Your SlideShare is downloading. ×
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Cybervictims: Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime

2,629

Published on

Onze moderne cybersamenleving wordt niet gespaard van criminaliteit. Burgers kunnen het slachtoffer worden van verschillende vormen van cybercrime maar het is een publiek geheim dat ook organisaties …

Onze moderne cybersamenleving wordt niet gespaard van criminaliteit. Burgers kunnen het slachtoffer worden van verschillende vormen van cybercrime maar het is een publiek geheim dat ook organisaties hier aan ten prooi vallen. We gaan onderzoeken in welke mate zij slachtoffer zijn en hoe zij met hun slachtofferrol omgaan. We hebben hiervoor de methodologische keuze gemaakt om hen zelf te vragen hoe zij cybercrime ervaren, waarom zij slachtoffer worden en welke impact dit heeft op hun organisatie. In eerste instantie gaan we cybercrime op organisaties verklaren aan de hand van de routine activiteiten theorie van Cohen en Felson en de moral panic zoals Cohen de soms overdreven reactie op mediaberichtgeving omschrijft. We vragen ons ook af of de bestaande criminologische theorieën ons kunnen helpen in het verklaren van cybercrime of we ons moeten verdiepen in het ontwikkelen van nieuwe theorieën voor deze moderne techno-sociale samenleving? We bespreken het Belgisch wetgevend kader en vragen de organisaties hoe zij hier mee omgaan. Een omschrijving van een beperkt aantal vormen van cybercrime die een risico vormen voor organisaties leidt het hoofdstuk in waar we verder onderzoeken wat de omvang is van cybercrime op onze Belgische organisaties. We bekijken mogelijke indicatoren die hen kwetsbaar maakt voor mogelijke aanvallen en de dreiging die uit gaat van cybercriminelen en hun motieven. Als laatste bepalen onderzoeken we de economische schade voor de organisaties en mogelijke psychologische en gedragsschade voor ondernemingen en samenleving. We ontdekken dat organisaties niet altijd de risico’s op cybercrime juist kunnen inschatten, dientengevolge niet de juiste of onvoldoende maatregelen nemen en zich zo in hun slachtofferrol werken. Maar ook ontdekken we organisaties die zich heel goed bewust zijn van de risico’s en daar verbazend goed op inspelen met de nodige positieve gevolgen.

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,629
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
23
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. FACULTEIT RECHTEN EN CRIMINOLOGIE VAKGROEP CRIMINOLOGIE Cybervictims Een onderzoek naar bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime Meesterproef voor het behalen van een Master in de Criminologische Wetenschappen Cindy Smeulders Promotor: Prof. Dr. Els Enhus Assistent: Iris SteenhoutWoorden: 31.711 Pagina’s: 93 Academiejaar: 2011-2012
  • 2. AbstractCybercrime Organisations BelgiumOur modern cyber society is not spared from crime. Citizens can become victims of various formsof cybercrime, but its an open secret organizations fall prey to this. We will examine to whatextent they are victims and how they deal with their victimization. For this research we made themethodological choice to ask themselves how they experienced cybercrime, why they suffer from itand what impact this has on their organization. At first we explain cybercrime directed toorganizations on the basis of the routine activities theory of Cohen and Felson and moral panic ashow Cohen describes the sometimes excessive response to media reports. We also wonder whetherthe existing criminological theories can help us in explaining cybercrime or should we explore thedevelopment of new theories for this modern techno-social society? We discuss the Belgianlegislative framework and ask the organizations how they handle this. A description of a limitednumber of forms of cybercrime that pose a risk for organizations leads us to the chapter in whichwe further investigate the extent of cybercrime on our Belgian organizations. We examine possibleindicators which makes them vulnerable to potential attacks and the threat of cyber criminals andtheir motives. Finally, we investigate to determine the economic damage to the organizations andthe possible psychological and behavioural damage to businesses and society. We discover thatorganizations do not always precisely estimate the risk of cybercrime therefore, not adopt theappropriate or sufficient security measures and find themselves as a victim. But we also discoverorganizations who are very well aware of the risk and respond amazingly well with the expectedpositive effects.II CYBERVICTIMS
  • 3. SamenvattingCybercrime Organisaties BelgiëOnze moderne cybersamenleving wordt niet gespaard van criminaliteit. Burgers kunnen hetslachtoffer worden van verschillende vormen van cybercrime maar het is een publiek geheim datook organisaties hier aan ten prooi vallen. We gaan onderzoeken in welke mate zij slachtoffer zijnen hoe zij met hun slachtofferrol omgaan. We hebben hiervoor de methodologische keuze gemaaktom hen zelf te vragen hoe zij cybercrime ervaren, waarom zij slachtoffer worden en welke impactdit heeft op hun organisatie. In eerste instantie gaan we cybercrime op organisaties verklaren aande hand van de routine activiteiten theorie van Cohen en Felson en de moral panic zoals Cohen desoms overdreven reactie op mediaberichtgeving omschrijft. We vragen ons ook af of de bestaandecriminologische theorieën ons kunnen helpen in het verklaren van cybercrime of we ons moetenverdiepen in het ontwikkelen van nieuwe theorieën voor deze moderne techno-socialesamenleving? We bespreken het Belgisch wetgevend kader en vragen de organisaties hoe zij hiermee omgaan. Een omschrijving van een beperkt aantal vormen van cybercrime die een risicovormen voor organisaties leidt het hoofdstuk in waar we verder onderzoeken wat de omvang is vancybercrime op onze Belgische organisaties. We bekijken mogelijke indicatoren die hen kwetsbaarmaakt voor mogelijke aanvallen en de dreiging die uit gaat van cybercriminelen en hun motieven.Als laatste bepalen onderzoeken we de economische schade voor de organisaties en mogelijkepsychologische en gedragsschade voor ondernemingen en samenleving. We ontdekken datorganisaties niet altijd de risico’s op cybercrime juist kunnen inschatten, dientengevolge niet dejuiste of onvoldoende maatregelen nemen en zich zo in hun slachtofferrol werken. Maar ookontdekken we organisaties die zich heel goed bewust zijn van de risico’s en daar verbazend goedop inspelen met de nodige positieve gevolgen. CYBERVICTIMS III
