteit inderdaad leidt tot een verandering in de aanpak van high-tech criminaliteit. Veel overheidsorganisaties zijn erbij gebaat wanneer een criminaliteitsterrein onder georganiseerde criminaliteit valt. Zo valt hightech criminaliteit pas onder het takenpakket van het KLPD wanneer het gaat om zware of georganiseerde criminaliteit of om delicten die vitale infrastructuren in onze samenleving aantasten (intern rapport vanuit het KLPD). Ook Europol is afhankelijk van het label georganiseerde criminaliteit om zich met onderzoeken te kunnen bemoeien. Op basis van het sociaal constructivisme en de ‘Securitization theorie’ wordt beoordeeld wat de meerwaarde van het label georganiseerde criminaliteit is voor de aanpak van high-tech criminaliteit.

5.1 Theoretische stromingen Er bestaan verschillende definities en theoretische invalshoeken met betrekking tot georganiseerde criminaliteit. Door de jaren heen zijn er drie oerbeelden van georganiseerde criminaliteit te onderscheiden. Sinds de jaren ´50 wordt georganiseerde criminaliteit gezien 70



als een wereldwijde gecentraliseerde criminele organisatie. De oorsprong van deze stroming ligt in de Verenigde Staten. Kern van deze ‘alien conspiracy’ theorie is dat criminele organisaties centraal geleide samenzweringen van buitenlanders zijn, meestal gebaseerd op etnische grondslag, die de samenleving bedreigen (Kleemans et.al., 2002: 32). Door het gebrek aan nauwkeurigheid en empirisch bewijs werd deze theorie in de jaren ´60 alweer achterhaald geacht (Paoli, 2002: 54). Vervolgens werd gedacht dat georganiseerde criminaliteit bestond uit piramidale organisaties met een strenge hiërarchie, duidelijke taakverdeling, gedragscodes en een intern sanctiesysteem. Deze gedachtegang werd door de media snel opgepikt en vormt ook nu nog een populair beeld van georganiseerde criminaliteit. Het derde oerbeeld van georganiseerde criminaliteit is het illegale ondernemerschap, wat organisaties ziet als calculerende misdaadondernemingen (Kleemans et.al., 2002: 33). Ze kunnen als bedrijf worden gezien omdat ze alle facetten van goederen en diensten beheren, zowel illegaal als legaal. Deze inmenging met illegale markten is in de Verenigde Staten lange tijd een vereiste geweest bij het definiëren van georganiseerde misdaad. Volgens Paoli (2002) kan worden gesproken van een paradox van georganiseerde criminaliteit. De criminele organisaties bestaan namelijk niet uit hiërarchische en piramidevormige structuren, maar uit losse samenwerkingsverbanden welke vaak van samenstelling veranderen (Kleemans, van den Berg & van de Bunt, 1998). Ook de bevoorrading van goederen vindt meestal op ongeorganiseerde manier plaats doordat de producten illegaal zijn. Er is dus geen sprake van een bedrijfscultuur, collectieve identiteit en taakverdeling (Paoli, 2002: 52). Wetenschappers kijken nu steeds vaker naar criminele groepen als netwerken (Bruinsma & Bernasco, 2004). Bij onderzoeken naar fraudenetwerken werden wisselende samenwerkingsverbanden gevonden met een aantal centrale personen die de kern vormen. Er was geen sprake van een piramidestructuur met hiërarchische en duurzame relaties. Wel waren

er

hiërarchische

verhoudingen

waargenomen

tussen

de

kern

van

de

samenwerkingsverbanden en ondergeschikten. Het gaat om een ketenstructuur met een hiërarchie binnen de afzonderlijke ketens (Kleemans, van den Berg & van de Bunt, 1998: 41). Er zijn dus verschillende benaderingen van georganiseerde criminaliteit. Deze benaderingen vormen een begin voor de definitie van het georganiseerde criminaliteit. In de volgende paragraaf wordt dieper ingegaan op de problemen rondom het definiëren van georganiseerde criminaliteit en wordt een werkbare definitie gevormd. Deze definitie is nodig om de betrokkenheid van georganiseerde groepen te kunnen toetsen aan casussen van hightech criminaliteit en om zo een eventuele link aan te kunnen tonen. 71



5.2 Definitie van georganiseerde criminaliteit Er zijn vele pogingen gedaan om tot een universele definitie van het begrip georganiseerde criminaliteit te komen, echter zonder succes. Vragen over het aantal betrokken personen, het tijdbestek van de activiteiten en de rol van geweld worden door onderzoeken op verschillende manieren beantwoord (Dorn, 2009: 292). Volgens Maltz (1985) helpt een definitie van georganiseerde criminaliteit om vast te stellen welke bronnen ingezet moeten worden en bij welke instantie de bevoegdheid tot vervolgen ligt. Alle definities hebben met elkaar gemeen dat ze pogen georganiseerde criminaliteit te beschrijven als georganiseerde criminele groepen en hun kenmerken (Hagan, 2006: 133). En een definitie moet in ieder geval de term georganiseerd bevatten (Finckenauer, 2005). Godson & Olson (1993) geven drie kenmerken die transnationaal georganiseerde criminaliteit van nationale criminaliteit onderscheiden: 1) het moet gaan om grensoverschrijdende operaties, 2) die het vermogen hebben om internationale autoriteiten uit te dagen en 3) er moet sprake zijn van transnationale relaties. Maar in de meeste definities staan de kenmerken van de groep en de criminele activiteiten centraal. Zo omschrijft artikel 2 van de UN Convention against Transnational Organised Crime (2000) georganiseerde criminaliteit als volgt: ‘Organized criminal group shall mean a structured group of three or more persons, existing for a period of time and acting in concert with the aim of committing one or more serious crimes of offences established in accordance with this Convention, in order to obtain, directly or indirectly, a financial or material benefit.’ Het gaat in deze definitie om een groep van minimaal drie personen die al enige tijd samenwerken en zich richten op serieuze delicten voor financieel of materieel gewin. De Council of Europe heeft hier nog een aantal criteria aan toegevoegd om het rapporteren uniform en eenvoudig te maken. Van de elf punten vormen de eerste vier de basis en moeten in alle gevallen aanwezig zijn, deze vier criteria komen overeen met de definitie van de Verenigde Naties hierboven. Daarnaast moet er een specifieke taakverdeling bestaan, een vorm van interne discipline en controle en bedrijfsgerelateerde structuren, de groep maakt gebruik van geweld of intimidatie, er is sprake van corruptie en witwaspraktijken en ze opereren op internationaal niveau. Om een groep als georganiseerde criminaliteit te kwalificeren moet naast de basiseisen ook aan twee aanvullende criteria, die ik net heb opgesomd, voldaan zijn (Council of Europe, 2004: 8). Ook in de wetenschap zijn criteria voor georganiseerde criminaliteit opgesteld. Zo hebben Maltz (1985) en Hagan (1983) verschillende criteria opgesteld, die overeenkomen met de criteria hierboven. Maar het grootste gedeelte van deze criteria past niet bij de georganiseerde 72



groepen van nu. Uit de vorige paragraaf bleek dat veel groepen geen hiërarchische structuren kennen maar uit losse samenwerkingsverbanden bestaan. Daarnaast is er niet altijd sprake van een vermenging van legale en illegale markten. Een definitie die veel in Nederlandse publicaties over georganiseerde criminaliteit voorkomt is: ‘groepen die primair gericht zijn op illegaal gewin die systematisch misdaden plegen met ernstige gevolgen voor de samenleving en in staat zijn deze misdaden op betrekkelijk effectieve wijze af te schermen, in het bijzonder door de bereidheid te tonen fysiek geweld te gebruiken of personen door middel van corruptie uit te schakelen’ (Moerland & Boerman, 1999: 67).

5.3 Het meten van georganiseerde criminaliteit Georganiseerde groepen zijn moeilijk te traceren via het internet. Dit komt mede door een aantal tekortkomingen op diverse onderdelen bij de bestrijding van high-tech criminaliteit. Er is geen algemeen registratiesysteem van georganiseerde criminaliteit, de informatie over het probleem is verdeeld over verschillende instanties en veel data wordt vastgehouden door Internetserviceproviders

(ISP’s)

(Europol,

2007:

16).

Ook

het

identificeren

van

georganiseerde criminaliteit is vanwege de verschillende definities een moeilijke opgave, waardoor het beperkt geregistreerd wordt registreren is. Aantallen variëren per land tussen geen tot duizend georganiseerde groepen (Council of Europe, 2004: 37). De opkomst van het internationale probleem rondom georganiseerde criminaliteit werd veroorzaakt door de grootte van de georganiseerde criminaliteit en rapporten over activiteiten van criminele organisaties en individuen. Globale metingen van georganiseerde criminaliteit worden bijgehouden door Interpol. Ze gebruiken schattingen van inkomsten gebaseerd op de productie en prijs van illegale goederen (Edwards & Gill, 2002: 206). Vanuit de criminology of the self45 (Garland, 2001) kan georganiseerde criminaliteit namelijk begrepen worden als het antwoord op de vraag naar illegale diensten in de Westerse samenleving aan de ene kant, maar de grenzen die door staten gesteld worden aan het uitoefenen van een soevereine autoriteit over de bevolking aan de andere kant. Cijfers met betrekking tot georganiseerde criminaliteit worden door Interpol echter niet gepubliceerd. In Nederland wordt georganiseerde criminaliteit vanaf 1996 geanalyseerd en vastgelegd in de Monitor Georganiseerde Criminaliteit. Tot op heden zijn er drie rapportages gepubliceerd. Het doel van de Monitor Georganiseerde Criminaliteit is om kennis uit grote opsporingsonderzoeken te 45

De criminology of the self ziet criminelen als rationele en calculerende burgers. Kenmerkend van deze theorie is dat criminaliteit wordt gezien als een normaal aspect van de moderne samenleving en een uitkomst van sociale interacties.

73



gebruiken om inzicht in de aard van georganiseerde criminaliteit in Nederland te krijgen. De omvang van georganiseerde criminaliteit wordt hierbij buiten beschouwing gelaten. Ook een onderzoek ten behoeve van de parlementaire enquêtecommissie opsporingsmethoden in 1995 kon de vraag naar de omvang van georganiseerde criminaliteit in Nederland niet beantwoorden. De onderzoeksgroep concludeerde dat deze omvang zich niet liet uitdrukken in omzet of aantallen groepen, hiervoor was het beeld van georganiseerde criminaliteit te gedifferentieerd (Van de Bunt, Fijnaut, Bovenkerk & Bruinsma, 1996).

5.4 De relatie tussen high-tech criminaliteit en georganiseerde misdaad In de media worden regelmatig uitspraken gedaan over de betrokkenheid van georganiseerde groepen bij cyberaanvallen (Nieuwenhuizen, 29 juli 2005). Maar deze uitspraken worden zelden ondersteund door concrete aanwijzingen of bronnen. Het aantonen van een relatie is niet gemakkelijk. Niet alleen is georganiseerde criminaliteit een tijdsgebonden sociale constructie, ook het karakter van high-tech criminaliteit zorgt voor een aantal problemen. In het voorgaande hoofdstuk is al gebleken dat er weinig succesvolle onderzoeken naar hightech criminaliteit zijn gedaan dus ontbreken harde data over daders en hun kenmerken ontbreekt. Daarnaast maakt het grenzeloze karakter van het internet het onmogelijk om alle relevante informatie te verzamelen. En de informatie die wel bekend is kan niet worden opgeslagen in een universeel systeem omdat dit nog niet bestaat (Europol 2007:11). Ik ga op zoek naar verklaringen waarom georganiseerde groepen betrokken kunnen zijn bij high-tech criminaliteit. High-tech criminaliteit biedt georganiseerde groepen gelegenheden zoals het plegen van nieuwe criminaliteitsvormen, maar ook het plegen van bekende delicten in een nieuw jasje. De mogelijkheden voor communicatie zoals e-mail, forums en instant messages bieden alternatieven om snel te communiceren en contacten te werven. De toenemende risico’s van fysieke criminele activiteiten en de afnemende opbrengsten kunnen de georganiseerde criminaliteit richting high-tech criminaliteit drijven, omdat het financiële gewin groter is en de pakkans en investeringen kleiner (McCusker, 2007: 273). De angst voor een relatie tussen georganiseerde groepen en high-tech criminaliteit speelt vooral bij delicten als fraude en vervalsing een rol (Council of Europe, 2004: 118). Fraude met behulp van ICT kan veel vormen van georganiseerde criminaliteit ondersteunen (Europol, 2008: 25). Daarnaast kunnen hackers worden ingezet om geld weg te sluizen of vertrouwelijke informatie te stelen die weer 74



doorverkocht kan worden op de ondergrondse markt (Europol, 2007: 14). Doordat er steeds meer persoonlijke gegevens digitaal worden opgeslagen vergroten criminelen hun potentiële slachtoffergroep door deze hackers in te huren (Council of Europe, 2004: 172). Een andere factor die de betrokkenheid van georganiseerde groepen bij high-tech criminaliteit stimuleert is globalisatie. Het internationale karakter en de hoge mate van anonimiteit in de cyberwereld belemmeren opsporingsinstanties bij het achterhalen van de daders. Tevens zorgt globalisatie voor ‘jurisdiction shopping’. Criminelen zoeken naar landen die bepaalde gedragingen (nog) niet hebben gecriminaliseerd (Passas, 2002). Cyberspace biedt de georganiseerde misdaad dus perspectief voor het uitbreiden van organisatorische en operationele mogelijkheden (Choo, 2008: 271). Volgens Europol (2003) waren er in 2002 ongeveer vierduizend georganiseerde groepen actief in Europa. Uit het Organised Crime Situation Report van 2004 blijkt echter dat er slechts een aantal zaken bekend zijn waarin elementen van georganiseerde criminaliteit gekoppeld konden worden aan delicten tegen het functioneren van informatiesystemen (Council of Europe, 2004: 118).Ook zijn er aanwijzingen dat georganiseerde groepen betrokken zijn bij phishing, identiteitsfraude, Denial-Of-Service aanvallen en het witwassen van geld (Europol, 2007: 17). Het gaat hier om uitspraken en conclusies uit internationale rapporten op beleidsniveau. Er worden echter geen voorbeelden gegeven van aanvallen waarbij deze georganiseerde groepen dan betrokken zouden zijn, en waar dit op gebaseerd is. De betrokkenheid is volgens een respondent bij een nationale opsporingsinstantie af te leiden uit de middelen en methoden die gebruikt worden. Respondent 10: ‘(…) High-tech criminaliteit kent een ondergrondse economie voor de handel in goederen en diensten. Dit wijst op een hoge organisatiegraad. Er is namelijk sprake van een transparant en zichtbaar vraag en aanbod van gegevens die criminelen nodig hebben om bepaalde delicten te kunnen plegen (…).’ Deze redenering wordt ondersteund door een onderzoek van Microsoft, dat aantoont dat alleen cybercriminelen die samenwerken een hoge omzet kunnen verwezenlijken. Bij de ondergrondse handel via onder andere IRC46 zijn namelijk veel oplichters betrokken die de prijs van goederen en diensten opdrijven (Herley & Florêncio, 2005). Ook Symantec ziet aanwijzingen om aan te nemen dat georganiseerde groepen zich bezighouden met deze

46

IRC staan voor Internet Relay Chat en is een communicatieprogramma gericht op groepen. Gebruikers kunnen verschillende chatsessies starten en anderen voor deze sessies uitnodigen.

75



ondergrondse economie. Voornamelijk de organisatie achter sommige forums die deel uitmaken van de ondergronds cyberhandel wordt toegeschreven aan georganiseerde groepen (Symantec, 2008: 9). Daarnaast worden aanvallen op banken in het bijzonder gekenmerkt door discipline, lage schadebedragen en hit-and-run tactieken. Criminelen vallen banken aan in een cirkelpatroon, ze kiezen een gebied voor een bepaalde tijd en dan gaan ze weer verder. Banken in Nederland zijn bijvoorbeeld in 2007 slachtoffer geweest van een grootschalige internetaanval waarbij rekeningen van klanten door middel van phishing en internetfraude geplunderd werden. Deze aanval heeft slechts een paar weken geduurd en daarna hielden ze op (Respondent 18, 15 december 2009). Dit is opvallend want als er sprake zou zijn van meerdere criminelen die afzonderlijk van elkaar te werk gaan zouden aanvallen niet in fasen komen. In de Verenigde Staten waren banken in 2001 slachtoffer van een reeks aanvallen. Deze aanvallen werden allemaal op dezelfde manier uitgevoerd. De FBI spoorde uiteindelijk een organisatie van veertig hackers op die verantwoordelijk waren voor de aanvallen (Council of Europe, 2004: 119). Bij phishingaanvallen, zoals de ‘419 fraude’, blijven de aanvallen elkaar wel afwisselen en zijn niet aan een gebied of bepaalde tijd gebonden. Deze vorm van fraude wordt dan ook niet geassocieerd met georganiseerde criminaliteit. Ondanks een gebrek aan kennis van ICT en high-tech criminaliteit bij georganiseerde groepen, hebben ze wel de financiële middelen om deze kennis te kopen (Hulst & Neve, 2008: 4). Via internet komen ze eenvoudig in contact met ervaren hackers die wel over deze kennis beschikken. Volgens een intern rapport van McAfee worden voornamelijk universiteiten en internetforums gebruikt om studenten met specialisatie op het gebied van ICT en computers te werven. Daarnaast wordt via internet veel technologische expertise en uitrusting aangeboden, zoals apparatuur voor skimming en volledige malware programma’s. Ook het KLPD ziet steeds meer diversificatie en taakspecialisatie bij high-tech criminaliteit (Boerman en Mooij, 2006). Ondanks dat een individu ook succesvol kan zijn, kunnen samenwerkingsverbanden worden aangegaan bij het opzetten van grootschalige aanvallen waarbij meerdere slachtoffers het doelwit zijn. Dit levert niet alleen meer winst op maar maakt het ook opsporingsdiensten moeilijk de daders te achterhalen (Brenner, 2002). Volgens een respondent bij het KLPD is het empirisch gezien vaak moeilijk om een langdurig samenwerkingsverband aan te tonen. Respondent 7: ‘(…) In een aantal zaken hebben wij gezien dat er doelgericht en tijdelijke criminele samenwerkingsverbanden betrokken waren. De top van deze criminele samenwerkingsverbanden werkt wel vaak langere tijd met elkaar samen omdat ze bang zijn 76



voor infiltratie47. In verschillende onderzoeken komen bepaalde namen vaker terug. Er bestaat een vertrouwde kring van specialisten die elkaar al wat langer kennen. Ze hebben weinig internetcontact. Wij komen bijna nooit goed georganiseerde en hiërarchische organisaties tegen (…).’. Volgens het Nationaal Dreigingsbeeld (2004) was er bij georganiseerde groepen in Nederland niet genoeg kennis om zich met high-tech criminaliteit in te laten. ICT werd door hen dan ook voornamelijk gebruikt als communicatie- en afschermmiddel. Ook Jan Kortekaas, die zich heeft verdiept in ICT-ontwikkelingen voor zijn promotieonderzoek, is van mening dat criminele organisaties enkel gebruik maken van internet en e-mail als communicatiemiddel. De aard van de criminele activiteiten zou hierdoor niet veranderen (Persbericht Universiteit Leiden, 31 mei 2005). In Nederland zelf zijn tot dusver geen georganiseerde groepen bekend die zich bezighouden met high-tech criminaliteit. Wel is Nederland een belangrijke leverancier voor de verhuur van botnets op de ondergrondse markt wat criminele organisaties zou kunnen ondersteunen (Hulst & Neve, 2008: 4). In de volgende paragraaf wordt dieper ingegaan op de achtergrond van Russische en Oost-Europese georganiseerde groepen. Groepen uit deze landen worden aangemerkt als belangrijke bron voor high-tech criminaliteit.

5.5 De rol van Russische en Oost-Europese groepen De betrokkenheid van Russische groepen wordt ondersteund door verschillende arrestaties bij onderzoeken naar de ondergrondse economie van high-tech criminaliteit (Symantec, 2009: 14). Ook gegevens uit het Organised Crime Situation Report laten zien dat georganiseerde groepen uit Rusland verantwoordelijk waren voor het grootste deel van de gepleegde aanvallen op Europese banken (Council of Europe, 2004: 119). Het Russische Ministerie van Binnenlandse Zaken heeft in 1993 gemeld dat er meer dan vijfduizend georganiseerde groepen actief waren in Rusland. Hiervan wordt verwacht dat er slechts driehonderd een identificeerbare structuur hebben. Volgens Dunn (1990:84) zijn er ongeveer dertig georganiseerde groepen in Rusland die een bredere set van activiteiten hebben, waaronder high-tech criminaliteit. Volgens hen hadden georganiseerde groepen in Rusland een piramidestructuur met een elite groep aan de top, maar deze is de laatste jaren veranderd naar 47

Na de Dark Market zaak in de Verenigde Staten werd deze angst voor infiltratie nog groter. Dark Market was een 2 jarige undercoveroperatie van de FBI waarbij een agent infiltreerde in een internet cybercrime forum. De operatie leverde meer dan 60 arrestaties op en heeft ervoor gezorgd dat veel organisaties hun communicatie beter afschermen.

