Staan wij machteloos?
Met de opkomst van de informatiesamenleving zijn er ook allerlei nieuwe vormen van criminaliteit. De gevolgen van deze misdrijven raken de samenleving harder, omdat de omvang groter is en dieper ingrijpt op het leven van een persoon of het functioneren van een organisatie. Inmiddels zijn er zoveel verschijningssoorten dat het Openbaar Ministerie een schifting toepast op basis van het soort zaak. Met dank aan veel onderzoek en veranderende wetgeving krijgen we langzamerhand meer duidelijkheid.
De Panama Papers hebben weer eens pijnlijk duidelijk gemaakt dat de praktijken van hackers verstrekkende gevolgen kunnen hebben. Niet alleen voor de eigen organisatie maar ook voor klanten. Want als iemand zich toegang weet te verschaffen tot de systemen met gevoelige informatie, is het risico groot dat daadwerkelijk alles op straat komt te liggen. Pijnlijk detail daarbij is dat het Panamese advocatenkantoor dat de twijfelachtige belastingconstructies faciliteerde – Mossack Fonseca & Co., – al jarenlang achterliep met patches voor zowel de webserver als de e-mailsoftware.
Overigens is het daarbij nog niet gezegd dat een hacker achter het bekend worden zit, omdat er ook mogelijk sprake kan zijn van een ‘inside job’. Maar de leverancier van spionagesoftware, Hacking Team, heeft het bedrijf wel gehackt. Zo werd duidelijk welke lekken werden gebruikt om in te breken op computers en mobiele telefoons. Daarnaast lag ook de volledige administratie op straat. Dit gaf inzicht in diverse onfrisse praktijken, zoals met welke twijfelachtige regimes zaken werd gedaan. Uit deze administratie blijkt dat ook de Nederlandse overheid zakenpartner is van dit twijfelachtige bedrijf.
De Panama Papers
Diverse rijken der aarde hebben miljarden dollars weggesluisd via belastingparadijzen. Een juridisch advieskantoor in Panama, Mossack Fonseca & Co., heeft voor klanten vennootschappen opgezet op locaties waar hun vermogen of eigendommen nauwelijks worden belast, zogeheten belastingparadijzen. Dat is in principe niet illegaal, maar de kat wordt hierbij behoorlijk op het spek gebonden. Deze belastingparadijzen zijn door hun anonimiteit namelijk uitstekend geschikt voor illegale praktijken, zoals het ontduiken van belasting en het afhandelen van omkoping.
Er zijn in totaal 11,5 miljoen documenten gelekt zoals e-mails, spreadsheets en powerpoints. De documenten bevatten informatie over 214.000 verschillende vennootschappen en gaan over een tijdsbestek van 1977 tot en met afgelopen december. Het gaat om een van de grootste datalekken ooit, groter dan Wikileaks.
Het advieskantoor ontkent ook maar iets te maken te hebben met belastingontduiking of witwaspraktijken, maar de medeoprichter zegt wel dat de gelekte informatie deels afkomstig is uit zijn kantoor. De bestanden zouden zijn gestolen. Het zou gaan om een succesvolle, maar “gelimiteerde hack”.
Persoonlijk
De voorbeelden waarbij cybercrime in het spel is, brengen niet alleen (vermeende) criminaliteit van organisaties boven water. Het gaat soms ook over hele persoonlijke zaken. Toen Ashley Madison, de website om buitenechtelijk te daten, werd gehackt kwam namelijk hun nogal opmerkelijke businessmodel naar buiten. Dat werkte zo: alles is gratis tot iemand zich wil uitschrijven; dán betaal je. Een chantagemodel dat strijdig is met de Nederlandse wetgeving, maar wel degelijk functioneert. Veel mensen gebruikten namelijk gewoon hun werk e-mailadres op deze overspelsite. Zo bleken er duizenden Amerikaanse overheidsmedewerkers betrokken te zijn en kwamen ook enkele geestelijken tussen de 11 miljoen gebruikers van de website voor. Dat het allemaal heel persoonlijk was, werd onderstreept toen meerdere mensen als gevolg van de hack zelfmoord pleegden. Er gaapt dus een grote kloof tussen de daadwerkelijke risico’s en de risicobeleving van potentiële slachtoffers.
Groeiend probleem
Volgens consultancyclub Deloitte kost cybercrime het Nederlandse bedrijfsleven zo’n 10 miljard euro per jaar. Daarbij wijst het bedrijf erop dat het niet alleen hoeft te gaan om activistische hackers of criminelen die geld willen, maar kan het ook gaan om economische spionage door bedrijven en overheden. Erg populair is het gebruik van cryptolockers of cryptoware, specifieke malware die als doel heeft bestanden te gijzelen door ze te versleutelen. Volgens beveiligingsbedrijf Fox-IT is deze werkwijze bijzonder lucratief, omdat veel organisaties niet altijd beschikken over een goede back-up. Ze krijgen dan de keuze tussen geld betalen of gegevens blijvend kwijt zijn. Omdat de businesscase van de crimineel staat of valt met het vertrouwen dat bij betaling de gegevens weer beschikbaar komen, moeten ze betrouwbaar opereren. Met helpdesks worden ‘klanten’ geholpen daadwerkelijk de betaling in Bitcoins te voldoen. Het lijkt normale bedrijfsvoering, alleen hebben we het hier natuurlijk wel over het gijzelen van belangrijke gegevens.
