Computers maken het leven makkelijker, maar niet alleen voor de eigenlijke gebruikers. Ook misdadigers zijn blij met computers. Waarom de moeite en risico van fysieke aanwezigheid nemen als het remote en geautomatiseerd kan? Een moderne misdaad als skimming heeft nog wel enige fysieke interactie nodig, op de plaats delict, maar dat is eenmalig waarna het oogsten kan beginnen. Nog beter is de écht digitale misdaad; met malware, phishing, drive-by downloads en andere mogelijkheden van het rijke pallet dat internet biedt. En de toekomst ziet er goed uit voor de cybercriminelen.

Omvang onbekend

Iedereen is er wel van overtuigd dat cybercrime groot en groeiend is. Dat wordt zelfs zonder blikken of blozen beweerd door politie en Justitie. Die echter geen idee hebben hoe groot het precies is, geven ze zelf toe. Want het wordt niet bijgehouden, zo bekent Justitie in antwoord op Kamervragen naar aanleiding van Webwereld-kopij.

Pardon? Ja, op aangifteformulieren ontbreekt kennelijk een aanvink-vakje 'cybercrime'. De indeling en daarmee ook telling van misdaad gebeurt aan de hand van artikelen in het wetboek van Strafrecht. "Er wordt niet geregistreerd op onderwerp, maar alleen op het overtreden van een specifiek wetsartikel", legt Justitie nu uit. Daardoor komt het via internet leegplunderen van een bankrekening via een succesvolle phishing-aanval niet neer op cybercrime. Dat zou dan simpelweg 'diefstal' of 'financiële fraude' zijn. Geen computerinbraak, want er is immers niet gehackt, maar er zijn simpelweg inloggegevens losgepeuterd (middels bedrog) waarmee dan is ingelogd. Misschien dat het nog 'identiteitsfraude' kan zijn, dus op één hoop met neprijbewijzen en valse paspoorten.

Conclusie: er is een gemis aan inzicht in hoe groot cybercrime is, hoe hard het groeit en welke vormen het ergst zijn. Dat hindert politie, Openbaar Ministerie en Justitie geheel niet in het aanstellen van speciale functionarissen die gaan over cybercrime. Rechercheurs en aanklagers die zijn toegewijd aan (de bestrijding van) digitale misdaad. Hoe, waar, in welke vorm en met welke omvang dat ook moge spelen.

Onkunde

Lijkt bovenstaande al een brevet van onvermogen, dat betreft nog slechts een taxonomieprobleem. Kwestie van anders indelen, eventueel subsorteren, naast de natuurlijk noodzakelijke indeling naar wetsartikelen (waarop immers vervolgd en veroordeeld kan worden). Erger is het ontbreken van duidelijke digitale expertise.

Misschien zou het handig zijn om daar een soort cyberpolitie voor te hebben. Een nationaal high-tech misdaad(bestrijdings)centrum, zoals het begin 2006 opgeheven precies zo geheten NHTCC (maar dan in het Engels). De taken van die cybercrime-eenheid zijn opgegaan in de algemene KLPD (Korps Landelijke Politiediensten).

Jawel, hetzelfde KLPD dat laatst nog meldde dat cybercrime niet alleen explosief groeit, maar dat veel cyberaanvallen vanuit Nederland komen. En als kers op de appelmoes meldt de KLPD in het rapport ‘Overall-beeld Aandachtsgebieden Nationale Recherche’ dat opsporingsdiensten achter het net vissen. Natuurlijk, dat heeft ook te maken met de internationale aard van internet waar criminelen goed gebruik van maken, terwijl politie en Justitie tegen landsgrenzen en jurisdictie aanlopen.

Maar de onkunde zit 'm ook juist in de kleine dingen. Zoals het aanpakken van iemand die een bedreiging van een ander retweet. Wat blogger en Webwereld-columnist Bert Brussen overkwam. Goed, iemand bij het OM die het sociale netwerk Twitter - en digitale communicatiemedia - niet kent en begrijpt, heeft een fout gemaakt. Dat wordt dan rechtgezet zodra er reuring ontstaat over die fout. Toch? Nee, de aanklacht wordt een weekje later niet ingetrokken, maar zelfs uitgebreid.

En het zijn heus niet alleen de opsporende en aanklagende armen der wet die het ontbreekt aan kennis en kunde op internetgebied. De rechterlijke macht worstelt ook met de complexiteiten van de online-wereld. Bij het voorlezen van een e-mailadres vraagt een rechter: Maar wie is Ed (@) dan? Vandaar ook dat je uitspraken krijgt die het noemen van een bestandsnaam verbieden. Wat vergaande consequenties heeft voor internet, in ons land dan. Dus Nederlands internet wordt anders dan internet elders.

