30
Slachtofferschap bij cybercrime
het Tijdschrift voor de Politie – jg.75/nr.2/13
Slachtofferschap van delicten met een digitale component en de rol van politie Rutger Leukfeldt MSc is promovendus georganiseerde cybercrime aan de Open Universiteit en onderzoeker bij het gezamenlijke lectoraat Cybersafety van NHL Hogeschool en Politieacademie. Miranda Domenie MSc was ten tijde van dit onderzoek als onderzoeker verbonden aan het lectoraat Cybersafety van NHL Hogeschool en Politieacademie. Jurjen Jansen MSc is als onderzoeker verbonden aan het gezamenlijke lectoraat Cybersafety van NHL Hogeschool en Politieacademie. Dr. Johan van Wilsem is universitair hoofddocent Criminologie aan de Universiteit Leiden. Prof. dr. Wouter Stol is bijzonder hoogleraar Politiestudies aan de Open Universiteit en lector Cybersafety aan NHL Hogeschool en Politieacademie.
De Nederlandse overheid geeft aan de opsporing en bestrijding van cybercrime prioriteit en neemt verschillende juridische en organisatorische maatregelen. Zowel in het regeerakkoord van kabinet-Rutte I als II wordt aandacht besteed aan cybercrime en staat beschreven dat geïnvesteerd wordt in het opsporen van cybercriminelen. Het doel is om de strafrechtketen in staat te stellen effectief uitvoering te geven aan de bestrijding. Ook binnen de Nederlandse politie kent cybercrime een hoge prioriteit. Zo wordt het landelijke Team High Tech Crime uitgebreid, ontwikkelt de Politieacademie onderwijs over digitaal politiewerk en is het politiële Programma Aanpak Cybercrime gecontinueerd tot 2016 (Stol e.a. 2012).
O
psporingsbeleid vergt dat politie en justitie prioriteiten stellen, want zij hebben nu eenmaal niet de capaciteit om elk delict aan te pakken. De ernstigste problemen verdienen als eerste aandacht. De ernst van een probleem wordt bepaald door zowel de aard als de omvang ervan en daarvoor is kennis nodig bij politie en justitie. Over de omvang van cybercrime is minder bekend dan over de aard ervan (o.a. Van der Hulst & Neve, 2008; Leukfeldt e.a., 2010). Om beter inzicht te krijgen in de aard en omvang van slachtofferschap van delicten met een digitale component hebben het KLPD en het Programma Aanpak Cybercrime onderzoek laten uitvoeren (zie Domenie e.a., 2013). Dit artikel is daarop gebaseerd. We laten eerst zien wat de prevalentie is van hacken, financiële delicten en persoonlijke delicten. Daarna gaan we in op de rol van de politie en de tevredenheid van de slachtoffers met de reactie van de politie op de aangifte. We besluiten met de betekenis van de resultaten voor de politiepraktijk.
Methodische verantwoording Voor het onderzoek is een vragenlijst ontwikkeld op basis van literatuuronderzoek, interviews met sleutelpersonen bij politie, justitie en wetenschappers, en groepsinterviews met groepen internetgebruikers. Door het CBS is uit de Gemeentelijke Basisadministratie een representatieve steekproef getrokken van 21.800 burgers van 15 jaar en ouder. De vragenlijst is in het tweede kwartaal van 2011 uitgezet. De respons op de vragenlijst was 10.314 (47%). De analyses voor dit onderzoek zijn uitgevoerd op 9.163 respondenten die aangaven wel eens internet te gebruiken (89% van de respondenten).
Criminaliteitsvormen Er is bevraagd over delicten gericht op computers (hacken), financiële delicten en persoonlijke delicten. Deze drie categorieën bespreken we hierna beknopt. Voor een uitgebreide verantwoording verwijzen we naar Domenie e.a. (2013).
