Werkaanbod cybercrime bij de politie Een verkennend onderzoek naar de omvang van het geregistreerde werkaanbod cybercrime
Lectoraat Cybersafety, Noordelijke Hogeschool Leeuwarden M.M.L. Domenie BSc E.R. Leukfeldt BSc Drs. M.H. Toutenhoofd-Visser Dr. W.Ph. Stol
23 maart 2009
Voorwoord Voor dit onderzoek kregen we de medewerking van veel mensen uit politiekorpsen. Wij willen hen op deze plaats bedanken voor de tijd die zij hebben vrijgemaakt. Onze bijzondere dank gaat uit naar Ron van der Nagel en Jan Rogier van regiopolitie Hollands Midden en Dirk Aangeenbrug van regiopolitie Zuid-Holland-Zuid die hun kennis, materiaal en werkplek met ons hebben willen delen. Miranda Domenie Rutger Leukfeldt Marika Toutenhoofd Wouter Stol
i
Inhoudsopgave Samenvatting.............................................................................................................................iii 1. Inleiding ................................................................................................................................. 1 1.1 Cybercrime en Programma Aanpak Cybercrime ............................................................. 1 1.2 Onderwerp en doel van onderzoek................................................................................... 2 1.3 Onderzoeksvragen............................................................................................................ 4 1.4 Verantwoording onderzoeksmethoden............................................................................. 5 2. Fase 1: bepalen zoekmethode................................................................................................. 6 2.1 Inleiding ........................................................................................................................... 6 2.2 Theoretische mogelijkheden om cybercrime in BPS en HKS te registreren. .................. 6 2.3 Registratie van cybercrime in BPS in de praktijk. ........................................................... 8 2.4 Blueview en BRAINS – een keuze .................................................................................. 9 3. Fase 2: omvang werkaanbod ................................................................................................ 11 3.1 Toelichting bij de werkwijze.......................................................................................... 11 3.2 Resultaten werkaanbod Hollands Midden...................................................................... 13 3.3 Resultaten werkaanbod Zuid-Holland-Zuid................................................................... 19 3.4 Werkaanbod Hollands Midden en Zuid-Holland-Zuid in 2007 ..................................... 25 3.5 Slachtofferschap ............................................................................................................. 26 4. Conclusies en aanbevelingen ............................................................................................... 29 4.1 Conclusies inzake de omvang van het geregistreerde werkaanbod ............................... 29 4.2 Conclusies inzake de methode ....................................................................................... 29 4.3 Aanbevelingen................................................................................................................ 30 Literatuur.................................................................................................................................. 31 Lijst van afkortingen ................................................................................................................ 32 Bijlage 1: lijst van geïnterviewde personen ............................................................................. 33 Bijlage 2: gebruikte zoekslagen ............................................................................................... 34 Bijlage 3: betrouwbaarheidsintervallen_1................................................................................ 37 Bijlage 4: betrouwbaarheidsintervallen_2................................................................................ 38 Bijlage 5: gebruikte incidentcodes voor cybercrime per regio ................................................ 39 Bijlage 6: pogingen tot oplichting via internet in 2007, 2008.................................................. 40
ii
Samenvatting Doel en onderwerp Dit onderzoek gaat over het werkaanbod cybercrime bij de politie. Onder ‘de politie’ verstaan we in het onderhavige onderzoek de 25 regionale politiekorpsen. Met ‘werkaanbod’ worden alle meldingen en aangiften bedoeld die bij de politie binnenkomen en daar zijn geregistreerd. Cybercrime definiëren we als criminele activiteiten waarbij het gebruik van ICT van wezenlijk belang is. Het doel van het onderzoek is het bieden van inzicht in het geregistreerde werkaanbod cybercrime bij de politie. De centrale onderzoeksvraag luidt dan ook: wat zijn aard en omvang van, en ontwikkelingen in het geregistreerde werkaanbod van de politie, inzake cybercrime? Methodische verantwoording Het onderzoek is uitgevoerd in de korpsen Utrecht, Hollands Midden en Zuid-Holland-Zuid. In de eerste fase van het onderzoek stond centraal hoe cybercrime te herkennen is in het basisprocessensysteem van de politie. In totaal zijn 13 interviews afgenomen bij infodeskmedewerkers, misdaadanalisten, intakers en medewerkers met aanverwante functies. Daarnaast zijn bestaande data uit politiedossiers geanalyseerd. Op deze manier is een beeld verkregen van hoe de intake verloopt, hoe agenten cybercrime registreren en hoe cybercrime terug te vinden is in het basisprocessensysteem. Vervolgens zijn zoekprotocollen opgesteld om cybercrimedossiers te selecteren in het basisprocessensysteem van de regio’s Zuid-Holland-Zuid en Hollands Midden. De zoeksleutel is opgebouwd uit vier onderdelen. Eén onderdeel bestaat uit zoektermen die we associëren met cybercrime en waar we naar zoeken in de vaste en vrije velden. Het tweede onderdeel selecteert alleen de dossiers die een aangifte en/of meldingscode hebben. Het derde onderdeel selecteert een steekproef van 39 dagen. Het vierde onderdeel sluit een lijst van zoekwoorden en incidentcodes uit. Om de kwaliteit van de zoekprotocollen te verifiëren, hebben we het resultaat van de zoekslag handmatig gecontroleerd. Hiervoor hebben we in totaal 1.819 geselecteerde dossiers handmatig geanalyseerd. Om na te gaan of we met de zoekprotocollen geen cybercrime ten onrechte hebben uitgesloten, namen we uit de niet-geselecteerde dossiers een steekproef van 1.200 dossiers en controleerden deze handmatig. Het geregistreerde werkaanbod cybercrime In Hollands Midden zijn in het jaar 2007 in totaal 262.284 mutatienummers aangemaakt. We hebben van alle meldingen en aangiften een steekproef van 39 dagen getrokken. In de steekproef van 22.771 mutatienummers (10,7 procent van het totaal aantal meldingen en aangiftes in dat jaar) vinden we 72 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,32 procent in de steekproef. In een aselecte steekproef van 600 dossiers die buiten de algemene zoeksleutel vallen, vinden we geen cybercrimes. Aangezien we met een steekproef werken, kunnen we niet aannemen dat het werkelijke aandeel cybercrime in alle aangiften en mutaties exact 0,32 procent is. Met een betrouwbaarheid van 90 procent ligt het aandeel cybercrime in regio Hollands Midden in 2007 tussen 0,25 procent en 0,64 procent. Dit komt overeen met 547 à 1.414 meldingen en aangiften. In Zuid-Holland-Zuid zijn in het jaar 2007 in totaal 126.991 mutatienummers aangemaakt. We hebben van alle meldingen en aangiften een steekproef van 39 dagen getrokken. In de steekproef van 13.037 mutatienummers (10,4 procent van het totaal aantal meldingen en aangiftes) vinden we 70 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,54 procent iii
in de steekproef. In een aselecte steekproef van 600 dossiers die buiten de algemene zoeksleutel vallen, vinden we geen cybercrimes. Rekening houdend met de mogelijke afwijkingen van de steekproef ligt met een betrouwbaarheid van 90 procent het aandeel cybercrime in regio Zuid-Holland-Zuid in 2007 tussen 0,43 procent en 0,91 procent. Dit komt overeen met 530 à 1150 meldingen en aangiften. Het geregistreerde werkaanbod in perspectief Volgens onze berekening is het aandeel cybercrime in het werkaanbod kleiner dan 1%. Uit een onderzoek onder 1.246 internettende Friezen, uitgevoerd eind 2008, blijkt dat het slachtofferschap van cybercrime aanzienlijk hoger ligt en de aangiftebereidheid laag is. De aard van meldingen en aangiften cybercrime Ongeveer de helft van alle cybercrimes is e-fraude, zowel in regio Hollands Midden als in regio Zuid-Holland-Zuid. Verder komt hacken, illegale handel, smaad, stalking en overige cybercrimes zoals schennis van de eerbaarheid voor. Cyberafpersen en haatzaaien vinden we niet, wat niet wil zeggen dat dergelijke cybercrimes niet in Nederland voorkomen. Voor de registratie van cybercrime wordt in beide korpsen in ongeveer eenderde van de gevallen de incidentcode 281 ‘oplichting’ gebruikt. De rest van de cybercrimes wordt onder een veelheid van incidentcodes gemuteerd. Trendanalyse Voor de trendanalyse hanteerden we als aanname dat de door ons ontwikkelde algemene zoeksleutel in de andere jaren eenzelfde percentage vals positieven (90,1 procent in Hollands Midden en 93,6 procent in Zuid-Holland-Zuid) zou hebben als in 2007. Die aanname lijkt niet correct. Als gevolg van veranderende registratieroutines selecteert onze zoeksleutel in andere jaren andere hoeveelheden dossiers. Daarmee valt in feite de bodem weg onder de trendanalyse. Conclusies en aanbevelingen - Het percentage cybercrime in de politieregistratiesystemen ligt in 2007 tussen 0,3 en 0,9 procent in de regio’s Hollands Midden en Zuid-Holland-Zuid. - Uitspraken over trends in cybercrime in de periode 2004-2008 kunnen niet gedaan worden op basis van dit onderzoek. Ook kunnen we op basis van de resultaten uit de twee onderzochte korpsen geen uitspraken doen over het geregistreerde werkaanbod in andere korpsen. - Op basis van slachtofferenquêtes in Friesland kunnen we stellen dat het slachtofferschap aanzienlijk hoger ligt. De aangiftebereidheid ligt voorzichtig geschat op maximaal vijf procent. - Ongeveer de helft van het geregistreerde werkaanbod cybercrime is e-fraude. - Het is niet mogelijk om geautomatiseerd cybercrimes uit de politieregistratiesystemen te selecteren zonder handmatige check van het resultaat. - Ontwikkel een gerichte, efficiënte strategie om het werkaanbod op te vangen. Geen zware opleidingen aan alle intakers, maar het aanbieden van gerichte ondersteuning voor het geval zich een aangifte voordoet. - Vergroot de kennis over e-fraude bij intakers. De kans dat intakers met e-fraude te maken krijgen is reëel en op deze manier maken intakers toch kennis met de basisprincipes van het opnemen van een aangifte cybercrime – en dat is iets wat ze in de toekomst naar verwachting steeds vaker te doen zullen krijgen. Geen zware cursus in de breedte maar een relatief lichte voorlichting aangevuld met voorzieningen voor als-het-zich-aandient.
iv
-
-
Voer slachtofferonderzoek uit om te zien hoe cybercrime, en dus het werkaanbod, zich ontwikkelt. Breng geen wijzigingen aan in de registratiesystemen. Variatie in registratie is altijd (ook) gevolg van veranderingen in beleid, prioriteit en verandering in de bedrijfsprocessen. Het is niet haalbaar om 100 procent nauwkeurig te registreren. De belasting op intakers is met een wijziging in het registratiesysteem verhoudingsgewijs te hoog. Beter is het (efficiënter en meer valide) om de omvang van cybercrime in de politieregistratie met de hand vast te stellen, met gebruikmaking van steekproeven.
v
HOOFDSTUK 1
Inleiding 1.1 Cybercrime en Programma Aanpak Cybercrime Internet biedt mensen communicatie- en handelingsmogelijkheden die zij daarvoor niet hadden. Zij maken daarvan volop gebruik, ook voor criminele doeleinden. Het gebruik van internet bij het plegen van delicten is al lang niet meer nieuw (Akdeniz, 1996; Duncan, 1997, Durkin 1997, Van Eecke, 1997, Boerstra, 1997; Grabowsky en Smith, 1998). Te verwachten is dat de met internet verweven criminaliteit de komende jaren toeneemt (SCP, 2004). De Nederlandse overheid geeft aan de opsporing en bestrijding van cybercrime een hoge prioriteit en neemt verschillende juridische en organisatorische maatregelen. Voorbeelden hiervan zijn aanpassingen in wetgeving door de inwerkingtreding van de Wet op Computercriminaliteit-II in 2006, de Nationale Infrastructuur ter bestrijding van CyberCrime (NICC), de oprichting van een Meldpunt Cybercrime, de oprichting van het Team High Tech Crime (THTC) bij het Korps Landelijke Politiediensten en het landelijke Programma Aanpak Cybercrime (PAC) van de Raad van Hoofdcommissarissen. Bij herhaling wordt echter geconstateerd, ook door politie en justitie zelf, dat politie en justitie de ontwikkelingen maar moeizaam kunnen bijbenen. Groot probleem is gebrek aan kennis over wat zich op internet precies afspeelt met betrekking tot criminaliteit en hoe dat kan worden opgespoord (Stol e.a. 1999; PWC 2001; LPDO 2003; Griffith, 2005; Lünnemann e.a., 2006; Van der Hulst en Neve, 2008). Dat is een ongewenste situatie. De politie is zich dat bewust en startte in 2007 het eerder genoemde landelijke Programma Aanpak Cybercrime (PAC). Het PAC draagt zorg voor de uitvoering van een samenstel van activiteiten die er toe zullen moeten leiden dat: (1) de politie in staat is effectief uitvoering te geven aan de bestrijding van cybercrime als onderdeel van haar dagelijkse werkzaamheden, (2) de Nederlandse samenleving een beroep kan doen op haar politie ten aanzien van de bestrijding van cybercrime en daarin niet zal worden teleurgesteld, (3) cybercrime in Nederland adequaat, actief en zichtbaar door de Nederlandse politie wordt aangepakt en (4) de politie aansluiting vindt op het netwerk van organisaties en instanties die een rol dan wel een belang hebben bij de bestrijding van de negatieve effecten van digitalisering en in dit netwerk een natuurlijke rol speelt met een reële toegevoegde waarde passend bij de wettelijke taken en verantwoordelijkheden. Het PAC beoogt de gewenste situatie binnen vijf jaar te realiseren door het treffen van maatregelen op het vlak van organisatie, opleiding & training, onderzoek & ontwikkeling, stimulering van good practices en een éénmalige kennis- en capaciteitsinjectie.’ (PAC 2007:2). Het PAC doet momenteel onderzoek naar hoe de politie omgaat met cybercrime. Het onderzoek is verdeeld in vijf blokken: het werkaanbod, de organisatie, de competenties, research & development, en de ervaren knelpunten en kansen. Voor het blok ‘werkaanbod’ heeft het PAC het lectoraat cybersafety van de Noordelijke Hogeschool Leeuwarden benaderd om in kaart te brengen hoe groot het (geregistreerde) werkaanbod cybercrime voor de politie is. Momenteel rondt het lectoraat Cybersafety met studenten van de Noordelijke Hogeschool Leeuwarden onderzoek af naar de wijze waarop bij de politie de intake en de eerst opvolging van het werkaanbod is geregeld en hoe een en ander in de praktijk verloopt. Ook voert het lectoraat Cybersafety, in opdracht van het KLPD, een criminaliteitsbeeldanalyse cybercrime
1
(CBAC) uit (Leukfeldt e.a., te verwachten) . Resultaten en ervaringen uit die CBAC zijn gebruikt bij onderhavig onderzoek. 1.2 Onderwerp en doel van onderzoek Onderwerp Dit onderzoek gaat over het werkaanbod cybercrime bij de politie. Onder ‘de politie’ verstaan we in het onderhavige onderzoek de 25 regionale politiekorpsen. Met ‘werkaanbod’ worden alle meldingen en aangiften bedoeld die bij de politie binnenkomen en daar zijn geregistreerd. Werkaanbod kan dus criminaliteit betreffen, maar het kan ook gaan om overtredingen of om situaties waarbij geen sprake is van een strafbaar feit (gevaarlijke situatie op een kruispunt, burenruzie, etc.). Dit onderzoek is er niet op gericht te bepalen of een bepaald werkaanbod al dan niet een strafbaar feit betreft. Van belang is hier te constateren dat een burger/bedrijf de politie benadert met een probleem inzake cybercrime, niet van belang is dat we vaststellen dat er ook werkelijk een delict is gepleegd. In de literatuur komen we verschillende definities van cybercrime tegen (zie Van der Hulst en Neve, 2008). In dit onderzoek hanteren we de definitie van cybercrime zoals die door het PAC is geformuleerd (PAC, 2008). Na een vergelijkend onderzoek concludeert het PAC dat de definitie van Van der Hulst en Neve (2008) de meest bruikbare is voor de activiteiten van het PAC. Van der Hulst en Neve definiëren high-tech crime als ‘overkoepelend begrip waarmee wij verwijzen naar het gebruik van ICT voor het plegen van criminele activiteiten tegen personen, eigendommen, organisaties of elektronische communicatienetwerken en informatiesystemen’ (2008: 37). Subthema’s zijn cybercriminaliteit en computercriminaliteit. Cybercriminaliteit omvat volgens Van der Hulst en Neve alle (traditionele) criminele activiteiten waarbij ICT als instrument wordt gebruikt zonder dat ICT expliciet doelwit is van de criminele activiteiten. Computercriminaliteit omvat alle criminele activiteiten waarbij ICT als instrument wordt gebruikt én waarbij ICT expliciet doelwit is van de criminele activiteiten. Volgens Van der Hulst en Neve is kenmerkend aan de verschijningsvormen van computercriminaliteit (bijvoorbeeld hacken en verspreiden van virussen) dat zij een sterk technisch, virtueel karakter hebben: zij zijn ontstaan door, en kunnen niet bestaan zonder ICT. De verschijningsvormen van cybercriminaliteit daarentegen zijn doorgaans traditionele delicten die ook zonder tussenkomst van ICT gepleegd kunnen worden (bijvoorbeeld verspreiden van kinderporno en afpersen) maar door het gebruik van ICT een nieuwe (efficiëntere) uitvoering hebben gekregen. Benadrukt wordt daarbij nog dat beide subthema’s ideaaltypen vormen, als uiteinden van een continuüm, waarbinnen verschillende combinaties mogelijk zijn. Het PAC volgt de definitie van Van der Hulst en Neve (2008) niet één-op-één. Het overkoepelende begrip ‘high-tech crime’ wordt door het PAC vervangen door ‘cybercrime’. Het onderscheid tussen cybercrime in enge en ruime zin blijft gehanteerd (figuur 1.1). Het onderscheid tussen enerzijds delicten waarbij ICT zowel middel als doel is en anderzijds delicten waarbij ICT middel is maar geen doel, is niet nieuw en zagen we bijvoorbeeld ook in het Europese Cybercrime Verdrag van 2001, zij het met gebruik van wat andere termen.1
1
Convention on Cybercrime, European Treaty Series 185, Budapest, 23.XI.2001.
