Misdaad gebruikt ook digitale middelen, en er bestaat misdaad die alleen digitaal ís. Cybercrime heet dat laatste, en het is best een groot en zelfs groeiend probleem. Maar de cybercrime-apocalypse is niet nabij, nog lang niet. 5 vertekeningen van het grote gevaar.

Claim to fame

Hacken is in, en dient tegenwoordig ook als pr-strategie. Zeker met de kracht van sociale media er bovenop. Elk scriptkiddie die een ingang in een website vindt, kan ermee scoren. Soms bij het slachtoffer in spe (door daar geld te eisen), soms bij mede-hackers (faam en erkenning), en soms bij het grote publiek (algemene beroemdheid - al dan niet voor een goede zaak, of tegen een kwalijke zaak).

Het is ook een welles-nietes spelletje tussen de hackers enerzijds en de bedrijfsmanagers anderzijds. Beide overdrijven (dan wel ‘onderdrijven’). De ene partij roept van de daken dat ze met gemak zijn binnengekomen en van alles hebben buitgemaakt. De andere partij doet aan ‘damage control’ en sust: we onderzoeken de kwestie, het valt mee, het was een zeer geavanceerde complexe aanval, er is beperkte toegang geweest, niet alles is gestolen, enzovoorts.

Maar het kan zelfs zijn dat de pr-boodschap van damage control wel echt is: dat er niet 1 miljoen klanten de dupe zijn, maar een veel kleiner aantal. Natuurlijk, het belangrijkste is niet zozeer hoeveel klanten er zijn getroffen maar dát er überhaupt klanten zijn getroffen. Bovendien kan zo’n beperking van het aantal erg schraal overkomen als die mededeling gaat over het zoveelste incident bij een en hetzelfde bedrijf, waarbij eerder al wel privégegevens van miljoenen klanten op straat zijn gekomen.

Mug, olifant

Zelfs de kleinste hack, van de meest onbeduidende aard, wordt flink groot gebracht. Zie bijvoorbeeld de hack van pretpark Duinrell, waarbij wel gehackt is en persoonsgegevens zijn buitgemaakt. Maar dat betreft dus namen en mailadressen, die consumenten maar al te graag en blind invoeren voor elke promo-actie en ‘graties nieuwsbrief met unieke aanbiedingen’. Dus wat is een e-mailadres nou eigenlijk waard, tegenwoordig?

Natuurlijk, het is en blijft een privacyschending, en dat mag niet. Maar is dat nou echt serieuze cybercrime, waardoor we leven in onveilige - en steeds onveiligere - tijden? Neem dan een digitale inbraak bij een bank. Dat geldt wel als cybercrime, zeker. Zie het recente geval van de Amerikaanse Citibank, waar de namen, e-mailadressen en rekeningnummers van 200.000 klanten zijn gestolen.

Even die cybermisdaad relativeren: er zijn dus geen burgerservicenummers (BSN’s), CVV-securitycodes of andere financieel waardevolle nummers buitgemaakt. Daarmee is het niet niks, maar ook geen superkraak. Toegegeven, het is en blijft een bank en dat weegt zwaar.

Maar de getroffen 200.000 accounts komen neer op ongeveer 1 procent van het totale aantal Citibank-klanten (21 miljoen Amerikanen). De bank heeft dus niet alleen namen en mailadressen goed gescheiden van BSN’s en CVV’s, maar houdt ook de ogen open. De ongeautoriseerde toegang tot de 200.000 accountgegevens is ontdekt door routine monitoring, verklaart de bank namelijk. Kwestie van waakzaamheid, bovenop beveiliging natuurlijk.

Quantiljoenenschade

Wat de cybercrime-hype ook aanjaagt, is de schade die erdoor wordt veroorzaakt. Want wat bedraagt die schade eigenlijk? Bij diefstal van logins waardoor bankrekeningen worden geplunderd, is dat makkelijk te berekenen. Bij datadiefstal waardoor phishing effectiever wordt, is het een stuk lastiger om de schade te bepalen.