Hacken
We kunnen tegenwoordig worden getypeerd als het land van fietsdiefstal en hacken
TvdP_2_DEFDEF.indd 30
We definiëren hacken conform artikel 138ab Sr als het zich ‘opzettelijk en wederrechtelijk’ toegang verschaffen tot een geautomatiseerd werk. In de praktijk blijkt het een lastig te onderzoeken delict. Een hack hoeft immers door het slachtoffer niet te zijn opgemerkt en dan komt die niet aan het licht. Verder is hacken vaak geen doel op zich, maar een middel om andere vormen van criminaliteit te plegen. Om die reden is het slachtofferschap van hacken in onze studie op directe en indirecte wijze gemeten. Er is direct gevraagd of iemand gehackt is met behulp van drie stellingen waarop de respondent met ja of nee kon antwoorden: (1) iemand heeft zonder uw toestemming uw webpagina en/of profiel (Hyves, Facebook, etc.) veranderd (defacing), (2) iemand
05-03-2013 14:54:33
het Tijdschrift voor de Politie – jg.75/nr.2/13
31
Slachtofferschap bij cybercrime
Net als fietsdiefstal is cybercrime inmiddels veelvoorkomende criminaliteit. Daarom is het vergroten van de kennis over aangiften, afhandeling en aanpakken op het gebied van cybercrime nodig in de volle breedte van de politieorganisatie. Het onderzoek waar dit artikel op is gebaseerd is een eerste aanzet.
heeft ingebroken in uw computer en gegevens vernietigd, veranderd of gestolen, of (3) iemand heeft ingebroken in uw e-mail of zonder toestemming op uw e-mailaccount ingelogd. Daarnaast is hacken indirect gemeten: bij identiteitsdiefstal en stalking is gevraagd of hacken onderdeel was van de modus operandi van de dader.
Financiële delicten De fraudedelicten uit onze studie vallen onder artikel 326 Sr (oplichting) en 225 Sr (valsheid in geschrifte). Ten eerste vroegen we naar oplichting via veiling- en verkoopsites. Meestal is de koper het slachtoffer: die betaalt dan vooraf (een deel) van de afgesproken prijs, maar de verkoper levert het afgesproken goed niet. Andersom kan ook: de verkoper levert het product, maar de koper betaalt (een deel) niet. Ten tweede vroegen we naar voorschotfraude. Daarbij wordt slachtoffers een groot geldbedrag beloofd als zij eerst een relatief klein bedrag aan onkosten voorschieten of een kleine investering doen. Vervolgens wordt er niet uitbetaald. Ten derde vroegen we naar identiteitsfraude ofwel het misbruiken van een aangemaakte/aangenomen identiteit (De Vries e.a., 2007; Finch, 2007). Dat kan door het stelen van digitale persoonsgegevens, bijvoorbeeld met behulp van phishing of het gebruik van spyware. Het is in de praktijk moeilijk om vast te stellen of er sprake is van identiteitsdiefstal en vooral op welke wijze de dader aan de identiteitsgegevens is gekomen. In de vragenlijst gebruikten we de volgende omschrijving: ‘Identiteitsfraude houdt in dat iemand zonder uw toestemming uw persoonlijke of financiële gegevens gebruikt om er zelf geld aan te verdienen. Iemand pint bijvoorbeeld van uw rekening, koopt producten op uw naam of vraagt officiële documenten aan op uw naam. Meestal is identiteitsfraude een gevolg van diefstal van identiteitsgegevens, maar het kan ook zijn dat u zelf de identiteitsgegevens heeft verstrekt.’
TvdP_2_DEFDEF.indd 31
Persoonlijke delicten Deze groep omvat digitale delicten waarbij de persoonlijke levenssfeer wordt aangetast. Hierbij maken daders gebruik van ICT als (eenzijdig) communicatiemiddel richting het slachtoffer (Van der Hulst & Neve, 2008). We vroegen naar de digitale variant van stalking en bedreiging. Cyberstalking is het stelselmatig en op dwangmatige wijze online lastigvallen en/of bedreigen van een persoon door provocerende uitspraken te doen en/of berichten te plaatsen via online forums, bulletin boards en chatrooms, de ander via spyware te bespioneren, of door het voortdurend ongevraagd verzenden van e-mail en spam (Van der Hulst & Neve, 2008). Bij bedreiging in strafrechtelijke zin moet er sprake zijn van bedreiging met moord, verkrachting, in vereniging openlijk geweld plegen tegen personen of goederen, zware mishandeling, gijzeling of brandstichting (artikel 285 Sr). Overigens is niet vereist dat het slachtoffer zich daadwerkelijk bedreigd voelt.1 Als iemand via een chatprogramma zoals MSN een ander met de dood bedreigt, dan is die bedreiging een misdrijf volgens artikel 285 Sr.