Beter inzicht
Hoeveel hacks, besmettingen en andere incidenten er daadwerkelijk jaarlijks plaatsvinden valt lastig te becijferen. Sinds de eerste onderzoeken in de jaren ’80 van de vorige eeuw blijft dit een gevoelig onderwerp voor organisaties. Dit beeld zal de komende jaren helderder worden, omdat in Nederland sinds 1 januari 2016 een meldplicht datalekken geldt. Ieder incident waarbij persoonsgegevens zijn betrokken, moet gemeld worden. De toezichthouder, de Autoriteit Persoonsgegevens, stelt nadrukkelijk dat ook een infectie met kwaadaardige software of een cryptolocker daar onder vallen. Deze tools maken het immers mogelijk dat onbevoegden bij informatie kunnen komen die over personen gaat en daarmee is er een plicht tot het melden. Volgend jaar zal een richtlijn ingaan, waarbij een dergelijke meldplicht voor heel Europa geldt. Dat zal een nog preciezer beeld van de criminaliteit geven.
Drempels
Natuurlijk is er wel een beeld bij enkele overheidsinstanties, zoals inlichtingendiensten, politie en Openbaar Ministerie. De eerste groep zal niet snel geneigd zijn veel informatie te leveren aan een brede groep organisaties. De politie zal een behoorlijk incompleet beeld hebben. Want wie een incident liever niet in de publiciteit wil hebben, zal er weinig voor voelen aangifte te doen met bijbehorend strafrechtelijk onderzoek en mogelijk openbaar strafproces. Het daadwerkelijk melden van een incident, zonder daartoe te worden gedwongen, stuit op grote drempels. Natuurlijk helpt de meldplicht die drempel te verlagen. Bovendien zal wie toch moet melden nu ook sneller onderzoek laten doen. Dat is immers toch al een verplichting die voortvloeit uit de Wet bescherming persoonsgegevens. Het beeld dat nu nog ontstaat is vooral gebaseerd op incidenten bij grotere organisaties of incidenten met een grote maatschappelijke impact. Internationaal wordt daar wel onderzoek naar gedaan door bijvoorbeeld Verizon in het Data Breach Investigations Report.
Rapport over data-inbreuk
Over 2015 werden door Verizon meer dan 100.000 grotere incidenten uit de hele wereld tegen het licht gehouden. Bij 89 procent van de incidenten is financieel gewin en/of spionage de drijfveer. Bij webapplicaties is maar liefst 95 procent van de geregistreerde incidenten financieel gemotiveerd. Dat organisaties het slachtoffer worden van een aanval is niet opmerkelijk. Wel valt op dat de meerjarentrend laat zien dat organisaties trager worden in het ontdekken van incidenten. Dat is mogelijk te verklaren uit een verschuiving dat aanvallers zich sterker richten op eindstations (pc’s en mobiele apparaten) en minder op serversystemen. Dat beeld wordt bevestigd door de manier waarop aanvallers werken. Als lekken worden ontdekt in systemen dan vindt het meeste misbruik tussen 10 en 100 dagen na het bekend worden van het lek plaats. Vooral gaten in Adobe worden vrijwel direct misbruikt. Het hanteren van een gedegen patchbeleid heeft dan ook echt zin.
Piramide
Dat het beeld van cybercrime bij het Openbaar Ministerie mogelijk vertekend is, betekent niet dat zij helemaal geen beeld hebben bij de diversiteit van online criminaliteit. Wim de Bruin, voorlichter van het Landelijk Parket van het Openbaar Ministerie (OM), legt uit: “Online criminaliteit is een zeer breed en divers begrip waar niet alleen High Tech Crime onder valt, maar bijvoorbeeld ook het cyberpesten door scheldpartijen, beledigingen en bedreigingen via Facebook enzovoort.” Om de stroom aan te kunnen, worden de verschillende vormen van criminaliteit opgedeeld in allerhande soorten met een digitale component. Uit onderzoek blijkt dat in 11 procent van alle gevallen daarvan sprake is. Om de stroom in goede banen te leiden maakt het OM gebruik van een piramide. “Aan de onderkant van de brede piramide bevindt zich de meest voorkomende criminaliteit gepleegd met een digitale component en/of gepleegd via het internet”, aldus De Bruin. “Dat betreft vooral criminaliteit die door de diverse korpsen binnen Nederland moet worden opgepakt. Daarin zitten meestal geen componenten van georganiseerde criminaliteit. Denk bijvoorbeeld aan cyberpesten, marktplaatsoplichting, bedreigingen enzovoort.” Deze vorm van criminaliteit is technisch gesproken relatief eenvoudig en leunt minder op zeer specialistische kennis in het opsporingsapparaat. Door de laagdrempeligheid is dit een veel voorkomende vorm van criminaliteit.