  • 4. This page intentionally left blankIV CYBERVICTIMS
  • 5. VOORWOORDDeze meesterproef werd geschreven in het kader van mijn opleiding CriminologischeWetenschappen. Het onderwerp werd mij aangereikt door de Federal Computer Crime Unit (FCCU)waar ik tijdens mijn derde bachelor jaar stage heb gelopen.De interesse in de materie rond cybercrime komt vanuit mijn jarenlange werkervaring alsinformaticus in combinatie met de criminologie. Op een bepaald ogenblik heb ik gekozen om eenwending te geven aan mijn carrière en criminologie te gaan studeren maar kon toch nooit echtafscheid nemen van het vak waar ik zolang zoveel plezier aan beleefd had.Mijn dank gaat vooral uit naar mijn promotor Prof. Dr. Els Enhus, die me tijdig aanwijzingenverschafte over een slechte methodologische denkwijze en me een duw in de goede richting gaf.Daarnaast ook haar assistente Iris Steenhout die me vooral in het begin heeft geholpen met hetmaken van bepaalde keuzes. Tevens wil ik de FCCU van de Federale gerechtelijke politie bedanken,om mij te steunen en mijn interesse nog meer te stimuleren. Vooral dan strategisch analisteMarjolein Delplace van de FCCU om mijn meesterproef na te lezen op onjuistheden enschrijffouten. Ook Raf Vandensande verdient hier een bedanking voor het consulteren van zijncontactlijst in het kader van mijn zoektocht naar mogelijke respondenten en Bavo Segers om eenrespondent te overtuigen mee te werken. Als laatste mijn familie, vrienden en medestudenten ommij te steunen gedurende de hele opleiding.Hopelijk ziet men, naar aanleiding van deze meesterproef ook het belang in van bijkomendonderzoek naar slachtofferschap van organisaties ten gevolge van cybercrime. Het onderzoek van 1BELCLIV uit 2004 is een zeer interessante bron voor heel uiteenlopende diensten maar isondertussen gedateerd en verdient een waardige opvolger. Veel leesplezier, Cindy Smeulders Vrije Universiteit Brussel (Master of Science in de Criminologische Wetenschappen)1 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006. CYBERVICTIMS V
  • 6. 1! INLEIDING 1!2! AFKORTINGEN 3!3! PROBLEEMFORMULERING 5!3.1! Probleemstelling 5!3.2! Doelstelling 8!3.3! Onderzoeksvragen 9!4! ONDERZOEKSOPZET 10!4.1! Onderzoeksmethode 10!4.2! Onderzoekseenheden 10!4.3! Onderzoekslocatie 11!4.4! Middelen 11!4.5! Onderzoeksperiode 11!4.6! Kritische blik op onderzoeksopzet 11!5! LITERATUURSTUDIE 13!5.1! Criminologische theorieën 13!5.2! Wetgevend kader 20!5.3! Aard 27!5.4! Omvang 40!5.5! Dreiging 53!5.6! Kwetsbaarheid 58!5.7! Impact 68!6! ONDERZOEKSRESULTAAT 73!6.1! Analyse 73!6.2! Conclusies en Aanbeveling 91!7! BIBLIOGRAFIE 94!7.1! Rechtsbronnen 94!7.2! Rechtsleer 95!7.3! Media 98!7.4! internet 99!8! BIJLAGEN 101!8.1! Verklarende woordenlijst 101!8.2! Schadeberekening BE 2004 volgens rapport BELCLIV 118!8.3! Schadeberekening België tegenover het VK 119!8.4! Organisaties die zich bezighouden met cybercrime 120!8.5! Chronologisch overzicht cybercrime risico’s voor bedrijven 121!8.6! Interview 122!8.7! Transcripts 138!8.8! Pers artikelen 139!8.9! Ontvangstbewijs 152!! !VI CYBERVICTIMS
  • 7. 1 INLEIDINGHet lastige cybercrime vraagstuk is de laatste tien jaar geëvolueerd van iets waar over gepraatwerd, tot een ernstig probleem. Nieuwe vormen van technologie leiden onvermijdelijk tot nieuwevormen van criminaliteit. Cybercrime is niet iets waar alleen personen slachtoffer van worden maarook organisaties.Bedrijven die vijftien jaar geleden geconnecteerd waren met een datanetwerk waren eerdertechnologische bedrijven die meer bewust waren van het bestaan van hackers en cybercrime. Zijgingen zich dan ook adequaat beveiligen tegen de verschillende vormen. Vandaag de dag hebbenvele kleine organisaties toegang tot het internet en doen er gretig zaken op, maar zijn zich dikwijlsniet bewust van de gevaren van het internet. Ook zijn zij niet vertrouwd met de terminologie,aanvalstechnieken of de snelle en exponentiële verspreiding van exploits, virussen, zero-dayaanvallen en dergelijke meer. Organisaties die zich niet bewust zijn van het risico op cybercrimeaanvallen, zorgen voor een uitbreiding van het aantal feiten omdat ze zich de facto onbeschermden onveilig opstellen. Daardoor lopen ze een groter risico dan wanneer men wel de dreiging kent 2en men misschien zelfs getraind is in beveiliging en mogelijke aanvalstechnieken. Sinds hetontstaan van het internet en het world wide web en de latere ongeremde technologische 3ontwikkelingen zijn economische processen ook steeds meer afhankelijk geworden van ICT. 4 5Volgens Eurostat had 97% van de Belgische bedrijven in 2010 toegang tot het internet en 18%van hun verkoop gebeurde online. Daarnaast ontstond er een steeds grotere interconnectiviteittussen de verschillende bedrijfssystemen. Eurostat laat ook een steeds grotere beschikbaarheid 6 7van e-government zien in België en een steeds stijgend aantal gebruikers hiervan. Heel dezeevolutie van een industriële maatschappij naar de technologische samenleving van vandaag brengtgrote risico’s met zich mee. Ook Europol stelt dat vooral Europese landen een belangrijk doelwitzijn voor cybercrime door hun geavanceerde internetinfrastructuur, het uitgebreide gebruik ervan 8en de steeds meer internetafhankelijke economieën en betalingssystemen . Door dezeafhankelijkheid van het internet en aanverwante technologieën stellen zij zich open voor het risico2 R. CHIESA, S. DUCCI en S. CIAPPI, Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, Londen, CRC Press, 2008, 15-17.3 www.w3.org/2005/01/timelines/timeline-2500x998.png.4 Eurostat is het statistisch bureau voor de Europese Unie.5 Alle bedrijven met 10 of meer personen in dienst met uitzondering van de financiële sector.6 E-government vereenvoudigt de dienstverlening aan de burger, ondernemingen en andere overheden. U krijgt toegang tot actuele, accurate gegevens en wisselt deze gemakkelijk uit met anderen; www.corve.be.7 http://epp.eurostat.ec.europa.eu/tgm/table.do?tab=table&plugin=1&language=en&pcode=tin00107.8 EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 3. CYBERVICTIMS 1