2
Figuur 1.1: begripsbepaling cybercrime (bron: PAC, 2008) Cybercrime Dit is het overkoepelende begrip dat verwijst naar het gebruik van ICT voor het plegen van criminele activiteiten tegen personen, eigendommen, organisaties of elektronische communicatienetwerken en informatiesystemen. Cybercrime in ruime zin
Cybercrime in enge zin
Dit omvat alle (traditionele) criminele activiteiten waarbij ICT als instrument wordt gebruikt zonder dat ICT expliciet doelwit is van de criminele activiteiten.
Dit omvat alle criminele activiteiten waarbij ICT als instrument wordt gebruikt én waarbij ICT expliciet doelwit is van de criminele activiteiten.
De zojuist gegeven definitie van cybercrime verwijst naar elk delict waarbij de dader voor het plegen daarvan op enigerlei wijze gebruik heeft gemaakt van ICT. Classificeren we delicten volgens dat principe, dan zou de selectie al snel ook zaken gaan bevatten die in het politieveld niet worden aangemerkt als ‘werkaanbod inzake cybercrime’, bijvoorbeeld alle delicten waarbij de dader voor het plegen daarvan enkel gebruik heeft gemaakt van een mobiele telefoon of een satellietnavigatiesysteem. Daar komt bij dat het gebruik van dergelijke voor het plegen van het delict niet wezenlijke ICT, uit de politieregistratie doorgaans niet (eenvoudig) zal zijn af te leiden. Om het geregistreerde werkaanbod inzake cybercrime te bepalen, perken we bovenstaande definitie dan ook enigszins in. In dit onderzoek is sprake van cybercrime indien de door de dader gebruikte ICT van wezenlijk belang is voor de totstandkoming van het delict. We zijn ons er van bewust dat we de definitie daarmee weliswaar hebben ingeperkt maar haar daarmee nog niet van een scherpe grens hebben voorzien. In de uitvoering van het onderzoek zullen we aan de hand van het empirische materiaal duidelijk maken welke gevallen we wel en welke we niet onder de definitie hebben laten vallen. In de volgende alinea geven we al vast een fictief voorbeeld. Cybercrime in ruime zin kan verweven zijn met uiteenlopende vormen van traditionele criminaliteit die ook voorkomen in de fysieke wereld. Voorbeelden hiervan zijn fraude, afpersing, haatzaaien en de verspreiding van kinderpornografie. Omdat ICT een belangrijke rol speelt in het dagelijks leven is het bij deze delicten van belang om te kijken hoe belangrijk ICT is geweest voor het plegen van het delict. Een voorbeeld van cybercrime in brede zin is oplichting via online veilingwebsites. Op de website verkoopt de oplichter spullen maar levert deze nooit aan de afnemers. Zonder de online veilingwebsite zou het delict niet zo gepleegd kunnen worden. Er is echter geen sprake van cybercrime indien een bedrijf in de fysieke wereld klanten oplicht en deze praktijken bijhoudt in een schaduwboekhouding op een bedrijfscomputer. Het delict kon in dit geval ook gepleegd worden zonder gebruik van ICT. Doel van het onderzoek Het onderzoek moet uiteindelijk bijdragen aan de bestrijding van cybercrime. Het dichterbij gelegen doel is het bieden van inzicht in het geregistreerde werkaanbod cybercrime bij de politie. Het onderzoek moet de politie inzicht geven in de aard en omvang van geregistreerde aangiften en meldingen cybercrime.
3
1.3 Onderzoeksvragen De centrale onderzoeksvraag luidt: wat zijn aard en omvang van, en ontwikkelingen in het geregistreerde werkaanbod van de politie, inzake cybercrime? Deze vraag hebben we als volgt uitgewerkt in deelvragen. 1.
Wat zijn de theoretische mogelijkheden om cybercrime in het basisprocessensysteem van de politie te registreren?
2.
Hoe wordt cybercrime in de praktijk in het basisprocessensysteem van de politie geregistreerd?
3.
Hoe is cybercrime te herkennen in het basisprocessensysteem van de politie? a. Aan de hand van welke vaste velden in het basisprocessensysteem kan worden bepaald of er sprake is van een cybercrime? b. Aan de hand van welke vaste velden in BlueView kan worden bepaald of er sprake is van een cybercrime? c. Aan de hand van welke zoektermen in de ‘vrije tekst’ in het basisprocessensysteem kan worden bepaald of er sprake is van een cybercrime? d. Aan de hand van welke zoektermen in de ‘vrije tekst’ in BlueView kan worden bepaald of er sprake is van een cybercrime? e. Aan de hand van welke vaste velden in het basisprocessensysteem kan worden bepaald of er sprake is van een melding of aangifte? f. Aan de hand van welke vaste velden in BlueView kan worden bepaald of er sprake is van een melding of aangifte? g. Aan de hand van welke vaste velden in het basisprocessensysteem kan worden bepaald of de aangever of melder een individu of bedrijf is? h. Aan de hand van welke vaste velden in BlueView kan worden bepaald of de aangever of melder een individu of bedrijf is?
4.
Wat zijn de ontwikkelingen op het gebied het geregistreerde werkaanbod cybercrime bij de politie in de periode 2003 – 2008? Meldingen a. Hoeveel meldingen cybercrime komen er per jaar binnen bij de korpsen Utrecht en Hollands Midden in de periode 2003 t/m 2007 en hoeveel meldingen zijn op basis daarvan te verwachten voor 2008? b. Welk aandeel is dat van het totaal aantal meldingen in die korpsen? c. Om wat voor soort cybercrime gaat het? d. Wie doet de melding (bedrijf/burger)? e. Onder welke maatschappelijke klasse wordt de melding geregistreerd? Aangiften f. Hoeveel aangiften cybercrime komen er per jaar binnen bij de korpsen Utrecht en Hollands Midden in de periode 2003 t/m 2007 en hoeveel aangiften zijn op basis daarvan te verwachten voor 2008? g. Welk aandeel is dat van het totaal aantal aangiften in die korpsen? h. Om wat voor soort cybercrime gaat het? i. Wie doet de aangifte (bedrijf/burger, kenmerken)? j. Onder welke maatschappelijke klasse wordt de aangifte geregistreerd?
5.
Welke aanbevelingen kunnen op basis van het onderzoek worden gedaan?
4
1.4 Verantwoording onderzoeksmethoden Het onderzoek is uitgevoerd in de regiokorpsen van politie Utrecht, Hollands Midden en Zuid-Holland-Zuid. Om het totale werkaanbod cybercrime in kaart te kunnen brengen, is het onderzoek opgedeeld in twee fasen waarin gebruik is gemaakt van drie onderzoeksmethoden. In de eerste fase van het onderzoek stond centraal hoe cybercrime te herkennen is in het basisprocessensysteem van de politie (vraag 1, 2 en 3). Deze fase is uitgevoerd in de regio’s Utrecht en Hollands Midden. We maakten gebruik van de volgende onderzoeksmethoden: 1. Interviews. In regio Hollands Midden hebben we twee interviews gehouden met politieagenten die belast zijn met de invoer van delicten in het basisprocessensysteem, twee interviews met infodeskmedewerkers, twee interviews met veiligheidsanalisten en één interview met de chef analyse. In regio Utrecht hebben we één veiligheidsanalist gesproken, twee politieagenten die belast zijn met de invoer van delicten in het basisprocessensysteem en twee infodeskmedewerkers. In regio Zuid-Holland-Zuid spraken we met een vakspecialist analyse. Dat is in totaal 13 (semi-gestructureerde) interviews. Op deze manier is per regio een beeld verkregen van hoe de intake verloopt, hoe agenten cybercrime registreren en hoe analisten cybercrime weten terug te vinden in het basisprocessensysteem. 2. Secundaire analyse. Bestaande data uit politiedossiers, afkomstig uit onderzoek van het lectoraat Cybersafety naar de aard, ernst en omvang van cybercrime in Nederland analyseren we om te bepalen hoe cybercrime in de politieregistratie te herkennen is. In de tweede fase van het onderzoek staat centraal wat de ontwikkelingen zijn op het gebied van het geregistreerde werkaanbod cybercrime. Tijdens de interviews in de eerste fase werd duidelijk dat in Hollands Midden ervaring was met het geautomatiseerd zoeken naar cybercrime in politiesystemen. Ook troffen we in Hollands Midden de expert op het gebied van het softwareprogramma BRAINS, dat is gemaakt voor het analyseren van politiegegevens. In hoofdstuk twee gaan we dieper in op BRAINS. Eveneens kwamen we tijdens de interviews in regio Zuid-Holland-Zuid op het spoor van nog een andere ervaringsdeskundige op het gebied van analyse van politiegegevens. Zowel Hollands Midden als Zuid-Holland-Zuid hebben rapportages gemaakt over het werkaanbod cybercrime in deze regio’s. Beide regio’s beschikken over de meest recente versie van BRAINS en een medewerker die goed daarmee kan werken. We hebben om die reden de regio’s Hollands Midden en Zuid-Holland-Zuid gekozen voor de tweede fase van het onderzoek: het bepalen van het geregistreerde werkaanbod. Hiervoor maakten we gebruik van de volgende onderzoeksmethode: Kwantitatieve analyse. Aan de hand van de uitkomsten van onderzoeksvragen 1, 2 en 3 zijn zoekprotocollen (algoritmes) opgesteld om cybercrimedossiers te selecteren in het basisprocessensysteem van de regio’s Zuid-Holland-Zuid en Hollands Midden. Beide regio’s maken gebruiken van het basisprocessensysteem BPS. Bij de interpretaties van de cijfers hebben we gebruik gemaakt van ervaringen die het lectoraat Cybersafety opdeed bij kwantitatief dossieronderzoek naar de aard van cybercrime. Om de kwaliteit van de algoritmes te verifiëren, hebben we het resultaat van de geautomatiseerde zoekslag handmatig gecontroleerd. We analyseerden hiervoor in totaal 1.819 van de automatisch geselecteerde dossiers. Om na te gaan of we met de algoritmes geen cybercrime ten onrechte hebben uitgesloten, namen we uit de niet-geselecteerde dossiers een steekproef van 1.200 en controleerden deze handmatig. Een uitgebreidere verantwoording van de gehanteerde algoritmes en de wijze waarop we de resultaten controleerden volgt in paragraaf 3.1.