Cijfers slachtofferschap In de twaalf maanden voorafgaande aan de vragenlijst was 8,5 procent van alle internetters slachtoffer van een of meerdere vormen van de genoemde delicten met een digitale component (tabel 1). In de tabel zijn eveneens de prevalentiecijfers van de afzonderlijke delicten gepresenteerd. Uit ons onderzoek komt naar voren dat, gezien op jaarbasis, van alle Nederlandse internetgebruikers 4,3 procent slachtoffer is geworden van hacken, 3,5 procent van e-fraude en 1,5 procent van persoonlijke delicten. Het totale slachtofferpercentage van delicten met een digitale component zal hoger liggen dan 8,5 procent. Ten eerste omdat niet alle delicten met een digitale compo-
05-03-2013 14:54:34
32
Slachtofferschap bij cybercrime
Tabel 1: prevalentie slachtofferschap van delicten met een digitale component
siek slachtofferonderzoek is Nederland van oudsher het land van fietsdiefstal (4,8%). Maar op basis van onze gegeven kunnen we tegenwoordig beter worden getypeerd als het land van fietsdiefstal (4,8%) en hacken (4,3%).
Delict
Prevalentie (% internetters)
Hacken, totaal
4,3
De rol van de politie
Hacken, defacing
1,5
Hacken, pc gehackt
0,7
Hacken, mail gehackt
2,9
Hacken, als MO
0,8
Financiële delicten, totaal
3,5
Betaald maar niet gekregen
2,4
Verkocht maar niet betaald
0,3
Identiteitsdiefstal en/of –fraude
0,8
We hebben aan onze respondenten gevraagd wie volgens hen verantwoordelijk is voor de veiligheid op internet. Volgens de internetters onder hen zijn vooral financiële instellingen (93,4%) en eigenaren van websites (79,9%) verantwoordelijk. 85,1 procent geeft aan dat zij ook zelf bereid zijn iets aan hun veiligheid op internet te doen. Maar ruim een kwart van de internetters (27,1%) acht zichzelf niet goed in staat de eigen veiligheid te waarborgen. Bijna drie op de tien (29,0%) vindt dat (ook) de politie een verantwoordelijkheid heeft in het waarborgen van de veiligheid op internet.
Voorschotfraude
0,2
Relatie politie-publiek
Persoonlijke delicten, totaal
1,5
Stalking
1,1
Bedreiging
0,7
Delictentotaal
8,5
Aan de respondenten die slachtoffer waren van een of meerdere delicten, vroegen we met welke organisatie ze contact hadden opgenomen. Gemiddeld over alle delicten neemt 13,4 procent van de slachtoffers contact op met de politie. Tabel 3 toont dat dit percentage significant hoger is bij stalking (30,4%), bedreiging (27,8%) en oplichting bij koop (21,1%). Een laag percentage (4,1%) vinden we bij hacken (in dit geval alleen de hacks die aan het licht kwamen via directe bevraging – zie onder kopje Hacken).