  • 8. 9op aanvallen van over de hele wereld. In België staat cybercrime op een tweede plaats als 10belangrijkste economische misdrijf . We willen door dit onderzoek een beter inzicht krijgen in hetslachtofferschap van organisaties ten gevolge van cybercrime. We proberen te achterhalen hoe zijomgaan met cybercrime en hoe zij over het fenomeen denken.Deze meesterproef begint met de methodologie die gebruikt wordt in dit onderzoek uit te leggen ineen probleemformulering en onderzoeksopzet. Het tweede deel bevat de literatuurstudie waar weeen hoofdstuk over victimologie en het Belgische wetgevend kader geven. Vervolgens hebben wehet fenomeen onderverdeeld in aard, omvang, dreiging, kwetsbaarheid en impact. Bij aard gaanwe de verschillende risicos omschrijven en geven we een zicht op mogelijk toekomstige trends.Voor omvang geven we een weergave van een mogelijk dark number en achterhalen we demogelijke omvang van het fenomeen die weergegeven wordt in verschillende rapporten uit diverselanden die we naast elkaar zetten. We beginnen met cijfers voor België en daarna, naargelang decijfers wel of niet beschikbaar zijn in de bestaande literatuur, Nederland, het Verenigd Koninkrijk,Europa, de Verenigde Staten en globaal. We kijken ook naar de te verwachten evolutie.Daaropvolgend bespreken we de dreiging, waarbij we uitgaan van het standpunt van decybercrimineel, welke type daders zijn een risico voor organisaties aan de hand van hun motivatie.Voor kwetsbaarheid gaan we op zoek naar factoren die een rol kunnen spelen waarom bepaaldeorganisaties kwetsbaar zijn voor cybercrime. In het hoofdstuk impact geven we een mogelijkschadecijfer weer en vertellen we welke soort schade bedrijven nog zouden kunnen leiden. Wesluiten de literatuurstudie af met een hoofdstuk over criminologische theorieën die het fenomeencybercrime bij organisaties misschien zouden kunnen verklaren. Per hoofdstuk wordt er eentussentijdse conclusie gegeven. Aansluitend gaan we het onderzoeksresultaat presenteren waar wede informatie die we verzameld hebben bij organisaties analyseren en aftoetsen aan de gegevensuit de literatuurstudie. We sluiten af met een conclusie waarbij we een antwoord geven op deonderzoeksvraag en een aantal aanbevelingen willen meegeven.Doorheen deze meesterproef gebruiken we de algemene term organisaties wanneer we sprekenover bedrijven, overheden en non-profitorganisaties. Ook hebben we gekozen voor de algemeneterm cybercrime of informaticacriminaliteit voor alle vormen van criminaliteit met of opinformaticasystemen van organisaties. We zijn er ons ook terdege van bewust dat er in dezemeesterproef voor het behalen van een Master of Science in de criminologische wetenschappenvele technische termen worden gebruikt en hebben hiervoor een verklarende woordenlijst in bijlageopgenomen.9 Na verduistering van activa.10 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 3 en 14.2 CYBERVICTIMS
  • 9. 2 AFKORTINGENANG Algemene Nationale Gegevensbank van de Federale politiebbp bruto binnenlands productBelNis Belgian Network Information SecurityBIPT Belgisch instituut voor postdiensten en telecommunicatieCERT Computer Emergency Response TeamENISA European Network and Information Security AgencyEU Europese UnieFCCU Federal Computer Crime UnitICT Informatie- en communicatietechnologieISP internet Service ProviderKMO Kleine en Middelgrote ondernemingPwC PricewaterhouseCoopersRCCU Regionale Computer Crime UnitSCADA Supervisory Control and Data AcquisitionSNS Sociale Netwerk SitesVK Verenigd KoninkrijkVS Verenigde Staten CYBERVICTIMS 3
  • 10. This page intentionally left blank4 CYBERVICTIMS
  • 11. 3 PROBLEEMFORMULERING3.1 ProbleemstellingWe willen een onderzoek doen naar bedrijven, overheden en non-profitorganisaties als slachtoffersvan cybercrime.De laatste jaren is er al heel wat onderzoek verricht naar cybercrime in al zijn vormen en dadersmaar zeer weinig onderzoek werd verricht naar slachtoffers van deze technologische criminaliteit.Het onderzoek dat bestaat naar slachtoffers focust zich meestal nog op private personen en nietzozeer op bedrijven, overheden en de non-profitsector. Een aantal kwantitatieve studies werden 11 12wel al uitgevoerd zoals een enquête uitgevoerd door BELCLIV in 2004, waar hetslachtofferschap van Belgische bedrijven aan bod komt en het Economic Crime Survey onderzoek 13van PricewaterhouseCoopers (PwC) van 2011 . Daarnaast bestaan er een aantal kwantitatieve 14internationale onderzoeken naar cybercrime zoals die van Ponemon in de VS en het onderzoek 15van de Britse “Office of Cyber Security and Information Assurance” in samenwerking met Detica .Naast deze studies is er weinig kwalitatief onderzoek terug te vinden en is er weinig geweten overhoe organisaties tegen cybercrime aankijken en hoe ze cybercrime ervaren. Volgens de FCCUstagneert het aantal feiten van cybercrime in 2011 terwijl er de afgelopen jaren steeds een stijging 16werd vastgesteld . Recentere politiecijfers geven echter aan dat er in 2011 toch een stijging was.(voetnoot officiële statistieken op site politie). Daarnaast zien we een hoog dark number door de11 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een 2de enquête van BELCLIV, Brussel, BELCLIV, 2006.12 Belgische Club voor Informaticaveiligheid. BELCLIV heeft algemeen ten doel, elk initiatief te nemen dat tot de bevordering van de informatie- en netwerkbeveiliging kan bijdragen. Meer concreet heeft BELCLIV de volgende doelstellingen: het uitwerken en verspreiden van methodes en technische aanbevelingen inzake informaticaveiligheid; het opstellen van syntheses over de stand van zaken en de technologie in dit domein ; het bevorderen van de uitwisseling van ervaringen en ideeën tussen zijn leden; het permanent vormen van zijn leden, onder meer door het organiseren van seminars en het publiceren van informatiedocumenten.13 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011.14 PONEMON INSTITUTE, Second Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies, Ponemon Institute, 2011.15 CABINET OFFICE, DETICA, The Cost of Cyber Crime, Detica, 2011.16 FEDERALE GERECHTELIJKE POLITIE, Jaarverslag 2011: Federale gerechtelijke politie, Directie economische en financiële criminaliteit, Brussel, Federale gerechtelijke politie, DJF, 2012, 69; X, “Cybercriminaliteit kost België jaarlijks 1 tot 3 miljard euro”, De Morgen 7 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1450258/2012/06/07/Cybercriminaliteit-kost-Belgie- jaarlijks-1-tot-3-miljard-euro.dhtml. CYBERVICTIMS 5