5
HOOFDSTUK 2
Fase 1: bepalen zoekmethode 2.1 Inleiding Om geautomatiseerd te kunnen zoeken in de politiesystemen naar het werkaanbod cybercrime, moet een tweetal keuzes gemaakt worden. Ten eerste dient te worden bepaald in welke data gezocht wordt. Aangezien we op zoek zijn naar het geregistreerde werkaanbod, wat we gedefinieerd hebben als ‘alle meldingen en aangiften die bij de politie binnenkomen en daar zijn geregistreerd’, hebben we databestanden nodig die (alle) meldingen en/of aangiften bevatten. Twee databestanden komen in aanmerking: die van de basisprocessensystemen (BPS, XPOL en Genesys) met gegevens over meldingen en aangiften en die van het herkennisdienstsysteem (HKS) met gegevens over aangiften – waarbij zij opgemerkt dat we niet kunnen kiezen voor een analyse op basis van alleen HKS-gegevens omdat we dan de dossiers zouden missen die geen aangifte bevatten.2 Ten tweede moet worden vastgesteld met welk zoeksysteem we het werkaanbod in kaart willen brengen. Hiervoor komen eveneens twee systemen in aanmerking: Blueview en BRAINS. In dit hoofdstuk beschrijven we aan de hand van de eerste drie onderzoeksvragen op welke manier wij het werkaanbod cybercrime hebben gemeten. In paragraaf 2.2 gaan we in op de theoretische mogelijkheden om cybercrime in de systemen van de politie te registreren. In paragraaf 2.3 beschrijven we vervolgens hoe medewerkers van de politie met deze mogelijkheden omgaan in de praktijk. Paragraaf 2.4 gaat in op de voor- en nadelen van Blueview en BRAINS. In paragraaf 2.5 onderbouwen we de keuze voor het databestand BPS en het zoeksysteem BRAINS. 2.2 Theoretische mogelijkheden om cybercrime in BPS en HKS te registreren. Inleiding Om een goed onderbouwde keuze te kunnen maken voor het te gebruiken databestand, hebben we eerst de theoretische mogelijkheden en beperkingen onderzocht om cybercrime in de basisprocessensystemen en in HKS van de politie te registreren. Hiervoor hebben we rapportages over de omvang van cybercrime bestudeerd, geschreven door twee criminaliteitsanalisten van de politie (de twee eerder genoemde ervaringsdeskundigen) (Van der Nagel, 2008; Aangeenbrug, 2008). Ook de ervaring die we met de CBAC (Leukfeldt e.a., te verwachten) hebben opgedaan, hebben we hierbij betrokken. De regio’s waarin we de meting voor onderhavig onderzoek hebben uitgevoerd, maken beide gebruik van het basisprocessensysteem BPS. Vanaf volgend jaar gaan alle regio’s over op een nieuw basisprocessensysteem. Wanneer we in dit rapport spreken over ‘basisprocessensysteem’ of BPS bedoelen we dus in beide gevallen BPS, niet Genesys of Xpol. Theoretische mogelijkheden om cybercrime in BPS te registreren Wanneer gebruik wordt gemaakt van de standaard invoermethode van BPS, zoals intakers doen, is het mogelijk om bij het veld ‘Modus Operandi’, in het subveld ‘met behulp van’ de optie ‘computer’ te kiezen. Ook is er een open invoerveld ‘Modus Operandi’ waar een tekst ingevoerd kan worden waaruit blijkt dat de zaak een cybercrime betreft. In het geval van cybercrime in enge zin, kan in BPS de incidentcode 270 of 271 ‘computercriminaliteit’ gekozen worden. Deze codes worden door elkaar gebruikt maar 271 wordt het 2
Zaken waarvan alleen een melding is maar geen aangifte, worden niet in HKS ingevoerd.
vaakst gebruikt. Het is niet duidelijk waarom voor computercriminaliteit twee identieke incidentcodes beschikbaar zijn. Ook zijn er in BPS voor cybercrime in enge zin de volgende wetsartikelen beschikbaar die in een vast veld kunnen worden aangeklikt: − 138a WvSr: het binnendringen in een geautomatiseerd werk, − 161sexies WvSr: opzettelijk veroorzaken van stoornis in de gang of in de werking van een geautomatiseerd werk of werk voor de telecommunicatie, − 161septies WvSr: stoornis in de gang of in de werking in een geautomatiseerd werk of werk voor telecommunicatie door schuld, − 350a WvSr: het opzettelijk onbruikbaar maken en veranderen van gegevens, − 350b WvSr: het onbruikbaar maken en veranderen van gegevens door schuld, − 139c WvSr: het aftappen en/of opnemen van gegevens en − 139d WvSr: het plaatsen van opname-, aftap- c.q. afluisterapparatuur. Er is in BPS geen mogelijkheid om bij het registreren van een delict in een vast veld op te geven dat de melding of aangifte een cybercrime betreft. Voor cybercrime in ruime zin zijn naast het genoemde Modus Operandi-veld geen vaste velden beschikbaar om aan te geven dat de mutatie een cybercrime betreft. Ook zijn er geen specifieke incidentcodes of wetsartikelen om cybercrime in ruime zin aan te duiden. Voor de hoofddaad worden dezelfde incidentcodes en wetsartikelen gebruikt als wanneer de criminele daad niet met ICT zou zijn gepleegd. Wanneer sprake is van cybercrime in ruime zin in combinatie met cybercrime in enge zin, kan wel een wetsartikel voor cybercrime in enge zin gebruikt worden. Intakers kiezen bij het aanmaken van een nieuw dossier tussen de activiteitcode A01 (melding) en A03 (aangifte). Wanneer een persoon aangifte doet van een cybercrime die gepleegd is bij een bedrijf, kan de intaker ook bedrijfsgegevens invoeren. In het geval van een melding van cybercrime, kunnen geen vaste velden met bedrijfsgegevens worden gevuld. Welke zaken missen in BPS Een aantal keer per jaar wordt een onderzoek opgestart voor zeer ernstige zaken zoals moord, verkrachting met geweld, ernstige oplichtingszaken en ernstige zedenzaken. Het is mogelijk dat zich hieronder ook enkele cybercrimes bevinden. Deze zaken worden afgeschermd ingevoerd in het recherchesysteem RBS. Deze zaken zijn dus niet zichtbaar in BPS en vallen buiten onze telling. Het aantal is echter laag en heeft vermoedelijk dan ook geen meetbare effecten hebben op de uitkomst van het onderzoek. Wanneer een burger bij de balie komt om aangifte te doen van oplichting via bijvoorbeeld een veilingsite, dan gebeurt het dat de intaker meent dat het een civiele zaak betreft en de aangifte niet opneemt. Sommigen maken een melding, andere muteren helemaal niets. Als een melding is gemaakt, wordt de zaak onderdeel van het geregistreerde werkaanbod waarop dit onderzoek betrekking heeft. Zaken die niet worden gemuteerd, vallen buiten dit onderzoek. Theoretische mogelijkheden om cybercrime in HKS te registreren HKS bevat alleen aangiften en geen meldingen. We hebben HKS laten vallen als optie voor ons onderzoek naar het werkaanbod omdat ons onderzoek zich ook uitstrekt tot meldingen. 7
Wanneer een onderzoek naar uitsluitend aangiften van cybercrime gedaan zou moeten worden, is HKS een bruikbaar databestand. HKS heeft dezelfde invoervelden bij ‘Modus Operandi’ als BPS. Volgens infodeskmedewerkers worden deze velden in HKS beter gevuld dan in BPS. Om hierover meer te weten te komen, zou een test gedaan kunnen worden. In HKS kan bij het veld ‘Modus Operandi’ code D05 gebruikt worden, waarna de keuze ‘computer home’, ‘computer personal’ of ‘computer portable’ gemaakt kan worden. Er is op dit moment in HKS geen mogelijkheid om bij het registreren van een delict in een vast veld op te geven dat de aangifte een cybercrime betreft. 2.3 Registratie van cybercrime in BPS in de praktijk. Middels interviews met intakers brachten we in kaart hoe politiemensen de mogelijkheden van BPS gebruiken en hoe zij omgaan met de beperkingen van het systeem. In het geval van cybercrime in enge zin wordt meestal de incidentcode 270 of 271 ‘computercriminaliteit’ gebruikt. Uit de CBAC blijkt dat van 132 dossiers waarin sprake is van hacken en die in BPS ingevoerd zijn in 2007, driekwart onder de incidentcode ‘computercriminaliteit’ is gemuteerd. Dat betekent ook dat een kwart onder een andere incidentcode is gemuteerd. In de meeste gevallen is dan sprake van meer delicten dan alleen cybercrime in enge zin en wordt de incidentcode gekozen van het andere delict. Dit is bijvoorbeeld het geval wanneer een computer gehackt wordt, persoonsgegevens worden gestolen en met deze gegevens iemand wordt opgelicht. In dit geval kan aan de zaak de incidentcode voor oplichting worden toegekend. Onder de incidentcodes 270 en 271 worden ook zaken gemuteerd die geen cybercrime in enge zin zijn en zelfs wel eens zaken die helemaal geen cybercrime zijn. Van de in paragraaf 2.2 genoemde relevante wetsartikelen voor cybercrime in enge zin wordt alleen artikel 138a Sr met enige regelmaat gebruikt, maar ook weer niet altijd. Het vaste veld onder ‘Modus Operandi – met behulp van’ waar vervolgens ‘computer’ kan worden gekozen, wordt door intakers voor zowel cybercrime in ruime zin als cybercrime in enge zin zeer weinig gebruikt. Bij het open invoerveld van de Modus Operandi wordt wel eens geschreven dat het incident via internet of via de computer gepleegd is, maar zeker niet in de meerderheid van de gevallen. Cybercrime in ruime zin wordt onder de incidentcode van de hoofddaad weggeschreven, dus onder fraude, oplichting, zeden, schennis van de privacy, stalking enzovoort. Cybercrime in ruime zin wordt op dezelfde manier in de basisprocessensystemen gemuteerd als wanneer het incident op de traditionele manier zou zijn gepleegd. Om cybercrime in ruime zin terug te vinden, zal dus gebruik gemaakt moeten worden van zoektermen in de vrije velden, zoals teksten van processen verbaal, verhoren en aangiften. De activiteitcodes A01 en A03 worden gebruikt om een onderscheid te maken tussen meldingen en aangiften. Een aangifte kan niet gemaakt worden zonder de juiste activiteitcode (A03) te gebruiken. Dit veld is dus altijd zorgvuldig gevuld. Wanneer de eigenaar of directeur van een eenmanszaak of VOF aangifte doet van een cybercrime die gepleegd is op zijn bedrijf, voert de intaker vaak geen bedrijfsgegevens in op de hiervoor beschikbare vaste velden. Dat de benadeelde een bedrijf is, is in dat geval niet met
8
behulp van vaste velden te achterhalen. In het geval van een melding, worden in geen enkel geval bedrijfsgegevens genoteerd; daarvoor biedt het systeem namelijk niet de mogelijkheid. De conclusie uit deze verkenning omtrent de registratie van cybercrime is dat de vaste hulpmiddelen die BPS bevat voor het herkennen van cybercrime tot op zekere hoogte gebruikt kunnen worden om dergelijke crimes te detecteren, maar dat tegelijk veel cybercrimes op die manier niet zijn terug te vinden. Voor het zoeken van cybercrimes in BPS, zijn de vaste invoervelden dus geen voldoende hulpmiddel. Aanvullende strategieën zijn vereist, bijvoorbeeld met gebruikmaking van Blueview en BRAINS – systemen waarmee men voor analysedoeleinden informatie uit basisprocessensystemen kan zoeken. 2.4 Blueview en BRAINS – een keuze We spraken met een aantal misdaadanalisten en infodeskmedewerkers om zicht te krijgen op de voor- en nadelen van zowel Blueview als BRAINS. Voor- en nadelen van Blueview Het voordeel van Blueview is dat het systeem toegang biedt tot veel politiedossiers in Nederland. Het maakt het mogelijk om te zoeken in BPS, BVH, BVO, Genesys, HKS, Luris, NDS, RBS en Xpol. Gevoelige zaken kunnen beveiligd zijn met een wachtwoord. Dit zijn vaak zedenzaken of zaken waarbij (familieleden van) politieagenten als verdachten of slachtoffers betrokken zijn. Blueview geeft de mogelijkheid om in zowel vaste als vrije velden te zoeken. Blueview biedt dan ook in principe de mogelijkheden om het werkaanbod te bepalen. Het nadeel van Blueview is dat het systeem geen gekwantificeerde data als output kan leveren (geen tabellen bijvoorbeeld). Het systeem levert dossiers als resultaat. Het kan geen lijsten van incidentcodes, gebruikte wetsartikelen of iets dergelijks geautomatiseerd samenstellen. Het tweede nadeel van Blueview is, dat het systeem niet met een combinatie van zoektermen kan werken. Bijvoorbeeld: we zoeken dossiers die wél minstens één van de volgende woorden bevat <woord1, woord2, woord3,…> maar niet in combinatie met een woord uit een tweede lijst en dan moet het ook nog een aangifte en/of melding zijn. Kort gezegd: Blueview is een zoeksysteem, geen analysesysteem. Blueview is vooral geschikt voor kwalitatieve en niet zozeer voor kwantitatieve analyse. Voor- en nadelen van BRAINS BRAINS biedt wel faciliteiten voor kwantitatieve analyses. BRAINS is ontworpen als analysetool en kan tabellen genereren met kwantitatieve data. Deze data zijn gemakkelijk via Excel te exporteren naar analysesoftware, zoals SPSS. Een nadeel van BRAINS is dat het niet in alle regio’s in gebruik is en dat het niet kan lezen in registraties die door andere regio’s zijn gedaan dan daar waar de machine met BRAINS staat. Technisch is dit wel mogelijk, maar dat vergt nog een aantal ontwikkelstappen van het programma en een aantal redelijk ingrijpende veranderingen in de bedrijfsprocessen binnen politie Nederland. Wanneer met BRAINS analyses over heel Nederland gedaan moeten worden, is het op dit moment noodzakelijk de analyse in alle regio’s te herhalen. Een tweede nadeel van BRAINS is de beperkte gebruikersvriendelijkheid. Het is een technisch analysepakket en niet ontworpen voor een grote doelgroep. Het duurt dus even voordat de gebruiker het onder de knie heeft, maar dan biedt het systeem ook veel mogelijkheden. BRAINS kan databestanden uit alle mogelijke bedrijfsprocessensystemen inlezen, zelfs losse word-documenten en documenten die op het intranet van de politie staan. BRAINS heeft nu nog wat technische problemen met data die uit andere basisprocessensystemen komen dan
9
BPS. In 2009 zullen alle regio’s overgaan op een nieuw basisprocessensysteem waardoor BRAINS, als het is aangepast op het nieuwe systeem, voor alle regio’s bruikbaar is. Resultaat van de verkenningen: een aanpak We hebben ons verdiept in hoe cybercrime uit de politiesystemen kan worden geselecteerd. We deden dat op basis van interviews, onze ervaringen met de criminaliteitsbeeldanalyse cybercrime, ervaringen van politieanalisten met het zoeken naar cybercrimes, en een verdieping in de mogelijkheden van relevante computersystemen. Op basis daarvan komen we tot een aanpak waarmee de omvang van het geregistreerde werkaanbod kan worden bepaald. We zoeken met het programma BRAINS in het databestand BPS in de regio’s Hollands Midden en Zuid-Holland-Zuid. We maken gebruik van een sleutel waarmee we zoeken in zowel vaste als vrije velden. De zoeksleutel bestaat uit vier onderdelen: − zoektermen voor vaste en vrije velden, welke termen we associëren met cybercrime; − termen voor selectie van dossiers die een aangifte en/of meldingscode hebben; − termen voor het selecteren van een steekproef van 39 dagen; − termen voor het uitsluiten van bepaalde zoekwoorden en incidentcodes, bijvoorbeeld we willen dossiers selecteren die het woord ‘website’ bevatten, behalve wanneer het dossier ook de term ‘internetaangifte’ bevat.