nent in ons onderzoek zijn bevraagd. Daarvan zijn er simpelweg te veel (zie bijvoorbeeld de ‘Handreiking voor delicten met een digitale component’ waarin 28 delicten worden besproken – Leukfeldt e.a., 2012). Ook kan in slachtofferonderzoek naar sommige delicten niet worden gevraagd, omdat mensen niet altijd weten dat ze slachtoffer zijn (bijvoorbeeld dat er malware op hun computer staat), of niet weten dat er een digitale component aan hun slachtofferschap zit (bijvoorbeeld het stelen van persoonsgegevens via hacken en die in de offline wereld misbruiken). Om de ernst van de omvang van slachtofferschap enigszins te duiden, vergelijken we de cijfers uit tabel 1 met slachtofferpercentages van offline delicten uit de Integrale Veiligheidsmonitor 2011 (tabel 2). In klasTabel 2: slachtofferschap klassieke criminaliteit in Nederland Klassieke criminaliteit *
% Nederlanders
Fietsdiefstal
4,8
Bedreiging
3,5
Zakkenrollerij
1,7
Woninginbraak
1,5
Mishandeling
1,0
*CBS (2012), n=220.000
TvdP_2_DEFDEF.indd 32
het Tijdschrift voor de Politie – jg.75/nr.2/13
We vroegen de slachtoffers wat de reactie van de politie was naar aanleiding van dit contact. We hanteren drie elkaar uitsluitende categorieën: (1) de politie nam een aangifte op, (2) de politie nam een melding op of gaf advies, en (3) de politie ondernam geen strafrechtelijke actie. Dit is gevraagd: s wanneer de respondent contact had opgenomen met de politie omdat hij/zij slachtoffer was geworden van één of beide vormen van fraude via veiling- en/of verkoopsites; s omdat er contact was geweest naar aanleiding van voorschotfraude en/of identiteitsfraude; s omdat er contact was geweest met de politie naar aanleiding van stalking, bedreiging, defacing, het hacken van de pc en/of het hacken van een e-mailaccount. Tabel 4 geeft weer welke politiereacties de respondenten rapporteerden bij de drie groepen delicten met een digitale component.
Aangiftes Wanneer we de twee eerste groepen samennemen als ‘delicten gericht op het geld van het slachtoffer’ en afzetten tegen de laatste groep – die we zouden kunnen karakteriseren als ‘delicten gericht tegen de persoon of de digitale privésfeer van het slachtoffer’ – dan zien we als aangiftepercentages respectievelijk 56,9 en 28,6 procent (in de laatste groep wordt vaker een melding opgenomen of advies gege-
05-03-2013 14:54:34
Tabel 3: contact met politie n.a.v. slachtofferschap
Respondenten (%) Aantal die minstens unieke slachtoffers 1 keer contact opnamen (n) Stalking
92
28
** 30,4
Bedreiging
54
15
** 27,8
Betaald maar niet gekregen
204
43
** 21,1
Identiteitsfraude en/of -diefstal 63
12
15,6
Verkocht maar niet betaald
25
2
8,0
Voorschotfraude
18
1
5,6
Hacken (direct gevraagd)
339
14
** 4,1
Totaal
876
117
13,4
** Significant verschil t.o.v. totaal aantal delicten, p<0,01. Getoetst met z-skore voor proporties.
ven). Ondanks de kleine aantallen is het verschil tussen die twee significant (p<0,01; z-skore voor proporties).