77



een lossere organisatie van netwerken die vanuit een gezamenlijke interesse handelen. Op deze manier kunnen allianties gevormd worden gebaseerd op de etnische of regionale achtergrond. Volgens de FBI zijn er in 2001 een aantal georganiseerde hackersgroepen ontdekt in Oost-Europa, voornamelijk in Rusland en de Oekraïne. De hackers hadden bij elke aanval dezelfde tactiek. Eerst drongen ze door tot de computers van bedrijven en downloaden ze de creditcard nummers. Vervolgens probeerden ze de slachtoffers geld af te troggelen en dreigden hierbij om de gestolen data op internet de plaatsen (Jaklin, 2001). Volgens de Raad van Europa (2004) hebben Russische georganiseerde groepen een efficiënte en hiërarchische structuur met een onderlinge taakverdeling en interne discipline. Het gaat echter niet om grote centrale organisaties maar om kleinere groepen die met elkaar concurreren. De levensduur van deze groepen is vrij kort, want hoe langer ze bestaan des te meer sporen laten ze achter voor opsporingsdiensten. De media schetst nog vaak een beeld van Russische maffia en gevaarlijke georganiseerde groepen (Security.nl, 8 december 2008). Vooral het maffiabeeld wekt veel angst. Maar Finckenauer & Waring (1998: 251) stellen dat er bij de Russische georganiseerde criminaliteit geen sprake is van een maffiastructuur. Russische georganiseerde groepen staan bekend om hun focus op financiële criminaliteit, witwassen van geld en afpersing (Council of Europe, 2004: 37). Het Russian Business Network is een veelgenoemde organisatie die wordt verdacht in diverse onderzoeken naar high-tech criminaliteit. In een onderzoek van Team Cymru48 wordt het Russian Business Network zelfs in combinatie gebracht met 60% van alle cybercrime delicten wereldwijd (Warren, 15 november 2007). Ook Symantec meldt dat deze groep verantwoordelijk werd gehouden voor de helft van alle phishingincidenten in 2006 (Symantec, 2009: 13). Het Russian Business Network specialiseert zich volgens opsporinginstanties in identiteitsfraude, Denial-Of-Service aanvallen, afpersing en phishing. Daarnaast hosten ze servers die gebruikt worden door andere criminele organisaties. Ze staan bekend om hun anonieme bulletproof hosting service, dat wil zeggen dat mensen anoniem gebruik kunnen maken van de servers die te allen tijde beschikbaar zijn en niet door opsporingsinstanties of overheden uit de lucht gehaald kunnen worden. De kosten voor deze service liggen rond 300 pond per maand, dit is tien keer de normale marktprijs voor het huren van een server (Warren, 15 november 2007). Deze hoge kosten maken het Russian Business Network onaantrekkelijk voor normale bedrijven, maar interessant voor criminele organisaties. Er wordt beweerd dat de Russische overheid en de maffia betrokken zijn bij het Russian Business Network, maar dit wordt door 48

Team Cymru is een onderzoeksgroep die zich specialiseert in internetcriminaliteit.

78



de partijen zelf ontkend. Er zijn zelfs geruchten dat de leider en oprichter van het Russian Business Network, een 24-jarige die schuil gaat onder de naam Flyman, een neef van een machtige en bekende Russische politicus is. Er zijn geen concrete aanwijzigingen die deze beweringen ondersteunen. Een andere bekende organisatie is ShadowCrew, een Russisch webforum voor online fraude. De administrators bevinden zich in Rusland zelf en er zijn zowel Russische als Oost-Europese groepen betrokken bij operaties die deze organisaties uitvoert (Symantec, 2008: 9). Te denken valt dan aan het werven van katvangers en het witwassen van geld. Een ander voorbeeld is een Russische groep die in 1994 ontdekt werd na een aanval op de data netwerken van een van de bekendste banken in New York. De groep opereerde vanuit St. Petersburg en heeft meer dan tien miljoen dollar over kunnen maken naar buitenlandse rekeningen. Na het volgen van de geldstromen werden bij de verdachten documenten aangetroffen die enkel vervalst konden zijn door de voormalige Russische geheime dienst KGB (Council of Europe, 2004: 119). Een verklaring van deze betrokkenheid wordt vaak gezocht bij de politieke situatie van Rusland, de hoge mate van corruptie en de cultuur van dit land. Organisaties hebben vaak een lange historie die gekoppeld is aan de cultuur van een land en de sociale banden die hier bestaan (Castells, 1998). De Russische staat onderdrukte rond de jaren 50 alle verwijzingen naar georganiseerde criminaliteit. Wanneer gevallen van georganiseerde criminaliteit in de media kwamen, werden ze toegeschreven aan individuele activiteiten of het falen van onderwijsinstellingen, in plaats van tekortkomingen in het Sovjet-systeem (Orlova, 2008: 101). Ondanks de ontkenningen van het bestaan van een criminaliteitsprobleem, bleef de georganiseerde criminaliteit groeien (Shelley, 2004: 564). Eind jaren 90 hebben zich in Rusland criminele organisaties ontwikkeld die zich specifiek richten op high-tech criminaliteit. Alle ingrediënten die nodig waren voor het ontstaan van een effectieve georganiseerde groep waren in deze periode aanwezig. Rusland had een gebrek aan wetten, opsporingen veroordelinginstrumenten op het gebied van high-tech criminaliteit en tevens een technisch hoger opgeleide bevolking met relatief weinig economische kansen. De snelle verspreiding van deze Russische groepen wordt toegeschreven aan de relatie tussen communisme en georganiseerde criminaliteit. Als een gevolg van de criminogene aard van het Communistische regime zou het strafrechtelijke systeem falen om effectieve maatregelen tegen georganiseerde criminaliteit te ontwikkelen (Rawlinson, 1998). Hierbij wordt echter geen rekening gehouden me de mogelijkheden die het kapitalisme voor georganiseerde criminaliteit kan creëren. Zo was de Russische staat door de overgang naar een vrije markt 79



economie ernstig verzwakt, wat een wettelijk vacuüm en een zwakke rechtshandhaving als gevolg had (Williams, 1990). Daarnaast heerste er zowel in Rusland als in Oost-Europa een sterke anti-Westerse of anti-communistische moraal die crimineel gedrag faciliteerde (Alperovitch & Mularski, 2009). Op dit moment zijn er nog steeds regelmatig uitspraken te vinden op cyberforums over wraak op het Westen (Respondent 7, 5 januari 2010). Onderzoeken naar high-tech aanvallen stranden volgens een respondent in Rusland doordat opsporinginstanties daar geen medewerking verlenen en er sprake is van corruptie (Koops en Brenner, 2006: 2). Respondent 7: ‘(…) Een grootschalig onderzoek dat in 2007 is uitgevoerd naar aanleiding van een voor de meeste wel bekende serie aanvallen op banken kwam uit op een aantal Russische verdachten. We hebben toen de Russische opsporingsdiensten om hulp gevraagd maar we liepen vast omdat zij niet mee wilden werken aan ons onderzoek. Het zou me niet verbazen als de overheid daar criminele groepen beschermd. Er zijn al vaker aanwijzingen van corruptie daar gevonden (…).’ In 2009 werd het Russian Business Network verdacht van grootschalige corruptiepraktijken. Ze zouden de lokale politie, rechterlijke macht en het Réseaux IP Européens Network Coordination Centre49 (Ripe NCC) hebben omgekocht om malware te kunnen blijven verspreiden. De corrupte ambtenaren zouden internationale onderzoeken naar het RBN hebben belemmerd (Security.nl, 24 oktober 2009). Over betrokkenheid van Oost-Europese groepen bij high-tech delicten zijn meer concrete casussen te vinden. Het gaat dan om onderzoeken door bijvoorbeeld de FBI of Europol. Het meest recente onderzoek heeft afgelopen oktober geleid tot het oprollen van een groep cybercriminele Oost-Europeanen. Het is niet bekend uit welke landen de verdachten kwamen. De groep wordt verdacht van internationale internetfraude waarbij ze 160 miljoen euro van bankrekeningen wilden stelen. De FBI heeft de criminelen in samenwerking met het Nationaal High Tech Crime Team van het KLPD en andere opsporingsdiensten in de Oekraïne en Engeland te pakken kunnen krijgen (Security.nl, 4 oktober 2010). In 2009 leidde internationale samenwerking tot de arrestatie van acht Bulgaarse cybercriminelen. De Bulgaren werden betrapt met speciale software en ander materiaal voor het kopiëren van creditcardgegevens. Volgens Hulst en Neve (2008: 126) zijn er ook in Nederland al

49

Ripe NCC is een platform dat de ontwikkeling van het internet tracht te bevorderen. Ze zijn verantwoordelijk voor de uitgifte van IP-adressen over een bepaald georgrafisch gebied.

80


samenwerkingsverbanden


gezien

tussen

Nederlandse

jongeren

en

Oost-Europese

georganiseerde groepen. Zij geven echter geen concrete voorbeelden. Het afgelopen jaar is er in Nederland wel een bende uit Oost-Europa aangehouden op verdenking van skimming. Zes mannen en een vrouw uit Roemenië en Moldavië tussen de 25 en 37 jaar oud zijn door de FOID50 aangehouden nadat ze bij een supermarkt in Badhoevedorp 1,2 miljoen euro hadden gestolen door het skimmen van bankpassen (De Pers, 26 juli 2010). Volgens een respondent zijn er aanwijzingen dat groepen Roemenen verantwoordelijk zijn voor het grootste deel van de skimincidenten in Nederland. Respondent 9: ‘(…) Wanneer er verdachten van skimming worden aangehouden worden de kenmerken van het incident in kaart gebracht. Via camerabeelden kunnen we in sommige gevallen het silhouet van de verdachte zien en de bijbehorende auto. Al deze informatie voegen we samen in een dossier die we vervolgens vergelijken met eerdere incidenten. Het zijn meestal Roemeense mannen die in groepen van 2 tot 3 personen betaalautomaten manipuleren. Opvallend is dat we bepaalde verdachten in wisselende samenwerkingsverbanden zien (…).’ Het lijkt erop dat het criminaliteitsterrein skimming beheerst wordt door Roemeense en Bulgaarse groepen, terwijl Russische groepen eerder betrokken zijn bij andere fraudedelicten als phishing en internetfraude (Europol, 2009: 22). Ook uit opsporingsonderzoeken in Roemenië zelf worden bendes die verdacht worden van skimming opgepakt. Afgelopen mei zijn twintig verdachten aangehouden voor het verkrijgen van ongeautoriseerde toegang tot een computer, bezitten van skimapparatuur en fraude met en verspreiden van vervalste betaalapparatuur. Daarnaast worden ze verdacht van lidmaatschap van een georganiseerde misdaadorganisatie (Security.nl, 28 mei 2010). Volgens de Roemeense politie vormt Roemenië een broedplaats voor computercriminelen door de juiste combinatie tussen technische kennis en economische motivatie (Security.nl, 15 september 2008).De voedingsbodem voor criminele samenwerkingsverbanden in Oost-Europese landen is vergelijkbaar met de Russische situatie. Zo meldt APACS dat de grootste dreiging voor online bankieren in Engeland komt van criminele bendes uit Oost-Europese landen die ontwikkeld zijn op gebied van ICT (McCusker, 2007: 272). Ook volgens Allum & Sands (2004) neemt het aantal georganiseerde groepen uit Oost-Europa toe. Hoewel zij aangeven dat de meerderheid van de georganiseerde groepen zich in Rusland bevinden, merken zij in 50

Het FOID is de opsporingsdienst van de Nederlandse Belastingsdienst en houdt zich onder andere bezig met georganiseerde financieel-economische criminaliteit.

81



omringende landen steeds meer vergelijkbare organisaties op. In veel gevallen worden deze organisatie bestempeld als Russische georganiseerde criminaliteit, maar ze hebben niet dezelfde werkwijze (Turbiville, 1995: 60). De motivatie voor Oost-Europese groepen om zich met de ondergrondse cybercrime economie in te laten is de lage pakkans, veroorzaakt door het gebrek aan uitleveringswetten, bezuinigingen die het functioneren van opsporingsdiensten beperken en de ondersteuning die ze krijgen van andere criminele organisaties (Symantec, 2008: 9). Beheerders van discussiefora hosten deze fora vaak vanuit corrupte landen met een zwak justitieel systeem, dat geen of slechte wetgeving tegen internetcriminaliteit kent. In de Verenigde Staten en West-Europa zijn minder hackers actief omdat de hoge pakkans in deze landen de drempel voor cybercriminele activiteiten verhoogd (NRC, 13 januari 2010).

5.6 Cybercriminele organisaties Uit de voorgaande twee paragrafen kunnen we opmerken dat er een aantal aanwijzingen zijn dat er Russische en Oost-Europese groepen betrokken zijn bij high-tech criminaliteit. Maar kan er gesproken worden van georganiseerde high-tech criminaliteit? Daarnaast is de samenstelling van deze groepen onduidelijk. In deze paragraaf bekijken we de vorm en structuur van de georganiseerde groepen die bij high-tech criminaliteit betrokken zijn. Georganiseerde criminaliteit betreft groepen die ‘primair gericht zijn op illegaal gewin’. Voor zover kunnen groepen achter high-tech criminaliteit vergeleken worden met georganiseerde groepen die zich bezighouden met bijvoorbeeld drugshandel of mensensmokkel, het illegaal verkrijgen van financieel gewin is bij al deze groepen de belangrijkste drijfveer. Een tweede gedeelte uit de definitie van georganiseerde criminaliteit is dat er ‘systematisch misdaden gepleegd moeten worden met ernstige gevolgen voor de samenleving’. Delicten als skimming, phishing en internetfraude worden weliswaar vaak systematisch gepleegd maar vormen op dit moment geen ernstige bedreiging voor de samenleving. Groepen moeten ook in staat zijn de ‘misdaden op betrekkelijk effectieve wijze af te schermen, in het bijzonder door de bereidheid te tonen fysiek geweld te gebruiken of personen door middel van corruptie uit te schakelen’. Door het virtuele karakter van high-tech criminaliteit komt geweld eigenlijk niet voor. Ook zijn er geen Russische of Oost-Europese groepen bekend in de cybercrime wereld die conflicten door middel van geweld oplossen. Uitspraken van respondenten en onderzoeken laten wel zien dat er bij ambtenaren van overheidsinstanties en opsporingsdiensten van OostEuropese landen aanwijzingen zijn van corruptie. Aan de andere kant zijn high-tech criminelen minder afhankelijk van corruptie wanneer ze zich in landen bevinden met 82



onderontwikkelde wetgeving op het gebied van high-tech criminaliteit. Daarnaast kunnen high-tech criminelen hun activiteiten op andere manieren afschermen, bijvoorbeeld door het spoofen51 van IP-adressen of door gebruik te maken van een anonieme server. Volgens de definitie kan high-tech criminaliteit dus gezien worden als georganiseerde criminaliteit. Maar gaat

het

om

traditionele

georganiseerde

groepen

die

zich

ook

met

andere

criminaliteitsterreinen bezighouden, of gaat het om online delicten die op georganiseerde manier gepleegd worden? High-tech criminaliteit vereist minder controle over geografische gebieden en minder persoonlijke contacten en dus minder relaties gebaseerd op vertrouwen en discipline. Dit betekent ook minder reden voor een formele organisatie. Klassieke hiërarchische structuren passen niet bij high-tech criminaliteit waardoor er nieuwe structuren ontwikkeld worden (Council of Europe, 2004: 172). Tevens verschuift de aandacht van cybercriminele organisaties. Doordat ze zich steeds meer gaan bezighouden met ondernemen en het genereren van een eigen inkomen door de betrokkenheid bij meerdere criminele activiteiten is een eenvoudige organisatiestructuur niet voldoende. Er wordt een nieuwe en meer complexe organisatiestructuur ontwikkeld met een duidelijke taakverdeling (Brenner, 2002). De hiërarchische verhoudingen vallen bij georganiseerde high-tech crime groepen dus weg, maar de specifieke taakverdeling blijft bestaan. Daarnaast zijn ook netwerken belangrijk voor de nieuwe organisatiestructuren. Omdat niet alle kennis op het gebied van ICT aanwezig is bij criminele organisaties moet extra expertise wordt gekocht of ingehuurd. De contacten zijn kort en wisselend en worden afgebroken wanneer het doel bereikt is. Deze kenmerken van cyberspace laten zien dat het niet gaat om traditionele georganiseerde groepen maar dat er groepen ontstaan met een nieuwe structuur. Dit vraagt om de ontwikkeling van een nieuwe definitie voor deze groepen. Britz (2008: 1756) maakt een onderscheid tussen georganiseerde groepen en cybercriminele organisaties. Hierbij worden cybercriminele organisaties omschreven als ‘groepen of individuen samengebracht door het internet die samenspannen en/of niet-gewelddadige delicten begaan, die worden gefaciliteerd door de exploitatie van netwerken

of

verbonden

systemen’.

Traditionele

groepen

kunnen

weer

samenwerkingsverbanden vormen met deze nieuwe cybercriminele organisaties. Op basis van dit inzicht heeft Choo (2008) een onderscheid in drie typen georganiseerde groepen gemaakt die betrokken zijn bij high-tech criminaliteit.

51

BijIP-spoofing wordt een vertrouwd IP-adres door criminelen gebruikt om ongeautoriseerd toegang te krijgen tot een computer of netwerk.

83



De eerste groep is traditioneel georganiseerd en gebruikt ICT om de reikwijdte van hun criminele activiteiten te verhogen. Financieel gewin is voor deze groepen de belangrijkste drijfveer. Zo kunnen er financiële adviseurs worden ingehuurd om geld weg te sluizen of ICTspecialisten om verbindingen te encrypten om zo anoniem te blijven en de communicatie af te schermen. Ook afpersing door middel van Denial-Of-Service aanvallen wordt veel gebruikt om extra inkomsten te genereren (Reijnders, 22 juli 2004). Een tweede groep bestaat uit criminelen die enkel online opereren. De structuur van deze groep is flexibel, met weinig leden die voor een bepaalde tijd samenwerken met een specifieke taakverdeling. Wanneer het doel, financieel gewin, bereikt is gaan de leden ieder weer hun eigen weg. Deze cybercriminelen werken dikwijls samen met studenten om op de hoogte te blijven van nieuwe ontwikkelingen en kwetsbaarheden in beveiligingsapplicaties. Volgens de KLPD (Respondent 7, 5 januari 2010) bestaan er aanwijzingen op lager niveau dat deze criminelen criminele carrière maken en overstappen naar andere vormen van criminaliteit zoals de drugswereld. Financieel gewin is voor het derde type groep niet de belangrijkste beweegreden. Deze groep bestaat uit ideologisch en politiek gemotiveerde individuen die ICT als hulpmiddel gebruiken om hun doelen te bereiken. Bij ideologische motieven kan ICT worden ingezet voor terroristische daden zoals aanvallen tegen vitale infrastructuren. Wanneer de groepsleden politieke gemotiveerd zijn wordt vaak gehandeld uit protest wat bijvoorbeeld kan leiden tot aanvallen tegen overheidswebsites. Naast de beweegredenen verschillen deze groepen van financieel gemotiveerde groepen doordat ze zich concentreren op specifieke delicten en doelwitten.

5.7 Het label georganiseerde criminaliteit De media beschrijft georganiseerde criminaliteit nog steeds als maffiaprobleem, met een hiërarchisch netwerk en duidelijke taakverdeling, een beeld dat vergelijkbaar is met bekende films zoals ‘The Godfather’. Deze termen georganiseerde criminaliteit en maffia worden dan ook te vaak onterecht op illegale activiteiten geplakt. De term georganiseerde criminaliteit is dan ook een sociaal construct dat afhankelijk is van tijd en houdingen. Volgens de ‘Securitization theorie’ worden dreigingen zoals georganiseerde criminaliteit door een ‘securitizing actor’ als bedreigend neergezet, ongeacht van de daadwerkelijke dreiging. Doordat meer mensen een fenomeen als bedreigend beschouwen worden ook de perceptie en aanpak ervan op deze status ingericht. Door zaken bijvoorbeeld te associëren met 84



georganiseerde criminaliteit worden ze eerder serieus genomen (Levi, 2008: 373). Ook is het label georganiseerde criminaliteit vaak een vereiste om een probleem op internationaal niveau te kunnen aanpakken. Als we kijken naar de kenmerken van high-tech criminaliteit biedt het opplakken

van

het

label

georganiseerde

criminaliteit

weinig

meerwaarde.

Het

grensoverschrijdende karakter van high-tech criminaliteit plaats deze criminaliteitsvorm al binnen het takenpakket van Europol en het KLPD. Daarnaast worden er tegenwoordig veel criminele activiteiten als georganiseerde misdaad betiteld die vroeger minder angstaanjagende bewoordingen kregen en veel van deze criminaliteit is minder georganiseerd dan het lijkt (Fijnaut, 1994). Door deze ontwikkelingen heeft Europol haar bevoegdheid uitgebreid van georganiseerde criminaliteit naar een ruimere set van criminele activiteiten die als serieus worden beschouwd. Deze activiteiten voldoen niet altijd aan de criteria van georganiseerde criminaliteit (Dorn, 2009: 286). High-tech criminaliteit kan dus ook zonder het label georganiseerde criminaliteit op nationaal en internationaal worden opgepakt.