10
HOOFDSTUK 3
Fase 2: omvang werkaanbod In dit hoofdstuk presenteren we de omvang van het werkaanbod cybercrime in de regio’s Hollands Midden en Zuid-Holland-Zuid. Paragraaf 3.1 licht toe hoe we de metingen hebben uitgevoerd. Paragraaf 3.2 en 3.3 geven inzicht in het werkaanbod cybercrime in de regio’s Hollands Midden respectievelijk Zuid-Holland-Zuid. Paragraaf 3.4 zet alle resultaten van beide regio’s nog eens op een rijtje. In paragraaf 3.5 gaan we kort in op een onderzoek naar slachtofferschap van cybercrime en in paragraaf 3.6 worden de conclusies beschreven die we kunnen trekken uit de cijfers. 3.1 Toelichting bij de werkwijze Aannames We voeren het onderzoek uit in politieregio Hollands Midden en Zuid-Holland-Zuid. We hebben deze regio’s geselecteerd, omdat binnen deze regio’s ervaring is met het geautomatiseerd zoeken naar cybercrime in BPS en in deze regio’s BRAINS tot onze beschikking stond. We nemen niet op voorhand aan dat deze twee regio’s representatief zijn voor alle korpsen. Het lijkt tot op zekere hoogte nog wel aannemelijk dat het werkaanbod in alle regio’s gelijk is, internet is immers niet plaatsgebonden, maar het is heel goed mogelijk dat het geregistreerde werkaanbod per regio verschilt, omdat niet alleen het werkaanbod maar ook politiegedrag bepaalt hoeveel de politie registreert. Een politieregio die actief is in de opsporing van cybercrime zal een hoger percentage cybercrime registreren dan een regio die op dit gebied niet actief is. Onze strategie voor het zoeken van cybercrime houdt in dat we eerst geautomatiseerd een voorselectie maken en vervolgens met de hand nagaan hoeveel daarvan cybercrime betreft. Dan weten we hoeveel procent van de voorselectie cybercrime betreft, en dus ook hoeveel procent van alle dossiers. Aangezien het handmatig nalopen van de dossiers in de voorselectie erg tijdrovend is, doen we voor de trendanalyse 2003-2008 de aanname dat het percentage cybercrimes in de voorselectie door de jaren heen hetzelfde blijft. We nemen daarbij 2007 als peiljaar. Bepalen zoeksleutel Als we geautomatiseerd willen vaststellen wat het aandeel cybercrime is in het totale werkaanbod van de politie, zullen we een zoekalgoritme of zoeksleutel moeten samenstellen. Op basis van de ervaringen uit de CBAC, de interviews met intakers en de interviews met misdaadanalisten en infodeskmedewerkers, hebben we een lijst van zoektermen samengesteld waarmee we cybercrime associëren. De opdracht voor BRAINS luidt dan (zoekterm1 OR zoekterm2 OR zoekterm3 OR … ). Een deel van de mogelijke sleutelwoorden (bijvoorbeeld ‘computer’) is echter zo algemeen dat we verwachten dat deze zoeksleutel veel ‘vervuiling’ oplevert. Vervuiling houdt in dit verband in, dat de zoekterm dossiers selecteert, die geen cybercrime zijn. Bijvoorbeeld: in de aangifte staat ‘ik was aan het werk op mijn computer, toen ik buiten twee verdachte personen zag’. Aangezien de computer zo ingeburgerd is in onze samenleving, is dat begrip een te algemene zoekterm geworden. We hebben dergelijke te algemene termen buiten de zoeksleutel gelaten.
11
‘Internet’ is een zoekterm die sterk geassocieerd wordt met cybercrime. Die term maakte deel uit van onze zoeksleutel. Echter, in de aangiften die via internet gedaan worden van bijvoorbeeld fietsdiefstal, komt vaak het woord internet voor. Van cybercrime kan via internet geen aangifte gedaan worden. Door het gebruik van ‘NOT-statements’ in BRAINS hebben we aangiften met de woordcombinaties ‘internetaangifte’, ‘internet aangifte’, ‘aangifte via internet’ of ‘aangifte gedaan via internet’ uitgesloten van selectie. Op deze manier hebben we het aandeel internetaangiften zo klein mogelijk gemaakt. Aangezien we alleen aangiften en meldingen willen selecteren, maken we gebruik van de code ‘formulier’ die gegenereerd wordt door BRAINS op basis van de activiteitcodes die intakers gebruiken. Activiteitcode A01 wil zeggen: melding. Activiteitcode A03 wil zeggen: aangifte. De opdracht voor BRAINS luidt dan (formuliera01 OR formuliera03). Tijdens de eerste testen met BRAINS werd al snel duidelijk dat de machines die wij tot onze beschikking hadden geen grote zoekresultaten aan kon. Dossiers selecteren uit heel 2007, wat onze oorspronkelijke bedoeling was, bleek daarom praktisch gesproken niet mogelijk. We waren daarom gedwongen met een steekproef te werken. Het bleek dat we met een steekproef van 39 dagen (ongeveer 10 procent van alle aangiftes en meldingen) goed konden werken: het systeem kon deze hoeveelheden aan en het resultaat was groot genoeg om betrouwbare resultaten te verkrijgen (we komen daarop terug). BRAINS genereert een vast veld met de aangiftedatum die we konden gebruiken om de steekproef te selecteren (pleegmdt
). De door ons ontwikkelde algemene zoeksleutel cybercrime is opgebouwd uit vier delen. Een deel met zoektermen waarvan er minstens één voor moet komen, een deel dat bepaalt dat het formulier waarin gezocht wordt een melding of een aangifte is, een deel dat de steekproefdagen selecteert en een deel dat bepaalde zoektermen uitsluit. De algemene zoeksleutel is opgenomen in bijlage 1. Binnen het resultaat van de algemene zoeksleutel (de eerste selectie), is het mogelijk om de documenten die bij de geselecteerde dossiers horen, in te zien om te kijken of het geselecteerde dossier werkelijk cybercrime is of niet. Door het aanklikken van dossiernummers, kan de onderzoeker de aangiftes en zogeheten ‘vrije mutaties’ lezen die bij het dossier horen. Om te bepalen wat de validiteit van de zoeksleutel is, hebben we het resultaat van de zoeksleutel (de eerste selectie) gedetailleerd bekeken. Dat wil zeggen: we hebben alle dossiers in die selectie uit de steekproef van 39 dagen bekeken om te zien of het dossier werkelijk cybercrime was en zo ja, welke vorm van cybercrime. Om te controleren of we met de zoeksleutel niet onterecht cybercrimes hebben buitengesloten (vals negatieven), hebben we eveneens een steekproef van dossiers nagelopen die niet door de zoeksleutel zijn geselecteerd. Registraties mogen vijf jaar bewaard worden door de politie. Aangezien we de metingen in januari 2009 hebben uitgevoerd, konden we niet meer beschikken over de cijfers van 2003. We voerden de meting uit voor de jaren 2004 t/m 2008, waarbij we het resultaat van 2007 in zijn geheel nalopen om de werkelijke hoeveelheid cybercrime te bepalen. Hierna geven we de aanpak nog eens schematisch weer in een stappenplan: context bepalen 1. vaststellen van de omvang van alle aangiftes en meldingen in 2007 in Hollands Midden (met behulp van de systeembeheerder)
12
omvang cybercrime vaststellen 2. steekproef van 39 dagen trekken 3. de algemene zoeksleutel (het algoritme) uitvoeren en het resultaat aflezen kwaliteitscontrole 4. elk dossier dat aan de zoeksleutel voldoet nalopen en noteren of het cybercrime is en zo ja, welke 5. een steekproef van 600 dossiers nalopen van alle dossiers binnen de steekproef die niet aan de zoeksleutel voldoen en noteren of het cybercrime is en zo ja, welke andere jaren 6. stappen 2 en 3 herhalen voor 2004, 2005, 2006 en 2008. 7. stappen 1 t/m 6 herhalen voor het tweede korps. We plaatsen de resultaten voor 2004 tot en met 2008 in een reeks, om zicht te krijgen op de (recente) ontwikkeling in het werkaanbod cybercrime. 3.2 Resultaten werkaanbod Hollands Midden Stappen 1 en 2: algemene zoeksleutel toepassen In Hollands Midden zijn in 2007 in totaal 262.284 dossiernummers aangemaakt. Daarvan bevatten er 222.287 een meldings- en/of aangifteformulier (84,8 procent). We hebben van alle meldingen en aangiften een steekproef van 39 dagen getrokken door alle mutaties te selecteren die op onderstaande dagen zijn gemaakt: - 10 t/m 19 februari; - 20 t/m 29 mei; - 01 t/m 09 augustus; - 10 t/m 19 november. Naar verwachting zou deze steekproef uit (222.287/365)*39 = 23.751 meldingen en aangiftes bestaan. De steekproef bevatte 22.771 dossiers. Daarmee heeft de gerealiseerde steekproef een afwijking van ongeveer 4,1 procent ten opzichte van hetgeen op basis van toeval kon worden verwacht. Een reden hiervoor zou kunnen zijn dat de maand augustus relatief rustig is omdat dan veel mensen op vakantie zijn. Voor de resultaten van het onderzoek is dit echter niet van overwegend belang. Wanneer we de resultaten uit de steekproef extrapoleren naar heel 2007, kunnen we immers voor deze afwijking corrigeren. Stap3: het resultaat Met behulp van BRAINS hebben we geteld hoeveel meldingen en aangiftes in de steekproef van 39 dagen aan de algemene zoeksleutel voldoen (eerste selectie). De zoeksleutel is zo geconstrueerd dat de kans op vals negatieven zo klein mogelijk is. We hadden liever een ruimere eerste selectie (door vals positieven) dan dat we cybercrimes zouden missen. Het resultaat van de zoeksleutel noemen we het aantal hits. Het aantal hits na toepassing van de algemene zoeksleutel in de steekproef van 39 dagen (22.771 dossiers) bedraagt 730 (3,2 procent van alle dossiers in de steekproef). Stap 4: nauwkeurigheid zoeksleutel bepalen Om de validiteit van het algoritme, de algemene zoeksleutel, te bepalen, is het noodzakelijk vast te stellen welk deel van de gevonden hits ook daadwerkelijk cybercrime is. Bij het inhoudelijke bestuderen van alle 730 hits na de algemene zoeksleutel, bleken 72 dossiers daadwerkelijk cybercrime te zijn (9,9 procent).
13
Stap 5: wat hebben we gemist? Door alle hits op de algemene zoeksleutel te bekijken, weten we zeker dat 72 zaken cybercrime zijn. Wat we nu nog niet weten, is of we door het gebruik van de algemene zoeksleutel dossiers die cybercrime bevatten ten onrechte hebben uitgesloten (de vals negatieven). Om die reden hebben we van de 22.041 dossiers die in de steekproef van 39 dagen vallen, maar niet aan de algemene zoeksleutel voldeden, aselect 600 dossiers geselecteerd. Deze 600 dossiers hebben we bekeken om vast te stellen welk deel hiervan cybercrime bevat. Geen enkel dossier betrof cybercrime. Eén en ander staat schematisch weergegeven in tabel 3.1. Tabel 3.1 Werkaanbod cybercrime Hollands Midden, op basis van 39 dagen Totaal aantal aangiften en meldingen in 2007 Totaal aantal aangiften en meldingen in de steekproef van 39 dagen Totaal aantal hits na toepassing zoeksleutel Totaal aantal werkelijke cc Totaal aantal dossiers uitgesloten door de zoeksleutel Totaal aantal gemiste cc, steekproef 600
222.287 100,0% 22.771 10,7% van totaal 730 3,2% van de steekproef 72 9,9% van de 730 hits; 0,32% van de steekproef van 22.771 22.041 0 0,0%
In 2007 vinden we in een steekproef van 22.771 (ofwel 10,7 procent van het totale aantal meldingen en aangiftes in dat jaar) 72 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,32 procent in de steekproef. In een aselecte steekproef van 600 dossiers die buiten de algemene zoeksleutel vallen, vinden we geen cybercrimes. Met deze gegevens kunnen we berekenen hoeveel aangiftes en meldingen van cybercrime er in 2007 in Hollands Midden minimaal zijn gemuteerd in BPS. In de steekproef vinden we 0,32 procent cybercrime. Aangezien we met een steekproef werken, kunnen we niet aannemen dat het werkelijke aandeel cybercrime in alle aangiften en mutaties exact 0,32 procent is. Op basis van het totale aantal meldingen en aangiften, de omvang van de steekproef en het aantal werkelijk gevonden cybercrimes in de steekproef kunnen we (vgl. Van den Brink en Koele, 2001) een 95 procent betrouwbaarheidsinterval berekenen.3 Het betrouwbaarheidsinterval b is het resultaat van de statistische kansberekening die uitrekent binnen welke grenzen het werkelijke aandeel cybercrime met 95 procent zekerheid ligt. De uitkomst van b is 0,07 procent Om de betrouwbaarheidsmarge te bepalen moeten we dit percentage één keer van de in de steekproef gevonden waarde van 0,32 procent aftrekken en één keer daarbij optellen. We kunnen nu met een zekerheid van 95 procent zeggen dat het werkelijk aandeel cybercrime in alle aangiften en meldingen in 2007 in Hollands Midden die we met de algemene zoeksleutel vinden ligt tussen 0,25 en 0,39 procent. We kunnen met 95 procent zekerheid vaststellen dat van het werkaanbod het aandeel geregistreerde cybercrime in Hollands Midden minimaal 0,25 procent van alle aangiftes en meldin3
Voor de berekening, zie bijlage 4
14
gen bedraagt. Dit komt overeen met 0,0025*222.287 is minimaal 547 geregistreerde cybercrimes per jaar. Om het maximale aandeel cybercrime vast te kunnen stellen, hebben we een berekening nodig van het aandeel cybercrime dat we onterecht hebben uitgesloten met de algemene zoeksleutel (de vals negatieven). Om te bepalen wat het aandeel cybercrime is dat we ten onrechte hebben uitgesloten, hebben we in beide regio’s 600 dossiers geselecteerd die niet aan de algemene zoeksleutel voldoen. We hebben van een steekproef van 1.200 dossiers uit een totale steekproef van 33.969 dossiers (22.021 uit Hollands Midden + 11.948 uit Zuid-Holland-Zuid in de steekproef van 39 dagen) handmatig vastgesteld hoeveel cybercrimes we ten onrechte hebben uitgesloten. In de steekproef van 1.200 dossiers bleek geen enkele cybercrime voor te komen. Met de normale formule voor het berekenen van een betrouwbaarheidsinterval kunnen we niet werken, aangezien het aandeel cybercrime erg klein is en het gevonden steekproefresultaat 0 is. Om die reden hebben we teruggegrepen op de traditionele formule voor het berekenen van betrouwbaarheidsintervallen (Kuipers, 2005). Met behulp van deze formule, kunnen we het aandeel cybercrime in de hele populatie berekenen, waarbij de kans kleiner dan 5 procent is, dat we er 0 vinden in een steekproef van 1.200. Ter illustratie kunnen we berekenen hoeveel cybercrimes we zouden verwachten te vinden in een steekproef van 1.200 als het aandeel cybercrime 0,25 procent zou zijn. In dat geval zouden we 0,25 * 1.200 = 3 cybercrimes verwachten. Als het aandeel 0,10 procent is, zouden we 0,10 * 1.200 = 1 dossier cybercrime verwachten. We vonden 0 cybercrimes. Met de traditionele formule (Kuipers, 2005) hebben we berekend dat het aandeel cybercrime in de populatie, waarbij de kans kleiner dan 5 procent is dat een steekproef van 1.200 geen enkele cybercrime bevat, maximaal 0,25 procent is.4 We kunnen nu met 95 procent zekerheid zeggen dat het aandeel cybercrime in de zaken die we uitsluiten met de algemene zoeksleutel maximaal 0,25 procent is. In Hollands Midden hebben we een aandeel cybercrime gemeten van 0,32 procent. Met behulp van betrouwbaarheidsintervallen hebben we met 95 procent betrouwbaarheid berekend dat het aandeel cybercrime in het totale werkaanbod, dat we vinden met de zoeksleutel maximaal 0,39 procent is. Met behulp van wederom betrouwbaarheidsintervallen, hebben we berekend dat het aandeel cybercrime dat we met de zoeksleutel ten onrechte hebben buitengesloten met 95 procent zekerheid maximaal 0,25 procent is. De bovengrens van het aandeel cybercrime is dan voor Hollands Midden 0,39 + 0,25 = 0,64 procent. Om het maximale aandeel cybercrime te berekenen hebben we twee berekeningen gemaakt met een betrouwbaarheid van 95 procent. Voor het maximale aandeel cybercrime hebben we 95 procent keer 95 procent zekerheid dat de eindwaarde klopt. Dat betekent een uiteindelijke zekerheid van 90 procent.