  • 12. 17 18zeer lage aangiftebereidheid en doordat organisaties soms niet weten dat ze slachtoffer zijn .Hierdoor krijgen we geen zicht op het reële aantal feiten, op de gevolgen ervan en kunnen we nietanticiperen op kwetsbaarheid van organisaties of de dreiging van het internet. Daarnaast zien we 19in een Amerikaans rapport een steeds toenemende schade ten gevolge van cybercrime en willenwe weten of we deze toename ook naar Belgische bedrijven kunnen doortrekken.Meer onderzoek is nodig om een beter zicht te krijgen op het slachtofferschap van bedrijven tengevolge van cybercrime. Maar ook vooral om een zicht te krijgen op hoe bedrijven denken overcybercrime en hoe ze hun slachtofferschap ervaren.We willen weten wat organisaties verstaan onder cybercrime, van welk type cybercrime ze hetslachtoffer worden en wat de omvang is van het probleem. Om de dreiging te kunnen inschattenmoeten we weten waarom organisaties slachtoffer werden van cybercrime en hoe zij zelf hetfenomeen cybercrime zien evolueren naar de toekomst toe. Dit is vooral belangrijk voor de kritiekeinfrastructuur waarbij een cyberaanval gevolgen kan hebben met een zeer ernstige 20maatschappelijke impact zoals bv. het bedienen van gevangenisinfrastructuur of de onderbrekingvan het elektriciteitsnetwerk of waterzuivering. Om de prioriteit te kunnen bepalen voor de aanpakvan cybercrime is het nodig dat we weten welke schade de bedrijfswereld ondervindt vancybercrime en of dit vooral louter economische schade is.3.1.1 De ‘crime’ in cybercrime a.h.v. het prisma van Lanier en HenryPersonen als slachtoffers van cybercrime worden niet fysiek aangevallen en lijden over het 21algemeen weinig schade waardoor het fenomeen niet hoog op de agenda staat van desamenleving. Maar indien organisaties slachtoffer worden, kan dit gepaard gaan met groot 22economisch verlies door bv. imagoschade met mogelijke negatieve gevolgen op de beurs . Dat isdan ook meteen een mogelijke reden voor de zeer lage aangiftebereidheid van bedrijven bijcybercrime-aanvallen. Omdat het zelden wordt aangegeven is er ook geen belangstelling voor hetprobleem en ook geen consensus over de draagwijdte.17 E.R. LEUKFELDT, M.M.L. DOMENIE, W.P. STOL, Verkenning cybercrime in Nederland 2009, Boom Juridische Uitgevers, 2010, 263.18 E.R. LEUKFELDT, M.M.L. DOMENIE, W.P. STOL, Verkenning cybercrime in Nederland 2009, Boom Juridische Uitgevers, 2010, 16.19 PONEMON INSTITUTE, Second Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies, Michigan, Ponemon Institute, 2011, 2.20 CAROLE THERIAULT, “Hackers could throw open prison doors, research shows”, Sophos Naked Security, 8 november 2011.21 Behalve als het over betaalkaartfraude gaat.22 J. HERRERA-FLANIGAN en S. GHOSH, “Criminal Regulations” in S. GHOSH en E. TURRINI (eds.) Cybercrimes: A Multidisciplinary Analysis, Heidelberg, Springer, 2010, 290.6 CYBERVICTIMS
  • 13. Doordat de feiten in de virtuele wereld gebeuren en de gevolgen ook te weinig naar buiten wordengebracht is er ook een zeer zwakke maatschappelijke reactie.Er is nog geen onderzoek verricht naar de mogelijke sociale schade als gevolg van cybercrime. Eris voor organisaties wel een zeer hoge individuele schade. Zowel rechtstreeks doordat huninformaticaomgeving niet beschikbaar is en het productieproces hier mogelijk afhankelijk van is.Als wanneer er extra manuren moeten worden gepresteerd om systemen terug online te krijgen.Onrechtstreeks is er schade doordat hun informaticanetwerk en hun servers extra moeten worden 23beveiligd en er is ook imagoschade die economische gevolgen kan hebben op de beurs .Er is een stijging van het aantal kleine en middelgrote ondernemingen dat slachtoffer wordt van 24cybercrime doordat hun budget voor informaticabeveiliging veel lager ligt dan bij grote 25ondernemingen .We willen het fenomeen cybercrime, en dan vooral waar organisaties het slachtoffer van zijn,behoorlijk hoog plaatsen in de onderste piramide van het criminaliteitsprisma van Lanier en 26Henry . Feiten van cybercrime worden gepleegd door the powerful en er is meer individueleschade dan maatschappelijke schade waardoor er ook weinig maatschappelijke respons is.Daardoor is er conflict over de belangrijkheid van het fenomeen.23 J. HERRERA-FLANIGAN en S. GHOSH, “Criminal Regulations” in S. GHOSH en E. TURRINI (eds.) Cybercrimes: A Multidisciplinary Analysis, Heidelberg, Springer, 2010, 290.24 VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 21.25 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een 2de enquête van BELCLIV, Brussel, BELCLIV, 2006, 17.26 M. LANIER en S. HENRY, Essential criminology, Colorado, Westview Press, 2004, 36. CYBERVICTIMS 7
  • 14. 3.2 DoelstellingWe willen een beter inzicht krijgen in het slachtofferschap van organisaties en hoe zij denken overhet fenomeen. Door een beter zicht te krijgen op het fenomeen en de gevolgen ervan kunnenorganisaties en het beleid, de nodige preventieve maatregelen nemen of afschaffen. Door ditonderzoek kunnen we organisaties misschien meer aanzetten tot het aangeven van gepleegdefeiten aan de bevoegde autoriteiten waardoor we het dark number kunnen verlagen en een beterzicht krijgen op het fenomeen. Dit is misschien een heel nobel en onbereikbaar doel maar het iseen goed uitgangspunt.We zullen hetgeen we uit internationaal kwantitatief onderzoek weten, toetsen aan de resultatendie we verzamelen in interviews in het kader van dit onderzoek.We kiezen voor een kwalitatief explorerend onderzoek omdat er op dit ogenblik nog heel weinig isgeweten over bedrijven, overheden en non-profitorganisaties als slachtoffer van cybercrime en wathun standpunt is over het fenomeen en de vereiste aanpak.Dit onderzoek is op de eerste plaats bedoeld voor de organisaties zelf zodat ze weten wat dedreiging door cybercrime inhoudt en hoe ze kunnen omgaan met ICT-beveiliging.Daarnaast is er ook een zekere wetenschappelijke relevantie omdat er zeer weinig geweten is overorganisaties als slachtoffer van cybercrime. Hiermee willen we een eerste aanzet geven tot verdervictimologisch onderzoek naar deze technologische criminaliteit.De resultaten van dit onderzoek kunnen ook interessant zijn voor de beleidsmakers zodat zij hunbeleid kunnen afstemmen op de dreiging en kwetsbaarheid van organisaties voor cybercrime.Voor dit onderzoek werken we vooral inductief door ons te laten leiden door de informatie die wekunnen terugvinden in literatuurstudie en de empirische gegevens uit onze interviews.Dit onderzoek wordt verricht in het kader van mijn meesterproef voor het behalen van de masterin Criminologische Wetenschappen. Naar aanleiding van mijn stage in het derde bachelor jaar bijde FCCU van de Federale gerechtelijk politie ontdekte ik dat er grote nood is aan meer inzicht inhet slachtofferschap van bedrijven. Niet alleen de financiële gevolgen maar ook meervictimologisch inzicht is duidelijk nodig om hun beleid hierop te kunnen afstemmen.8 CYBERVICTIMS