5.8 Conclusie Achter de vele speculatie in de media over de betrokkenheid van georganiseerde groepen bij high-tech criminaliteit zitten enkele aanwijzingen die deze betrokkenheid kunnen bevestigen. De bronnen voor deze aanwijzingen bestaan zijn echter niet altijd even betrouwbaar en de het is de vraag bij hoeveel van de high-tech delicten ze betrokken zijn. Wel kunnen we concluderen dat high-tech delicten als georganiseerde criminaliteit kunnen worden gekwalificeerd en dat groepen uit Rusland en Oost-Europa een groot aandeel hebben in hightech criminaliteit. Maar het gaat niet om de Russische maffia of traditionele groepen die ook op andere criminaliteitsterreinen actief zijn. De kenmerken van cyberspace trekken groepen aan met een andere structuur waarbij fysieke samenwerking niet meer nodig is en netwerken belangrijk zijn. De ontwikkeling van deze nieuwe groepen vraagt om een andere benadering, die ook wel cybercriminele groepen genoemd kan worden. Deze groepen kunnen traditioneel georganiseerd zijn en door middel van ICT hun opbrengsten verhogen, enkel op internet actief zijn of ideologisch en politiek gemotiveerd zijn. Maar zou high-tech criminaliteit door de betrokkenheid van georganiseerde groepen meer prioriteit moeten krijgen bij politie en justitie? High-tech criminaliteit vormde al een uitdaging voor opsporingsdiensten vanwege het grensoverschrijdende karakter en de problemen rondom het vergaren van bewijs. Het label georganiseerde criminaliteit is een 85



sociaal construct dat beïnvloed kan worden door verschillende factoren, en kan hierdoor geen handvat of vereiste voor een internationale aanpak vormen. Wel kan de betrokkenheid van georganiseerde groepen ertoe leiden dat er meerdere samenwerkingsverbanden kunnen ontstaan, internationale samenwerking wordt belemmerd door corruptie en het bereiken van daadwerkelijke topcriminelen wordt bemoeilijkt (Europol, 2007: 18).

86



87



6. DE VERDELING VAN RISICO’S TUSSEN PUBLIEK EN PRIVAAT De risico’s van high-tech criminaliteit liggen verspreid over verschillende partijen en er zijn meerdere maatregelen nodig om high-tech criminaliteit te kunnen beheersen. Maar bij welke partijen ligt de verantwoordelijkheid om maatregelen te nemen? Banken en bedrijven nemen zelf een aantal preventieve maatregelen maar hebben de middelen en bevoegdheden niet om ook repressieve maatregelen te nemen. Hiervoor zijn zij afhankelijk van overheidsinstanties zoals politie en justitie. Volgens de Tit-For-Tat (TFT) strategie van Braithwaite wordt coöperatief gedrag beloond door coöperatief gedrag. Wanneer banken en bedrijven dus meewerken door bijvoorbeeld informatie te delen zullen overheidsinstanties zich ook coöperatief opstellen. Dit biedt een goede basis voor publiek-private samenwerking bij de bestrijding van high-tech criminaliteit. In de praktijk blijkt echter dat de belangen van betrokken partijen verschillen wat leidt tot het doorspelen van verantwoordelijkheden naar andere partijen. Hierdoor komen de risico’s van high-tech criminaliteit bij een klein aantal partijen terecht die opdraaien voor de kosten. Een stakeholdersanalyse biedt een kader om deze belangen op een rij te zetten en tegen elkaar af te wegen. Op deze manier wordt duidelijk hoe de risico’s van high-tech criminaliteit het beste verdeeld kunnen worden tussen overheid, bedrijfsleven en de samenleving. In dit hoofdstuk zet ik eerst de maatregelen op een rij die de betrokken partijen op dit moment nemen om high-tech criminaliteit tegen te gaan. Vervolgens kijken we waar de gaten in deze bestrijding liggen. Daarna kijk ik of de TFT-strategie van Braithwaite toegepast kan worden op de aanpak van high-tech criminaliteit en waar de eventuele valkuilen voor publiekprivate samenwerking liggen. Door middel van een stakeholdersanalyse worden deze valkuilen beter in beeld gebracht. Door de houdingen, belangen en invloeden van de stakeholders uiteen te zetten en de conflicterende elementen te analyseren kan informatie verkregen worden over de positie van de stakeholders en de manier waarop ze bij projecten betrokken moeten worden. De uitkomst van deze analyse geeft inzicht op de manier waarop de

risico’s

verdeeld

kunnen

worden

tussen

betrokken

partijen

en

waar

de

verantwoordelijkheid voor het nemen van maatregelen zou moeten liggen.

88



6.1 Huidige maatregelen en samenwerkingsverbanden Op dit moment worden er verschillende maatregelen genomen door verschillende partijen. De meeste maatregelen richten zich op een bepaald aspect van high-tech criminaliteit en worden binnen de eigen sector uitgevoerd. Omdat banken en bedrijven geen bevoegdheden hebben om bestuurlijke en repressieve maatregelen te nemen richten zij zich op de preventie van high-tech delicten. Voorbeelden van preventieve maatregelen zijn het beveiligen van toegang tot het bedrijfsnetwerk of het encrypten52 van gegevens om vertrouwelijke informatie te beschermen. Doordat financiële instellingen een populair doelwit zijn voor criminelen hebben zij ook een aantal gezamenlijke preventieve maatregelen genomen. Een daarvan is kennisdeling. Banken delen anoniem hun incidentendata, zo worden informatie en ervaringen over incidenten generiek gedeeld. Er bestaat slechts een eenvoudige classificatie, details zijn niet bekend waardoor enkel trends te herkennen zijn. Respondent 2: ‘(…) De incidenten worden ingedeeld op eventtype en businessline dus je hebt alleen een classificatie. Algemene trends kunnen zo herkend worden en aan de eigen database gespiegeld worden. Een gezamenlijke incidentendatabase zou mooi zijn maar wanneer bijvoorbeeld de Nederlandse Vereniging van Banken dit op zou pakken wordt het een concurrentiegebied voor banken (…).’ Banken geven aan dat er geen concurrentie plaatsvindt tussen banken op het gebied van informatie over high-tech criminaliteit, maar wel tussen de manier van beveiligen (Respondent 6, 21 januari 2010). Maar als we de informatie van de bovenstaande respondent bekijken gaat het alleen om het delen van trends en geen vertrouwelijke informatie. Via de Nederlandse Vereniging van Banken (NVB) bundelen beveiligingsadviseurs en IT-experts binnen banken hun kennis. De NVB is een vereniging die in 1989 werd opgericht om de gemeenschappelijke belangen van de Nederlandse banken te behartigen. Vrijwel alle Nederlandse banken zijn lid van de NVB. Naast deze kennisdeling ontvangen banken informatie van antivirusontwikkelaars over gevonden malware, zodat ze dit kunnen onderzoeken. Deze overleggen worden echter niet structureel ingepland en partijen die over essentiële informatie beschikken ontbreken vaak (Respondent 5, 2 december 2009). Een

52

Encrypten is het afschermen van informatie door het coderen van gegevens.

89



tweede preventieve maatregel is de ‘2 factor authenticatie’53 als een vereiste voor de toegang tot online bankieren. Hiermee kan met redelijk grote zekerheid worden vastgesteld dat een persoon ook is wie hij beweert te zijn. Naast preventieve maatregelen worden door banken ook detectieve maatregelen genomen. Deze maatregelen bestaan uit het monitoren van transacties en signaleren van moneymules. Een voorbeeld van monitoren is het ‘four-eyesprinciple’; twee mensen moeten naar een betaling kijken voor deze wordt goedgekeurd. Hierdoor kan een groot deel van de beveiligingsincidenten op tijd worden herkend. Moneymules kunnen gesignaleerd worden door opvallende transacties naar het buitenland (Respondent 22, 26 november 2009). Wanneer een rekeninghouder verdacht wordt van fraude kan zijn bankrekening bevroren worden om zo de schade te beperken. Naast financiële instellingen nemen ook bedrijven gezamenlijke preventieve maatregelen om de risico’s van high-tech criminaliteit te kunnen beheersen. Een voorbeeld is het samenwerkingsverband tussen alle internetserviceproviders (ISP’s) in Nederland. Zij hebben een gedragscode opgesteld die beschrijft hoe er geklaagd kan worden over uitingen op internet. Bij dit project – Notice-and-Take-Down – wordt er een procedure gestart wanneer er bij een ISP een melding binnenkomt over vermeende illegale informatie op internet, de ‘notice’. Daaropvolgend kan de ISP deze website uit de lucht halen, ‘take down’. Een ander voorbeeld is de NS, die preventieve maatregelen heeft genomen tegen skimming. Door betaalautomaten op stations te voorzien van nieuwe pasmondjes hebben zij het aantal skimincidenten op stations terug kunnen dringen. Vanuit de overheid worden er momenteel niet veel preventieve of repressieve maatregelen tegen high-tech criminaliteit genomen. Skimming wordt door de politie steeds serieuzer genomen, maar structurele maatregelen ontbreken. Wel zijn er een aantal projecten ontstaan tussen private en publieke sectoren. Het gaat dan voornamelijk om preventieve maatregelen zoals voorlichting. Tussen organisaties die zich met voorlichting over high-tech criminaliteit bezighouden kan op effectieve wijze worden samengewerkt, wat kennisbuilding en kennisdeling ten goede komen. Hieronder volgen een aantal voorbeeld van geslaagde samenwerkingsverbanden tussen publieke en private partijen.

53

De 2-factor authenticatie bestaat uit twee componenten; iets dat de computergebruiker krijgt en iets dat hij zelf al weet. Bij internetbankieren zijn dit bijvoorbeeld een unieke code via een paslezer of token en de pincode.

90



NICC Het programma ‘Nationale Infrastructuur ter bestrijding van Cybercrime’ (NICC) wordt aangestuurd door het Ministerie van Economische Zaken en is in 2006 gestart als een samenwerkingsverband tussen publieke en private organisaties. Informatiedeling en preventie staan voorop bij dit programma en er wordt gezocht naar middelen die high-tech criminaliteit effectief

aan

kunnen

pakken

(Respondent

24,

15

oktober

2009).

De

website

www.samentegencybcercrime.nl is een initiatief van het NICC en verzamelt alle kennis over high-tech criminaliteit. Daarnaast vormt het NICC een spil in het ‘Informatieknooppunt Cybercrime’, wat zich ook richt op de preventie van high-tech criminaliteit en bestaat uit verschillende publieke en private partijen. Dit informatieknooppunt is gebaseerd op het informatie-uitwisselingmodel van het Britse CPNI (Centre for the Protection of National Infrastructure) en ziet eruit als een bloemmodel (zie figuur 2).

Figuur 2.

Bron: www.nicc.nl

91



De kern bestaat uit het NICC, AIVD, het Team High Tech Crime van de KLPD en Govcert. Hieromheen vormen zich de verschillende ‘Information Sharing and Analysis Centers (ISAC’s). Tussen deze ISAC’s vindt vertrouwelijke informatiedeling plaats, die waardevol kan zijn voor zowel de andere private als de publieke deelnemers. Het informatieknooppunt is opgedeeld in een aantal sectorgerichte ISAC’s., Het FI-ISAC van de bancaire sector was de eerste sectorale ISAC en is in 2006 gestart. In 2009 bedroeg het aantal ISAC’s dat is aangesloten bij het informatieknooppunt acht.

PAC Het Programma Aanpak Cybercrime (PAC) is een ontwikkelprogramma van de Raad van Hoofdcommissarissen dat zich gericht op de vernieuwing en versterking van het politiewerk. Naast het PAC zijn er nog vier intensiveringsprogramma’s54 voor de politie opgezet. Al deze programma’s worden gefinancierd door de ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Justitie. Het Openbaar Ministerie, de politie en financiële instellingen hebben een belangrijke rol binnen deze samenwerking. Het PAC heeft vier doelstellingen, 1) de politie in staat stellen om een effectieve bestrijding van high-tech criminaliteit te realiseren, 2) zorgen dat de Nederlandse samenleving de politie kan inschakelen bij gevallen van high-tech criminaliteit, 3) een bijdrage leveren aan de adequate en zichtbare aanpak van de politie en 4) zorgen dat de politie aansluiting vindt op het netwerk van organisaties die een rol hebben bij de bestrijding van de negatieve effecten van digitalisering (Respondent 24, 15 oktober 2009).

NVB Vanuit

de

Nederlandse

Vereniging

van

Banken

(NVB)

zijn

er

verschillende

voorlichtingsinitiatieven ontwikkeld. De NVB is zelf een private instelling maar werkt samen met een aantal maatschappelijke partners zoals de politie en (digibewust). De eerste campagne genaamd ‘3xKloppen’ werd eind 2007 gelanceerd en maakte deel uit van een landelijke voorlichtingscampagne die Nederlanders wil attenderen op het belang van veilig internetbankieren. De titel staat voor de drie regels waaraan een consument zich zou moeten

54

De programma’s Versterking Opsporing (PVO), Intelligence Politie Nederland, Financieel Economisce Criminaliteit (FinEC) en Aanpak van Georganiseerde Hennepteelt zijn ook intensiveringprogramma’s die de opsporing moeten versterken om ernstige criminaliteit effectief te bestrijden.

92



houden om veilig te kunnen internetbankieren. In mei 2008 is deze campagne nogmaals herhaald. In juni 2008 is een tweede campagne gestart in samenwerking met de politie. De campagne ‘Word Geen Money Mule’ bestaat uit een website met commercials en informatie over moneymules. Recent is een vervolg op ‘3xKloppen’ gelanceerd die zich richt op het veilig internetbankieren. Deze voorlichtingscampagne is een samenwerking met verschillende partijen zoals Postbus 51 en OPTA. Dit jaar is in samenwerking met zowel publieke als private partners een nieuwe campagne van start gegaan, genaamd ‘Veilig Bankieren’. Op de website www.veiligbankieren.nl is veel informatie voor consumenten te vinden over verschillende vormen van high-tech criminaliteit.

Digibewust De website www.digibewust.nl waarschuwt computergebruikers voor verschillende vormen van high-tech criminaliteit. De website richt zich voornamelijk op voorlichting voor diverse doelgroepen. Een organisatie achter de website is het ECP-EPN, een stichting die bestaat uit zowel partijen uit het bedrijfsleven als overheidsinstanties. Naast het ECP-EPN vormt Digibewust een samenwerking tussen het Ministerie van Economische Zaken en private partijen.

Overige samenwerkingsverbanden Zelfstandig bestuursorgaan OPTA heeft dit jaar een botnetconvenant opgericht met alle ISP’s in Nederland. Deze samenwerking richt zich specifiek op de bestrijding van botnets door informatie-uitwisseling. Een tweede samenwerkingsverband waarbij ISP’s betrokken zijn is het OIRTO, een grootschalig overleg tussen ISP’s, banken, overheidsinstanties, ziekenhuizen en Govcert, waar ook informatie-uitwisseling centraal staat (Respondent 4, 9 december 2009).

6.2 Tit-For-Tat Bovenstaande samenwerkingsverbanden laten zien dat publiek-private samenwerking door betrokken partijen erkend wordt als middel tegen high-tech criminaliteit. Geen enkele organisatie kan high-tech criminaliteit alleen tegengaan of bedwingen. Inspanningen van een organisatie werken slechts voor een bepaald gedeelte van high-tech criminaliteit en zijn in de meeste gevallen van korte duur. Op het gebied van nationale veiligheid bestaan er al een aantal formele en informele samenwerkingsverband tussen publieke en private sectoren. Een 93



voorbeeld hiervan is de strijd tegen terrorisme, waar zowel opsporingsdiensten als private partijen bij betrokken zijn (Hardouin, 2009: 203). Sinds het beleidsplan ‘Samenleving en Criminaliteit’

(Ministerie

van

Justitie,

1985)

is

de

heersende

gedachte

dat

criminaliteitsbeheersing niet alleen de verantwoordelijkheid is van de publieke sector. De private sector kan door het nemen van eigen verantwoordelijkheid en samenwerking met zowel private als publieke partijen een steentje bijdragen aan de criminaliteitsbeheersing. Dit geldt ook voor het beheersen van high-tech criminaliteit. Er zijn een aantal redenen te noemen waarom private partijen kunnen bijdragen aan het beheersen en bestrijden van high-tech criminaliteit. In de voorgaande hoofdstukken is gebleken dat het dynamische karakter van high-tech criminaliteit een aantal nadelen met zich meebrengt voor overheidsorganisaties en opsporingsdiensten. Zo is het adaptieve vermogen van overheidsorganisaties gering vanwege wetgeving en procedures. Daarnaast staat het criminelen vrij om technieken en methoden te gebruiken die voor hen het beste uitkomen, terwijl opsporingsdiensten vaak aan protocollen en organisatorische structuren gebonden zijn. Doordat criminelen vaak de nieuwste versie van besturingssystemen, hardware en software gebruiken, en deze bij opsporingsdiensten nog niet bekend of nog niet volledig doorgevoerd zijn, ontstaat er een technologisch gat (Correia, 1999: 227). Het feit dat Correia dit probleem al in 1999 constateerde maakt duidelijk dat dit probleem al een aantal jaar speelt. Dit kan komen doordat er nog weinig onderzoek gedaan is naar de aanpak van high-tech criminaliteit. De private sector besteed meer tijd aan het ontwikkelen van nieuwe technologieën en onderzoekt hard- en software oplossingen om vormen van high-tech criminaliteit te detecteren en voorkomen. Zij hoeven zich dan ook niet bezig te houden met de opsporing van de daders maar concentreren zich enkel op het terugdringen en beheersen van de problematiek. Ze verzamelen informatie over de werkwijze en aard van verschillende verschijningsvormen van high-tech criminaliteit om zo de transactiekosten voor criminelen te kunnen verhogen (Respondent 10, 30-10-2009). De informatie die bij de private sector ligt kan voor interessant zijn voor beleid en opsporing. Samenwerking tussen publieke en private partijen kan om deze redenen een waardevolle aanvulling zijn de criminaliteitsbeheersing. Het succes van een samenwerkingsverband hangt volgens Braithwaite af van de overtuiging die betrokken partijen hebben van het belang van samenwerking. De ‘responsive regulation theorie’ van Braithwaite richt zicht zich op organisatiecriminaliteit en toezicht op bedrijven. Toch kan een gedeelte van deze theorie ook worden toegepast op een samenwerkingsverband. De tit-for-tat (TFT) strategie die Braithwaite in zijn boek 94



‘Responsive Regulation’ aanhaalt legt de nadruk op coöperatief gedrag (Ayres & Braithwaite, 1992). Deze strategie werd eerder ontwikkeld door Scholz (1984) die de strategie toepaste op het gevangeniswezen. Zijn theorie was dat wanneer een gevangene zich meewerkend opstelde, de gevangenisbewaarder ook zou meewerken. Wanneer een gevangene tegenwerkt zal de gevangenisbewaarder ook tegenwerken. Coöperatief gedrag leidt dus tot coöperatief gedrag. Dit zou in theorie ook gelden voor publiek-private samenwerking. Daarnaast geeft Braithwaite ook aan dat de verschillen in belangen en houdingen van publieke en private partijen de samenwerking positief beïnvloeden (Braithwaite, 2002). In de praktijk blijkt echter dat de belangentegenstellingen bij high-tech criminaliteit een effectieve samenwerking in de weg staan. Veel partijen zijn concurrenten van elkaar en informatie wordt - zoals we in voorgaande hoofdstukken hebben gezien - niet gedeeld uit angst voor reputatieschade. Om de knelpunten die een effectieve samenwerking in de weg staan in kaart te brengen moeten alle belangen van de betrokken partijen in beeld gebracht worden. Vervolgens kunnen deze belangen tegen elkaar afgewogen worden waarna de samenwerking opnieuw bekeken kan worden. Op deze manier zien we hoe de partijen het beste kunnen samenwerken om high-tech criminaliteit te beheersen.

6.3 Het identificeren van stakeholders en hun belangen De stakeholdertheorie is ontwikkeld om de belangen en houdingen van verschillende stakeholders die bij een bedrijf of organisatie betrokken zijn in beeld te brengen. Organisaties zijn afhankelijk van meerdere actoren in hun omgeving die de activiteiten van organisaties beïnvloeden. Dit zijn niet alleen aandeelhouders maar ook partijen die materialen leveren of indirect invloed hebben op de financiële situatie van een bedrijf (Coff, 1999). Deze stakeholders spelen verschillende rollen en hebben verschillende belangen bij het bereiken van bepaalde doelstellingen (Winn, 2001: 137). Door de relevante belangen van de stakeholders tegen elkaar af te wegen en te balanceren kunnen. Dit betekent niet dat de belangen van elke stakeholder afzonderlijk meegewogen moeten worden, want ze bestaan vaak uit netwerken van invloeden, maar de interactie tussen de belangen van verschillende stakeholders is belangrijk (Rowley, 1998). De conflicterende belangen moeten nader bekeken worden om zo tot een passende (bedrijfs)strategie te komen. Ook voor de aanpak van hightech criminaliteit kunnen we een stakeholdersanalyse toepassen. Door de belangen van verschillende publieke en private partijen tegen elkaar af te wegen wordt duidelijk waar de knelpunten in de bestrijding en samenwerking zitten. Op basis van deze analyse wordt 95



duidelijk hoe de risico’s van high-tech criminaliteit verdeeld kunnen worden en hoe de partijen het beste zouden kunnen samenwerken. Ook zien we waar de verantwoordelijkheid voor de bestrijding zou moeten liggen. Daarvoor moeten we eerst de verschillende stakeholders identificeren. In de voorgaande hoofdstukken is al meerdere malen benadrukt dat high-tech criminaliteit een grote impact heeft op financiële instellingen. Zij zijn het voornaamste slachtoffer, niet alleen omdat hun informatiesystemen en netwerken een gewild doelwit zijn voor cybercriminelen maar ook omdat ze de schade die klanten oplopen door high-tech criminaliteit in de meeste gevallen vergoeden. Financiële instellingen vormen de eerste groep stakeholders die invloed heeft op, en beïnvloed wordt door high-tech criminaliteit. Maar er zijn meer partijen betrokken bij high-tech criminaliteit gericht op financiële instelling. Deze partijen worden direct of indirect getroffen door high-tech aanvallen, erdoor beïnvloed of kunnen invloed uitoefenen op de aanpak van high-tech criminaliteit. Naast financiële instellingen zijn ook burgers slachtoffer van cybercriminelen. Elke burger is wel klant bij een bank en loopt het risico getroffen te worden door incidenten als skimming, phishing, internetfraude of identiteitsfraude. Daarnaast ervaren internetgebruikers veel overlast van spamberichten. Zij kunnen via verschillende kanalen, zoals de media, politieke aandachtspunten beïnvloeden. Het is waarschijnlijk dat wanneer burgers meer problemen ervaren met high-tech criminaliteit, het meer prioriteit op de politieke agenda krijgt. De politiek kan hier bijvoorbeeld Kamervragen over stellen, zoals bij skimming in 2009 gebeurd is55, wat gevolgen zou kunnen hebben voor de aanpak van de problematiek. Burgers en politiek worden samen behandeld, aangezien we in een democratie leven en burgers dus, theoretisch gezien, participeren in de politiek. Overheidsinstanties worden in mindere mate getroffen door verschijningsvormen van high-tech criminaliteit, op een enkel geval na56, maar hebben wel veel invloed op de bestrijding ervan. Zo bestaan er een aantal initiatieven vanuit het Ministerie van Economische Zaken en zijn er verschillende organisaties, zoals Govcert, OPTA en het NICC, in het leven geroepen om high-tech criminaliteit aan te pakken. Vanuit de politie en het KLPD is zelfs een team van specialisten opgezet, het Team High Tech Crime, dat zich specifiek richt op hightech criminaliteit. Ook andere opsporingsdiensten op nationaal en regionaal zijn betrokken bij

55

Er werden Kamervragen gesteld door de Minister van Financiën over de omvang van skimming en internetfraude (Brief van de Minister van Financiën, 2009). 56 Zoals de Denial-Of-Service aanvallen op overheidswebsites in 2004.