4
Voor de berekening, zie bijlage 5
15
Met een betrouwbaarheid van 90 procent ligt het aandeel cybercrime in regio Hollands Midden in 2007 tussen 0,25 procent en 0,64 procent. Dit komt overeen met 547 à 1.414 meldingen en aangiften. Stap 6: trends Om een trend in het werkaanbod cybercrime vanaf 2004 te kunnen vaststellen, hebben we stappen 2 en 3 herhaald voor de jaren 2004, 2005, 2006 en 2008. In de trendanalyse maken we gebruik van het percentage cybercrime in het totale werkaanbod in 2007. Op basis van het aantal dossiers in de steekproef van 39 dagen, kan dan voor elk jaar berekend worden om hoeveel zaken het per jaar gaat. Omdat het bekijken van de hits die het resultaat zijn van de algemene zoeksleutel zeer tijdrovend is, hebben we (zie par. 3.1) een aanname gedaan over de verhouding werkelijke cybercrime ten opzichte van het totale aantal hits (resultaat van de zoeksleutel) per jaar: verondersteld wordt dat deze verhouding door de jaren heen hetzelfde is gebleven. Voor Hollands Midden betekent dat, dat we aannemen dat steeds 9,9 procent van de hits na toepassing van de zoeksleutel cybercrime is. (Voor 2007 hadden we 730 hits. De betreffende 730 dossiers bekeken we allemaal en stelden na lezing vast dat 9,9 procent daarvan echt cybercrime is. Voor de andere jaren herhaalden we niet het handmatig bestuderen van alle hits, maar we namen aan dat steeds 9,9 procent daarvan werkelijk cybercrime betreft.) Tabel 3.2 laat de trend van het aantal en het aandeel cybercrime in de jaren 2004 – 2008 zien. Tabel 3.2 trend aandeel cybercrime 2004 – 2008 Hollands Midden. Jaar 2004 2005 2006 2007 2008
n steekproef 39 n hits algeme- % hits algemene % werkelijke cc (9,9% van dagen ne zoeksleutel zoeksleutel de hits) in steekproef 23.218 579 2,49 * 0,25 22.950 1.088 4,74 * 0,47 20.870 1.096 5,25 * 0,52 22.771 730 3,21 0,32 23.952 844 3,52 * 0,35
* gebaseerd op de aanname dat in deze jaren het aandeel werkelijk cybercrime in het resultaat van de zoeksleutel algemene cybercrime gelijk is aan 2007.
Er is een trendbreuk tussen 2004 en 2005, en tussen 2006 en 2007. Die kunnen worden veroorzaakt door een verandering in de hoeveelheid aangeboden cybercrimes of door een verandering in registratiegedrag of –systematiek. Om beter zicht te krijgen op de ontwikkeling van het aantal hits per jaar, kijken we naar hits per incidentcode (tabel 3.3). De samenstelling van de selectie die volgt na toepassing van de zoeksleutel, verandert drastisch in de loop der tijd. Dergelijke veranderingen wijzen in de regel op een verandering in registratiegedrag. Een groot deel van de incidenten die gevonden worden door de zoeksleutel betreft (internet)aangiftes van vernielingen en diefstal. Sinds 2004 is aangifte via internet mogelijk. Ook uit de handmatige controle bleek dat veel van de zaken internetaangiftes zijn die niet gefilterd werden door het NOT-statement. Vanaf 2007 filtert het NOT-statement blijkbaar veel meer internetaangiftes van vernieling en diefstal. Goed denkbaar is dat door een automatiseringsproces een deel van de aangifteteksten die door het internet-aangifteprogramma worden gemaakt, sinds 2007 gestandaardiseerd wordt gegenereerd (teksten leken bij het controleren in-
16
derdaad erg op elkaar), waardoor het NOT-statement veel meer niet-cybercrimes uit de selectie hield. De trendbreuk tussen 2006 en 2007 zou verklaard kunnen worden door het grote aandeel internetaangiften dat niet door het NOT-statement gefilterd werd in 2004, 2005 en 2006. Tabel 3.3 vergelijking incidentcodes hits algemene zoeksleutel 2004-2008 Hollands Midden diefstal af-uit auto overige vernielingen/beschadiging oplichting vernieling auto diefstal fiets bedreiging diefstal overige goederen aandachtsvestiging overige conflicten verdachte situatie graffiti diefstal af-uit bedrijf diefstal uit woning geen beschrijving bekend vernielingen aan openbare gebouwen jeugdzorg verdachte situatie Totaal incidentcodes* Totaal incidentcodes die in minder dan 2% van de gevallen gebruikt worden
2004 24,9 2,9 3,5 6,2 13,5 2,2 2,2 5,7 0,0 0,0 0,0 2,9 0,0 2,6 0,0 0,0 0,0 66,7
2005 28,6 7,1 2,0 10,9 23,6 0,0 0,0 0,0 0,0 0,0 0,0 0,0 0,0 0,0 4,6 0,0 0,0 76,8
2006 19,9 5,7 6,1 11,8 20,6 0,0 0,0 0,0 0,0 0,0 0,0 0,0 0,0 0,0 5,1 0,0 0,0 69,3
2007 12,3 8,5 8,2 6,7 5,5 4,5 4,4 3,4 2,6 2,5 2,5 2,3 0,0 0,0 0,0 0,0 0,0 63,4
2008 6,6 8,5 7,5 5,9 8,5 0,0 5,3 4,0 0,0 0,0 0,0 2,1 2,0 0,0 2,1 2,8 2,6 57,9
33,3
23,2
30,7
36,6
42,1
*Alleen geteld: incidentcodes die in 2 procent of meer van de gevallen voorkomt.
Ten behoeve van de trendanalyse hanteerden we als aanname dat de door ons ontwikkelde algemene zoeksleutel in de andere jaren eenzelfde percentage vals positieven (90,1 procent) zou hebben als in 2007, het jaar waarvoor we met de hand het percentage werkelijke cybercrime (9,9 procent) en dus het aantal vals positieven (90,1 procent) hebben vastgesteld. Die aanname lijkt niet correct. Als gevolg van veranderende registratieroutines selecteert onze zoeksleutel in andere jaren andere hoeveelheden dossiers. Daarmee valt in feite de bodem weg onder de trendanalyse. We weten van verschillen in uitkomsten nu immers niet of die worden veroorzaakt doordat er meer cybercrime is geregistreerd of doordat in de wijze van registreren iets is veranderd. Wel is bij herhaling eerder beschreven dat als er iets verandert in de geregistreerde criminaliteit, dat dat doorgaans eerder wordt veroorzaakt door veranderde registratie dan door een verandering in criminaliteit (bv. Stol, 1996; In ’t Velt 1999; In ’t Velt e.a. 2001, Kerstens e.a. 2008). Aard van de gevonden cybercrimes Zoals beschreven in het inleidende hoofdstuk zijn er vele verschijningsvormen van cybercrime. Tijdens het handmatig doorlopen van de resultaten van de zoeksleutel hebben we vastge17
steld welke vorm van cybercrime de gevonden cybercrimes waren. De resultaten hiervan zijn opgenomen in tabel 3.4. Tabel 3.4 Aard van de gevonden cybercrimes in Hollands Midden Werkelijk gevonden cybercrime E-fraude Hacken Stalking Spionage Smaad Illegale handel (gestolen goederen, illegale prostitutie) Kinderporno Piraterij Illegale kansspelen Afpersen Haatzaaien Grooming Overige cybercrime (bedreiging, seks onder valse naam, schending privacy, schennis eerbaarheid) Totaal gevonden cybercrime Skimmen (in dit onderzoek geen cybercrime)
N 37 5 4 0 6 8 1 0 0 0 0 4 10 72* 21
* Het totaal is kleiner dan de som van losse cybercrimes omdat in één dossier sprake kan zijn van meerdere vormen van cybercrime.
Het totaal van 72 cybercrimes is verdeeld over zeven door ons beschreven cybercrimes en nog een aantal overige cybercrimes. Wat volgens de definitie niet onder cybercrime in ruime of enge zin valt, maar wel als cybercrime gerelateerde daad wordt gezien is skimmen. Hiervan vinden we 21 zaken in de steekproef. Iets meer dan de helft van de geregistreerde cybercrimes betreft e-fraude. Uit interviews met intakers bleek al dat cybercrimes onder de meest uiteenlopende incidentcodes in het basisprocessensysteem geregistreerd worden. Cybercrime in ruime zin wordt immers geregistreerd onder de hoofddaad. Van de 72 gevonden cybercrimes in de steekproef, hebben we in tabel 3.5 een overzicht gegeven van de incidentcodes waaronder de cybercrimes geregistreerd zijn. Meer dan één op de drie cybercrimes wordt geregistreerd onder incidentcode 281 ‘oplichting’, zes cybercrimes zijn geregistreerd met incidentcode 271 ‘computercriminaliteit’, 6 met incidentcode 289 ‘overige fraude/bedrog’ en vijf met incidentcode 342 ‘bedreiging’. Alle andere incidentcodes komen maximaal 3 keer voor in de steekproef. In totaal worden in de steekproef 23 verschillende incidentcodes gebruikt voor 72 cybercrimes. Twaalf van deze incidentcodes komen maar één keer voor.