  • 15. 3.3 Onderzoeksvragen Wat is de ervaring van Belgische bedrijven, overheden en non- profitorganisaties met het wetgevend kader informaticacriminaliteit, de aard, omvang, dreiging, kwetsbaarheid en impact van cybercrime?• Welke criminologische theorieën zijn volgens Belgische organisaties van toepassing op cybercrime?• Wat zijn de tekortkomingen en pluspunten van het Belgisch recht inzake informaticacriminaliteit voor organisaties?• Welke types van cybercrime vormen, volgens Belgische organisaties, het grootste risico voor henzelf?• Wat is volgens de Belgische organisaties de omvang van cybercrime gericht tegen henzelf en wat is volgens hen de evolutie hierin?• Zijn organisaties in België zich bewust van de dreiging van cybercrime en hoe zien ze deze dreiging evolueren naar de toekomst?• Welke indicatoren bestaan er volgens Belgische organisaties om hun kwetsbaarheid te bepalen ten aanzien van cybercrime?• Welke schade ondervinden organisaties bij cybercrime-aanvallen en hoe groot schatten ze de financiële schade in voor België?Organisaties zijn ondernemingen, als organisaties van kapitaal en arbeid gericht op het makenvan winst; non-profitorganisaties als ondersteuning van private of publieke aangelegenhedenzonder winstoogmerk en overheden als organisaties die het hoogste gezag dragen voor eenbepaald territorium.Cybercrime of informaticacriminaliteit zijn, voor dit onderzoek, alle vormen van misdrijvengepleegd met behulp van ICT met ICT als doelwit. We sluiten conventionele criminaliteit metbehulp van ICT niet meteen uit en laten het literatuuronderzoek en empirisch onderzoek bepalen ofdit voor organisaties ook onder cybercrime valt. CYBERVICTIMS 9
  • 16. 4 ONDERZOEKSOPZET4.1 OnderzoeksmethodeDoordat we niet zeker zijn van het aantal respondenten dat we in korte tijd kunnen bereiken,kiezen we ervoor om op verschillende wijzen data te verzamelen. Ten eerste zullen we eenuitgebreide literatuurstudie uitvoeren. Ten tweede willen we zoveel mogelijk informatie bekomendoor interviews af te nemen bij verantwoordelijken voor informaticabeveiliging en ten derde zullenwe als extra oplossing, het interview ook online zetten via een open enquête zodat respondentendie ons niet persoonlijk te woord willen staan voor een interview ons toch kunnen helpen door ditinterview online in te vullen. We zullen de interviews zoveel mogelijk mondeling afnemen en viaeen transcript de data analyseren. Andere resultaten krijgen we digitaal via de online enquête.Tijdens het analyseproces van de interviews maken we gebruik van de analytische spiraal. Wezullen de verzamelde data telkens per interview analyseren zodat we voor een volgend interviewmogelijks extra vragen kunnen stellen, of bestaande vragen anders kunnen formuleren, om eenantwoord te bieden aan opmerkingen die tijdens de analyse van de voorgaande interviews naarboven komen. Tijdens de analyse proberen we verschillende patronen te herkennen zoals bv.kenmerken van de onderzoekseenheden en vermoedelijke redenen van victimisatie. We zullen deinformatie uit de kwalitatieve interviews toetsen aan de informatie die we terugvinden in debestaande, meestal kwantitatieve, onderzoeksrapporten.We maken gebruik van een deductieve analysemethode doordat we starten van de informatie diewe in de literatuur terugvinden en toetsen die af aan de informatie uit onze interviews. We makenook gebruik van de sensitizing concepts die we uit de literatuurstudie halen om onzedataverzameling en analyse te structureren. We proberen op inductieve wijze de overige data teanalyseren om tot een antwoord te komen op de onderzoeksvragen.Bij de rapportage proberen we aan de hand van de geanalyseerde data een duidelijk antwoord tegeven op de verschillende deelvragen om uiteindelijk de onderzoeksvraag te beantwoorden.4.2 OnderzoekseenhedenOnze doelgroep bestaat uit medewerkers van organisaties die in het kader van hun werkopdrachtop de hoogte zijn van cybercrime aanvallen binnen hun organisaties. We zullen contact zoeken metsecurity personeel en medewerkers in managementfuncties die een overzicht hebben op hunorganisatie als slachtoffer. Omdat het niet zo eenvoudig is om de onderzoekseenheden te bereikenen te overtuigen om mee te werken, kiezen we voor een iets persoonlijkere aanpak via contactenen maken dus gebruik van een sneeuwbalsteekproef.10 CYBERVICTIMS
  • 17. 4.3 OnderzoekslocatieWe proberen de interviews af te nemen bij de respondenten op hun werkplaats om henverplaatsing te besparen en hen in een vertrouwde omgeving te laten vertellen. Diegenen die nietwillen dat hun werkgever op de hoogte is van hun getuigenis nodigen we uit op de VUB of in eenhoreca gelegenheid.4.4 MiddelenDit onderzoek zal gevoerd worden door een masterstudent Criminologische Wetenschappen in hetkader van haar meesterproef in samenwerking met een promotor en een assistent. Om ditonderzoek te voeren zijn er buiten een laptop en een dictafoon geen andere materiëlebenodigdheden. De werkzaamheden voor dit onderzoek zullen volledig gedragen worden door demasterstudent waarbij de promotor en de assistent meer een sturende functie hebben.4.5 OnderzoeksperiodeDit onderzoek wordt uitgevoerd in het kader van een meesterproef gedurende de tijdsspanne vanéén academiejaar met als deadline 15 augustus 2012. We beginnen dit onderzoek met eenzoektocht naar bronnen en een eerste literatuurstudie om een duidelijke probleemformulering tekunnen stellen. Na het stellen van het probleem en de doelstelling voeren we een iets grondigereliteratuurstudie om ons in te werken in het onderwerp. In een derde fase bereiden we hetverzamelen van de empirische gegevens voor en proberen we contacten te leggen met mogelijkerespondenten. In een volgende fase verzamelen we data die we dan ook meteen analyseren. Alslaatste wordt het rapport geschreven. Een eerste meetmoment is het afwerken van deprobleemformulering op 15 november 2011. Het verzamelen van data en analyseren zal afgewerktmoeten zijn eind juli waarna we het uiteindelijke rapport kunnen afwerken dat ingediend zalworden op 15 augustus 2012.4.6 Kritische blik op onderzoeksopzetOm dit onderzoek uit te voeren zijn er geen financiële middelen verreist. Er is weinig tijd maar doormeetpunten in te bouwen en reservetijd te voorzien voor onverwachte omstandigheden willen wedit onderzoek afgewerkt krijgen binnen de voorziene deadlines. Het bereiken van de respondentenkan misschien een probleem opleveren omdat de meeste bedrijven niet willen praten overcyberaanvallen op hun infrastructuur. Door via contacten te werken en anonimiteit te verzekeren,hopen we toch een aantal bedrijven te sensibiliseren om samen te werken. CYBERVICTIMS 11