96



high-tech criminaliteit. Aangiftes van financiële instellingen worden in de meeste gevallen bij regionale korpsen gedaan die deze zaken op moeten pakken en verdachten van skimming worden soms op heterdaad betrapt waarop regionale korpsen een onderzoek kunnen instellen. Naast overheidsinstanties kunnen ook private partijen een belangrijke schakel bij de bestrijding van high-tech criminaliteit vormen. Er komen steeds meer bedrijven die zich richten op IT-oplossingen en het ontwikkelen van bestrijdingsmiddelen tegen high-tech criminaliteit, zoals bedrijven die transacties en internetverkeer monitoren, antivirusontwikkelaars en Internet Service Providers (ISP’s). Tevens zijn er verschillende IT-vakbladen zoals Computable, PCM en Computer!Totaal die informatie verschaffen over trends op het gebied van high-tech criminaliteit en nieuwe manieren om mogelijke incidenten te voorkomen. Tenslotte bestaan er in Nederland ook een aantal private recherchebureaus die zaken van high-tech criminaliteit onderzoeken. Met name het grensoverschrijdende karakter van high-tech criminaliteit betrekt internationale instanties bij de bestrijding. Zowel buitenlandse regeringen als opsporingsdiensten hebben invloed op onderzoeken naar verdachten en geldstromen. Wanneer sporen leiden naar verdachten in andere landen moeten Nederlandse opsporingsdiensten een rechtshulpverzoek doen om het onderzoek te vervolgen buiten onze landsgrenzen. Daarbij hebben ze vaak informatie nodig die bij buitenlandse instanties bekend is. Al deze partijen spelen een rol bij een effectieve aanpak van high-tech criminaliteit. Daarnaast bepalen ze hoe de risico’s verdeeld worden en hebben ze invloed op maatregelen van anderen. In de volgende paragrafen worden deze groepen stakeholders beschreven. Tevens kijk ik met welke risico’s zij te maken hebben en welke belangen ze hebben bij bepaalde maatregelen. Aan de hand van deze analyse kan de volgende paragraaf licht werpen op de knelpunten tussen deze belangen en de verdeling van de risico’s tussen de partijen.

6.3.1

Financiële instellingen

Criminelen maken door middel van skimming, phishing en hacking misbruik van de informatiesystemen en netwerken van financiële instellingen. Ondanks de preventieve en technologische beveiligingsmaatregelen die banken nemen blijft de financiële schade oplopen. Klanten zijn hier het directe slachtoffer van doordat er geld van hun rekeningen verdwijnt en in criminele handen belandt. Maar uiteindelijk zijn de banken de gedupeerde, zij vergoeden namelijk alle geleden financiële schade van hun klanten. Maar de bedragen die van 97



de rekeningen van klanten gestolen worden vormen niet de enige kostenpost van high-tech criminaliteit voor financiële instellingen. Ze moeten ook vervalste pinpassen vervangen, en preventieve en extra beveiligingsmaatregelen nemen. Door de oplopende financiële schade willen banken de risico’s die zij lopen verdelen over meerdere partijen. Wanneer een incident plaatsvindt, moeten banken aangifte doen bij de regiopolitie. Deze hebben echter niet genoeg kennis en middelen om een onderzoek te starten. Banken krijgen hierdoor het gevoel dat ze er alleen voor staan (Respondent 8, 07 januari 2010). Een manier om andere partijen te betrekken bij de aanpak van high-tech criminaliteit is het aantonen van maatschappelijk belang van bestrijding. De banken geven echter niet graag inzicht in de cijfers met betrekking tot incidenten en schade. Zonder deze informatie kan de ernst van high-tech criminaliteit en dus het feit of er een maatschappelijk probleem is ook niet worden aangetoond. Door hightech criminaliteit jegens financiële instellingen geheim te houden wordt het probleem vaak onderschat en krijgt het weinig opsporingsprioriteit (Driessen & Rotteveel, 10 mei 2010). Reden voor het geheimhouden van informatie is de angst voor reputatieschade. Het vertrouwen in het Nederlandse bankwezen wordt als een belangrijke factor gezien voor de ontwikkeling van het betalingsverkeer (Respondent 3, 15 december 2009). Wanneer het imago van banken beschadigd wordt door gevallen van high-tech criminaliteit kunnen consumenten het vertrouwen in het betalingssysteem verliezen. De laatste jaren is er een transformatie ingezet naar online bankieren. Hierdoor besparen banken op personeel en filialen. Door te doen alsof hun systemen volledig te vertrouwen zijn voorkomen ze dat hun klanten teruggrijpen naar papiergeld en ze de bankfilialen weer moeten heropenen. Financiële instellingen maken dus een afweging tussen de besparingen die online bankieren opleveren en de kosten van high-tech criminaliteit. De daadwerkelijke opsporing en aanhouding van verdachten is voor banken minder belangrijk, het gaat hen om de afschrikkende werking van een geslaagd opsporingsonderzoek (Respondent 11, 4 december 2009). Om deze redenen willen banken de kosten waar ze nu bijna alleen voor opdraaien verdelen over meerdere betrokken partijen.

6.3.2

Overheidsinstanties

Bij het bestrijden van high-tech criminaliteit vormen overheidsinstanties een belangrijke schakel. De wetgever, rechter, het Openbaar Ministerie, nationale opsporingsdiensten en andere overheidsorganen spelen allemaal een rol bij de opsporing en vervolging van daders 98



van high-tech criminaliteit. De overheid heeft de verantwoordelijkheid voor de handhaving van recht en orde binnen hun landsgrenzen. De wetgever maakt de wetten en de rechter moet deze wetten interpreteren. De taak van het Openbaar Ministerie is om verdachten te vervolgen nadat onderzoek gedaan is door nationale opsporingsinstanties. Al deze overheidspartijen zijn dus afhankelijk van elkaar en wanneer een partij niet goed functioneert, heeft dat invloed op de rest van de keten. Daarnaast kampen deze partijen met eigen problemen en beperkingen. De Nederlandse wetgever heeft sinds 1993 verschillende high-tech delicten strafbaar gesteld. Met de wet Computercriminaliteit en Computercriminaliteit II is het merendeel van de delicten die financiële instellingen treffen strafbaar gesteld. Veel van deze artikelen zijn geïmplementeerd uit het Cybercrimeverdrag dat is opgesteld door de Raad van Europa in 2001. Zonder deze wettelijke grondslag is er geen straf mogelijk volgens het legaliteitsbeginsel57. Het maakt niet uit hoe schadelijk het gedrag is, zonder wettelijke basis kan het niet veroordeeld worden (Grabosky, 2007: 208). De wetgever dient dus heldere en duidelijke strafbepalingen te formuleren op basis waarvan verdachten vervolgd kunnen worden. Het ontbreken van sluitende strafbepalingen kan ertoe leiden dat criminelen vrijuit gaan58. Wetgevers hebben over het algemeen een bepaalde periode nodig om het nationale strafrecht aan te passen aan nieuwe vormen van high-tech criminaliteit. Dit proces zorgt voor een vertraging tussen het herkennen van nieuwe verschijningsvormen en aanpassingen in de wetgeving (Gercke, 2009: 410). Verdachten van nieuwe verschijningsvormen van high-tech criminaliteit die niet onder een huidige strafbepaling vallen gaan dus vrijuit totdat er een wet komt die de gedraging verbiedt. Het Openbaar Ministerie is afhankelijk van de wetgever en opsporingsinstanties bij de vervolging van verdachten. De wetgever moet bepaalde delicten strafbaar stellen op basis waarvan verdachten vervolgd kunnen worden. Daarnaast kan het Openbaar Ministerie pas verdachten vervolgen wanneer deze door nationale opsporingsdiensten worden aangeleverd. Wanneer deze opsporingsdiensten geen onderzoeken instellen of geen verdachten kunnen aanhouden vindt er ook geen vervolging plaats (Kaspersen, 2004: 59). Het Openbaar Ministerie kampt zelf met capaciteitsproblemen en een tekort aan officieren van justitie met expertise op het gebied van high-tech criminaliteit. Ze gaan geen zaken vervolgen waarbij 57

Het legaliteitsbeginsel, ook wel nullum crimen, nulla poena sine lege praevia (geen strafbaar feit en geen straf zonder een daaraan voorafgaande wettelijke bepaling), is terug te vinden in artikel 1 van het Wetboek van Strafrecht. Dit beginsel verzekert de democratische grondslag van onze strafrechtspleging (Kelk, 2005: 73). 58 Hiervoor verwijs ik nogmaals naar het ‘I LOVE YOU’ virus, waarbij de verdachte vanuit de Filippijnen handelde waar het verspreiden van malware niet strafbaar gesteld was en hij dus vrijuit ging.

99



getwijfeld wordt of de verdachten schuldig bevonden kan worden aan een bepaald strafbaar feit. De relatie tussen een hacker en criminele activiteit is moeilijk hard te maken omdat digitaal bewijs vaak problematisch is59. Om deze reden wordt bij internetfraude gekozen om een vermogensdelict ten laste te leggen, waarbij hacken als modus operandi gezien wordt (Respondent 19, 6 november 2009). Daarnaast worden delicten zoals phishing door een strafrechter pas veroordeeld wanneer er daadwerkelijk schade is. Dit betekent dat wanneer iemand phishingberichten verspreid maar er geen geld van rekeningen gestolen is, er geen vervolging wordt ingesteld. Skimming levert minder problemen voor de bewijslast op doordat hier vaak een verdachte op het plaats delict wordt aangehouden60. Het kabinet heeft een intensiveringprogramma op het gebied van high-tech criminaliteit opgezet. Als onderdeel hiervan heeft het Openbaar Ministerie extra geld gekregen om de kennis en capaciteit van het Landelijk en Functioneel Parket uit te breiden. Ook de rechtbank draagt een steentje bij om het kennisniveau bij het Openbaar Ministerie te verhogen. Sinds april 2010 is het Kenniscentrum Cybercrime voor de Nederlandse rechtspraak gestart (De Volkskrant, 9 april 2010). Dit is een onderdeel van het Haagse gerechtshof en biedt rechtbanken ondersteuning op het gebied van high-tech criminaliteit. Het kenniscentrum zal juridische en praktische vakkennis

verzamelen

en

beschikbaar

stellen

voor

Nederlandse

rechters

en

gerechtsambtenaren Meldingen van cyberaanvallen moeten door de banken bij regionale politiekorpsen gedaan worden. Hier stranden de aangiftes vaak door een gebrek aan mankracht en expertise om een onderzoek in te stellen (Respondent 25, 24 november 2009). Deze regiokorpsen ontvangen weinig centrale sturing en kunnen hierdoor hun eigen prioriteiten stellen. Sinds 1990 bestaan er bovenregionale Bureaus Digitale Expertise die high-tech zaken op kunnen pakken. In de praktijk ondersteunen ze echter vooral collega’s die in klassieke rechercheonderzoeken te maken krijgen met computerapparatuur (Stol, 2002). In 2007 is het Team High Tech Crime opgericht als onderdeel van de Nationale Recherche van het KLPD. Zij richten zich specifiek op high-tech criminaliteit tegen vitale infrastructuren of delicten die vergaande financieel-economische schade kunnen veroorzaken. Maar ook hun prioriteiten zijn afhankelijk van publieke opinie en politiek beleid. Ook hier spelen prioriteiten een rol, die zijn afhankelijk van de publieke opinie en politiek. Het maken en verspreiden van aanstootgevend materiaal zoals kinderporno had in de begintijd bijvoorbeeld de hoogste 59 60

Zie voor de problemen van digitaal bewijs hoofdstuk 2. Bijvoorbeeld bij het manipuleren van geld- of betaalautomaten.

100



prioriteit omdat de samenleving dit zorgwekkend vond (Respondent 7, 05 januari 2010). Ook initiatieven rondom high-tech criminaliteit richten zich voornamelijk op kinderporno en misbruik (Nykodym & Ariss, 2001). In een onderzoek heeft Stol (2004: 85) gezocht naar een combinatie van de trefwoorden internet en politie. Hieruit bleek dat terrorisme en kinderporno de meest voorkomende onderwerpen waren in de Nederlandse kranten tussen 2003 en 2004. Maar het laatste jaar heeft skimming steeds meer opsporingsprioriteit gekregen. Desondanks worden er nog maar weinig grootschalige onderzoeken opgestart door het Team High Tech Crime, mede doordat er te weinig capaciteit beschikbaar is61. Respondent 7: ‘(…) De pakkans van daders van high-tech criminaliteit is niet zo hoog. Politiediensten moeten daarom een afweging maken tussen het inzetten van mensen en middelen en de opbrengst van het onderzoek. Wanneer er weinig capaciteit beschikbaar is wordt het inzetten van deze capaciteit ook duurder (…).’ De bijdrage die opsporingsdiensten kunnen leveren is daarom minder groot dan wat van hen verwacht worden. Voldoende aandacht en prioriteit voor high-tech criminaliteit bij opsporingsdiensten wil dus niet zeggen dat het probleem wordt opgelost. Als we de risico’s willen verdelen moeten we ook rekening houden met de middelen die ingezet dienen te worden en of deze middelen wel beschikbaar zijn. Diverse andere overheidsorganen spelen een rol bij de bestrijding van high-tech criminaliteit. Zij richten zich vaak op toezicht, advies, preventie en kennisdeling van bepaalde verschijningsvormen. Deze organen zijn vaak wat kleiner en daarom ook wat flexibeler. Een van deze organisaties is Govcert. Govcert is het Computer Emergency Response Team van de Nederlandse overheid en bestaat sinds 2002. Deze organisatie ondersteunt overheidsinstanties bij het voorkomen en afhandelen van ICT-gerelateerde veiligheidsincidenten. Zij geven advies, reageren op incidenten en zijn een belangrijke factor bij kennisdeling tussen stakeholders. De website ‘waarschuwingsdienst.nl’ is een dienst van Govcert die advies geeft over de actuele risico’s en dreigingen van high-tech criminaliteit. Met deze website wil Govcert het bewustzijn over de risico’s en actuele dreigingen op internet vergroten. Een tweede relevante organisatie op het gebied van high-tech criminaliteit is de OPTA. De in 1997 opgerichte OPTA (Onafhankelijke Post en Telecommunicatie Autoriteit) is een zelfstandig bestuursorgaan

dat

onder

het

Ministerie

van

Economische

Zaken

valt.

Deze

telecomtoezichthouder kan boetes uitdelen voor overtredingen van de Telecommunicatiewet, 61

Het Team High Tech Crime bestaat uit ongeveer 30 personen.

101



zoals spam of malware. Onderzoeken naar malware worden meestal op eigen initiatief gestart terwijl onderzoeken naar spam op basis van klachten van consumenten worden gestart. Hoe meer mensen spamberichten rapporten, des te meer gronden OPTA heeft om de verspreider van deze spamberichten te traceren, onderzoeken en eventueel te beboeten. Doordat ze een bestuursrechtelijk overheidsorgaan zijn kunnen ze vrij flexibel optreden. Respondent 15: ‘(…) Wanneer het KLPD of het Openbaar Ministerie de medewerking van instanties uit andere landen willen moeten zij daarvoor een rechtshulpverzoek indienen. Dit kan soms maanden duren. OPTA kan een beroep doen op de consumentenautoriteit van een land waar een stuk sneller gaat. Ook heeft land in Europa een eigen telecomtoezichthouder wiens hulp ingeschakeld kan worden (…).’

OPTA heeft sinds dit jaar een convenant gesloten met alle internetserviceproviders (ISP’s) in Nederland met betrekking tot botnet besmetting. Hiermee willen ze de distributiepunten van malware aanpakken, waarbij servers een belangrijke schakel vormen. De publieke sector bestaat uit diverse onderdelen met elk een ander belang. In principe dienen alle overheidsinstanties het publieke belang, maar daarnaast bestaan binnen de organisaties nog een aantal belangen die meegewogen moeten worden. Het Openbaar Ministerie is bij het vervolgen van verdachten van high-tech criminaliteit afhankelijk van de wetgever. Zonder wettelijke basis kan een verdachte niet worden vervolgd. Daarnaast is het Openbaar Ministerie afhankelijk van regionale en nationale opsporingsdiensten. Als er geen onderzoek wordt ingesteld is er ook geen verdachte om te vervolgen. Ook spelen capaciteitsen expertiseproblemen een rol bij het Openbaar Ministerie. Deze problemen gelden ook voor opsporingsdiensten. Daar komt bij dat zij te maken hebben met prioriteitenstelling van regionaal of nationaal beleid. Andere (semi-)publieke partijen zijn flexibeler maar kunnen ook minder invloed uitoefenen op de aanpak van high-tech criminaliteit.

6.3.3

Private partijen

Organisaties vechten vanaf hun oprichting tegen diefstal en fraude om informatie en geld uit handen te houden van criminelen. Uit een onderzoek van Ernst & Young naar cybercrime blijkt dat 42% van de ruim zeshonderd ondervraagde bedrijven in 2009 meer last had van high-tech criminaliteit dan het jaar daarvoor (Ernst & Young, 2010). Bedrijven investeren steeds meer geld in ICT-beveiliging, en leveranciers van software en internetproviders spelen hierop in door steeds meer beveiligingsvoorzieningen aan te bieden. Technologische 102



beveiligingsmaatregelen van bedrijven kunnen snel opgezet en doorgevoerd worden maar richten zich voornamelijk op het voorkomen en/of detecteren van incidenten en malware. Voor de verschijningsvormen van high-tech criminaliteit die zich richten op financiële instellingen, zijn er een aantal bedrijven die een belangrijke rol spelen in de preventie en bestrijding van aspecten van deze criminaliteit. Fox-IT is een bedrijf dat zich specialiseert in IT-security. Ze monitoren transacties voor verschillende financiële instellingen en bieden oplossing voor het beschermen van gegevens en voeren onderzoeken uit voor overheden en maatschappelijk belangrijke organisaties. Binnen Fox-IT bestaat een speciale eenheid gericht op het signaleren en voorkomen van high-tech criminaliteit. Het team biedt hulp aan overheden, financiële instellingen en bedrijven om voorbereid te zijn op cyberaanvallen en onderzoekt tevens incidenten. De experts binnen dit team kunnen zowel een hacker achtergrond hebben – waarmee ze in de huid van een aanvaller kruipen – als een expertise op gebied van malware of botnets. De bevoegdheden van deze teamleden houden echter op bij het monitoren van servers en transacties. Met meer rechten en bevoegdheden zouden ze naar eigen zeggen high-tech criminaliteit beter kunnen bestrijden (Respondent 11 4 december 2009). Zij hebben belang bij een uitbreiding van hun bevoegdheden om meer klanten te werven. De vraag is echter of het gewenst is om private partijen deel te laten nemen in de opsporing, daar zullen we in de volgende paragraaf dieper op ingaan. Al het internetverkeer in Nederland maakt gebruikt van de servers van Internetserviceproviders (ISP’s). Een internet service provider (ISP) is een organisatie die diensten levert op of via het internet. Dit kan zowel de verbinding van computergebruikers met het internet zijn, alsook diensten waar via het internet gebruikt van gemaakt kan worden. Deze diensten worden steeds verder uitgebreid en bevatten tegenwoordig ook vaak telefonie en digitale televisie. Naast de diensten die ISP’s aanbieden aan computergebruikers monitoren ze ook de servers die zij gebruiken. Een ISP is niet verantwoordelijk voor de informatie die klanten online plaatsen. Wel kan bijvoorbeeld een officier van justitie het bevel geven om deze informatie toegankelijk te maken. Dit is terug te vinden in Artikel 54a62 van het

62 De inhoud van dit artikel luidt: ‘Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken’.

103



Nederlandse Wetboek van Strafrecht. Op dit moment hebben ISP’s niet de taak om informatie die over hun servers komt na te trekken. Zou dit wel het geval zijn dan zouden ze criminele activiteiten kunnen monitoren en informatie doorspelen naar opsporingsdiensten. Dit brengt echter wel de consequentie met zich mee dat ze ook aangesproken kunnen worden wanneer ze hierin falen (Respondent 4, 9 december 2009). Momenteel zijn ze echter afhankelijk van binnenkomende meldingen. Deze meldingen kunnen zowel door consumenten als bedrijven worden gedaan. ISP’s hebben daarom belang bij een goede voorlichting zodat verdachte informatie gemeld wordt. Figuur 3.