18
Tabel 3.5 Incidentcodes waaronder de gevonden cybercrimes zijn geregistreerd in Hollands Midden Incidentcode oplichting computercriminaliteit overige fraude/bedrog bedreiging verdachte situatie aandachtsvestiging belediging overige conflicten overige verkeerszaken (openb)schennis relatieproblemen diefstal fiets diefstal af-uit auto diefstal af-uit overige roerende goederen verduistering vervalsing geweld zonder letsel zonder wapen kinderpornografie overige zedenzaken mensenhandel, veranderd n.a.v. TB melding, omdat er persoon stalking overige overlast overige hulpverlening Totaal
N 25 6 6 5 3 3 3 3 2 2 2 1 1 1 1 1 1 1 1
% 34,7 8,3 8,3 6,9 4,2 4,2 4,2 4,2 2,8 2,8 2,8 1,4 1,4 1,4 1,4 1,4 1,4 1,4 1,4
1
1,4
1 1 1 72
1,4 1,4 1,4 100,0
3.3 Resultaten werkaanbod Zuid-Holland-Zuid We volgen voor regiokorps Zuid-Holland-Zuid dezelfde procedure als voor Hollands Midden. Stap 1 en 2: algemene zoeksleutel toepassen In Zuid-Holland-Zuid zijn in het jaar 2007 in totaal 126.991 dossiernummers aangemaakt met een meldings- en/of aangifteformulier. We hebben van alle meldingen en aangiften een steekproef van 39 dagen getrokken door alle mutaties te selecteren die op onderstaande dagen zijn gemaakt: - 10 t/m 19 februari; - 20 t/m 29 mei; - 01 t/m 09 augustus; - 10 t/m 19 november. Naar verwachting zou deze steekproef uit (126.991 /365)*39 = 13.569 meldingen en aangiftes bestaan. De steekproef bestaat uit 13.037 dossiers. Daarmee heeft de steekproef een afwijking van 3,9 procent ten opzichte van het totaal aantal meldingen en aangiftes in 2007. Een reden hiervoor zou, net als bij Hollands Midden, kunnen zijn dat de maand augustus relatief rustig is omdat dan veel mensen op vakantie zijn. Voor de resultaten van het onderzoek is dit echter
19
niet van belang. Wanneer we de resultaten uit de steekproef extrapoleren naar heel 2007, kunnen we immers voor deze afwijking corrigeren. Stap3: het resultaat Met behulp van BRAINS hebben we geteld hoeveel meldingen en aangiftes in de steekproef van 39 dagen aan de algemene zoeksleutel voldoen. Het aantal hits na toepassing van de algemene zoeksleutel in de steekproef van 39 dagen bedraagt 1.089 (8,4 procent). Stap 4: nauwkeurigheid zoeksleutel bepalen Om de validiteit van het algoritme, de algemene zoeksleutel, te bepalen, is het noodzakelijk vast te stellen welk deel van de gevonden hits ook daadwerkelijk cybercrime is. Bij het inhoudelijke bestuderen van alle 1.089 hits op de algemene zoeksleutel, bleken 70 dossiers daadwerkelijk cybercrime te zijn (6,4 procent). Stap 5: wat hebben we gemist? Door alle hits op de algemene zoeksleutel na te lopen, weten we zeker dat 70 zaken cybercrime zijn. Wat we nu nog niet weten, is of we door het gebruik van de algemene zoeksleutel dossiers die cybercrime bevatten ten onrechte hebben uitgesloten. Om die reden hebben we van de 11.948 dossiers die in de steekproef van 39 dagen vallen, maar niet aan de algemene zoeksleutel voldeden, aselect 600 dossiers geselecteerd. Deze 600 dossiers zijn we nagelopen om te tellen welk deel hiervan cybercrime bevat. Geen enkel dossier betrof cybercrime . Eén en ander staat nogmaals schematisch weergegeven in tabel 3.6. Tabel 3.6 Werkaanbod cybercrime Zuid-Holland-Zuid, op basis van 39 dagen mutaties Totaal aantal aangiften en meldingen in 2007 Totaal aantal aangiften en meldingen in de steekproef van 39 dagen Totaal aantal hits na toepassen zoeksleutel Totaal aantal werkelijke cc Totaal aantal dossiers uitgesloten door de zoeksleutel Totaal aantal gemiste cc, steekproef 600
126.991 100% 13.037 10,3% van totaal 1.089 8,4% van de steekproef 70 6,4% van de hits; 0,54% van de steekproef 11.948 0 0,0%
In 2007 vinden we in een steekproef van 13.037 (ofwel 10,4 procent van het totale aantal meldingen en aangiftes) 70 cybercrimes. Dit komt neer op een aandeel cybercrime van 0,54 procent. In een aselecte steekproef van 600 dossiers die buiten de algemene zoeksleutel vallen, vinden we geen cybercrimes. Met deze gegevens kunnen we berekenen hoeveel aangiftes en meldingen van cybercrime er in 2007 in Zuid-Holland-Zuid minimaal zijn gemuteerd. In de steekproef vinden we 0,54 procent cybercrime. We werken met een steekproef en kunnen dus niet aannemen dat het werkelijke aandeel cybercrime in alle aangiften en mutaties
20
exact 0,54 procent is. Met de statistiek (Van den Brink en Koele, 2001) kunnen we het betrouwbaarheidsinterval berekenen.5 Het betrouwbaarheidsinterval b is het resultaat van de statistische kansberekening die uitrekent binnen welke grenzen het werkelijke aandeel cybercrime met 95 procent zekerheid ligt. De uitkomst van b is 0,12 procent. Om de betrouwbaarheidsmarge te bepalen moeten we dit percentage één keer van de in de steekproef gevonden waarde van 0,54 procent aftrekken en één keer daarbij optellen. Voor de populatie kunnen we met een zekerheid van 95 procent vaststellen dat het werkelijke aandeel cybercrime in alle aangiften en meldingen in 2007 in Zuid-Holland-Zuid die we met de algemene zoeksleutel vinden ligt tussen 0,42 en 0,66 procent. We kunnen nu met 95 procent betrouwbaarheid vaststellen dat het aandeel cybercrime in Zuid-Holland-Zuid minimaal 0,42 procent van alle aangiftes en meldingen bedraagt. Dit komt overeen met 0,0042*126.961 is minimaal 531 geregistreerde cybercrimes in 2007. Om het maximale aandeel cybercrime vast te kunnen stellen, hebben we een berekening nodig van het aandeel cybercrime dat we onterecht hebben uitgesloten met de algemene zoeksleutel (de vals negatieven). We kunnen met 95 procent zekerheid zeggen dat het aandeel cybercrime in de zaken die we uitsluiten met de algemene zoeksleutel maximaal 0,25 procent is. De berekening is opgenomen onder stap 5 van paragraaf 3.2. In Zuid-Holland-Zuid hebben we een aandeel cybercrime gemeten van 0,54 procent. Met behulp van betrouwbaarheidsintervallen hebben we met 95 procent zekerheid berekend dat het aandeel cybercrime in het totale werkaanbod, dat we vinden met de zoeksleutel maximaal 0,66 procent is. Met behulp van wederom betrouwbaarheidsintervallen, hebben we berekend dat het aandeel cybercrime dat we met de zoeksleutel ten onrechte hebben buitengesloten met 95 procent zekerheid maximaal 0,25 procent is. De bovengrens van het aandeel cybercrime is dan voor Zuid-Holland-Zuid 0,66 + 0,25 = 0,91 procent. Om het maximale aandeel cybercrime te berekenen maakten we twee berekeningen met een zekerheid van 95 procent. Voor het maximale aandeel cybercrime hebben we 95 procent keer 95 procent zekerheid dat de eindwaarde klopt. Dat betekent een zekerheid van 90 procent. Dus: Met een zekerheid van 90 procent ligt het aandeel cybercrime in regio Zuid-HollandZuid in 2007 tussen 0,43 procent en 0,91 procent. Dit komt overeen met 530 à 1150 meldingen en aangiften. Stap 6: trends Om een trend in het werkaanbod cybercrime vanaf 2004 te kunnen vaststellen, herhaalden we stappen 2 en 3 voor de jaren 2004, 2005, 2006 en 2008. Voor de trendanalyse berekenen we eerst het percentage cybercrime in het totale werkaanbod. Op basis van het aantal dossiers in de steekproef van 39 dagen, kan berekend worden om hoeveel zaken het per jaar gaat. Omdat het bekijken van de hits die het resultaat zijn van de algemene zoeksleutel zeer tijdrovend is, hebben we (zie par. 3.1) een aanname gedaan over de verhouding werkelijke cybercrime ten opzichte van het totale aantal hits per jaar: verondersteld wordt dat deze verhouding door de jaren heen hetzelfde is gebleven. Voor Zuid-Holland-Zuid betekent dat, dat we aannemen dat 6,4 procent van de hits na toepassing van de zoeksleutel ook echt cybercrime is. 5
Voor de berekening zie bijlage 4
21
(Voor 2007 hadden we 1.089 hits. De betreffende 1.089 dossiers bekeken we allemaal en stelden na lezing vast dat 6,4 procent daarvan echt cybercrime is. Voor de andere jaren herhaalden we niet het handmatig bestuderen van alle hits, maar we namen aan dat steeds 6,4 procent daarvan werkelijk cybercrime betreft.) Tabel 3.7 laat de trend van het aantal en het aandeel cybercrime in de jaren 2004 – 2008 zien. Tabel 3.7 trend aandeel cybercrime 2004 – 2008 Zuid-Holland-Zuid. Jaar
2004 2005 2006 2007 2008
N steekproef 39 dagen
14.013 13.144 12.606 13.037 12.729
N hits algemene zoeksleutel
% hits algemene zoeksleutel
519 819 838 1.089 1.036
% werkelijke cc (x 6,4%)
3,70 6,23 6,65 8,35 8,14
* 0,24 * 0,40 * 0,43 0,53 * 0,52
* gebaseerd op de aanname dat in deze jaren het aandeel werkelijk cybercrime in het resultaat van de zoeksleutel algemene cybercrime gelijk is aan 2007.
We zien een licht stijgende lijn in het aantal cybercrimes, wanneer we aannemen dat de verhouding werkelijke cybercrime ten opzichte van het aantal hits na toepassing van de zoeksleutel in de jaren 2004 tot en met 2008 hetzelfde is gebleven. Om een indicatie te krijgen van de juistheid van deze aanname, zetten we de incidentcodes die in 2 of meer procent van de gevallen geregistreerd worden door de intakers, naast elkaar (tabel 3.8). Tabel 3.8 vergelijking incidentcodes hits algemene zoeksleutel 2004-2008 Zuid-Holland-Zuid
diefstal af-uit auto overige vernielingen/beschadiging onder invloed in het verkeer auto/motor diefstal fiets vernieling auto diefstal overige goederen graffiti oplichting aandachtsvestiging geen beschrijving bekend diefstal uit woning aandachtsvestiging onder invloed in het verkeer (br)fietser vernielingen aan openbare gebouwen hulpverlening burger Totaal incidentcodes* Totaal incidentcodes die in minder dan 2% van de gevallen gebruikt worden
2004 11,9 3,5 13,7 8,7 6,7 2,9 0,0 0,0 0,0 3,5 3,3 2,3 2,1 2,1 0,0 60,7
2005 14,9 5,0 13,7 15,9 9,3 0,0 0,0 2,1 2,0 2,0 0,0 0,0 0,0 3,4 0,0 68,1
2006 15,8 6,8 15,8 9,1 11,7 0,0 0,0 3,3 0,0 0,0 0,0 0,0 0,0 3,0 2,3 67,7
2007 13,9 10,4 9,4 8,8 7,5 6,8 5,4 3,0 2,8 0,0 0,0 0,0 0,0 0,0 0,0 68,0
2008 9,8 7,3 7,9 8,6 13,6 6,6 2,7 4,1 2,8 0,0 0,0 0,0 0,0 0,0 2,2 65,6
39,3
31,9
32,3
32,0
34,4
*Alleen geteld: incidentcodes die in 2 procent of meer van de gevallen voorkomt.
22
Ook in Zuid-Holland-Zuid zien we dat de samenstelling van de selectie door de jaren heen verschilt, maar niet zo drastisch als in Hollands Midden. De verandering per incidentcode kan niet (volledig) verklaard worden door de toename van het aandeel cybercrime, aangezien we hebben vastgesteld dat cybercrime in 2007 slecht 6,4 procent is van het aantal hits op de zoeksleutel. De verschuiving in het gebruik van incidentcodes kan verklaard worden door registratiegedrag. Aangifte via internet, en verandering in de procedures dienaangaande, kan hierin een grote rol hebben gespeeld. We zien ook verschillen tussen de twee korpsen. Voor Hollands Midden komt bijvoorbeeld ‘onder invloed in het verkeer auto/motor’ niet in de tabel voor, voor Zuid-Holland-Zuid wel, met zo’n 8 tot 16 procent. De zoeksleutel vindt dus niet alleen in verschillende jaren verschillende soorten hits, ook per korps verschilt de samenstelling van de selectie. Dit maakt eens te meer duidelijk dat we uiterst terughoudend moeten zijn met generaliseren. Voor de twee korpsen in dit onderzoek hebben we het resultaat van de selectie met de algemene zoeksleutel gecontroleerd door voor 2007 alle geselecteerde dossiers door te nemen en te beoordelen of al dan niet sprake was van cybercrime. De gevonden percentages cybercrime en ‘vals positieven’ die onze zoeksleutel genereert, kunnen we niet van toepassing verklaren op andere jaren in die korpsen en ook niet op andere korpsen in 2007. In feite moeten we concluderen dat we het aandeel cybercrime in de politieregistratie voor een bepaald jaar alleen kunnen bepalen door voor dat jaar de volledige zoekstrategie toe te passen (stap 1 tot en met 6, paragraaf 3.1). Aard van de gevonden cybercrimes Zoals beschreven in het inleidende hoofdstuk zijn er vele verschijningsvormen van cybercrime. Tijdens het handmatig doorlopen van de resultaten van de zoeksleutel hebben we vastgesteld welke vorm van cybercrime de gevonden cybercrimes waren. De resultaten hiervan voor Zuid-Holland-Zuid zijn opgenomen in tabel 3.9. Tabel 3.9 Aard van de gevonden cybercrimes in Zuid-Holland-Zuid Werkelijk gevonden cybercrime E-fraude Hacken Stalking Spionage Smaad Illegale handel (gestolen goederen, illegale prostitutie) Kinderporno Piraterij Illegale kansspelen Afpersen Haatzaaien Grooming Overige cybercrime (bedreiging, seks onder valse naam, schending privacy, schennis eerbaarheid) Totaal gevonden cybercrime Skimmen (in dit onderzoek geen cybercrime)
N 34 3 5 0 11 10 3 1 0 0 0 1 5 70* 5
* Het totaal is kleiner dan de som van losse cybercrimes omdat in één dossier sprake kan zijn van meerdere vormen van cybercrime.
23
Het totaal van 70 cybercrimes is verdeeld over zeven door ons beschreven cybercrimes en nog een aantal overige cybercrimes. De aan cybercrime gerelateerde daad skimmen komt 5 keer voor in de steekproef. Bijna de helft van de geregistreerde cybercrimes betreft e-fraude. Uit interviews met intakers bleek al dat cybercrimes onder de meest uiteenlopende incidentcodes in het basisprocessensysteem geregistreerd worden. Cybercrime in ruime zin wordt immers geregistreerd onder de hoofddaad. Van de 70 gevonden cybercrimes in de steekproef, hebben we in tabel 3.10 een overzicht gegeven van de incidentcodes waaronder de cybercrimes geregistreerd zijn. Tabel 3.10 Incidentcodes waaronder de gevonden cybercrimes zijn geregistreerd in ZuidHolland-Zuid Incidentcode oplichting hulpverlening burger aandachtsvestiging overige fraude/bedrog stalking bedreiging belediging kinderpornografie chantage-afdreiging diefstal auto diefstal fiets diefstal uit woning geen beschrijving bekend heling overige bezitsaantasting overige conflicten overige verkeerszaken overige zedenzaken relatieproblemen verdachte situatie verhoor tbv. ander korps-instantie (Nederland) vervalsing Totaal
N % 22 31,4 8 11,4 6 8,6 6 8,6 6 8,6 3 4,3 3 4,3 2 2,9 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 1 1,4 70 100,0
Bijna één op de drie cybercrimes is geregistreerd onder incidentcode 281 ‘oplichting’, acht onder incidentcode 711 ‘hulpverlening burger’, zes cybercrimes zijn geregistreerd onder incidentcode 029 ‘aandachtsvestiging’, zes met incidentcode 289 ‘overige fraude/bedrog’ en eveneens zes met incidentcode 347 ‘stalking’. Alle andere incidentcodes komen maximaal 3
24
keer voor in de steekproef. In totaal worden in de steekproef 22 verschillende incidentcodes gebruikt voor 70 cybercrimes. Veertien van deze incidentcodes komen maar één keer voor. 3.4 Werkaanbod Hollands Midden en Zuid-Holland-Zuid in 2007 In paragraaf 3.2 en 3.3 is de omvang van het werkaanbod voor twee korpsen in Nederland berekend. In deze paragraaf zetten we de resultaten van de twee korpsen naast elkaar. In tabel 3.11 staan de kengetallen van beide onderzochte korpsen naast elkaar. Tabel 3.11 resultaten Hollands Midden en Zuid-Holland-Zuid vergeleken HollandMidden Percentage hits met steekproef 39 dagen Percentage hits algemene zoeksleutel Percentage werkelijke cc in de hits Percentage cc gemist (steekproef 600) Percentage werkelijk cc, gemeten Extrapolatie naar jaar 95% betrouwbaarheidsinterval ondergrens, % 95% betrouwbaarheidsinterval ondergrens, N 90% betrouwbaarheidsinterval bovengrens, % 90% betrouwbaarheidsinterval bovengrens, N Verdeling cybercrimes (%) Percentage e-fraude Hacken Stalking Spionage Smaad Illegale handel (gestolen goederen, illegale prostitutie) Kinderporno Piraterij Illegale kansspelen Afpersen Haatzaaien Grooming Overige cybercrime (bedreiging, seks onder valse naam, schending privacy, schennis eerbaarheid) Skimmen (in dit onderzoek geen cybercrime)
10,7 3,2 9,9 0,0 0,3
ZuidHollandZuid 10,3 8,4 6,4 0,0 0,5
0,3 547 0,6 1.414
0,4 530 0,9 1.150
51,4 6,9 5,6 0,0 8,3 11,1 1,4 0,0 0,0 0,0 0,0 5,6 13,9
48,6 4,3 7,1 0,0 15,6 14,3 4,3 1,4 0,0 0,0 0,0 1,4 7,1
21
5
In Hollands Midden is het aandeel mutaties dat aan de algemene zoeksleutel voldoet (3,21 procent) veel kleiner dan in Zuid-Holland-Zuid (8,35 procent). De precisie van de zoeksleutel is in Hollands Midden hoger (9,9 procent) dan in Zuid-Holland-Zuid (6,4 procent). Dat maakt duidelijk dat we niet eenvoudig een uitspraak kunnen doen over de situatie landelijk gezien. Het aandeel van het totale geregistreerde werkaanbod dat cybercrime betreft, ligt in beide korpsen onder de 1 procent (tussen 0,3 en 0,9%).