Financieel gewin
De middenlaag van de piramide heeft een professioneler karakter, wat zich kenmerkt doordat de aanvaller technischer te werk gaat. Vaak is het mogelijk al sporen uit te wisselen. De opsporing leunt dan ook regelmatig op de diepgaandere expertise van Team High Tech Crime. De Bruin benadrukt dat de omvang daarvan niet mag worden onderschat. “Ransomware, Rat’s, DDos-aanvallen en phishing zijn allemaal zaken die in deze categorie vallen. Het is criminaliteit die gepleegd wordt voor financieel gewin, terwijl in de onderste laag ook veel andersoortige criminaliteit voorkomt”, aldus de zegsman. “In deze laag is reeds te zien dat de organisatie goed in elkaar zit en is er vaak genoeg voldoende materiaal aanwezig om te spreken van een verdenking van een criminele organisatie. Dat komt overigens niet altijd terug op de tenlastelegging. Dat hangt af van wat er allemaal is bevonden en of dat feit een meerwaarde heeft ten opzichte van de reeds ten laste gelegde feiten.”
Topcriminaliteit
Ten slotte is er een kleine top van de piramide. Dat betreft de echte top van de cybercriminaliteit. Hierbij zou je kunnen denken aan de grotere incidenten of zaken die door staten worden georkestreerd. “De mate van afscherming en professionaliteit van de organisatie is daar zeer hoog”, stelt De Bruin. “In dit soort zaken is zeer vaak sprake van een verdenking van een criminele organisatie.” Een bekend voorbeeld daarvan is de aanval gedaan door Iran op het voormalig Nederlandse bedrijf DigiNotar. De hack werd gebruikt om het afluisteren van verbindingen naar bijvoorbeeld Google’s Gmail eenvoudiger te maken, omdat de versleuteling te ontcijferen was. Ook kan worden gedacht aan spionage-gerelateerde aanvallen. Het probleem bij dit soort zaken is dat de professionaliteit zo hoog is dat de pakkans voor de daders heel laag is.
Uitwisseling van kennis
Om niet volledig buitenspel te worden gezet, verzoekt voornamelijk de politie om meer bevoegdheden om ook te kunnen hacken in systemen van aanvallers. Dat moet een volgende stap worden in een wapenwedloop, waarbij de echte strijd draait om het niveau van de expertise. Die berust momenteel nog voor een groot gedeelte in het kamp van de criminelen, omdat er veel schroom is kennis te delen. Toch zijn in Nederland de nodige initiatieven aanwezig om kennis onderling uit te wisselen. De vraag is alleen of dit in voldoende mate gebeurt om een antwoord te formuleren op iedere laag van de dreigingspiramide.
Andere cultuur?
Digitale criminaliteit was en is een precair onderwerp waarover we liever niet spreken. Een hack, besmetting of fout houden mensen dan ook liever onder de pet. Maar tijdens het onderzoek voor dit artikel stelde Daniëlle van Leeuwen, Communicatie Manager Benelux van beveiligingsbedrijf GData, juist dat bedrijven opener zijn over infecties als het gaat om een cryptolocker. “In Nederland werd altijd heel geheimzinnig gedaan over besmettingen met malware, maar over infecties met cryptoware wordt wel gesproken”, legt ze aan ICT/Magazine uit. “Er lijkt sprake van een cultuurverandering en dat is opmerkelijk. Want de organisaties die door een cryptolocker zijn geïnfecteerd, moeten daarvan weliswaar melding doen bij de Autoriteit Persoonsgegevens. Alleen zijn de verantwoordelijken zich daar vaak niet eens van bewust.” Enkele andere experts delen de observatie van Van Leeuwen.
Toch zijn besmettingen niet opeens een novum en infecties zijn bij bedrijven al jaren aan de orde van de dag. De volumes zijn duizelingwekkend. In 2015 zag Gdata ruim 5,1 nieuwe soorten malware, ofwel iedere zes seconden ontstaat er een nieuwe variant van malware. Daarbij constateert het bedrijf een lichte afname in het aantal nieuwe vormen van kwaadaardige software ten opzichte van 2014. De meer open houding van gehackte of geïnfecteerde bedrijven wordt ook door andere beveiligingsbedrijven herkend, maar het waarom blijft onduidelijk. Wellicht dat de berichtgeving in de media over het onvermijdelijke van een cyberaanval dit onderwerp enigszins uit de taboesfeer haalt.
Dat er iets verandert merken ook andersoortige dienstverleners. BackupNed, een bedrijf dat backuptapes beveiligd bewaart op afstand van de klant, merkt sinds een half jaar een forse toename in het aantal klanten. “We weten niet waarom, maar de komende maanden krijgen we opeens een grote hoeveelheid tapes extra in beheer”, aldus directeur Peter Benedick. “Er lijkt een soort bewustwording te zijn, maar wat dit heeft getriggerd is mij totaal niet duidelijk.”