Bron: www.churchtechy.com

Soft- en hardware ontwikkelaars verkopen producten die computersystemen van gebruikers beveiligen tegen malware zoals virussen, trojan horses en spyware. Producten als anti-virusscanners, anti-spyware en anti-spam filters moeten deze inkomende malware detecteren en tegenhouden. Veelverkochte producten op dit gebied zijn virusscanners en firewalls. Deze dienen echter wel regelmatig geüpdate worden omdat criminelen telkens nieuwe vormen van malware ontwikkelen. Veel computergebruikers vergeten deze updates waardoor zij een verhoogd risico lopen om slachtoffer te worden van malware en de bijkomende vormen van high-tech criminaliteit zoals phishing en hacking. Respondent 26: ‘(…) Veel computergebruikers houden na aanschaf van een virusscanner geen rekening met updates, terwijl ze in de meeste gevallen enkel een box met ‘automatisch update’ aan hoeven te vinken. Maar ook al houden ze hun virusscanner up to date, de scanners kunnen nooit alle vormen van malware tegenhouden (…).’

104



Door de snelle technologische ontwikkelingen aan de kant van criminelen komen er dagelijks nieuwe malware bij63. Bedrijven die anti-malware producten leveren zijn gebaat bij deze ontwikkelingen. Hoe meer verschillende vormen van malware zij kunnen aantonen des te meer producten ze kunnen verkopen. In veel rapporten van bijvoorbeeld anti-virusbedrijven is te lezen dat malware en spam ernstig toeneemt en dat er tientallen nieuwe vormen per dag worden ontdekt. Dat het hier slechts om kleine aanpassingen van bestaande virussen gaat vermelden ze daarentegen niet (Respondent 10, 30 november 2009). De hoge diversiteit in malware en spam en het toenemend aantal virussen wekt namelijk angst op bij de computergebruikers die zich in reactie daarop beter willen beveiligen en meer producten van deze bedrijven aanschaffen. Het geeft echter wel een vertekend beeld van de omvang en ernst van malware en spam op dit moment. Volgens veiligheidsexpert Bruce Schneier moeten softwareontwikkelaars verantwoordelijk gesteld moeten worden voor fouten in hun producten (Schneier, 2003). Ook McAfee64 stelde in 2008 al eenzelfde maatregel voor (Security.nl, 9 december 2008). Dit zou betekenen dat bedrijven aangeklaagd kunnen worden voor een lek in de software, met als consequentie dat een deel van de kosten van beveiliging bij sofware fabrikanten kan worden gelegd. Financiële instellingen nemen op dit moment ook de verantwoordelijkheid voor de risico’s die hun producten met zich mee brengen, zoals gestolen persoonsgegevens of fraude met creditcards. Toch blijven ze winst maken dus dit zou ook voor softwareontwikkelaars moeten werken. Het zou kunnen zorgen voor een financiële impuls om hun producten te blijven verbeteren (Hijink, 15 oktober 2009). In het spoor van de steeds grotere rol die ICT in onze samenleving vervuld komen er ook meer vakbladen bij die zich specifiek richten op ICT-experts en computergebruikers. Deze vakbladen hebben vaak een commerciële insteek met betrekking tot high-tech criminaliteit. Dit is vergelijkbaar met soft- en hardwareproducten. Ze willen een dreiging schetsen, ook al is deze misschien niet zo groot, om lezers angst aan te jagen, waarop deze er meer over willen lezen en de in de bladen aangeboden producten aan zullen schaffen. Als we kijken naar private partijen zien we dat deze in tegenstelling tot publieke partijen niet bezig zijn met het publieke belang maar met belangen binnen de organisatie. Beveiligingsbedrijven op het gebied van IT hebben geen bevoegdheden om een onderzoek 63

Een berucht malware packet is Zeus (of Zbot). Deze malware richt zich op het stelen van online financiële gegevens en kent vele verschillende varianten waardoor ze onopgemerkt kunnen blijven voor virusscanners. Zeus komt mee met phishingmails, spam en downloads en wereldwijd maken al veel computers deel uit van het botnet (Falliere & Chien, 2009). 64 McAfee is een bedrijf dat zich richt op beveiligingsoplossingen zoals antivirussoftware.

105



naar de daders in te stellen. Hun bevoegdheden zijn beperkt tot het moniteren en detecteren van verdachte activiteiten. Door een uitbreiding van hun bevoegdheden kunnen ze klanten meer bieden en als organisatie groeien. ISP’s willen juist geen extra bevoegdheden omdat ze dan ook aansprakelijk gesteld kunnen worden als ze hun afspraken niet kunnen nakomen. Voor software- en hardwareproducenten evenals vakbladen is het gunstig wanneer de risico’s van high-tech criminaliteit duidelijk zijn. Door een dreiging te schetsen verkopen ze meer producten en diensten. Of deze dreiging nu overeenkomt met de werkelijkheid of niet maakt dan niet uit.

6.3.4

Burgers en samenleving

High-tech criminaliteit tegen financiële instellingen raakt een groot deel van de samenleving, dus ook de burgers. Bijna elk huishouden beschikt over een computer met een breedband internetverbinding. Malware op de computer van de klant is een van de belangrijkste ingangen voor cybercriminelen. De banken kunnen hun inlogprocedures en websites nog zo goed beveiligen, wanneer de computer van hun klant besmet is hebben ze niets aan al deze beveiligingsmaatregelen. Deze klant is dan ook een van de invloedrijkste schakels in de bestrijding van high-tech criminaliteit, maar tevens de zwakste. De gemiddelde computergebruiker wil niet teveel lastig gevallen worden met virusscanners, een firewall en inlogprocedures. Belangrijkste voor hem is dat de computer naar behoren werkt. Ze hebben maar weinige verstand van wat de computer allemaal doet en zien het belang van een goede en actuele virusscanner en een 2-factor authenticatie bij het inloggen op internetbankieren niet. Het is dan ook moeilijk om deze gebruikers bewuster te maken van de risico’s van hightech criminaliteit. Wanneer ze slachtoffer worden van high-tech criminaliteit hebben ze dit in eerste instantie vaak niet eens door. In gevallen van skimming en internetfraude zien consumenten het doordat er geld van hun rekening is afgeschreven waar ze geen machtiging voor hebben gegeven. Op dat moment is het kwaad echter al geschied. Voor de consument is dit vervelend maar nadat ze de schade volledig vergoed krijgen van hun bank is het probleem opgelost. Ze moeten hooguit de extra kosten betalen die financiële instellingen doorbereken voor bijvoorbeeld een creditcard betalen. Maar ze zullen in het vervolg waarschijnlijk weinig extra maatregelen nemen omdat ze weten dat de schade toch weer vergoed wordt. De impact die high-tech delicten om burgers hebben is dus niet zo groot, waardoor ze ook moeilijk te beïnvloeden zijn. Burgers en klanten hebben daarnaast een onduidelijk beeld van de risico’s 106



die high-tech criminaliteit met zich mee brengt en de manier waarop hun bank hiermee omgaat. Aangiftes worden door de banken intern afgehandeld en de klant krijgt zijn geld. Meer transparantie over de afwikkeling van incidenten geeft klanten meer zekerheid met betrekking tot hun spaartegoeden en zou het vertrouwen in banken kunnen versterken. De beleving van het publiek is daarnaast een belangrijk middel om zowel de politieke agenda als de prioriteitenstelling bij de politie te beïnvloeden. Maar doordat high-tech criminaliteit gericht op financiële instellingen een relatief onzichtbaar fenomeen is, vaak hebben computergebruikers geen idee dat ze slachtoffer zijn van een cyberaanval, werkt dit middel minder goed dan bijvoorbeeld bij kinderporno het geval is. Vaak is een reeks incidenten nodig om een probleem op de politieke agenda te krijgen. En vanuit hier kunnen politieke partijen de problematiek in beleidsvoorstellen verwerken. Pas dan zal het prioriteit krijgen bij de politie. Echter, zoals we in hoofdstuk vier al geconcludeerd hebben, vormt hightech criminaliteit gericht op financiële instellingen op dit moment geen maatschappelijk probleem, en zullen er ook in dit geval eerst een aantal grootschalige aanvallen plaats moeten vinden om het op de agenda van de individuele burger of de politiek te krijgen. Voorlichtingscampagnes van banken en de overheid kunnen burgers meer bewust maken maar inzicht in de ernst van high-tech criminaliteit blijft ontbreken. Een mogelijkheid om dat zicht te verhelderen is het doorbreken van geheimhouding van banken en bedrijven over cijfers. Wanneer deze partijen meer informatie los zouden laten over incidenten krijgen we een beter beeld van de ernst van high-tech criminaliteit. Hier kan de politiek haar beleid op aanpassen en medewerking verlenen voor een passende aanpak.

6.3.5

Internationale instanties

Omdat internetverkeer internationaal is, moeten rechtshandhavende instanties in gevallen van high-tech criminaliteit vaak een beroep doen op overheid- en opsporingsdiensten in andere landen. De bevoegdheid van Nederlandse opsporingsambtenaren houdt op bij de eigen landsgrens. Het vergaren en de overdracht van (elektronisch) bewijs moet, tenzij er toestemming is van bevoegde buitenlandse autoriteiten, aan de opsporingsautoriteiten van andere landen worden overgelaten. De regelingen over rechtshulp zijn terug te vinden in verschillende bilaterale of multilaterale verdragen als gevolg van internationaal overleg (Kasperen, 2004: 63). 107



De Europese Unie heeft op dit moment beperkte macht betreffende de wetgeving rondom high-tech criminaliteit. In 2002 heeft de Europese Commissie het artikel ‘Creating a Safer Information Security by Improving the Security of Information Infrastructures and Combating Computer-related

Crime’

gepubliceerd

(Commission

of the European

Communities, 2002). Hierin hebben ze het probleem van high-tech criminaliteit geanalyseerd en gewezen op de noodzaak voor effectieve actie om de gevaren voor de integriteit, beschikbaarheid en betrouwbaarheid van informatiesystemen en netwerken aan te pakken (Gercke, 2009: 411). Binnen de Europese Unie speelt de Raad van Europa een belangrijke rol met betrekking tot de harmonisatie van het strafrecht in Europa. De Raad van Europa is gevestigd in Straatsburg en opgericht in 1949 als een internationale organisatie die 47 lidstaten representeert (Gercke, 2009: 415). Het Cybercrimeverdrag, dat is ontwikkeld door de Raad van Europa, heeft de volgende doelstellingen: harmonisatie van het (materiële) cybercrimestrafrecht, harmonisatie van strafvorderlijke bevoegdheden tot het vergaren van elektronisch bewijsmateriaal, en het faciliteren van internationale rechtshulp. De eerste doelstelling legt vast over welke strafbaarstellingen de verdragspartijen het eens zijn geworden (Kaspersen, 2004: 68). Tot de strafbaarstelling van spam is niet besloten, omdat dit gedrag ten tijde van de onderhandelingen naar gemeenschappelijke opvattingen niet als voldoende schadelijk werd gezien. Verder dient er overeenstemming te bestaan op welke gedragingen de verdragsstaten elkaar bereid zijn rechtshulp te verlenen. De eis van dubbele criminaliteit65 is een sine qua non66 voor het verlenen van rechtshulp, al wordt hier in moderne verdragen niet zoveel waarde aan gehecht. Maar het wil wel zeggen dat een verdragsstaat niet snel geneigd zal zijn om burgers uit te leveren indien een gedraging in de eigen wetgeving niet strafbaar is (Kaspersen, 2004: 69). Het Cybercrimeverdrag is door Nederland op 23 november 2001 ondertekend. Dit verdrag is inmiddels redelijk verouderd en heeft geen invloed op landen buiten de Europese Unie.

6.4 Belangentegenstellingen tussen stakeholders Nu we door middel van een stakeholdersanalyse de belangen en beweegredenen van de betrokken partijen in kaart hebben gebracht, kijken we waar de knelpunten en

65 66

De gedraging moet in beide landen strafbaar gesteld zijn. Een voorwaarde zonder welke het gevolg niet kan intreden.

108



belangentegenstellingen liggen. Aan de hand hiervan wordt duidelijk hoe de risico’s tussen partijen verdeeld kunnen worden en welke vorm van samenwerking het beste past. Het eerste knelpunt wat uit de stakeholdersanalyse naar voren komt is het delen van informatie. Banken hebben meer informatie over incidenten en schade dan ze met de buitenwereld delen. Meerdere partijen hebben baat bij kennis van deze informatie. Voor opsporingsinstanties geeft de informatie inzicht in de ernst en kenmerken van high-tech criminaliteit. Dit komt niet alleen de expertise binnen het politiewezen ten goede maar kan ook tot gerichte opsporingsonderzoeken leiden. Zonder informatie zullen ze ook geen extra middelen inzetten ter bestrijding van high-tech criminaliteit. Voor klanten van banken – wat volgens mij bijna iedere Nederlandse burger is – kan de informatie ook een meerwaarde hebben. Het zijn hun spaartegoeden die de banken in handen hebben dus zij hebben recht op informatie over de risico’s. Ook de afhandeling van schadeclaims nadat klanten slachtoffer worden van een high-tech delict mist aan transparantie. De angst voor reputatieschade is voor de banken de voornaamste reden om geen gegevens over incidenten publiek te maken. Wanneer consumenten het vertrouwen in het bankwezen verliezen lopen ze kans de transformatie naar elektronisch bankieren deels te moeten terugdraaien. De kosten hiervan kunnen de huidige kosten van high-tech criminaliteit overstijgen. Maar juist het gebrek aan transparantie zorgt voor een verlies in vertrouwen. Burgers maken zich geen zorgen om de risico’s aangezien ze de schade toch vergoed krijgen. Maar ze willen wel duidelijk over de manier waarop banken met deze risico’s omgaan. Dit brengt ons bij het volgende knelpunt, het beperken van de risico’s. Banken en bedrijven hebben de meeste schade van high-tech criminaliteit. Ze nemen dan ook diverse technologische en preventieve maatregelen om de kans op high-tech incidenten te verkleinen. De publieke sector wordt in mindere mate getroffen door high-tech delicten. De beschikbare middelen moeten verdeeld worden over verschillende vormen van criminaliteit en high-tech criminaliteit staat momenteel niet hoog op de prioriteitenlijst. Opsporingsonderzoeken naar verdachten van high-tech criminaliteit is dan ook eerder uitzondering dan regel. Maar de zwakste schakel in het beperken van risico’s is de burger. Computergebruikers willen dat alle producten en diensten waar ze gebruik van maken optimaal werken en zijn zich vaak niet bewust van de risico’s die ICT en internet met zich meebrengen. Zelfs wanneer deze risico’s in cijfers uitgedrukt worden, zoals bij skimming sinds een aantal jaren het geval is, neemt het gebruik van deze producten en diensten niet af (Respondent 3, 15 december 2009). Wel neemt een klein gedeelte van de burgers extra maatregelen om zich tegen specifieke aanvallen te 109



beschermen, bijvoorbeeld door extra op te letten bij het pinnen (Lieberman Research Group, 2010). Ook het feit dat ze steeds vaker worden getroffen door high-tech delicten maakt ze niet bewuster van de risico’s. In 2009 zijn 1 op de 450 mensen met een bankpas slachtoffer geworden van skimming (De Nederlandsche Bank, 2009: 15). De impact van deze aanvallen blijft echter klein doordat banken de schade van hun klanten vergoeden. Hun slachtofferrol is dus maar tijdelijk en ze nemen weinig extra maatregelen omdat ze weten dat het toch weer vergoed wordt. Ook op internet zijn consumenten onvoorzichtig omdat ze de risico’s slecht in kunnen schatten. De gemiddelde computergebruiker heeft geen idee wat er binnenin een computer gebeurt en gelooft alles wat deze computer hem verteld (Schneier, 2000: 255). Bovendien zijn de methoden die criminelen gebruiken steeds inventiever en zelfs door de oplettende gebruiker bijna niet op te merken. Zolang deze consumenten zich niet bewust zijn van de risico’s en gevolgen van high-tech criminaliteit gericht op financiële instellingen blijven niet alleen de kosten voor banken en bedrijven oplopen. De rolverdeling binnen de samenwerking om high-tech criminaliteit te beheersen is het derde knelpunt. Overheidsinstanties dienen het publieke belang terwijl private partijen de belangen van de organisatie voorop stellen. Deze bevinding komt overeen met de Economische theorie, waarin gesteld wordt dat private partijen schadegericht zijn. De publieke sector is juist dadergericht en houdt zich bezig met het opsporen en berechten van de daders. Dit heeft als gevolg dat overheidsinstanties minder maatregelen zullen nemen ter preventie van high-tech criminaliteit, terwijl private partijen de schade willen beperken door het voorkomen van incidenten. Naast het voorkomen willen ze incidenten ook zelf afhandelen om het verlies te herstellen (Hoogenboom, 1994). De hulp van private partijen bij de opsporing kent echter een aantal risico’s en de vraag is of onze privacy waarborg niet te ruim wordt. Private partijen handelen niet in dienst van de samenleving maar ze werken voor bedrijven en focussen zich dus ook op de prioriteiten van deze werkgevers. Ze zijn daarom minder bezorgd om een eerlijk proces, burgerrechten en de openbare veiligheid. Daarnaast zijn er een aantal wetten welke de samenleving beschermen tegen misbruik door de overheid en politie welke niet gelden voor private partijen (Schneier, 27 februari 2007). Een ander risico is de beloning voor private opsporingsdiensten. Zij worden ingehuurd door bedrijven en organisaties en doen dit natuurlijk niet voor niets. Ze moeten er echter ook niet beter op worden wanneer de criminaliteit stijgt en we willen ook geen systeem van bountyhunters67

67

Een bounty hunter is iemand die criminelen ‘vangt’ voor een financiële vergoeding en is alleen legaal in de Verenigde Staten en op de Filippijnen (New York Times, 29 januari 2008).

110



zoals in de Verenigde Staten. De risico’s van private opsporing moeten dus eerst in kaart gebracht worden. Wel zouden private partijen een belangrijk schakel kunnen vormen bij de opsporing door de bewijsvergaring op zich te nemen (Cops in Cyberspace, 10 oktober 2009). Hiervoor hoeft geen wetgeving aangepast te worden want vaak hebben banken en bedrijven zelf personen in dienst met bepaalde politie en rechercherechten en bestaan er draaiboeken voor het vergaren en veiligstellen van bewijs (Respondent 16, 4 december 2009). Op deze manier kunnen zij panklare bewijsanalyses bij de politie afgeven waarop deze een onderzoek kunnen starten. Dit scheelt tijd en personeel aan de kant van opsporingsdiensten en private partijen hoeven zo niet alle vertrouwelijke gegevens met andere partijen te delen ( Respondent 1, 16 december 2009).