Tevredenheid over reactie politie We keken ook of de slachtoffers tevreden waren over de reactie van de politie. Dat is met betrekking tot diezelfde drie clusters van delicten (tabel 4) gevraagd. We kunnen dus geen cijfers geven per delict. Op een schaal van zeer ontevreden (1) tot zeer tevreden (5) is de gemiddelde tevredenheid over het politieoptreden bij fraude via veiling- of verkoopsites een 2,7, bij voorschotfraude en/of identiteitsfraude een 3,4 en bij delicten in de persoonlijke sfeer een 3,0. De aangevers zijn dus tamelijk neutraal in hun oordeel over het politieoptreden. Vervolgens hebben we gekeken of de tevredenheid verschilt tussen slachtoffers van wie de politie wel of geen aangifte opnam. We zien bij fraude via verkoop- en veilingsites en bij de delicten tegen de persoon of de Tabel 4: reactie van de politie
Reactie
digitale privésfeer, dat slachtoffers van wie de politie een aangifte opnam, tevredener zijn dan diegenen bij wie de politie dat niet deed. Het opnemen van een aangifte lijkt bij te dragen aan een grotere tevredenheid van het slachtoffer. Maar dat is niet het hele verhaal. Bij delicten gericht op de persoon of de digitale privésfeer van het slachtoffer neemt de politie minder vaak aangifte op dan bij delicten gericht op het geld (28,6 versus 56,9%). Toch is er tussen die twee groepen niet of nauwelijks verschil in gemiddelde tevredenheid over de politie. Het is dus niet alleen maar het opnemen van een aangifte dat maakt dat een burger tevreden is. Kennelijk is de politie in staat om bij delicten die zijn gericht op de persoon of digitale privésfeer niet vaak een aangifte op te nemen en toch het slachtoffer tevreden te laten vertrekken. De tevredenheid komt dan mogelijk voort uit de positieve aandacht die de politie het slachtoffer geeft (vgl. Van der Vijver, 1993). De bevindingen uit ons onderzoek leiden dus niet tot de conclusie dat de politie eenvoudig tevreden klanten maakt als zij maar aangiften opneemt. Bij delicten tegen de persoon of digitale privésfeer van het slachtoffer laat de politie immers zien dat zij ook slachtoffers tevreden kan stellen zonder een aangifte op te nemen. Hoe soort delict, soort politiereactie en tevredenheid van de burger zich precies tot elkaar verhouden (wat leidt tot wat) is onderwerp voor nader onderzoek.
Conclusies Cybercrime heeft het karakter gekregen van veelvoorkomende criminaliteit: reguliere criminaliteit verweven met het dagelijkse leven van burgers. Dit betekent dat kennis over het opnemen van aangiften cybercrime en het vervolgens aanpakken ervan serieus aanwezig moet zijn in de volle breedte van de politieorganisatie. Dat is nog niet het geval (Stol e.a., 2012). Het ‘dark number’ is hoog. Het aantal aangiften van cybercrime kan dus nog aanzienlijk toenemen, bijvoorbeeld wanneer burgers, meer dan nu het geval is, gaan menen dat cybercrime (ook) een zaak voor de politie is. Als cybercrime veelvoorkomende criminaliteit is geworden, moeten we de hier besproken delicten dan nog apart betite-
Aangifte opgenomen
Melding of advies
Geen strafrechtelijke actie
Aantal
%
Aantal
%
Aantal
%
Fraude via veiling- of verkoopsites (n=45)
26
57,8
7
15,6
12
26,7
Voorschotfraude en identiteitsfraude (n=13)
7
53,8
3
23,1
3
23,1
28,6
33
52,4
12
19,0
Stalking, bedreiging, defacing, pc 18 gehackt, mail gehackt (n=63)
TvdP_2_DEFDEF.indd 33
33
Slachtofferschap bij cybercrime
het Tijdschrift voor de Politie – jg.75/nr.2/13
05-03-2013 14:54:35
34
Slachtofferschap bij cybercrime
het Tijdschrift voor de Politie – jg.75/nr.2/13
wordt opgenomen. Ook positieve aandacht speelt een rol. Hoe zich dat verhoudt tot de diverse vormen van cybercrime, moet nader worden onderzocht.