25
De verdeling van de cybercrimes is vergelijkbaar. De helft is e-fraude, de andere helft is verdeeld over veel verschillende cybercrimes. In Zuid-Holland-Zuid zijn meer gevallen van ‘smaad’ gevonden in de steekproef, in Hollands Midden meer ‘overige cybercrimes’. Om meer te kunnen weten over dit verschil, zal een grotere steekproef genomen moeten worden en moeten de dossiers verder inhoudelijk worden bestudeerd. Een overzicht van incidentcodes die vaker dan één keer gebruikt worden bij het registreren van cybercrime is te vinden in figuur 3.1. Figuur 3.1 Gebruikte incidentcodes voor cybercrime, Hollands Midden en Zuid-Holland-Zuid vergeleken Gebruikte incidentcodes 30
A an tal
25 20
Hollands-Midden
15
Zuid-Holland-Zuid
10 5 0 a
b
c
d
e
f
g
h
i
j
k
l
m
n
a oplichting
e hulpverlening burger i
belediging
m relatieproblemen
b overige fraude/bedrog
f computercriminaliteit j
overige conflicten
n kinderpornografie
c aandachtsvestiging
g stalking
k
ov. verkeerszaken
d bedreiging
h verdachte situatie
l
(openb)schennis
Cybercrimes worden onder een veelheid aan incidentcodes weggeschreven. In beide regio’s wordt ongeveer een derde van de cybercrimes gemuteerd onder incidentcode ‘oplichting’. Dat strookt met onze bevinding dat fraudezaken verreweg de grootste categorie zijn in het geregistreerde werkaanbod cybercrime. Er bestaan verschillen tussen de regio’s wat betreft de gebruikte incidentcodes. In Hollands Midden wordt 6 keer ‘computercriminaliteit’ als incidentcode gebruikt, in Zuid-Holland-Zuid niet één keer. In Zuid-Holland-Zuid wordt acht keer ‘hulpverlening burger’ en zes keer ‘stalking’ gebruikt: deze incidentcodes zijn in Hollands Midden niet gebruikt. 3.5 Slachtofferschap Uit een onderzoek onder 1.246 internettende Friezen, dat de NHL uitvoerde in november 2008, volgt dat het slachtofferschap van cybercrime aanzienlijk boven de 1 procent ligt. Uit hetzelfde onderzoek volgt dat de aangiftebereidheid laag is. Het onderzoek is uitgevoerd door vraaghetdevries.nl, een onderzoekspanel voor Friesland. Eerstejaarsstudenten van dertien opleidingen van de Noordelijke Hogeschool Leeuwarden hebben in september 2008 per persoon vier Friezen van 18 jaar of ouder in hun directe omgeving geworven. Studenten van de NHL zijn zelf uitgesloten van deelname. Het panel dat daar26
mee is ontstaan, bestond aan het begin van de meting van november 2008 uit 1.623 Friezen. Deze 1.623 Friezen zijn op basis van geslacht, leeftijd, opleidingsniveau en de regio waarin zij wonen representatief voor Friesland. Aan de meting van november 2008 hebben 1.411 Friezen uit het panel deelgenomen (86,9 procent). Deze 1.411 Friezen wijken qua samenstelling van geslacht, leeftijd, opleidingsniveau en de regio niet af van het totale panel van 1.623 Friezen. Van de 1.411 respondenten gebruiken 1.246 respondenten (88,3 procent) het internet voor privé-doeleinden. Zij zijn door de studenten in tien dagen tijd mondeling en telefonisch ondervraagd over hun internetgebruik. We moeten voorzichtig met de resultaten omgaan, aangezien de groep wel representatief is voor Friesland, maar, ze nemen we aan, niet voor heel Nederland. Hierna geven we kort de resultaten van dat onderzoek weer. Hacken De eerste vraag luidde: ‘Bent u wel eens slachtoffer geweest van hacken?’ De hierbij gehanteerde definitie was: 'Wanneer iemand zich op ongeautoriseerde wijze van buitenaf toegang verschaft tot ICT' Denk aan: iemand misbruikt je wachtwoorden, iemand breekt in in je e-mail of op je profiel, iemand kan d.m.v. schadelijke software 'meekijken' op je computer, etc. Van de respondenten was 2,7 procent in 2007 of 2008 slachtoffer van hacken (tabel 3.12). Van deze 34 slachtoffers heeft 1 persoon aangifte gedaan (2,9 procent van de slachtoffers). Tabel 3.12 slachtofferschap hacken N
%
Ja, in 2007 of 2008
34
2,7
Ja, vóór 2007
31
2,5
1.181
94,8
Nee, niet dat ik weet
E-fraude Vervolgens vroegen we: ‘Bent u wel eens slachtoffer geweest van e-fraude?’ De hierbij gehanteerde definitie was: 'E-fraude is bedrog met als oogmerk het behalen van financieel gewin waarbij ICT essentieel is voor de uitvoering.' Een belangrijk aspect van alle vormen van fraude, en dus ook e-fraude, is dat fraudeurs veelal gebruik maken van een andere identiteit. Denk hierbij bijvoorbeeld aan het bestellen en betalen van goederen via internet bij een nep-bedrijf of nep-persoon waarna de goederen niet worden geleverd. Van de respondenten was 1,1 procent in 2007 of 2008 slachtoffer van e-fraude (tabel 3.13). Van deze 14 slachtoffers, heeft één persoon aangifte gedaan (7,1 procent). Vervolgens is gevraagd of iemand wel eens geprobeerd heeft de respondent op te lichten (‘poging tot’) via internet. Van de respondenten zeggen 91 personen (7,3 procent) dat dat is gebeurd in 2007 of 2008, 35 respondenten (2,8 procent) zeggen dat iemand dat vóór 2007 (ook) heeft geprobeerd.
27
Zaken die respondenten noemen als poging tot e-fraude in 2007 of 2008 zijn heel uiteenlopend en terug te brengen tot de volgende zes categorieën: - pogingen tot phising; - loterij-fraude (u heeft iets gewonnen, maar u moet eerst iets betalen); - irrealistische biedingen op veilingsites; - spam; - proberen via marktplaats geen eerlijke handel te plegen; - valse facturen. Een volledig overzicht van de genoemde antwoorden is opgenomen in bijlage 6. Tabel 3.13 slachtofferschap e-fraude N
%
Ja, in 2007 of 2008
14
1,1
Ja, vóór 2007
14
1,1
1.181
97,8
Nee, niet dat ik weet
Kinderporno Als laatste is gevraagd: ‘Heeft u wel eens ongewenst kinderporno ontvangen via de pc?’ De hierbij gehanteerde definitie luidde: 'Een afbeelding van een seksuele gedraging, waarbij iemand die kennelijk de leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken.' Van alle respondenten antwoorden 8 respondenten (0,6%) dat dit in 2007 of 2008 is gebeurd en nog eens 8 respondenten dat dit vóór 2007 is gebeurd. Geen van hen heeft hiervan aangifte gedaan bij de politie. Andere vormen van cybercrime zijn in dit onderzoek niet gemeten. Smaad, bedreiging, schennis van de eerbaarheid en stalking komen regelmatig voor en vormen volgens intakers een steeds groter probleem. Ook onder jeugd onder de 18 jaar is dit een aandachtspunt. Uit het onderzoek in Friesland kunnen we voorzichtig concluderen dat het slachtofferschap van cybercrime hoger ligt dan het aantal crimes dat in de registratiesystemen van de politie terecht komt. Alleen al van hacken (2,7%), fraude (1,1%) en kinderporno (0,6%) was 4,4 procent van de respondenten in de afgelopen twee jaar het slachtoffer.6 De aangiftebereidheid is laag, zo luidt een tweede conclusie. Van de 56 slachtoffers van de genoemde drie delicten samen, deden er twee aangifte, hetgeen overeenkomt met 3,6 procent. De aangiftebereidheid in de Veiligheidsmonitor Rijk ligt gemiddeld over alle in die monitor genoemde delicten op ongeveer 25 procent (VMR, 2006). De derde conclusie die we kunnen trekken is dat het aantal pogingen tot e-fraude veel hoger ligt dan het slachtofferschap van dat delict. 6
We sommeren de percentages, voorbij gaande aan de mogelijkheid van gecombineerd slachtofferschap. Ook verdient nadruk dat we in de dossierstudie keken naar percentage cybercrimes in een jaar, terwijl de vragenlijst was gericht op slachtofferschap in de afgelopen twee jaar.
28
HOOFDSTUK 4
Conclusies en aanbevelingen 4.1 Conclusies inzake de omvang van het geregistreerde werkaanbod Het geregistreerde werkaanbod in 2007 in Hollands Midden ligt, met een zekerheid van 90 procent, tussen 0,25 en 0,64 procent van alle aangiften en meldingen. In Zuid-Holland-Zuid was dat voor hetzelfde jaar tussen de 0,42 en 0,91 procent. Globaal gesproken kunnen we op basis van dit onderzoek met een zekerheid van 90 procent zeggen dat het percentage cybercrime in de politieregistraties van Hollands Midden en Zuid-Holland-Zuid (meldingen en aangiften) ligt tussen de 0,3 en 0,9 procent. Ongeveer de helft van alle geregistreerde cybercrimes is e-fraude, zowel in regio Hollands Midden als in regio Zuid-Holland-Zuid. Verder komt voor: illegale handel, smaad, stalking, schennis van de eerbaarheid, bedreiging voor andere doeleinden dan geld en schending van de privacy. De cybercrimes cyberafpersen en haatzaaien komen niet voor in de steekproef, wat uiteraard niet wil zeggen dat deze cybercrimes in werkelijkheid niet voorkomen in de onderzochte korpsen. Voor de registratie van cybercrime wordt in beide korpsen in ongeveer eenderde van de gevallen de incidentcode 281 ‘oplichting’ gebruikt. De rest van de cybercrimes wordt onder een veelheid van incidentcodes gemuteerd. We kunnen op basis van dit onderzoek uitspraken doen over de hoeveelheid geregistreerde cybercrime in 2007 en over verschillen in registratiegedrag in verschillende jaren, maar niet over trends in cybercrime in de periode 2004-2008. Ook kunnen we op basis van de resultaten uit de twee onderzochte korpsen geen uitspraken doen over het geregistreerde werkaanbod in andere korpsen. Uit een onderzoek onder 1.246 internettende Friezen, uitgevoerd eind 2008, volgt dat het slachtofferschap van cybercrime in werkelijkheid beduidend hoger ligt dan de politieregistraties doen vermoeden. De aangiftebereidheid is met nog geen 4 procent aanzienlijk lager dan het gemiddelde van ongeveer 25 procent uit de VMR (gemiddeld over alle in de VMR voorkomende delicten). De bevindingen uit dit onderzoek laten dan ook geen conclusies toe aangaande de omvang van cybercrime in Nederland, daarvoor is slachtofferonderzoek nodig. 4.2 Conclusies inzake de methode Het lijkt een illusie om op een sluitende wijze automatisch alle cybercrimes (en dan ook alleen die) uit de politieregistratie te selecteren. De door ons gehanteerde strategie (eerst een automatische selectie op hoofdlijnen en dan daarbinnen handmatig de laatste controle) is weliswaar arbeidsintensief maar levert redelijk secure resultaten. Vermoedelijk kan de methode nog wel worden aangescherpt, maar hoe minder groot de kans op vals positieven (minder vervuiling in de selectie), hoe groter de kans op vals negatieven (cybercrimes die niet als zodanig zijn gedetecteerd).7 In dit onderzoek vonden we geen vals negatieven. De selectie bevatte overwegend vals positieven. Het percentage vals positieven dat de algemene zoeksleutel oplevert, is geen vaste eigenschap van de zoeksleutel maar hangt in belangrijke mate ook af van 7
Zie in dit verband ook het onderzoek naar de accuratesse van internetfilters, waaruit blijkt dat een lage overblocking (weinig vals positief) samengaat met een hoge underblocking (veel vals negatief) (Stol e.,a. 2008).
29
de wijze waarop in een bepaald jaar in een bepaald korps wordt geregistreerd – het percentage vals positieven dat in een bepaald jaar in een bepaald korps is vastgesteld kan dan ook niet van toepassing worden verklaard op andere jaren en/of andere korpsen. 4.3 Aanbevelingen Cybercrime maakt in de door ons onderzochte korpsen in 2007 tussen de 0,3 en 0,9 procent uit van het geregistreerde werkaanbod (aangiften/meldingen). We weten niet of dit in andere korpsen meer of minder is. In elk geval geven de bevindingen in de genoemde twee korpsen geen aanleiding tot het verzorgen van een korpsbrede opleiding inzake het opnemen van cybercrime. Ontwikkel dus vooralsnog een gerichte, efficiënte strategie om dit werkaanbod op te vangen: geen zware opleidingen aan alle intakers bijvoorbeeld, maar wel het aanbieden van gerichte ondersteuning voor het geval zich een aangifte voordoet (weten waar of bij wie de benodigde kennis is te halen op het moment dat die nodig is). Wellicht met uitzondering van e-fraude, wat relatief veel voorkomt. Het lijkt goed dat intakers de kennis voor het opnemen van een aangifte e-fraude paraat hebben: (1) de kans dat ze daarmee worden geconfronteerd is reëel en (2) langs die weg maken intakers dan toch kennis met de basisprincipes van het opnemen van een aangifte cybercrime – en dat is iets wat ze in de toekomst naar verwachting steeds vaker te doen zullen krijgen. Als de politie wil weten wat de omvang is van het geregistreerde werkaanbod inzake cybercrime, of wat ontwikkelingen daarin zijn, is de aangewezen weg daartoe niet om te proberen landelijk alle politiemensen bij elk dossier te laten registreren of dat al dan niet cybercrime betreft. Cybercrime is te zeer in ontwikkeling en de registratiediscipline bij de politie te zwak, om langs die weg tot een valide statistiek te komen. Beter is het (efficiënter en meer valide) om de omvang van cybercrime in de politieregistratie met de hand vast te stellen, met gebruikmaking van steekproeven en slimme voorselectie met zoeksleutels. Te voorzien is dat de omvang van cybercrime zal toenemen (SCP, 2004), dus ook het werkaanbod cybercrime bij de politie. Als de politie wil weten wat de omvang van het maatschappelijke probleem cybercrime is en tijdig wil kunnen inspelen op een toenemend werkaanbod, is slachtofferonderzoek aangewezen.