6.5 De verdeling van risico’s De hierboven geanalyseerde knelpunten staan een effectieve samenwerking tussen de betrokken partijen in de weg. Maar welke belangen wegen zwaarder en hoe moeten de risico’s tussen de partijen worden verdeeld? Kortom welke vorm van samenwerking past er dus het best bij de aanpak van high-tech criminaliteit? De drie knelpunten laten zien dat informatiedeling, het beperken van risico’s en het doel van de maatregelen zorgen voor problemen tussen partijen. De belangen van financiële instellingen, burgers en de overheid spelen hierbij belangrijke rollen. Als we kijken naar de verdeling van risico’s zien we dat banken momenteel het meeste schade ondervinden. Burgers zijn wel vaak slachtoffer van high-tech criminaliteit maar de schade is klein omdat deze door de bank vergoed wordt. De kosten van high-tech criminaliteit voor de overheid zijn lager omdat high-tech criminaliteit geen prioriteit heeft en middelen op andere gebieden worden ingezet. De knelpunten zijn aan te pakken door samenwerking tussen de betrokken partijen. Hierdoor worden de risico’s verdeeld en wordt een gecoördineerde aanpak van high-tech criminaliteit mogelijk. Informatiedeling is een belangrijk aspect bij het beheersen van high-tech criminaliteit. Zonder kennis over de ernst en kenmerken van deze criminaliteitsvorm kunnen partijen geen effectieve maatregelen nemen om de risico’s te beheersen. Informatie en kennis liggen echter verspreid over publieke en private instanties. Banken en bedrijven hebben veel kennis over de werkwijze van high-tech criminelen. Ook hebben ze een overzicht van de omvang, al moet 111



hier wel de kanttekening bij geplaatst worden dat dit niet op structureel en op dezelfde wijze wordt geregistreerd. Wanneer bijvoorbeeld alle banken hun informatie over incidenten in een systeem zouden combineren, ontstaat er een beter beeld van de omvang. De vraag is echter bij wie de taak ligt voor het verzamelen van de informatie, aangezien banken wel concurrenten van elkaar blijven. Informatie over de omvang van high-tech criminaliteit kan voor beleidsmakers en opsporingsinstanties waardevol zijn toekomstige beleidsplannen en prioriteiten. Gegevens over de werkwijze kunnen zorgen dat opsporingsdiensten hun opsporingsmiddelen of methoden aanpassen wat de efficiëntie van opsporingsonderzoeken ten goede komt. Aan de andere kant hebben politie en justitie meer informatie over de kenmerken van de daders. Ondanks het kleine aantal onderzoeken zijn er bepaalde landen te herkennen met een groter aandeel in high-tech criminaliteit. Ook de OPTA en ISP’s kunnen bijdragen aan een overzicht van de locaties waar criminele servers staan. Deze informatie kunnen private partijen weer gebruiken voor preventieve maatregelen. Een grootschalige kennisdeling zou dus voor de betrokken partijen een meerwaarde kunnen hebben voor de manier waarop zij maatregelen nemen tegen high-tech criminaliteit. Het beperken van risico’s wordt grotendeels door de partijen afzonderlijk gedaan. Banken en bedrijven nemen technologische maatregelen ter preventie van incidenten. Overheden nemen incidenteel maatregelen om risico’s te beperken, meestal in samenwerking met private partijen. Maar de burger neemt de minste maatregelen om slachtofferschap te voorkomen. Voorlichting aan computergebruikers over de risico’s van high-tech criminaliteit wil niet zeggen dat ze ook daadwerkelijk maatregelen nemen, maar draagt wel bij aan de bewustwording van deze risico’s. Via het NVB zijn al een drietal initiatieven gestart om consumenten bewust te maken van de risico’s van elektronisch bankieren. Maar dit zijn kleinschalige projecten met een beperkte doelgroep. Het NVB mist de financiële middelen om een grotere voorlichtingscampagne te starten. De overheid zou hier een ondersteunende functie kunnen vervullen in het kader van haar publieke belang om deze mensen bewust te maken van de risico’s. Een samenwerkingsverband tussen publiek en privaat dat zich richt op voorlichting en preventieve maatregelen zou de risico’s van high-tech criminaliteit kunnen beperken. Hieruit

vloeit

de

vraag

wie

welke

rol

heeft

in

een

publiek-privaat

samenwerkingsverband. Zoals we in de vorige paragraaf hebben gezien willen private partijen steeds meer controle hebben over de afhandeling van incidenten. Ze hebben echter weinig

112



middelen en bevoegdheden om repressieve maatregelen te kunnen nemen. Toch is een groot deel van de kwetsbare vitale infrastructuur in handen van de private sector. Respondent 10: ‘(…) Ongeveer 85% van de vitale infrastructuur wordt op dit moment door de private sector beheerd, dus zij vormen wel degelijk een prominente schakel bij het beheersen van high-tech criminaliteit (…).’ De opsporing en vervolging zijn in Nederland nog taken van politie en justitie. Volgens de Junior-Partner theorie is de publieke sector verantwoordelijk voor de veiligheidszorg in Nederland en worden inspanningen van private partijen als aanvullingen hierop beschouwd. In het kader van deze theorie kunnen we stellen dat de verantwoordelijkheid voor de bestrijding bij de overheid zou moeten liggen, en dat maatregelen van private partijen complementair zijn. In een samenwerkingsverband kan deze verantwoordelijkheid van de overheid zich uiten in repressieve maatregelen. De verantwoordelijkheid voor maatregelen kan echter niet aan een partij worden toegewezen, want geen enkele partij heeft alle kennis en middelen hiervoor paraat. Maar binnen de overheid zouden bijvoorbeeld een bijgewerkte wetgeving en adequate opsporing bijdragen aan het beheersen van high-tech criminaliteit. Voor banken en bedrijven is een rol weggelegd bij de detectie en preventie van high-tech criminaliteit, onder andere door de technologische en organisatorische mogelijkheden die zij op dit gebied hebben. De risico’s worden op deze manier verdeeld tussen publieke en private partijen, waarbij de private sector verantwoordelijk is voor preventieve maatregelen, en de publieke sector voor repressieve maatregelen.

113



7. CONCLUSIE

7.1 Bevindingen Na al deze informatie is het tijd om een antwoord te formuleren op de centrale probleemstelling. Deze probleemstelling luidt: Wat zijn de risico’s en kenmerken van hightech criminaliteit gericht op financiële instellingen in Nederland en waar ligt de verantwoordelijkheid voor het nemen van maatregelen ter bestrijding? Alvorens deze vraag beantwoorden kan worden bekijken we eerst een aantal onderzoeksvragen. De eerste vraag is wat de aard en omvang van high-tech criminaliteit gericht of financiële instellingen is. Over de omvang van high-tech criminaliteit zijn nog maar weinig gegevens bekend. Dit heeft een aantal oorzaken. Banken en bedrijven houden informatie over incidenten en schade liever binnen de organisatie uit angst voor reputatieschade. Daarnaast zijn er veel verschillen in de manier waarop high-tech delicten geregistreerd worden. Uit hoofdstuk vier is wel gebleken dat skimming op dit moment het grootste probleem vormt voor financiële instellingen. Deze verschijningsvorm van high-tech criminaliteit zou echter met de komst van de EMV-chip binnen twee jaar moeten afnemen. Over phishing zijn geen concrete cijfers maar softwareontwikkelaars en het KLPD zien technologische ontwikkelingen op het gebied van phishing die in de toekomst voor een matige dreiging kunnen zorgen. De impact die high-tech criminaliteit op de rest van de samenleving heeft is beperkt en de schade wordt vrijwel geheel gedragen door de banken die alles aan hun klanten vergoeden. De aard van high-tech criminaliteit verschilt per verschijningsvorm. Op het gebied van malware en Denial-Of-Service aanvallen zijn Brazilië en Rusland belangrijke herkomstlanden, terwijl de herkomst van spam kan worden teruggeleid naar bronnen in China en de Verenigde Staten. Over de daders van skimming is meer betrouwbare informatie bekend omdat voor dit delict in Nederland een aantal verdachten zijn aangehouden. Het overgrote deel van de verdachte had de Roemeense of Bulgaarse nationaliteit. De daderkenmerken voor phishing zijn gebaseerd op de locatie waar de phishingssites gehost worden, en deze bevinden zich voornamelijk in Oost-Europa, Afrika en de Verenigde Staten. Over de daders van identiteitsfraude zijn nog geen aanwijzingen.

114



In hoofdstuk vijf is de betrokkenheid van georganiseerde groepen aan bod gekomen. Een uiteenzetting van verschillende gevallen van high-tech criminaliteit en de motieven van georganiseerde groepen om zich met high-tech delicten bezig te houden laat zien dat de betrokkenheid van georganiseerde groepen twijfelachtig is. Uit een aantal aanwijzingen blijkt dat georganiseerde groepen uit Rusland en Oost-Europa een aandeel hebben in high-tech criminaliteit maar gaat niet om traditionele georganiseerde groepen die zich ook voortbewegen op andere criminaliteitsterreinen. De kenmerken van cyberspace trekken groepen aan met een andere structuur waarbij fysieke samenwerking niet meer nodig is en netwerken belangrijk zijn. Deze cybercriminele groepen kunnen in drie groepen worden verdeeld: groepen die traditioneel georganiseerd zijn en met ICT-middelen hun werkterrein verbreden, groepen die enkel online actief zijn en groepen met een ideologische of politieke motivatie. Het label georganiseerde criminaliteit heeft echter geen meerwaarde voor de manier

waarop

high-tech

criminaliteit

aangepakt

zou

moeten

worden.

Het

grensoverschrijdende karakter van high-tech criminaliteit biedt al genoeg handvaten voor nationale en internationale (opsporing) instanties om deze criminaliteitsvorm op zich te nemen. De verdeling van de risico’s en de verantwoordelijkheid voor het nemen van maatregelen wordt in hoofdstuk zes beschreven. De risico’s van high-tech criminaliteit liggen voornamelijk bij financiële instellingen en zij zijn ook degene die opdraaien voor de schade. Ze proberen de verantwoordelijkheid echter op de overheid te schuiven. De overheid heeft echter geen middelen om high-tech criminaliteit effectief te bestrijden. Dit heeft een aantal redenen. Banken en bedrijven geven maar weinig informatie prijs over incidenten en schade waardoor de ernst van high-tech criminaliteit door de overheid slechts kan worden in geschat. Daarnaast hebben ook de burgers weinig zicht op de risico’s van high-tech criminaliteit waardoor het probleem geen aandacht op de politieke agenda krijgt. Dit leidt ertoe dat de verschijningsvormen van high-tech criminaliteit geen prioriteit krijgt bij beleidsmakers en opsporingsdiensten, waardoor maatregelen en middelen om high-tech criminaliteit te bestrijden uitblijven. Financiële instellingen kunnen de beheersing van high-tech criminaliteit echter niet alleen aan. Ze hebben geen middelen en bevoegdheden om respressieve maatregelen te nemen. De opsporing en vervolging van verdachten ligt in Nederland in handen van politie en justitie. Door middel van publiek-private samenwerking kan een effectief scala aan maatregelen worden opgezet, zowel preventief als repressief, om high-tech

115



criminaliteit te beheersen. Daarvoor moeten eerst een drietal belangentegenstelling tussen de stakeholders rechtgetrokken worden. Informatiedeling, het beperken van risico’s en de verantwoordelijkheid voor het nemen van maatregelen zijn knelpunten die een effectieve samenwerking in de weg staan. Door

middel

van

kennisdeling

tussen

de

publieke

en

private

sector

worden

informatiebestanden van beide sectoren aangevuld en kunnen ze gerichte maatregelen nemen om de risico’s van high-tech criminaliteit te beheersen. Het beperken van risico’s wordt nog teveel door partijen en sectoren afzonderlijk gedaan. Hierdoor richten de maatregelen zich slechts op een klein gedeelte van de criminaliteit en hebben ze een beperkte doelgroep. Wanneer publieke en private partijen samen voorlichtingscampagnes opzetten hebben ze een groter bereik en kunnen meerdere risico’s beperkt worden. De verantwoordelijkheid voor de maatregelen vormt een uitdaging aangezien partijen het liefst hebben dat iemand anders de rommel voor ze opruimt. Op basis van de Junior-Partner theorie kan gesteld worden dat een samenwerkingsverband het meest effectief is wanneer de overheid de verantwoordelijkheid neemt en private partijen aanvullende maatregelen nemen. Deze verantwoordelijkheid van de overheid uit zich in repressieve maatregelen zoals bijgewerkte wetegving en adequate opsporing. Private partijen hebben de technologische en organisatorische mogelijkheden om preventieve maatregelen te nemen zoals voorlichting, technische beveiliging het detecteren van criminele activiteiten.

7.2 Aanbevelingen Niet alle stakeholders kunnen alle gebieden van high-tech criminaliteit beïnvloeden. Bepaalde taken moeten door verschillende groepen worden uitgevoerd. Zo wordt de wetgeving betreffende high-tech criminaliteit gestuurd door de nationale overheid en internationale organisaties, terwijl technologische ontwikkelingen meer in handen liggen van de private sector. Samenwerkingsverbanden dienen zich te richten op dat gebied van high-tech criminaliteit waar de betrokken partijen de meeste invloed op kunnen uitoefenen. Er zijn drie manieren om high-tech criminaliteit tegen te gaan: zorgen voor een wettelijke basis, het gedrag van eindgebruikers beïnvloeden, en het financiële gewin uit de misdaad halen. Hierbij moeten de belangrijkste schakels in het criminele proces in kaart gebracht worden en op basis daarvan worden aangepakt. Hieronder wordt een drietal maatregelen voorgesteld voor een betere beheersing van high-tech criminaliteit. Er wordt een onderscheid gemaakt tussen 116



bestuurlijke, preventieve en repressieve maatregelen. De bestuurlijke maatregelen zijn gericht op de wettelijke basis voor strafbaarstelling van de verschijningsvormen van high-tech criminaliteit. Het gedrag van eindgebruikers kan het beste worden beïnvloed door preventieve maatregelen en deze maatregelen kunnen ook een gedeelte van het financiële gewin uit de criminele activiteiten halen. Ook repressieve maatregelen kunnen het financiële gewin terugdringen door onder andere de risico’s te vergroten.

7.2.1

Bestuurlijke maatregelen

Zowel nationaal als internationaal is de rechtshandhaving slecht uitgerust om de snelle opkomst van high-tech criminaliteit tegen te gaan. Dit heeft mede te maken met beperkte middelen als personeel en budget, belemmeringen in de samenwerking met andere organisaties en landen, omslachtige procedures bij samenwerking en verouderde of ontbrekende rechtsmiddelen (Team Cymru, 2006: 26). Deze eerste drie beperkingen zijn in voorgaande hoofdstukken al uitgebreid besproken. De verouderde of ontbrekende rechtsmiddelen hebben te maken met het model van rechtshandhaving waar we op dit moment op vertrouwen. Dit model is ontwikkeld om traditionele vormen van criminaliteit tegen te gaan die zich afspelen in de fysieke wereld en veel veronderstellingen in onze wetgeving gelden niet voor high-tech criminaliteit. Het grensoverschrijdende karakter van high-tech criminaliteit zorgt ervoor dat het in veel gevallen niet gaat om een enkelvoudig en plaatsgebonden delict dat de focus wordt van een onderzoek, maar om geautomatiseerde delicten die de huidige schaal van onze wetgeving overstijgen (Brenner, 2007: 58). Daarnaast zijn de sancties voor high-tech delicten zwak en beperken hierdoor ook het afschrikeffect (Cybercrime and Punishment, 2000). Het wettelijk kader vormt zodoende een van de problemen bij de aanpak van high-tech criminaliteit. Het Cybercrimeverdrag van de Raad van Europa uit 2001 zou moeten zorgen voor harmonisatie en verbetering van de internationale samenwerking. Dit verdrag wordt ondersteund

door

veel

Europese

landen

maar

belangrijke

herkomstlanden

van

cybercriminelen zijn geen lid van de Raad van Europa of hebben het verdrag niet ondertekend, zoals Rusland en Zuid-Amerika. Dit belemmert niet alleen de internationale samenwerking maar geeft criminelen ook de mogelijkheid om mazen in de wet te misbruiken. Volgens Kaspersen (2004) kan een nieuw verdrag vanuit de Verenigde Naties (VN) dat op het Cybercrimeverdrag aansluit een uitkomst bieden. Hierbij kunnen echter een aantal 117



kanttekeningen geplaatst worden. De visie die de Raad van Europa heeft op mensenrechten sluit niet aan bij alle lidstaten van de VN. Daarnaast is een snelle inwerkingtreding van een nieuw verdrag te betwijfelen, gezien de bestaande ratificatiepraktijk bij bestaan VNverdragen. Tevens moet het wel mogelijk zijn om alle lidstaten te overtuigen van deelname aan het verdrag, ook landen waarbij een bestrijding van cybercrime niet hoog op de prioriteitenlijst staat. Tenslotte bestaat er een risico dat criminelen zich gaan verplaatsen naar landen die minder ontwikkeld zijn en geen politieke kracht hebben om een verdrag te kunnen ratificeren. De vraag is dus of een nieuw verdrag vanuit de VN een meerwaarde heeft ten opzichte van het huidige Cybercrimeverdrag. Een vernieuwing van het verdrag van de Raad van Staten en het inspireren van lidstaten die het verdrag nog niet hebben ondersteund en geïmplementeerd lijkt een meer voor de hand liggende optie. Hierbij kunnen we cybercrime niet tegenhouden, maar misschien wel beter beheersen. Een tweede aandachtspunt is de verbetering van de internationale samenwerking tussen de lidstaten. Zo zouden regels en procedures met betrekking tot het uitwisselen van informatie en jurisdictie verder uitgewerkt kunnen worden in het Cybercrimeverdrag. Een bestuurlijke maatregel op nationaal niveau is het aanpakken van een belangrijke schakel in high-tech criminaliteit. Servers dienen als een belangrijke schakel bij de distributie van malware. De wetgeving is op dit moment gericht op de intentie van software maar kent geen specifieke regels over de distributiepunten hiervan. De vraag is echter waar de mogelijkheid ligt om deze servers aan te pakken. Private IT-beveiligingsbedrijven monitoren veel servers op criminele activiteiten maar hebben geen rechten en bevoegdheden om dit aan te pakken. Daarvoor zouden nieuwe rechten en bevoegdheden voor private opsporing in het leven geroepen moeten worden, maar we hebben hierboven al gezien dat hier er een aantal haken en ogen aan zitten. Om deze reden kijken we eerst naar mogelijkheden binnen de huidige wetgeving. OPTA is een zelfstandig overheidsorgaan dat de distributie van malware op bestuurlijk gebied kan aanpakken. Zij doen onderzoek naar malware en servers die de verspreiding hiervan hosten en hebben de mogelijkheid om, in samenwerking met ISP’s, deze servers uit de lucht te halen (Notice and Takedown). Nederlandse internetproviders werken sinds 2010 samen in de strijd tegen botnets, waarbij de kennis en informatie over geïnfecteerde computers delen. Zo kunnen ze botnetwerken al in een vroeg stadium ontdekken en computers tijdelijk van internet afsluiten om verdere verspreiding te voorkomen. Vervolgens kan OPTA beheerders van de servers of malwareproducenten een boete van maximaal 118



€450.000 opleggen op basis van de Telecommunicatiewet68. Op strafrechtelijk gebied kan het Team High Tech Crime van de KLPD verder onderzoek instellen naar de criminelen achter deze servers en malware. Vaak bevinden deze servers zich echter buiten onze landsgrenzen en kunnen nationale ISP’s deze servers niet blokkeren. Ook hier is dus een verbetering van de internationale samenwerking nodig voor een effectieve bestrijding.

7.2.2

Preventieve maatregelen

Computergebruikers zijn de zwakste schakel in de aanpak van high-tech criminaliteit. Financiële instellingen en betrokken bedrijven kunnen nog zoveel beveiligingsmaatregelen treffen, wanneer computergebruikers onvoorzichtig zijn kunnen deze maatregelen weinig betekenen69. De meeste maatregelen zijn namelijk gebaseerd op het herkennen van gebruikers. Maar als computers van consumenten virussen of trojan horses bevatten kunnen criminelen zich voordoen als een geautoriseerde gebruiker en deze beveiligingen omzeilen. Voorlichtingen om computergebruikers alert te maken op de risico’s van internet zijn daarom een belangrijk middel bij de preventie van high-tech criminaliteit gericht op financiële instellingen. Computergebruikers zijn nochtans moeilijk te beïnvloeden. Kosten voor virusscanners en gebruiksvriendelijkheid van diensten als internetbankieren spelen hierbij een rol. De consument wil zonder al teveel moeite gebruik kunnen maken van alle diensten die het internet

biedt

en

is

minder

geïnteresseerd

in

beveiligingsmaatregelen.

Voorlichtingscampagnes zouden grootschalig opgezet moeten worden en zich moeten richten op specifieke doelgroepen om de gewenste indruk te maken op computergebruikers. Tegelijkertijd dient de gebruiksvriendelijk van diensten op peil gehouden te worden. De recent gestarte campagne ‘Veilig Bankieren’ is een internetcampagne die deze aspecten combineert en vormt een stap in de goede richting. Preventie is naast het voorkomen van criminaliteit tevens een economisch vraagstuk. Om high-tech aanvallen te voorkomen of verminderen moeten de kosten en risico’s voor aanvallen worden verhoogd, en mogelijkheden en opbrengsten verkleind worden. Ook hier

68

Telecommunicatiewet artikel 15.4 lid 2. Een voorbeeld is de authenticatie die banken uitvoeren bij het gebruik van internetbankieren. Zij gebruiken een twee-factor authenticatie, een code en pincode, om klanten te herkennen. Een Australische bank heeft geëxperimenteerd met drie-factor identificatie waarbij ook een stemafdruk opgenomen was. Dit bleek echter niet het gewenste resultaat te hebben aangezien criminelen een valse website spiegelen aan het origineel en de stemafdruk dus eenvoudig kunnen kopiëren (Security.nl, 13 oktober 2009).

69

119



kijken we hoe we belangrijke schakels binnen high-tech criminaliteit aan kunnen pakken in plaats van het gehele proces. Een van deze schakels zijn de moneymules. Zolang gestolen geld elektronisch blijft is het te traceren, maar met de tussenkomst van moneymules kan dit geld contant opgenomen worden en verdwijnt het van de radar van financiële instellingen. Door het aanpakken van deze schakel worden de transactiekosten voor criminelen verhoogd. Ze moeten namelijk naar alternatieven zoeken om het geld op te kunnen nemen. De Nederlandse Vereniging van Banken heeft in samenwerking met de politie in 2008 al een voorlichtingscampagne tegen moneymules gestart, ‘Word Geen Moneymule’. Deze campagne waarschuwde jongeren voor de gevolgen van het uitlenen van je bankrekening aan criminelen. Het zijn echter niet alleen jongeren die als moneymule door criminele geworven worden, ook mensen van middelbare leeftijd en zelf ouderen worden benaderd. De voorlichtingscampagne mist deze doelgroep waardoor zij nog steeds kwetsbaar voor de slinkse trucs van high-tech criminelen. Om de schakel van moneymules effectief aan te pakken moet de voorlichting zich ook op deze groep potentiële moneymules richten.