  • 18. Doordat we een kwalitatief onderzoek voeren door middel van interviews is er een grotere internevaliditeit dan bij kwantitatief onderzoek. We weten niet in hoeverre de geïnterviewden mogen ofkunnen uitweiden over de feiten van cybercrime en de gevolgen hiervan voor hun organisatie en inhoeverre de antwoorden nog overeenstemmen met wat er in werkelijkheid gebeurd is maar hetgeeft ons wel de mogelijkheid om door te vragen. We proberen de interne validiteit nog teverhogen door volledige anonimiteit te geven aan de respondenten en dan vooral de bedrijven inwiens naam zij spreken. We geven ook de mogelijkheid om online (anoniem) op de vragen teantwoorden zodat we ook minder sociaal wenselijke antwoorden krijgen.Er is geen grote externe validiteit omdat we werken met een sneeuwbalsteekproef met weinigrespondenten en we de resultaten niet mogen veralgemenen naar de populatie. Er is welgeneralisatie mogelijk van de casestudies naar gelijkaardige cases.De kwalitatieve interpretatie van de antwoorden door één onderzoeker, namelijk de student, geeftaltijd als risico dat er een systematische vertekening is bij de analyse waardoor minder internebetrouwbaarheid is. We proberen de interne betrouwbaarheid te verhogen doordat we ons bewustzijn van dit probleem en door zich te laten bijstaan door een promotor en een assistent.Doordat we werken met een sneeuwbalmethode is het niet vanzelfsprekend om een gelijkaardigonderzoek opnieuw te voeren waardoor het niet zeker is dat een nieuw onderzoek tot dezelfdeconclusies zal komen.Bij het gebruik van een sneeuwbalsteekproef bestaat het risico dat de respondenten binnenbeperkte kringen vallen en we geen algemeen overzicht krijgen. We proberen hier rekening mee tehouden en zullen vanaf verschillende contactpersonen starten.Samenvattend bestaan de nadelen en beperkingen van dit kwalitatief onderzoek er vooral in dat erlage externe validiteit is en dat het dan ook niet mag gegeneraliseerd worden naar alle organisatiesin België. We moeten ook opletten met een beperkte interne en externe betrouwbaarheid.De meerwaarde van dit onderzoek is dat er een grote interne validiteit is en dat organisaties zowelnaar feiten worden gevraagd als naar hun ervaring met cybercrime en hoe zij de toekomst zien.We krijgen een eerste zicht op het slachtofferschap van organisaties ten gevolge van cybercrime enwe kunnen een profiel opstellen wat volgens hen de indicatoren zijn voor mogelijk slachtofferschap.Hiermee kunnen bedrijven rekening houden in hun beleid inzake informaticabeveiliging enresponsabilisering. Ook proberen we zicht te krijgen op de geleden schade waardoor de overheiden de politieorganisatie het fenomeen beter kunnen inschatten en hun beleid daarop kunnenafstemmen.Er zijn geen ethische bezwaren tegen dit onderzoek behalve het feit dat, als we anonimiteitbeloven, we er ook voor moeten zorgen dat bij de omschrijving van het type bedrijf de lezer ditniet in verband kan brengen met één bepaalde organisatie. Dit geldt vooral voor overheden engrote bedrijven, alsook voor bedrijven met een monopoliepositie.12 CYBERVICTIMS
  • 19. 5 LITERATUURSTUDIE5.1 Criminologische theorieënIn dit hoofdstuk bespreken we kort een aantal criminologische theorieën om te kijken of we hetfenomeen cybercrime kunnen verklaren en hoe we mogelijks kunnen voorkomen dat organisatieshier slachtoffer van worden. Hoe staan organisaties als slachtoffer tegenover het fenomeencybercrime en de opvolging ervan door justitie. Sinds de opkomst van cybercrime bestaat dediscussie of deze virtuele criminaliteit kan worden ingedeeld in bestaande criminologische 27theorieën. Enerzijds heb je auteurs als Grabosky die ervoor ijveren dat cybercrime een geval isvan oude vertrouwde criminele activiteiten gepleegd met nieuwe tools en technieken. Deze ‘oldwine in new bottles’ kan dan worden verklaard door middel van bestaande criminologischemodellen zoals de routine activiteiten theorie en moral panic. Of, moeten we deze nieuwe vormvan criminaliteit en criminologie onderscheiden van de klassieke criminaliteit en criminologie en 28moeten we onze oude theorieën aanpassen, uitbreiden of zelfs helemaal achter ons laten?5.1.1 VictimologieCriminologie is een wetenschap die zich in eerste plaats bezighoudt met empirisch onderzoek naarde aard, omvang en preventie van normoverschrijdend gedrag. Maar de afbakening van deze jongewetenschap staat voortdurend in vraag en één van de evoluties is het onderzoek naarslachtofferschap. Sinds kort komen ook organisaties in de aandacht van de criminologie en hunaandeel in gepleegde feiten. Maar daarnaast kunnen deze organisaties ook het slachtoffer zijn vancriminaliteit.De victimologie probeert de studie te verschuiven van de dader en de feiten naar het slachtoffer. Erwordt onder meer onderzocht wie de slachtoffers zijn, waarom ze slachtoffer zijn, in welke mate zeschade ervaren, of ze een rol spelen in de gepleegde criminaliteit, wat hun rechten en plichten zijnenz. Als we over slachtofferschap spreken, hebben we het in de eerste plaats meestal overprimaire victimisatie, namelijk het rechtstreeks slachtoffer zijn van een misdrijf. Maar veelal zijnorganisaties ook secundair slachtoffer, doordat de soms negatieve reactie op het misdrijf ookschade kan veroorzaken. Zo kan bv. de reactie op een cyberaanval negatieve gevolgen hebbenvoor het imago van een bedrijf en daardoor mogelijk ook gevolgen hebben voor de prijzen van hun27 P. GRABOSKY, “Virtual Criminality: Old Wine in New Bottles?”, Social & Legal Studies 2001, 248.28 M. YAR, “The Novelty of ‘Cybercrime’: An Assessment in Light of Routine Activity Theory”, European Journal of Criminology 2005, 407-408. CYBERVICTIMS 13