«
Moeten we deze delicten nog apart betitelen als ‘cybercrime’? len als ‘cybercrime’? Daarmee wordt immers de suggestie gewekt dat het zou gaan om een aparte klasse van delicten. Dat hacken ongeveer even wijd verspreid is als fietsdiefstal, betekent dat zelfs deze ‘cybercrime in enge zin’ zich heeft geëmancipeerd van specialistisch tot commuun delict. Veel van wat we tot nu toe cybercrime noemen is de status van specialisme ontgroeid en kan derhalve worden behandeld als niets meer of minder dan ‘criminaliteit in een gedigitaliseerde samenleving’. Een vraag is ook hoe de politie met deze vormen van (digitaal) slachtofferschap moet omgaan: circa een derde van de internetters vindt dat de politie een verantwoordelijkheid heeft in het waarborgen van de veiligheid op internet, maar de meeste verantwoordelijkheid legt men bij financiële instellingen en eigenaren van websites. Kan de politie zich dus op de achtergrond houden of moet zij er naar streven dat burgers ook bij deze criminaliteit allereerst aan de politie denken? Het percentage slachtoffers dat contact opneemt met de politie is niet hoog en de reactie van de politie op verschillende meldingen wisselt. Het is nog niet duidelijk wanneer de burger precies tevreden is met het optreden van de politie. In ieder geval niet zonder meer als er een aangifte
Literatuur CBS (2012) Integrale veiligheidsmonitor 2011. Landelijke Rapportage. Den Haag/Heerlen: CBS. Domenie, M.M.L., E.R. Leukfeldt, J.A. van Wilsem, J. Jansen & W.Ph, Stol (2013) Slachtofferschap van delicten met een digitale component onder burgers. Hacken, malware, persoonlijke en financiële delicten in kaart gebracht. Den Haag: Boom Lemma Uitgevers. Finch, E. (2007) The problem of stolen identity and the Internet. In Y. Jewkes (red.), Crime Online. Uffculme: William Publishing. Hulst, R.C. van der & R.J.M. Neve (2008) High-tech crime: Inventarisatie van literatuur over soorten criminaliteit en hun daders. Den Haag: WODC. Leukfeldt, E.R., M.M.L. Domenie en W.Ph. Stol (2010) Verkenning cybercrime in Nederland 2009. Den Haag: BJU. Leukfeldt, E.R., A. Kentgens, B. Frans, M. Toutenhoofd, W.Ph. Stol & E. Stamhuis (2012) Alledaags politiewerk in een gedigitaliseerde wereld. Handreiking voor delicten met een digitale component. Den Haag: Boom Lemma Uitgevers. Stol, W.Ph., E.R. Leukfeldt & H. Klap (2012) Cybercrime en politie. Een schets van de Nederlandse situatie anno 2012. In: Justitiële Verkenningen 38 (1) 25-39. Vijver, C.D. van der (1993) De burger en de zin van strafrecht. Lelystad: Koninklijke Vermande. Vries, U.R.M.Th. de, Tigchelaar, H., Linden, M. van der & Hol, A.M. (2007) Identiteitsfraude: een afbakening. Een internationale begripsvergelijking en analyse van nationale strafbepalingen. Utrecht: Universiteit Utrecht. Disciplinegroep Rechtstheorie. Departement Rechtsgeleerdheid, Universiteit Utrecht en WODC, Ministerie van Justitie. Noot 1) Hoge Raad 18 januari 2005, LJN AR7062; Hoge Raad 11 december 2007, LJN BB7701.
Advertentie
CSI - CYBER SECURITY INVESTIGATIONS /JFVX8JSFTIBSLWPPS-&
"VUIPSJ[FE5SBJOJOHPartner
8JSFTIBSL5SBJOJOH -PDBUJPO)PPGEEPSQ
%F[FDVSTVTJTTQFDJBBMPOUXJLLFMEWPPSOFUXFSLCFWFJMJHJOHTFOXFUTIBOE
"JS1DBQ
IBWJOHTQFSTPOFFMNFUCBTJTUPUHFNJEEFMEFLFOOJTWBOBMHFNFOFCFWFJMJHJOH
t "OBMZ[JOH5$1*1/FUXPSLT
BCHO8J'J $BQUVSF"EBQUFST
FOOFUXFSLFO4VDDFTWPMMFWPMUPPJJOHWBOEF[FDVSTVTNBBLUGPSFOTJTDIF
t 7P*1 8J'J/FUXPSL"OBMZTJT
OFUXFSLBOBMZTF /FUXPSL'PSFOTJDT"OBMZTJT UPFHBOLFMJKLWPPSEFEFFMOFNFST
t $4*$ZCFS4FDVSJUZ*OWFTUJHBUJPOT
XXXBJSQDBQOM
XXXTDPTOM
XXXXJSFTIBSLVOJWFSTJUZOM
%JTUSJCVUJF4$044PGUXBSFCWtXXXTDPTOMtJOGP!TDPTOMtUFM
TvdP_2_DEFDEF.indd 34
network and security solutions
05-03-2013 14:54:35