Naïeve consument

Een veel groter probleem is de onkunde bij het slachtoffer van cybercrime: juist, de burger. Consumenten laten zich maar al te makkelijk pakken. Ze laten zich inpakken door social engineering, via online-trucs of gewoon via de telefoon. Ze laten zich van alles afpakken door Trojans en malware die gaten in niet-bijgewerkte software gebruiken. En ze bieden zich zelfs aan door maar te dubbelklikken op elke melding van 'de computer', zonder dat ze weten wat browserpop-ups, Windows-meldingen of antivirus-vensters zijn.

Daar bovenop komt nog de voorlichtingsfail, van banken, ict-leveranciers en de overheid. Ja, er wordt wel reclame gemaakt en campagne gevoerd. Maar dat gebeurt zonder de consument al te bang te maken of te vermoeien met technische details. En vaak is het de pot die de ketel iets wil bijbrengen.

Echt complexe malware zoals de Stuxnet-worm, die 4 zero-days in Windows gebruikte en nog veel meer geavanceerde mogelijkheden heeft, is niet eens nodig om de gewone consument te kunnen bestelen. En vergeet niet: diezelfde consumenten zijn ook gewoon werknemers (en managers, directeuren, etcetera) bij en binnen bedrijfsomgevingen. Waar ze ook dubbelklikken op leuke attachments of dringende pop-upmeldingen.

Te lief

Goed, als de overheid faalt en de consument het niet snapt - of niet wil luisteren - dan maar harde maatregelen. Banken, Belastingdienst en andere instanties moeten eisen stellen: geen verouderde Internet Explorer, geen Windows dat patchrondes achterloopt, dat soort dingen. Of beter nog: een eigen beveiligde omgeving die alleen dienst doet voor internetbankieren. Wat kost nou een usb-stick die een uitgekleed en dichtgetimmerde Linux-distro boot die alleen maar kan inloggen bij de bank die het uitgeeft? Of, iets complexer maar ook allang mogelijk, een beschermde virtuele machine die a la Chrome OS de eigen integriteit controleert en gebruikers alleen laat e-bankieren?

Maar ja, geen enkele bank die het aandurft om de onwetende en luie klant af te schrikken. Want de eerste die het moeilijker maakt dan het al is, verliest klanten aan de concurrenten. Sterker nog: ze proberen het vooral fraaier te maken, met bijvoorbeeld Flash op de ING-beleggingssite. Flash versie 9 is vereist, terwijl Adobe toch allang een nieuwere versie heeft uitgebracht en patches daarvoor.

Dus blijft de beveiliging van online-bankieren zoals het is; nogal vrijblijvend. En wordt fraude vergoed, want dat zit toch verdisconteerd in de kosten voor een rekening of creditcard. Terwijl het aantal fraudepogingen dit jaar al verzesvoudigd is ten opzichte van vorig jaar. De buit is daarbij steeds wel wat kleiner: de totale schade is slechts verviervoudigd.

Zeker, banken hanteren regels voor het vergoeden van schade waarbij nalatigheid door de klant tot weigering kan leiden. Alleen zijn de criteria voor 'nalatig' niet digitaal strikt: een verwaarloosde pc die gehackt is, geldt niet als 'nalatig'. Dat kan de bank alle oma's en opa's die met tegenzin internetbankieren niet aandoen. En dus is en blijft de eindgebruiker de zwakste schakel.

Beveiligingsplafond

Slotprobleem is dat we qua technologie, zeker voor de zwakste schakel van het 'endpoint', een plateau hebben bereikt. Zijn vingerafdrukscanners veiliger dan wachtwoorden? Zeker. Maar annuleert dat onderschepping middels een man-in-the-middle aanval? Nee. En voorkomt dat diefstal door de naïviteit van de consument, die zich laat phishen, besmetten en rooten? Nee, ook niet. En doet dat ook maar iets tegen digitale inbraken bij betalingsverwerkers tussen winkel en bank in? Nee, natuurlijk niet.

Dus er valt nog genoeg te verbeteren, maar daarmee wordt het algehele beveiligingsniveau niet of nauwelijks opgekrikt. En die niet-bestaande of zeer lage opbrengst vereist wel een flinke investering. Dat is in business-speak een slechte ROI (return on investment), dus daar gaan de betrokken bedrijven niet aan beginnen. Blijft er nog een niet-commerciële instantie als de overheid. Maar die moet en gaat ook bezuinigen, bijvoorbeeld op beveiliging, door aanbestedingen voor iets als DigiD puur op prijs te doen.

Bonus: troost

Maar Nederland doet het nog relatief goed. Ons aantal besmettingen door botnets valt mee, vergeleken met pc's in andere landen. En onze banken zijn eigenlijk kleintjes, want Nederland is en blijft een klein kikkerlandje. Een Duitse bank heeft veel meer klanten en is dus een veel aantrekkelijkere prooi voor cybercriminelen, al dan niet met maatwerk-malware. Zij zijn groot en wij zijn klein, is dus best fijn. Zolang het duurt.