Dus wordt er voor de zekerheid - en de verzekering - maar flink naar boven afgerond. Om de financiële risico’s van onaangename verrassingen zoveel mogelijk te beperken.

En de slachtoffers helpen ook niet echt: die overdrijven nogal. Dat trekt de statistieken over cybercrime nogal scheef, ontdekken wetenschappers van Microsoft. Die statistieken zijn namelijk veelal geëxtrapoleerd uit enquetes, die worden gehouden onder hoe dan ook te kleine onderzoeksgroepen.

Groepen die meestal bestaan uit mensen of bedrijven die slachtoffer zijn (geworden) van cybercrime. En die enquete-invullers voelen zich slachtoffer, dus doen niet klein over hun verliezen. Bijvoorbeeld enkele miljoenen vanwege het lastig te kwantificeren ‘reputatieschade’, waar je vaak echt geen cybercrime-incident voor nodig hebt. De ingevulde schadebedragen zijn dan ook niet te verifiëren, maar worden wel geëxtrapoleerd.

Vuige verkopers

Veel van die - niet echt te vertrouwen - enquetes en statistieken zijn afkomstig van partijen met een behoorlijk belang in deze kwestie. Producenten van veelgeplaagde platformen (die beter beveiligde nieuwe versies beloven), leveranciers van securitysoftware, consultants voor beveiligings best practices, overheidsinstanties die budget willen (behouden), en andere hecht betrokken clubs en personen.

Natuurlijk, niet al deze partijen zijn enkel en alleen uit op eigen gewin. Niet alle ict- en securityleveranciers willen hun klanten slechts meer of nieuwere producten slijten. De meeste beveiligingsbedrijven en organisaties op dit vlak bieden zelfs gratis standaardadvies, of advisories (niet adviezen, maar “informatievoorziening”). Beginnen bij de basis, zoals een helpdesk bijna altijd eerst vraagt of ‘de stekker er wel in zit’.

Maar tussen en naast al die goed bedoelende beveiligers zitten ook de vuige verkopers. Mensen en organisaties die hun agenda, product, of dienst willen promoten en slijten. Die heus niet liegen over hackincidenten, cybercrime en de mogelijke malwaregevaren. Maar die wel wijzen op juist die dreigende zaken en minder op de verzachtende omstandigheden of de makkelijke maatregelen.

Koketteren

Cybercrime is ook een ongrijpbaar fenomeen. Nee, daarmee bedoelen we niet de hackers die niet te traceren en arresteren zouden zijn. Cybercrime is zoals al gezegd niet goed in kaart gebracht, dat valt ook niet te doen. Al jaren niet. Zegt ook Justitie in Nederland, dat ondertussen wel ‘waarschuwt voor de wolf’: cybercrime neemt exponentioneel toe.

Ook Europa doet hier aan mee. De Europese Commissie kondigt nu net een EU-overkoepelend adviesorgaan aan op het gebied van ict-security. Een soort Govcert dus, waarvan er al diverse bestaan, ook een Europese, en die ook onderling nauw contact hebben. Maar - het grote en groeiende gevaar van - cybercrime is dreigend genoeg om ‘iets te doen’. Om een antwoord te geven op de vraag van cybercrime-vrezende mensen ‘En wat doet de regering?’

Het antwoord op die prangende vraag luidt deels ook: wat de regering al doet, of al meerdere keren heeft gedaan. Zoals het oprichten van een aparte cyberpolitie, of cyberdefensie. Of zoals het juist weer onderbrengen van zo’n cyberpolitie bij de gewone misdaadbestrijding. En daarna weer als apart orgaan, onder andere naam, reanimeren. Zoals het geven van voorlichting, aan burgers en bedrijven. En zoals het opzetten van een meldpunt, voor aangifte. Zoals het in het leven roepen van een EU-forum, of ‘cyberpol’, tegen e-misdaad.

Allemaal op zich goede initiatieven, maar veel ervan komt neer op koketteren met cybercrime. Om daar kordaat op te kunnen reageren met populistische spierballentaal. Terwijl een enkeling stelt dat cybercrime ‘an sich’ eigenlijk helemaal niet bestaat. Maar het bestaat in ieder geval wel als hype.