  • 20. 29aandelen op de beurs . Nils Christie spreekt in haar The ideal victim over het ideale slachtoffer datzwak, kwetsbaar en hulpbehoevend is en het niet-ideale slachtoffer dat geen sympathie hoeftomdat ze zelf de oorzaak van hun slachtofferschap zijn door hun karakteristieken, hun risicovol 30gedrag of het gebrek aan veiligheidsmaatregelen . Organisaties die het slachtoffer worden vancybercrime vallen meestal in die laatste categorie. “Ze hadden zich maar beter moeten beveiligendan zouden ze nooit slachtoffer van cybercrime zijn.” We moeten vermijden dat we slachtoffersgaan labelen als schuldigen wanneer we bepaalde indicatoren voor slachtofferschap van cybercrime 31gaan aantonen. Als laatste zijn er veel organisaties die zelf niet weten dat ze slachtoffer zijn .In de victimologie kunnen we drie strekkingen onderscheiden: de conservatieve, de liberale en deradicaal-kritische. De conservatieve victimologie focust zich vooral op de zeer zichtbare vormenvan slachtofferschap, het verantwoordelijk stellen van het slachtoffer en het zoeken naar patronenvan slachtofferschap. De liberale victimologie is een uitbreiding op de conservatieve en gaat ook deslachtoffers onderzoeken van meer verborgen criminaliteit zoals cybercrime. De radicaal-kritischevictimologie gaat nog verder en onderzoekt alle vormen van menselijk lijden. Het gaat ookonderzoek doen naar institutioneel wangedrag en de invloed ervan op niet alleen individuen maar 32ook de samenleving. Cybercrime gepleegd op kritieke infrastructuur zoals bankinstellingen oftelecommunicatieoperatoren, kan niet alleen zware economische gevolgen hebben voor eensamenleving maar kan indien gepleegd op gevaarlijke kritieke infrastructuur zoals nucleaireinstallaties of waterzuiveringsinstallaties ook uitgebreide fysieke schade toebrengen aan eensamenleving. De aanval op Estland in 2007 waarbij vooral overheidssites het doelwit waren en het 33ontdekken van het stuxnet virus gericht tegen Iranese nucleaire installaties moet ons doennadenken bij het risico van cybercrime op dergelijke installaties.29 J. HERRERA-FLANIGAN en S. GHOSH, “Criminal Regulations” in S. GHOSH en E. TURRINI (eds.) Cybercrimes: A Multidisciplinary Analysis, Heidelberg, Springer, 2010, 290.30 N. CHRISTIE, “The ideal victim” in E. FATTAH (eds.), From Crime Policy to Victim Policy, Bassingkstoke, Macmillan, 1986, 17.31 E.R. LEUKFELDT, M.M.L. DOMENIE, W.P. STOL, Verkenning cybercrime in Nederland 2009, Boom Juridische Uitgevers, 2010, 16.32 E. CARRABINE, P. IGANSKI, M. LEE, K. PLUMMER EN N. SOUTH, Criminology!: a sociological introduction, London, Routledge, 2004, 117-118.33 Stuxnet is een worm die zich op grote schaal verspreid maar ontworpen is om systemen aan te vallen die industriële processen monitoren en controleren. Hij werd ervan verdacht om gebruikt te worden Nucleaire installaties in Iran aan te vallen. Het toont aan dat cyber-aanvallen gebruikt kunnen worden om fysieke schade toe te brengen in de reële wereld. Het maakt het spook van de cyber-sabotage echt; SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 14.14 CYBERVICTIMS
  • 21. 5.1.2 Routine activiteiten theorieWe bespreken hier de routine activiteiten theorie van Cohen en Felson omdat deze in de literatuurnaar voor komt als een theorie vatbaar voor mogelijke adaptatie naar cyberspace. Yar gaat hiervan uit dat, als we de concepten en het kader van deze theorie kunnen doortrekken naarcybercrime, we kunnen spreken van een continuïteit tussen conventionele criminaliteit encybercrime en er dus geen sprake is van criminologische nieuwigheid. De routine activiteitentheorie van Felson en Cohen (1979) stelt dat: “het samenkomen in tijd en ruimte van eengemotiveerde dader en bruikbare doelen, samen met de afwezigheid van bekwame bewakers meer ” 34kans zal leveren op criminaliteit. De conclusie van Yar luidt dat de drie basisconceptenafzonderlijk, mits enige aanpassing, kunnen worden overgenomen in cyberspace maar erverschijnen duidelijke verschillen als we deze concepten samenbrengen in een vereenvoudigdetheoretisch schema. Het centrale probleem is dat in de klassieke routine activiteiten theorie, tijd enruimte een belangrijke rol spelen, die in cyberspatial omgeving vertroebelt. De moeilijkheid om, deveronderstelling van het naar elkaar toegroeien in tijd en ruimte van de routine activiteiten theorie,om te zetten naar cybercrime maakt de eenvoudige verklarende toepassing op het ontstaan van 35cybercrime, problematisch. Yar bevestigt wel dat hij voor deze verklaring gebruik maakt van deoriginele definitie van de routine activiteiten theorie en dat de concepten verschillende vormenkunnen aannemen en variëren naargelang de oriëntatie van de criminoloog en verschillende 36ontwikkelingen kunnen aannemen doorheen de tijd .Een onderzoek van Choi naar slachtofferschap van computercriminaliteit bij studenten, aan dehand van de routine activiteiten theorie, stelt de hypothese dat individuen die een onveiligecomputer levensstijl hebben waarschijnlijk ten prooi zullen vallen aan computercriminelen. Eenonveilige internet levensstijl betekent onbekende websites bezoeken of software downloaden vanwebsites om gratis toegang tot krijgen tot audiovisuele files of software, op links klikken zonder 37enige voorzichtigheid, of nalaten de juiste beveiligingssoftware te installeren. Een kritiek op dezestudie is dat deze zich vooral concentreert op de internet levensstijl van de respondenten zoals hetbezoeken en downloaden van dubieuze software en de afwezigheid van bekwame bewakersnamelijk het installeren van beveiligingssoftware. De onderzoeker laat zich niet in met het derdeconcept namelijk de gemotiveerde daders en houdt ook geen rekening met de kritiek zoals die34 M. LANIER en S. HENRY, Essential Criminology, Colorado, Westview Press, 2004, 93.35 M. YAR, “The Novelty of ‘Cybercrime’: An Assessment in Light of Routine Activity Theory”, European Journal of Criminology 2005, 423-424.36 M. YAR, “The Novelty of ‘Cybercrime’: An Assessment in Light of Routine Activity Theory”, European Journal of Criminology 2005, 412.37 K. JAISHANKAR, Cyber Criminology: Exploring internet Crimes and Criminal Behavior, Londen, CRC Press, 2011, 229-245. CYBERVICTIMS 15