7.2.3

Repressieve maatregelen

Net als alle andere vormen van criminaliteit kan ook high-tech criminaliteit niet volledig voorkomen of bestreden worden. Er wordt gestreefd naar het beheersen van het probleem en een verdere toename voorkomen. Repressieve maatregelen komen in principe al te laat, het kwaad is dan al geschied. Maar ze kunnen de daders straffen zodat deze niet in herhaling vallen en andere afschrikken zodat ze er niet eens aan beginnen. Zoals voor andere vormen van grensoverschrijdende criminaliteit geldt ook voor high-tech criminaliteit dat een multilaterale aanpak nodig is. Opsporing en vervolging kunnen effectief zijn mits het bewijs duidelijk is en de wetgeving en waterdicht kader vormt. Hierbij zijn echter twee uitdagingen op te merken; de participatie van ontwikkelingslanden en de verschillen in besluitvorming tussen landen. Slechts weinig landen hebben de juridische en technische middelen die nodig zijn om de complexe aanpassingen rondom de nieuwe uitdagingen van high-tech criminaliteit aan te pakken. Opsporingsdiensten in ontwikkelingslanden en ook Oost-Europese landen kunnen weinig hulp verlenen omdat hun kennis erg klein is en ze minimale middelen tot hun beschikking hebben. Dit staat een effectieve internationale samenwerking in de weg. Natuurlijk is internationale samenwerking op lange termijn belangrijk en zijn verdragen op dit 120



niveau wenselijk, maar op dit moment zijn de mogelijkheden schaars. In plaats van samenwerking te forceren kunnen we kijken naar maatregelen die op korte termijn wel effect kunnen hebben. Zoals we in hoofdstuk vier hebben geconcludeerd zijn daders van high-tech criminaliteit uit op financieel gewin. Zij maken een aantal kosten-baten afwegingen waarbij de opbrengsten hoger moeten zijn dan de risico’s. Repressieve maatregelen gericht op het verlagen van de opbrengsten en verhogen van de risico’s kunnen het aantal high-tech delicten verminderen. Want ook al zitten de criminelen aan de andere kant van onze aardbol, wanneer ze weten dat ze in Nederland meer risico lopen om gepakt te worden, zullen ze uitwijken naar andere landen. Hierbij bestaat wel het risico dat criminaliteit wordt weggedrukt naar omliggende landen waardoor het probleem slechts verplaatst wordt. Bovendien vraagt het verhogen van de risico’s om een effectieve opsporing. En daarbij stuiten we weer op de uitdaging die hierboven genoemd zijn. Het verlagen van de opbrengst kan een alternatief bieden. Veel transacties worden momenteel in de gaten gehouden door zowel banken als private beveiligingsbedrijven. Wanneer verdachte betalingen of bedragen de monitor passeren kan de rekening bevroren worden. Zo wordt de schade beperkt gehouden. Door meer te investeren in het monitoren van rekeningen kunnen verdachte overboekingen sneller worden opgemerkt waardoor het gat tussen kosten en baten voor de crimineel verkleind wordt. Naast uitdagingen met betrekking tot het opsporingsonderzoek kent de bestrijding van high-tech criminaliteit nog een aantal problemen. Deze problemen beginnen al direct na een incident, namelijk bij het vergaren van het bewijs. Beveiligingsexperts en systeembeheerders binnen bedrijven gaan na een aanval vaak zelf op zoek naar informatie terwijl ze niet goed weten welke informatie ze moeten bewaren voor opsporingsinstanties. Daardoor kan de integriteit van het onderzoeksmateriaal in het geding komen of mogelijke sporen worden uitgewist. Een mogelijkheid is om duidelijke regels op te stellen over wat deze mensen moeten doen na een incident. Dit is een vrij eenvoudige maatregel die veel problemen rondom het bewijs van high-tech criminaliteit kan oplossen. Bij een aantal banken zijn al draaiboeken voor deze situaties aanwezig en in sommige gevallen hebben ze ook beveiligingsexperts in dienst met rechercherechten. Bovendien vormt het stilzwijgen van de banken over informatie over incidenten en de afspraken die zij met de politie hebben met betrekking tot aangifte een probleem bij informatiedeling. Niet alleen blijft belangrijke informatie zo binnen de banken zelf, ook ontbreekt een overzicht bij de opsporingsdiensten. In de Verenigde Staten is dit probleem aangepakt door een meldpunt op te zetten waar financiële instellingen zich verplicht moeten 121



melden wanneer hun systemen gekraakt zijn. Dit meldpunt legt maar een klein deel van de high-tech criminaliteit bloot maar doorbreekt wel het geheimhouden van informatie door financiële instellingen (Driessen & Rotteveel, 10 mei 2010). In Nederland bestaat een soortgelijk meldpunt nog niet. Wel heeft (demissionair) minister Hirsch Ballin in februari 2010 toegezegd dat er dit jaar nog een wetsvoorstel zou komen dat de overheid en bedrijven verplicht om data-incidenten openbaar te maken waarbij persoonsgegevens gestolen zijn (Reijerman, 28 juli 2010). Maar met het nieuwe kabinet is het twijfelachtig of deze wet er komt. Het is dus wachten tot de politiek high-tech criminaliteit als prioriteit ziet of tot financiële instellingen zelf naar buiten treden met informatie. Naast een aanpassing op nationaal niveau heeft (demissionair) minister Hirsch Ballin aangegeven een Europese Cyber Autoriteit in het leven te willen roepen. Volgens hem is er op dit moment geen overkoepelende instantie die zich specifiek richt op het opsporen van high-tech criminaliteit (Nu.nl, 2 juni 2010). De Europese Raad van Ministers wil deze nieuwe organisatie onderbrengen bij Europol. Op dit moment is er al een afdeling binnen Europol die zich bezighoudt met high-tech criminaliteit, maar het is niet duidelijk of en hoe effectief deze afdeling is (Security.nl, 28 april 2010). Het zou beter zijn om al deze informatie over hightech criminaliteit op een punt te verzamelen zodat het beter uitwisselbaar is. Naast de aanpak van verschillende schakels van high-tech criminaliteit kan ook de samenwerking tussen stakeholders beter. Uit de stakeholdersanalyse bleek dat partijen hun eigen belangen voorop stelden en dat informatie-uitwisseling een van de belangrijkste knelpunten is. Veel organisatie zoals softwarebedrijven en banken hebben waardevolle informatie over malware, werkwijzen en daders voor opsporingsdiensten, maar deze informatie wordt niet optimaal gedeeld. Op dit moment bestaan er een aantal samenwerkingsverbanden tussen publieke en private partijen maar hier zijn maar een aantal relevante partijen bij betrokken, terwijl er vaak nog meer organisaties zijn met informatie. Daarnaast lopen de projecten van deze samenwerkingsverbanden naast elkaar en behandelen in sommige gevallen zelfs gelijke onderwerpen. Wanneer alle partijen in een grootschalig overleg samen zouden werken, kan alle beschikbare kennis en informatie gebundeld worden. Hierdoor kan het politieapparaat meer kennis vergaren en adequaat reageren op incidenten. Ook

private

partijen

kunnen

op

basis

van

verkregen

informatie

efficiënte

beveiligingsmaatregelen nemen. Nadeel aan een grootschalig overleg is dat het een snelle en effectieve uitvoer van maatregelen in de weg staat. Doordat er veel partijen betrokken zijn met allemaal verschillende meningen is het moeilijk om tot concrete maatregelen te komen. 122



Een voorbeeld van een moeizaam overleg is het PAC-overleg, waarbij ik in november 2009 aanwezig was samen met vertegenwoordigers van financiële instellingen, het Openbaar Ministerie, nationale en regionale politie en het NICC. De problematiek rondom skimming stond tijdens dit overleg centraal. Nadat elke partij zijn visie op het probleem gaf werd er in kleine werkgroepen gezocht naar oplossingen voor specifieke knelpunten in de samenwerking. Ze werd bijvoorbeeld de informatiedeling als een belangrijk belemmering bij een effectieve aanpak gezien. Hiervoor werden diverse verbeterpunten geopperd, maar daar bleef het bij. De punten werden genoteerd maar niet omgezet naar acties. Ook was er geen sprake van reflectie. Tijdens een vervolgoverleg zullen waarschijnlijk weer dezelfde problemen besproken worden zonder dat er ook daadwerkelijk maatregelen genomen worden. Het werken in kleinere werkgroepen binnen een groter overleg is een goede optie om projecten te kunnen opzetten en verwezenlijken. Er moeten dan echter wel partijen betrokken zijn die ook de middelen en bevoegdheden hebben om maatregelen te kunnen uitvoeren.

7.3 Verder onderzoek Met dit onderzoek heb ik getracht een inzicht te verschaffen in een aantal onderbelichte kenmerken van high-tech criminaliteit. Door de beperkte literatuur over dit onderwerp heb ik veel informatie verkregen door middel van interviews met respondenten die aangemerkt kunnen worden als experts op het gebied van high-tech criminaliteit. Door mijn positie als student en stagiair heb ik echter geen volledige toegang kunnen krijgen tot vertrouwelijke informatie met betrekking tot incidenten en cijfers. Verder onderzoek is gewenst om de aard en omvang van high-tech criminaliteit helder in beeld te kunnen krijgen en maatregelen hierop aan te passen. Daarnaast is er meer onderzoek nodig naar de effectiviteit van huidige maatregelen, want hier is momenteel nog geen informatie over. Met dit onderzoek hoop ik toch een overzicht te hebben gegeven van de kenmerken en risico’s van high-tech criminaliteit en het speelveld van de aanpak van deze criminaliteitsvorm. Hopelijk stimuleert het de betrokken partijen om over nieuwe samenwerkingsverbanden en maatregelen na te denken en wetenschappers om het mysterieuze fenomeen high-tech criminaliteit nader te bekijken.

123



LITERATUURLIJST Wetenschappelijke bijdragen en onderzoekspublicaties Alberdingk Thijm, C. (2004). Het nieuwe informatierecht: nieuwe regels voor het internet. Den Haag: Academic Services.

Allum, F., & Sands, J. (2004). Explaining organized crime in Europe: are economists always right? Crime, Law & Social Change, 41, 133-160.

Ambler, T., & Wilson, A. (1995). Problems of Stakeholder Theory. Business Ethics A European Review, 4, 1, 30-35.

Amersfoort, van, P., Smit, L., & Rietveld, M. (2002). Criminaliteit in de virtuele ruimte. Zeist: Kerckebosch. APACS. (2009). Fraud The Facts 2009. ` Ayres, I. & Braithwaite, J. (1992). Responsive regulation. Transcending the deregulation debate. New York: Oxford University Press. Balzacq, T. (2005). The Three Faces of Securitization: Political Agency, Audience and Context. European Journal of International Relations, 11, 171-201. Bauer, J.M., & Eeten, van, M.J.G. (2009). Cybersecurity: Stakeholder incentives, externalities, and policy options. Telecommunications Policy, 33, 706-719. Bijleveld,C.C.J.H. (2005). Methoden en Technieken van Onderzoek in de Criminologie. Den Haag: Boom Juridische Uitgevers. Boerman, F. & Mooij, A. (2006). Vervolgstudie nationaal dreigingsbeeld: Nadere beschouwing van potentiële dreigingen en witte vlekken uit het nationaal dreigingsbeeld 2004. Zoetermeer: KLPD.

Braithwaite, J. (2002). Restorative Justice & Responsive Regulation. New York: Oxford University Press.

124



Brenner, S.W. (2002). Organized Cybercrime? How Cyberspace May Affect the Structure of Criminal Relationships.North Carolina Journal of Law & Technology, 4, 1-50. Brenner, S.W. (2004). U.S. Cybercrime Laws: Defining Offenses. Information Systems Frontiers, 6, 2, 115-132. Brief van de Minister van Financiën.(2009). Betalingsverkeer. Tweede Kamer, vergaderjaar 2008-2009, 2 juni 2009, nr. 32. Britz, M.T. (2008). A New Paradigm of Organized Crime in the United States: Criminal Syndicates, Cybergangs, and the Worldwide Web. Sociology Compass, 2, 6, 17501765.

Broadhurst, R.G. (2005). International cooperation in cyber-crime research. Bangkok: UN Congress on Crime Prevention and Criminal Justice.

11th

Bruinsma, G.J.N. (2001). Differentiële associatie en sociaal leren. In Lissenberg, E. Ruller, S., ` van, & Swaaningen, R., van (Eds.), Tegen de Regels IV. Een inleiding in de criminologie (pp. 119- 133). Nijmegen: Ars Aequi Libri.

Bruinsma, G., & Bernasco, W. (2004). Criminal groups and transnational illegal markets: A more detailed examination on the basis of Social Network Theory. Crime, Law & Social Change, 41, 79–94.

Bunt, H., van de, Erp, J., van, & Wingerde, K. van. (2007). Hoe stevig is de piramide van Braithwaite? Tijdschrift voor Criminologie, 49, 4, 386-399.

Bunt, H.G. van de, Fijnaut, C.J.C.F., Bovenkerk, F., & Bruinsma, G.J. (1996). De georganiseerde criminaliteit in Nederland: Het criminologisch onderzoek ten behoeve van de enquêtecommissie opsporingsmethoden. Tijdschrift voor Criminologie, 2, 102119.

Burkhart, L.A. (2001). The Cybercrime Threat. Public Utilities Fortnightly, 54-61.

Capeller, W. (2001). Not Such a Neat Net: Some Comments on Virtual Criminality. Social Legal Studies, 10, 229-242.

125



Castells, M. (1998). End of Millenium: The Information Age: Economy, Society, and Culture. Oxford: Blackwell.

Charbon, F.H. & Kaspersen, H.W.K. (1990). Computercriminaliteit in Nederland. Den Haag: Stichting Beheer Platform Computercriminaliteit.

Nykodym, N & Ariss, S. (2006). Fighting Cybercrime. Journal of General Management, 31, 4, 63-70.

Choo, K.K.R. (2008). Organised crime groups in cyberspace: a typology. Trends in Organised Crime, 11, 270-295.

Clarkson, M.B.E. (1998). The Corporation and its Stakeholders: Classic and Contemporary Readings. Toronto: University of Toronto.

Coff, R.W. (1999). When Competitive Advantage Doesn’t Lead to Performance: The Resource-Based View and Stakeholder Bargaining Power. Organization Science, 10, 2, 119-133). Cohen, L.E., & Felson, M. (1979). Social change and crime rate trends: A routine activity approach. American Sociological Review, 44, 558-608. Commission of the European Communities. (2002). Creating a Safer Information Security by Improving the Security of Information Infrastructures and Combating Computerrelated Crime. Brussel: Commission of the European Communities. Cools, M. (1985). Soft- en Hard, ware het niet om de fraude. Mechelen: Kluwer Rechtswetenschappen. Correia, M.E. (1999). Veering Toward Digital Disorder: Computer-Related Crime and Law Enforcement Preparedness. Police Quarterly, 2, 2, 225-244. Council of Europe. (2004). Organised crime situation report: Focus on the threat of cybercrime. Geraadpleegd op 12 oktober, 2009, via: http://www.coe.int/.../economiccrime/organisedcrime/Organised%20Crime%20Situati on%20Report%202004.pdf

Dasselaar, A (2005). Handboek Digitale criminaliteit. Culemborg: Van Duuren Media. 126



De Nederlandsche Bank. (2006). Statusrapport Veiligheid betaalproduct: pinpas. De Nederlandsche Bank. De Nederlandsche Bank. (2009). De veiligheid van toonbankbetaalmiddelen. Een onderzoek naar de beleving en het gedrag van de Nederlandse consument. De Nederlandsche Bank. Donaldson, T., & Preston, L. (1995). The Stakeholder Theory of the Corporation: Concepts, Evidence, and Implications. Academy of Management Review, 20, 65-91.

Dorn, N. (2009). The end of organized crime in the European Union.Crime, Law & Social Change, 51, 283-295.

Dunn, G. (1990). Major Mafia Gangs in Russia. In Williams, P. (ed.) Russian Organized Crime: The New Threat? London: Frank Cass Publishers. Eden, C. & Ackermann, F. (1998). Making Strategy: The Journey of Strategic Management. London: Sage Publications. Edwards, A. & Gill, P. (2002).Crime as enterprise? The case of “transnational organised crime”. Crime, Law & Social Change, 37, 203-223.

Ernst & Young. (2010). Onderzoeksresultaten ICT Barometer over cybercrime. Geraadpleegd op 21 oktober 2010 via www.ey.com. Europol (2003). Computer-related crime within the EU: Old crimes new tools, new crimes old tools. Luxemburg: Office for Official Publications of the European Communities. Europol (2007). High tech crimes within the EU: old crimes new tools, new crimes new tools. Threat Assessment 2007. Den Haag: Europol.

Europol (2009). EU Organised Crime Threat Assessment (OCTA) 2009. Geraadpleegd op 23 juni, 2010, via www.europol.europa.eu. Falliere, N. & Chien, E. (2009). Zeus: King of the Bots. Cupertino: Symantec Corporation. Fellowes. (2009). Nederlander niet bewust van risico identiteitsfraude. Fellowes.

127



Fijnaut, C.J.C.F. (1994). Georganiseerde misdaad en de bestrijding ervan: de situatie in de Lage Landen vanuit Europees perspectief. In Roth, J., & Frey, M. (Eds). Het verenigd Europa van de mafia (405-408). Amsterdam: Van Gennep.

Fijnaut, C., Spickenheuer, J.L.P., & Nuijten-Edelbroek, E.G.M. (1985). Politiële misdaadbestrijding: de ontwikkeling van het Amerikaanse, Engelse en Nederlandse onderzoek aangaande politiële misdaadbestrijding sedert de jaren '60. Den Haag: WODC.

Finckenauer, J.O. (2005). Problems of Definition: What is Organized Crime? Trends in Organized Crime, 8, 3, 63- 83.

Finckenauer, J.O., & Waring, E.J. (1998). Russian Mafia in America. Boston: Northeastern University Press.

Freeman, R.E. (1984). Strategic Management: A stakeholder approach. Boston: Pitman.

Friedman, L.A., & Miles, S. (2002). Developing Stakeholder Theory. Journal of Management Studies, 39, 1-21

Garland, D. (2001). The Culture of Control. Crime And Social Order In Contemporary Society. Oxford: University Press.

Geerts, R.W.M., & Boekhoorn, P.F.M. (1990). Criminaliteitsbeheersing: de wenselijkheid van samenwerking tussen overheid en bedrijfsleven. Den Haag: Stichting Maatschappij en Onderneming.

Gercke, M. (2009). Europe’s legal approaches to cybercrime. ERA Forum, 10, 409-420.

Gibson, K. (2000). The Moral Basis of Stakeholder Theory. Journal of Business Ethics, 26, 245-257. Givens, B. (2000). Identity theft: The growing problem of wrongful criminal convictions. Geraadpleegd op 22 juni, 2010, via www.privacyrights.org/ar/wcr.htm.

128



Godson, R., & Olsen, W.J. (1993). International Organized Crime Emerging Threat to US Security.Washington: National Strategy Information Center.

Gordon, S., & Ford, R. (2006). On the definition and classification of cybercrime. Journal in Computer Virology, 2, 13-20.

Govcert. (2006). Van herkenning tot aangifte: handleiding cybercrime. Den Haag: Govcert.nl. Govcert. (2009). Trend Report 2009. Insight into cybercrime: trends & figures (elektronische versie). Den Haag: Govcert.nl. Geraadpleegd op 9 juni, 2010, via www.govcert.nl Grabosky, P. N. (2001). Virtual Criminality: Old Wine in New Bottles? Social Legal Studies, 10, 243-249.

Grabosky, P.N. (2004). The global dimension of cybercrime. Global Crime, 6, 146-157.

Grabosky, P. N. (2007). Requirements of prosecution services to deal with cyber crime. Crime, Law & Social Change, 47, 201-223.

Grosheide, F.W., & Cock Buning, de, M. (2007). Hoofdstukken communicatie- en mediarecht: beschouwingen over de juridische aspecten van openbare communicatie en massamedia. Nijmegen: Ars Aequi Libri.

Hagan, F.E. (1983). The Organized Crime Continuum: A Further Specification of a new Conceptual Model.Criminal Justice Review, 8, 52-57.

Hagan, F.E. (2006). “Organized Crime” and “organized crime”: Indeterminate Problems of Definition. Trends in Organized Crime, 9, 4, 127-137.

Hardouin, P. (2009). Banks governance and public-private partnership in preventing and confronting organized crime, corruption and terrorism financing. Journal of Financial Crime,.16, 3, 199-209. Herley, C., & Florêncio, D. (2005).Nobody Sells Gold for the Price of Silver: Dishonesty, Uncertainty and the Underground Economy. Redmond: Microsoft Research.

129



Heugens, P.M.A.R., & Oosterhout, van, H.J. (2002). The Confines of Stakeholder Management: Evidence from the Dutch Manufacturing Sector. Journal of Business Ethics, 40, 387-403.

Himanen, P. (2001). The Hacker Ethic and the Spirit of the Information Age. London: Vintage.

Hoogenboom, A.B. (1994). Het politiecomplex: Over samenwerking tussen politie, bijzondere opsporingsdiensten en particuliere recherche. Arnhem: Gouda Quint.

Hoogenboom, B., & Muller, E. (2002). Voorbij de dogmatiek: Publiek-private samenwerking in de veiligheidszorg. Zeist: Uitgeverij Kerckebosch.

Hulst, van der, R.C., & Neve, R.J.M. (2008). High-tech crime, soorten criminaliteit en hun daders. Den Haag: Boom Juridische Uitgevers.

ING Economisch Bureau & Nyenrode Business Universiteit (2006). Publiek Private Samenwerking: Sectorstudie Decentrale Overheden II. Diemen: Papyrus B.V.

Internet Crime Complain Center. (2009). Internet Crime Report 2009. Geraadpleegd op 20 juni, 2010, via: http://www.ic3.gov/media/annualreport/2009_IC3Report.pdf Kaspersen, H.W.K. (2007). Bestrijding van cybercrime en de noodzaak van internationale regelingen. Justitiële Verkenningen, 8, 58-75.