30
Literatuur Akdeniz, Y. (1996). Computer Pornography: a Comparative Study of the US and the UK Obscenity Laws and Child Pornography Laws in Relation to the Internet. International Review of Law Computers & Technology, 10, 2, pp. 235-261. Boerstra, E. (1997) Rechercheren in cyberspace. Algemeen Politieblad, 146, 21, 8-9. Duncan, M. (1997). Making Inroads Against Crime on the Internet. RCMP Gazette, 59, 10, pp. 4-11. Durkin, K.F. (1997). Misuse of the Internet by Pedophiles: Implications for Law Enforcement and Probation Practice. Federal Probation: a journal of correctional philosophy and practice, 61, 3, pp. 14-18. Grabowsky NP/ Russell G. Smith /Crime in the digital age, 1998, p.131. Hulst, van der R.C. en Neve (2008) High-tech crime: Inventarisatie van literatuur over soorten criminaliteit en hun daders. Den Haag: WODC In ’t Velt, C.J.E. (1999) Politie en omgevingsanalyse: de rol van computerbestanden bij het oplossen van diefstallen. Den Haag: Elsevier. In ’t Velt, C.J.E. (2001) Zicht op geweld in ’s-Hertogenbosch: een onderzoek naar aard, omvang en aanpak van geweld in ’s-Hertogenbosch. Den Haag: Elsevier. Kerstens, J., M.H. Toutenhoofd en W.Ph. Stol (2008) Wie niet weg is, is gezien. Gevalstudie over een proef met cameratoezicht in de Leeuwarder binnenstad. Den Haag: BJU. Leukfeldt, E.R., M.M.L. Domenie, W. Ph. Stol, (te verwachten) Criminaliteitsbeeldanalyse Cybercrime.Verkennend onderzoek naar cybercrime in Nederland. Lünnemann, K., S. Nieborg, M. Goderie, R. Kool en G. Beijers (2006) Kinderen beschermd tegen seksueel misbruik. Evaluatie van de partiële wijziging in de zedelijkheidswetgeving. Den Haag/Utrecht: WODC/.Verwey Jonker Instituut. PAC (2008) Definities van Cybercrime. Een onderzoek naar- en toetsing van diverse bestaande definities van Cybercrime, om te komen tot één werkbare, herkenbare en gedragen definitie voor intern en extern gebruik door het PAC. De Bilt: interne notitie. PAC (Programma Aanpak Cybercrime) (2007) Hoofdlijnennotitie Programma Aanpak Cybercrime. De Bilt: PAC. SCP (Sociaal Cultureel Planbureau) (2004) In het zicht van de toekomst. Meppel: Giethoorn Ten Brink. Stol, W.Ph. (1996) Politie-optreden en informatietechnologie. Lelystad: Koninklijke Vermande. Stol, W.Ph., H.W.K Kaspersen, J. Kerstens, E.R. Leukfeldt en A.R. Lodder (2008) Filteren van kinderporno op internet. Een verkenning van technieken en reguleringen in binnenen buitenland. Den Haag: BJU. Toutenhoofd, M.H., S. Veenstra, W. Ph. Stol (te verwachten) Politie en cybercrime, intake en eerste opvolging Van Eecke, P. (1997). Criminaliteit in cyberspace: misdrijven, hun opsporing en vervolging op de informatiesnelweg. Gent: Mys en Breesch. VMR (Veiligheidsmonitor Rijk) (2006) Landelijke rapportage. Den Haag: CBS.
31
Lijst van afkortingen BRAINS BVH BVO CBAC BPS CC (cc) HKS KLPD Luris N (n) NDS NHL NICC PAC SCP THTC RBS VMR
Basaal Recherche Analyse en INformatieSysteem Basisvoorziening Handhaving Basisvoorziening Opsporing Criminaliteitsbeeldanalyse Cybercrime Basisprocessensysteem Cybercrime Herkenningdienst systeem Korps landelijke politiediensten Landelijk Uniform Registratiesysteem Internationale Rechtshulp Aantal Nationaal Documenten Systeem Noordelijke Hogeschool Leeuwarden Nationale infrastructuur ter bestrijding van CyberCrime Programma Aanpak Cybercrime Sociaal en Cultureel Planbureau Team High Tech Crime Recherche basissysteem Veiligheidsmonitor Rijk
32
Bijlage 1: lijst van geïnterviewde personen Hollands Midden Ron van der Nagel, veiligheidsanalist Jan Rogier, chef analyse Mariska Laadstra, analist met taakaccent fraude Ronald Hanoewant, infodeskmedewerker Anette Glock, infodeskmedewerker Natasha van Meerveld, intaker Agnes van Ommen, intaker Zuid-Holland-Zuid Dirk Aangeenbrug, vakspecialist analyse Utrecht Louis Tan, infodeskmedewerker Martin Aartsen, infodeskmedewerker Susan Dubbels, analist Christiaan Dekker, intaker Jolanda Stam, intaker
33
Bijlage 2: gebruikte zoekslagen A. Alle mutaties uit 2007: pleegmdt20071231 (laatste dossiernummer) B. Alle mutaties A01 en A03 uit 2007: Formuliera01 OR formuliera03 C. Alle mutaties in de steekproef van 39 dagen: pleegmdt2007021* OR pleegmdt2007052* OR pleegmdt2007080* OR pleegmdt2007111* D. Alle mutaties A01 en A03 in de steekproef van 39 dagen : (formuliera01 OR formuliera03) AND (pleegmdt2007021* OR pleegmdt2007052* OR pleegmdt2007080* OR pleegmdt2007111*) E. Alle mutaties A01 en A03 die voldoen aan de zoeksleutel algemene cybercrime: (formuliera01 OR formuliera03) AND (pleegmdt2007021* OR pleegmdt2007052* OR pleegmdt2007080* OR pleegmdt2007111*) Met als filter: - -
34
-
35
36
Bijlage 3: betrouwbaarheidsintervallen_1 Hollands Midden N 222287 n 22771 f 0,102439639 1-f 0,897560361 cc 73 0,320583 p 0,003205832 q 0,996794168 pq 0,003195555
Zuid-Holland-Zuid N n f 1-f cc p q pq
z
z
1,96
pq/n (1-f) (pq/n) wortel z*wortel b
1,40334E-07 1,25959E-07 0,000354906 0,000695617 0,069561666
onder boven boven plus
557,0138732 0,250583 0,390583 1423,933173 0,640583
0,07
pq/n (1-f) (pq/n) wortel z*wortel b
126961 13037 0,102685 0,897315 70 0,005369 0,994631 0,005341 1,96 4,1E-07 3,68E-07 0,000606 0,001188 0,118831 530,6124 1150,182
37
0,536933
0,119 0,417933 0,655933 0,905933
Bijlage 4: betrouwbaarheidsintervallen_2 De gebruikte formule is: P(x=0|n=1200;p=?)>=0,05 x = aantal fouten Je berekent wat de grens is van het aandeel cybercrime in alle zaken die je uitsluit met de algemene zoeksleutel, waarbij de kans dat je geen enkele cybercrime vindt in een steekproef van 1.200 zaken kleiner is dan 5 procent. Stel, het aandeel cybercrime zou zijn 0,10 procent à de kans dat je 0 cybercrimes vindt in een steekproef van 1.200 is ongeveer 30 procent; Stel, het aandeel cybercrime zou zijn 0,20 procent à de kans dat je 0 cybercrimes vindt in een steekproef van 1.200 is ongeveer 10 procent; Stel, het aandeel cybercrime zou zijn 0,25 procent à de kans dat je dan 0 cybercrimes vindt in een steekproef van 1.200 is 4,96 procent. Oftewel: P(x=0|n=1200;p=,0025) = 0,0496 Wanneer het aandeel werkelijke cybercrime in de zaken die we uitsluiten met de zoeksleutel 0,25 procent is, is de kans kleiner dan 5 procent dat we 0 cybercrimes vinden in een steekproef van 1.200.
38
Bijlage 5: gebruikte incidentcodes voor cybercrime per regio Hollands Midden
Zuid-Holland-Zuid 25
22
overige fraude/bedrog
6
6
aandachtsvestiging
3
6
bedreiging
5
3
hulpverlening burger
0
8
computercriminaliteit
6
0
stalking
0
6
verdachte situatie
3
0
belediging
3
3
overige conflicten
3
0
overige verkeerszaken
2
0
(openb)schennis
2
0
relatieproblemen
2
0
kinderpornografie
1
2
84%
80%
oplichting
Totaal % van alle cybercrimes
39
Bijlage 6: pogingen tot oplichting via internet in 2007, 2008 (bron: vraaghetdevries.nl) Heeft iemand wel eens via internet geprobeerd om u op te lichten (bijvoorbeeld uw gegevens proberen te stelen, iets te koop aangeboden onder een valse naam, een email gestuurd waarin iemand u probeerde te overtuigen geld over te maken, etc.), waarvan u op tijd ontdekte dat het hier oplichting betrof? Ja, in 2007 of 2008
91
7,30%
Ja, vóór 2007
35
2,81%
1120
89,89%
Nee, niet dat ik weet Hoe probeerde iemand u op te lichten (n=91)?
Backprotector aan te smeren Bankgegevens gevraagd met codes Bedele-mail met vaag verhaal Benaderden zijn bedrijf en zeiden dat er nog rekeningen open stonden bij een ander bedrijf. Het zag er allemaal erg professioneel uit en was dus ook nog wel aannemelijk dat het zo zou zijn. Bestelling geplaatst, betaald, maar nooit toegestuurd gekregen. Bij de verkoop van een product op Marktplaats. Er werd veel meer geboden dan de vraagprijs. Creditcard fraude d.m.v reclame, e-mails Dagelijks probeert men mij op te lichten via spam e-mails, trojans in bestanden en een legio aan andere manieren. Dat ik een reis had gewonnen, hij wilde mijn creditcard-gegevens weten. De Ethiopië brief Deelnemen aan lotto; dan geld overmaken etc Door een namaak product te leveren en aan te geven dat het product echt is Door geld van de bankrekening af te halen, zonder dat ik wat heb besteld bij deze firma Door heel veel mails (spam) te sturen waarin ze diverse soorten pillen probeerden te verkopen Door in de mail te suggereren dat ik mijn gegevens van de bank moest updaten of dat ik bepaalde producten online moest bestellen. Door middel van een scam-praktijk, dus het vragen om geld over te maken naar een buitenlandse bankrekening. Door te reageren op marktplaats advertentie en te vragen het artikel eerst op te sturen voor een kind in amerika. Door te vragen of ik voor google adwords mijn credit card gegevens in wil vullen Dvd's aanbieden - ik had reeds betaald - dvd's werden maar niet opgestuurd via de post - uiteindelijk na heel veel heen en weer mailen en contact met www.internetoplichting.nl toch de dvd’s gekregen. E-mail Een door mij te koop gesteld product eerst te leveren, waarna de persoon het bedrag zou overmaken. E-mail gekregen met verzoek geld over te maken E-mail, met de vraag geld over te maken Fictieve Factuur Geld overmaken via western union Geld overmaken waarna je miljoenen terug zou krijgen Geld storten voor meerdere doeleinden Geld vragen voor een goed doel, dat geef ik niet via internet Het was niet mogelijk om het pakketje terug te sturen. Hij probeerde mij een heel goedkope boot te verkopen die in Italië stond en dan moest ik van te voren even geld overstorten. Hij probeerde rekeninggegevens van me te krijgen door iets van me te kopen.
40
Iemand probeerde dmv iets wat op de site van postbank leek, tan codes af te troggelen toen ik wilde inloggen op mijn internet-bankieren site Ingaan op advertentie Je krijgt een e-mail met de text dat je wordt gefeliciteerd met een bedrag van bijvoorbeeld 1miljoen dollar. Ze willen je banknummer hebben om het over te maken. Mail sturen met verkoopacties e.d. Het zo aantrekkelijk mogelijk maken en z.s.m. betalen. Marktplaats Nep e-mail Nepfactuur, neporder, vragen om 'aanvullende gegevens' Nigeriaanse oplichters per e-mail Onder een Nederlandse naam goederen te koop gezet, bleek iemand te zijn die zei uit Engeland te komen. Hij had een nep-site/bedrijf, die als tussenschakel over het geld zou beschikken. Man was bekende bij opgelicht! Onder tijdsdruk handelingen opdringen om een grote geld prijs te ontvangen. Ongewenste mail ( viagra mail e.d) Oude camera Per E- mail Per e-mail, door iets proberen te verkopen Phising Prijs gewonnen naar Amerika. Het was dus gratis. Maar we moesten wel even een paar duizend euro overmaken voor onkosten. Product gekocht wat vervolgens niet geleverd werd Product te kopen dat niet bestond Ringtones te koop aangeboden, vervolgens betalen voor ontvangen berichten, en geen ringtones ontvangen Spam mails Telefoon verkopen, opsturen naar Nigeria Valse advertenties Valse factuur Valse factuur sturen. Geld overmaken op een rekening om kans te maken op. Valse mailtjes Via advertentie een motorfiets aangeboden, moest geld storten op een rek. van een achteraf niet bestaand bedrijf. Via bedelmails Via de e-mail Via de e-mail mijn gegevens geprobeerd te ontfutselen. Via de mail probeerde iemand mij iets aan te bieden. Via E-bay werd een artikel aangeboden, maar nooit opgestuurd gekregen Via e-mail met valse beloften Via e-mails met aanbiedingen Via een te hoge prijs voor een spelcomputer te willen betalen en naar monygram wilde overmaken. Via e-mail Via E-mail gegevens of geld vragen. Via mails gevraagd persoonlijke gegevens in te voeren Via marktplaats via marktplaats door het e-mailadres te gebruiken Via marktplaats had ik een ticket van een concert van de red hot chili peppers overgekocht van een meneer. Geld overgemaakt maar kaart nooit gekregen, weg 70 euro. Via marktplaats mobiele telefoon aanbieden, pakketje onder rembours verstuurd. In het pakketje zat geen telefoon! Via marktplaats, product niet leveren na betaling Via marktplaats, van te voren een aanbetaling over maken. Via marktplaats. Ze verkocht spul onder een valse naam en adres Via msn, door bestanden te sturen waar ik zogenaamd op zou staan. Via sites, waar verteld wordt dat je de zoveelste bezoeker bent en een grote prijs hebt gewonnen.
41
Via spam met valse informatie Via spam. Direct geïdentificeerd, dus verwijderd Via spammail Voor te doen als iemand anders en dan proberen een abonnement aan te smeren bijv. Vragen om geld over te maken voor een product want ons uiteindelijk nooit zou worden toegekend. Wel geprobeerd, nooit gelukt. Wil hier geen antwoord op geven. Wilde iets verkopen dat hij niet bezat. Wilde wachtwoord hacken van pokerstars. Zij probeerden mij op te lichten, door te beweren dat ik een artikel had besteld op internet. Zogenaamde controle op bestandsgegevens. Wanneer ik dat niet zou geven dan werd ik van internet afgesloten.
42