Kelk, C. (2005). Studieboek Materieel Strafrecht. Amsterdam: Kluwer. Kleemans, E. (2001). Rationele keuzebenaderingen. In Lissenberg, E. Ruller, S., van, & Swaaningen, R., van (Eds.), Tegen de Regels IV. Een inleiding in de criminologie (pp. 153-170). Nijmegen: Ars Aequi Libri. Kleemans, E.R., Berg, E.A.I.M. van den, & Bunt, H.G. van de. (1998). Georganiseerde criminaliteit in Nederland: Rapportage op basis van de WODC-monitor. Den Haag: WODC.

130



Kleemans, E.R., Brienen, M.E.I., Bunt, H.H. van de, Kouwenberg, R.F., Paulides, G. & Barensen, J. (2002). Georganiseerde criminaliteit in Nederland: tweede rapportage op basis van de WODC-monitor. Den Haag: Boom Juridische uitgevers, Reeks Onderzoek en beleid, 198. KLPD (2004). Nationaal dreigingsbeeld zware of georganiseerde criminaliteit: een eerste proeve. Zoetermeer: Dienst Nationale Recherche Informatie. KLPD (2008). Nationaal Dreigingsbeeld 2008: Georganiseerde criminaliteit. Zoetermeer: Dienst Nationale Recherche Informatie.

Koops, E.J., & Brenner, S.W. (2006). Cybercrime and jurisdiction: a global survey. Den Haag: TMC Asser Press. Lampe, K., von. (2002). Organized Crime Research in Perspective.In Duyne, P., van, Lampe, K., von, & Passas, N. (eds). Upperworld and Underworld in Cross-Border Crime. Nijmegen: Wolf Legal Publishers (189-198). Lampe, K., von. (2006). The Interdisciplinary Dimensions of the Study of Organized Crime. Trends in Organized Crime, 9, 3, 77-95.

Levi, M. (2008). White-collar, organised and cyber crime in the media: some contrasts and similarities. Crime, Law & Social Change, 49, 365-377.

Lieberman Research Group. (2010). Unisys Security Index: Netherlands 26 February 2010 (1H’10). Unisys Corporation.

Luiijf, H.A.M. (2004). De kwetsbaarheid van de ICT-samenleving. Justitiële verkenningen, 30, 8, 22-33.

Maltz, M.D. (1985). Toward defining organized crime. In: Alexander, H.E., & Caiden, G.E. (Eds.) The politics and economics of organized crime.Lexington: Lexington Books (21-35).

Marron, D. (2008). Alter Reality: Governing the Risk of Identity Theft. British Journal of Criminology, 48, 20-38.

McAfee (2006). Georganiseerde misdaad en het internet. McAfee. 131



McAfee (2008). McAfee Virtual Criminology Report. Cybercrime Versus Cyberlaw. McAfee.

McCusker, R. (2007). Transnational organised cyber crime: distinguishing threat from reality. Crime Law Soc Change, 46, 257-273.

Merton, R.K. (1968). Social Theory and Social Structure. New York: The Free Press.

Meulen, van der, N. (2006). The Challenge of Countering Identity Theft: Recent Developments in the United States, the United Kingdom, and the European Union. Tilburg: INTERVICT.

Ministerie van Justitie. (1985). Samenleving en criminaliteit: een beleidsplan voor de komende jaren. Den Haag: Ministerie van Justitie. Mitchell, R. K., Agle, B. R., & Wood, D. J. (1997). Toward a Theory of Stakeholder Identification and Salience: Defining the Principle of Who and What Really Counts. Academy of Management Review, 22, 853-886. MOB. (2009). Rapportage Maatschappelijk Overleg Betalingsverkeer 2008.

Moerland , H., & Boerman, F. (1999). Georganiseerde misdaad en betrokkenheid van bedrijven. Antwerpen: Kluwer rechtswetenschappen.

Molenaar, D.R. (2007). De digitale jungle: wie houdt toezicht? Tijdschrift voor Consumentenrecht en Handelspraktijken, 2, 44-51.

NHTCC (2006). Verantwoording Project High Tech Crime: bijlage bij het Ontwerp ‘Nationale Infrastructuur Bestrijding Cybercrime. Geraadpleegd op 15 november 2009:www.minez.nl/dsc?c=getobject&s=obj&objectid=133891&!dsname=EZInternet &isapidir=/gvisapi/

Newman, G.R., & McNally, M.M. (2005). Identity Theft Literature Review. U.S. Department of Justice.

132



Nota, 1998. Wetgeving voor de elektronische snelweg. Tweede Kamer, vergaderjaar 19971998, 12 februari 1998, 25880, nrs 1-2.

Olson, L. (2008). Legitimizing Security: The Securitization of Russian Organized Crime in America. Thesis Project: Transnational Crime and Policing. Amsterdam: Universiteit van Amsterdam. Orlova, A.V. (2008). A comparison of the Russian and Canadian experiences with defining “organized crime”. Trends in Organized Crime, 11, 99-134.

Paoli, L. (2002). The paradoxes of organized crime.Crime, Law & Social Change, 37, 1, 5197. Passas, N. (2002). Cross-border crime and the interface between Legal and illegal actors. In Duyne, P., van, Lampe, K., von, & Passas, N. (eds). Upperworld and Underworld in Cross-Border Crime. Nijmegen: Wolf Legal Publishers (189-198). Philips, R., Freeman, R.E., & Wicks. A.C. (2003). What stakeholder theory is not. Business Ethics Quarterly, 13, 4, 479-502.

Post, J. (1996). The dangerous information system insider: Psychological Perspectives. Geraadpleegd op 6 mei, 2010, via http://www.infowar.com Rawlinson, P. (1998). Mafia, Media and Myth: Representations of Russian Organised Crime. The Howard Journal, 37, 4, 346–358. Reynolds, S.J., Schultz, F.C., & Hekman, D.R. (2006). Stakeholder Theory and Managerial Decision-Making: Constraints and Implications of Balancing Stakeholder Interests. Journal of Business Ethics, 64, 285-301.

Ridder, M., Buuron, I., & Knols, C. (2004). Manual Publiek Private Samenwerking. Een strategie voor de ontwikkeling en implementatie. Amsterdam: Stichting Consument en Veiligheid.

Rijke, S.K. (2009). Bedrijfsmatige spam: wetsvoorstel 30 661: is het wenselijk artikel 11.7 Telecommunicatiewet uit te breiden ten aanzien van bedrijfsmatige spam? Rotterdam: Erasmus Universiteit, Faculteit der Rechtsgeleerdheid.

Rochford, O.C. (2002). Hacken voor dummies. Amsterdam: Pearson Education. 133



Rogers, M.K. (2001). A social learning theory and moral disengagement analysis of criminal computer behavior: an exploratory study. Winnipeg: University of Manitoba.

Rogers, M.K. (2006). A two-dimensional circumplex approach to the development of a hacker taxonomy. Digital Investigation, 3, 97-102

Rowley, T. (1998). A Normative Justification for Stakeholder Theory. Business and Society, 37, 105-107.

RSA. (2009). Special RSA Online Fraud Report: What to Expect in 2009 and Beyond.

Schneier, B. (2000). Secrets and Lies: Digital Security in a Networked World. New York: John Wiley & Sons.

Schneier. B. (2003). Beyond Fear: Thinking Sensibly about Security in an Uncertain World. New York: Copernicus Books.

Scholz, J.T. (1984). Deterrence, cooperation and the ecology of regulatory enforcement. Law and Society review, 18, 179-224. Shelley, L. (2004). Contemporary Russian Organized Crime: Embedded in Russian Society. In Fijnaut, C., & Paoli, L. (Eds.) Organized Crime in Europe. Concepts, Patterns and Control Policies in the European Union and Beyond. Dordrecht: Springer. Stieb, J.A. (2009). Assessing Freeman’s Stakeholder Theory. Journal of Business Ethics, 87, 401-414.

Stol, W. Ph. (2002). Policing child pornography on the internet; in the Netherlands. The police journal, 75, 1, 45-55.

Stol, W.Ph. (2004). Trends in cybercrime. Justitiële Verkenningen, 30, 8, 76-94.

134



Stol, W.Ph., Treeck, R.J. van, & Ven, A.E.B.M. van der. (1999). Criminaliteit in Cyberspace: een praktijkonderzoek naar aard, ernst en aanpak in Nederland, met veertig aanbevelingen. Houten: In-pact.

Sussman, M.A. (1999). Critical Challenges from international high-tech and computer-related crime at the millennium. Duke Journal of Comparative and International Law, 9, 451489.

Sykes, G.M., & Matza, D. (1957). Techniques of Neutralization: A Theory of Delinquency. American Sociological Review, 22, 664-670.

Symantec. (2008). Symantec Report on the Underground Economy. Geraadpleegd op 15 juni, 2010, via: http://eval.symantec.com.

Symantec. (2009). Symantec Global Internet Security Threat Report: Trends for 2008. Symantec.

Symantec (2010). State of Spam: A Monthly Report. Geraadpleegd op 3 maart, 2010, via: http://eval.symantec.com/mktginfo/enterprise/other_resources/b-state_of_spam_and_ phishing_report_03-2010.en-us.pdf

Symantec. (2010). State of Spam & Phishing: A Monthly Report. August 2010. Symantec.

Synovate. (2003). Federal Trade Commission: Identity Theft Survey Report. Geraadpleegd op 22 juni, 2010, via www.ftc.gov/os/2003/09/synovatereport.pdf

Trend Micro (2006). Botnets Threat and Solutions: Phishing. Trend Micro.

Turbiville, G.H., Jr. (1995). Organized Crime and the Russian Armed Forces.Transnational Organized Crime, 1, 4, 57-104.

Vries, de, U.R.M.th., Tigchelaar, H., Linden, van der, M., & Hol, A.M. (2007). Identiteitsfraude: een afbakening; een internationale begripsvergelijking en analyse van nationale strafbepalingen. Utrecht: Universiteit Utrecht, Departement Rechtsgeleerdheid. 135



Werf, J. van der. (2003). Cybercrime, deel 2: Een verkennende analyse. Zoetermeer: Dienst Nationale Recherche Informatie.

Williams, M. (2006). Virtually Criminal: Crime, deviance and regulation online. London: Routledge.

Williams, P. (1990). Introduction: How Serious a Threat is Russian Organized Crime ?In Williams, P. (ed.) Russian Organized Crime: The New Threat? London: Frank Cass Publishers (8-11).

Winn, M.I. (2001). Building stakeholder theory with a decision modeling methodology. Business and Society, 40, 2, 133-166.

Yar, M. (2005a). Computer Hacking: Just Another Case of Juvenile Delinquency? The Howard Journal, 44, 4, 387-399.

Yar, M. (2005b). The Novelty of ‘Cybercrime’. An Assessment in Light of Routine Activity Theory. European Journal of Criminology, 2, 4, 407-427.

Internet/media nieuws en achtergronden Alperovitch, D., & Mularski, K. (2009). Fighting Russian Cybercrime Mobsters: Report from the Trenches. Presentatie op Blackhat USA 2009. Las Vegas: Caesars Palace.

Boer, de, J. (2008, 9 september). Banken houden cijfers pasfraude geheim. Z24.nl.

Banken verzwijgen gehackte bankrekeningen (2010, 25 juli). Security.nl.

Beemsterboer, T. (2010, 13 januari). Uw wachtwoord voor internetbankieren is verlopen: Russisch forum populair onder internetcriminelen. NRC Handelsblad.

Bende oplichters opgerold (2006, 26 september). Openbaar Ministerie.

136



Bende plundert rekeningen via pinautomaten (2006, 2 mei). De Volkskrant.

Bende skimt voor bijna 2 miljoen euro (2010, 26 juli). Dagblad De Pers.

Bestuzhev, D. (2009, 16 oktober). Brazil: a country rich in banking Trojans. Viruslist.com.

Cel- en taakstraffen voor aanvallers overheidssites (2006, 10 februari). De Volkskrant.

Cyberdiefstal steeds gemakkelijker (2010, 20 april). Spitsnieuws.

Driessen, C. & Rotteveel, M. (2010, 10 mei). Banken houden digi-diefstal stil. Dagblad De Pers.

Europa wil anti-cybercrime-organisatie (2010, 28 april). Security.nl.

FBI bedankt Nederland bij oprollen Zeus-criminelen (2010, 4 oktober). Security.nl.

Hijink, M. (2009, 15 oktober). Flinke cyberramp op zijn tijd kan geen kwaad; Serieuze aanpak van computercriminaliteit vergt cultuurverandering bij overheid en bedrijven. NRC Handelsblad.

Hirsch Ballin wil Cyberautoriteit (2010, 2 juni). Nu.nl.

Husser, A. (2008, 22 mei). Cybercrime now outstrips streetcrime. Canada Wire.

ICT leidt niet tot veranderingen in georganiseerde criminaliteit (31 mei, 2005). Persbericht Universiteit Leiden. Geraadpleegd op 11 juni, 2010, via www.leidenuniv.nl/nieuwsarchief2/501.html Illegally Globally, Bail for Profit Remains in U.S. (2008, 29 januari). New York Times. Interpol en zelfs VN strijden tegen cybercrime (2009, 10 oktober). Cops in Cyberspace.

137



Jaklin, P. (2001, 20 augustus). Cyber-Kriminalitat Verursacht Hohe Wirtschaftliche Schäden. Financial Times Germany.

Justitie mist kennis voor bestrijding cybercrime (2008, 9 december). Security.nl.

Klaver, M.J. Cybermisdaad steeds georganiseerder (2006, 19 september). NRC Handelsblad.

Nieuwenhuizen, M. (2005, 29 juli). Georganiseerde misdaad vaak achter cybercrime. Computable.nl

OPTA geeft grote boete aan spammer (2009, 27 juli). De Volkskrant.

Politie omgekocht door Russische cybercriminelen (2009, 24 oktober). Security.nl.

Politie sluit Roemeense "skimfabriek" (2010, 28 mei). Security.nl.

Politierapport over cybercrime ernstig overdreven (2010, 24 augustus). Security.nl.

Recordboete voor ongewenste e-mail (2008, 20 mei). De Volkskrant. Rechtbank opent kenniscentrum cybercriminaliteit (2010, 09 april). De Volkskrant. Reijnders, M. (2004, 22 juli). Politie arresteert afpersers goksites. Webwereld.nl.

Roemenië broedplaats voor cybercrime (2008, 15 september). Security.nl

Russische maffia achter meeste cybercrime (2008, 8 december). Security.nl

Spam vaak verstuurd door criminelen (2009, 17 september). De Volkskrant.

Warren, P. (2007, 15 november). Hunt for Russia’s web criminals. The Guardian. 138



139



BIJLAGEN

Bijlage I: Begrippenlijst

419 scam

Oplichtingpraktijken die in veel gevallen door Nigerianen worden uitgevoerd. De inhoud betreft vaak loterijen of leningen waarbij een grote geldprijs gewonnen kan worden.

Bot

Bot komt van het woord robot, en is een programma dat geautomatiseerd werk kan uitvoeren en zelfstandig andere computers kan besmetten. Een bot kan onschuldig zijn maar kan ook gebruikt worden om creditcard of bankgegevens te onderscheppen of om een backdoor te openen op de computer.

. Botnet

Een leger computers die geïnfecteerd zijn met bots. Een persoon kan een botnet vanuit een centraal punt besturen zonder medeweten van de eigenaren. Kan bijvoorbeeld worden ingezet voor DDos-aanvallen.

Cracker

Mensen die de beveiliging van software proberen te kraken, maar in tegenstelling tot hackers hebben zij vaak criminele bedoelingen.

Defacing

Het zonder toestemming wijzigingen, vervangen of verminken van een (deel van) een website of webpagina’s.

Denial of Service (DOS)

Een computer voortduren aanvallen door extreme belasting van een systeem of netwerk waardoor deze vastloopt en geen diensten meer kan leveren aan gebruikers. Wanneer dit door een groot aantal andere computers tegelijk gebeurd is dit een distributed DOS aanval (dDOS). Vaak gebeurd dit met behulp van botnets.

140


Dumpster diving


Rondsnuffelen in vuilnis op zoek naar bruikbare informatie. Deze gevonden informatie kan gebruikt worden voor criminele doeleinden. Te denken valt aan cd-rom’s, documenten en zelfs harde schijven.

Encryptie

Een manier om informatie af te schermen door het omzetten van de informatie codes.

Firewall

Een systeem wat ontworpen is om ongeautoriseerde toegang tot een netwerk te voorkomen. Een firewall kan zowel in hardware als software geïmplementeerd worden.

IP-adres

Een Internet Protocol adres. Alle apparaten die met internet verbonden zijn hebben een uniek identificatienummer.

Keylogging

Bijhouden welke toetsen door de gebruiker worden aangeslagen. Dit wordt meestal bijgehouden door spyware instrumenten.

Man-in-the-middle

Een aanvaller bevindt zich tussen een klant en een dienst. Hij doet zich tegenover de klant voor als een dienst en andersom. Hij kan dus de verkregen gegevens misbruiken.

Malware

Malicious software. Verzamelnaam voor alle slechte software waarmee een computer kan worden beschadigd zonder enige toestemming.

Pharming

Bij het invoeren van het adres van een website komt men op een andere pagina terecht, een nepsite.

Phishing

Verzamelnaam voor activiteiten die persoonlijke informatie uit mensen proberen te krijgen. Deze informatie kan misbruikt worden voor criminele activiteiten.

Rootkit

Verzamelnaam voor programma’s die worden gebruikt om illegaal

toegang

te

krijgen

tot

een

computer

en

de

beheerdersrechten (root rechten) te verkrijgen. Deze kunnen een backdoor installeren of andere computers aanvallen. De rootkit

141



wijzigt de software van de geïnfecteerde computer waardoor het moeilijk te ontdekken is. Script kiddies

Voornamelijk tieners met een minimum aan kennis die computers te kraken, informatie te wissen en websites te kopiëren door middel van scripts en bekende kwetsbaarheden van computers. Vallen onder de categorie crackers.

Skimming

Het kopiëren van gegevens op de pinpas. De bijbehorende codes kunnen worden achterhaald door spiegels, camera’s of valse toetsenborden. Met deze informatie worden rekeningen van de pinpashouders geplunderd.

SMiShing

Het gebruik van SMSberichten voor phishing in plaats van email.

Sniffing

Het onderscheppen en bekijken van informatie zoals passwords, e-mails en gebruikersnamen. Fysieke toegang is door de komst van draadloos internet niet eens meer nodig.

Social engineering

Het bespelen van personen om vertrouwelijke informatie te verkrijgen.

Spam

Stupid Pointless Annoying Messages. Het massaal versturen van ongewenste e-mail. Het gaat hierbij niet om de inhoud van het bericht maar om het volume.

Spoofing

Jezelf voordoen als iemand anders. Wordt gebruikt bij verspreiding van virussen omdat de afzender bekend en betrouwbaar lijkt.

Spyware

Verzamelnaam voor spionage programma’s. Vaak gaat het om software die op een computer geplaatst wordt om gevonden informatie

door

de

sturen

naar

adverteerders

zonder

toestemming. Trojan Horse

Een programma dat eruit ziet als een onschuldig en legaal programma maar stiekem ongewenste functie uitvoert wanneer 142



het geïnstalleerd is. Hierdoor kan de verspreider ervan ongewenst en onopgemerkt toegang tot de computer verkrijgen of schade toebrengen. Virus

Een programma dat zichzelf vermenigvuldigd en verspreid. Een virus kan erg gevaarlijk zijn. Het kan de instellingen van de computer beschadigen of wijzigen of de computer kan worden gebruikt voor spam aanvallen.

Worm

Een programma dat zich naar zoveel mogelijk computers verspreid. Verschil met een virus is dat een worm geen bestand nodig heeft om zichzelf te verspreiden. Vertraagt de verbinding van de computer.

Zombie

Een computer die door een bot is besmet en deel uitmaakt van een botnet.

143



Bijlage II: Respondenten Ad Kuus, Juridisch Adviseur Rabobank Nederland Ben van Zuijlen, SNS bank Frans Lepelaar, Manager Fraud Control & Risk Managemant Equens Hein Laan, IT Security Manager Rabobank Nederland Jan Joris Vereijken, Global Security Architect ING Direct Jeroen Herlaar, Business Unit Manager Fox IT Karel Reussink, Information Security Officer Rabobank Nederland Mark Rogers, Senior Consultant Rabobank Nederland Martijn van der Heide, Teammanager KPN-CERT Michel van Eeten, Professor aan de TU Delft Michael Samson, Adviseur Informatica Nederlandse Vereniging van Banken Paul Samwel, Hoofd Informatie Risico Management Rabobank Nederland Pepijn Vissers, Digitaal Forensisch onderzoeker OPTA Peter Zinn, Senior High-Tech Crime Adviseur bij het KLPD Remon Verkerk, Digitaal Onderzoeker Hoffmann Bedrijfsrecherche Rob Heijjer, Senior Advisor Security and Cybercrime Rabobank Nederland Sidney Pearl, Global Industries Director of Risk Intelligence solutions Management Unisys Thomas Eekels, Consultant Fraud Investigation and Risk Management Rabobank Nederland Tom Martijn Roelofs, IT Audit Manager ABN AMRO Bank Wim Hafkamp, Programma Manager Informatiebeveiliging Rabobank Nederland

De overige respondenten wensen anoniem te blijven.

144

Hanneke van Ballegooij Erasmus Universiteit Rotterdam Masterscriptie Criminologie Scriptiebegeleiders: Hans van der Veen en Clarissa Meerts

Recommend Documents