  • 22. 38geuit is door Yar waarbij het framework van het samenkomen van de drie concepten in tijd enruimte wordt genegeerd.Volgens onze bevindingen kunnen we de routine activiteiten theorie ook toepassen op organisatiesals slachtoffer van cybercrime. Maar dan ook in de vorm waarbij het gebruik van de origineledefinitie kan variëren. Organisaties die voldoen aan bepaalde kwetsbare factoren zullen meer deaandacht trekken van eventuele cybercriminelen. Als zij zich daarnaast ook niet voldoendebeveiliging wordt het risico op slachtofferschap groter. Als we dan het motief van eventuele dadersmee in aanmerking nemen als tweede hoeksteen van de routine activiteiten theorie zien we dat dedreiging voor organisaties nog groter wordt. We spreken bij de routine activiteiten theorie over hetnaar elkaar toegroeien in tijd en ruimte en stellen dat het gebruik van deze theorie in onzemoderne cyberspatial moeilijk toe te passen. In het geval dat we organisaties als mogelijkedoelwitten beschouwen kunnen we stellen dat zij meestal continu aanwezig zijn op het internet. Decontinue aanwezigheid in eenzelfde ruimte als mogelijke daders maakt dat deze niet in tijd enruimte naar elkaar toe groeien maar één zijn.5.1.3 Moral panicSinds de term moral panic verscheen in de titel van Cohen’s boek rond het onderzoek naar demediaberichtgeving rond de Mods en Rockers is de term alomvertegenwoordig in de criminologie.Cohen stelt in zijn boek dat: “zo nu en dan, samenlevingen lijken te worden onderworpen, aan perioden van morele paniek. Een voorwaarde, episode, persoon of groep van personen komen te worden gedefinieerd als een bedreiging voor de maatschappelijke waarden en het algemeen belang; de aard ervan wordt gepresenteerd in een gestileerde en stereotiepe wijze door de massamedia; de morele barricaden worden bemand door redacteuren, bisschoppen, politici en andere rationele mensen; sociaal erkende experts geven hun diagnoses en oplossingen; manieren om ermee om te gaan zijn geëvolueerd of zijn een toevlucht; de conditie 39 verdwijnt vervolgens, gaat voorbij of verslechtert en wordt steeds meer zichtbaar.”De berichtgeving over de Mods en Rockers werd door Cohen geklasseerd in drie categorieën: 1) deoverdrijving van de media van de betrokken cijfers, 2) de mate van geweld, en 3) het bedrag vande veroorzaakte schade. Deze drie categorieën in combinatie met sensationele krantenkoppen eneen dramatische stijl van rapporteren, de voorspelling van nog meer conflict en geweld, en hetlabelen van bepaalde groepen leiden ertoe dat geïsoleerde feiten gelinkt worden aan het origineel38 M. YAR, “The Novelty of ‘Cybercrime’: An Assessment in Light of Routine Activity Theory”, European Journal of Criminology 2005, 423-424.39 S. COHEN, Folk Devils and Moral Panics, Oxon, Routledge, 2002, 1.16 CYBERVICTIMS
  • 23. probleem en begrepen werden als een symptoom van de onderliggende malaise. Cohen toont ookaan dat morele enterpreneurs, die zich inzetten tegen de uitbraak van deze wetteloosheid, het 40probleem overdrijven en declameren als een verval van moraliteit en normen. We mogennatuurlijk niet uit het oog verliezen dat een moral panic ook echte victimisatie en echte socialeproblemen kan betreffen, maar men moet oppassen dat de paniek zoals die uitgedrukt wordt in demedia niet disproportioneel is ten opzichte van de werkelijk geleden schade.Recente feiten van cybercrime en dan vooral de berichtgeving daarrond moeten ons de vraag doenstellen of we niet moeten oppassen om cyberphobia te creeëren onder burgers en organisaties. Weleven in een wereld van permanente angst en globale onveiligheid. Vanuit het standpunt vanbeveiligingsexperten verandert de internetconnectiviteit van elke burger hem in een potentiëlecrimineel maar ook in een potentieel slachtoffer. Ook de invloed van de media, rijk aan beelden 41van cyber folk devils, lijdt tot een moral panic. Een vb. hiervan komt uit een Engels rapport vanPwC waarin wordt gesteld dat het grootste risico op cybercrime wordt verwacht van buiten deorganisatie maar dit kan misschien worden verklaard door de focus van de media voor externe 42cybercrime aanvallen . Daarentegen staat dat de kans op aanvallen van extern zeer groot is maardat het risico (mogelijke impact x haalbaarheid) vele malen hoger ligt bij aanvallen van insiders.Mogelijke gevolgen zijn bepaalde vormen van gedragsschade waarbij men gaat overinvesteren ofbeperkingen gaat opleggen aan medewerkers. Deze beperkingen kunnen dan weer als gevolghebben dat medewerkers, die niet aan hun gebruiksgemak willen inboeten, toch hun weg gaanzoeken op het netwerk en het nog onveiliger maken dan het al was.We zijn er ons terdege van bewust dat we in deze meesterproef moeten oppassen in onzestellingen, cijfers en taalgebruik om te voorkomen dat we in een cyberphobia meegaan en paniekcreëren. We proberen op een zo neutraal mogelijke en wetenschappelijke manier de bestaandeliteratuur en de mening van organisaties weer te geven door gebruik te maken van een degelijkemethodologie. We sluiten natuurlijk niet uit dat de mening van de respondenten mogelijk beïnvloedwerd door mediaberichtgeving en hun mogelijk telelensreflex doordat zij juist als slachtoffer met dematerie in aanraking komen. Ook moet de lezer zich bewust zijn van de beperkte omvang van dezestudie en deze lezen als een leidraad over hoe organisaties denken over cybercrime en hunslachtofferschap en niet als positivistische waarheid over cybercrime.40 E., MCLAUGHLIN en J., MUNCIE, The Sage Dictionary of Criminology, Londen, Sage, 2008, 250-251.41 Y. JEWKES EN M. YAR, Handbook of internet Crime, Devon, Willan Publishing, 2010, 57.42 PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 7. CYBERVICTIMS 17
  • 24. 5.1.4 Nieuwe techno-sociale theorieën?De evolutie van de digitale wereld tot een geïnstitutionaliseerde cyberspace zorgt, volgensSandywell, niet zozeer voor een uitbreiding van de sociale ruimtes maar voor nieuwe socialerelaties. Dit postmodern fenomeen zorgt voor een radicale hervorming van de bestaande socialeruimte in het echte leven. Deze nieuwe cybercultuur zorgt voor nieuwe theorieën in andereinterdisciplinaire domeinen zoals ‘Social Informatics and cyber-demographics’ en nieuwe vormen 43van geo-politieke theorieën. . De criminologie houdt zich al bezig met het techno-sociale maaralleen vanuit de ingewortelde veronderstellingen van oude paradigma’s. Brown uit ook kritiek ophet verder breien op bestaande criminologische theorieën in deze techno-sociale samenleving.Criminologie refereert af en toe wel naar information revolutions, electronic surveillance,transformations in media communications etc., maar de gevolgen van technologie blijven meestal 44onderbelicht. Young spreekt, in zijn boek over sociale exclusie, over technologie als een 45instrument in relatie tot sociale controle en exclusie . Ook kunnen we spreken van inclusie voordiegenen die toegang heben tot technologie en sociale exclusie voor diegenen die hiervan wordenuitgesloten. De have en have nots. In recente criminologische analyses wordt het technischegezien als een specialiteit in de criminologie op zich en niet als onderdeel van dehumane/technische hybride wereld. Sociale denkers focussen niet op non-humane elementen.Zoals Scott Lash zich afvraagt: “For what happens when forms of life become technological? (…) in technological forms of life we make sense of the world through technological systems (…) we face our 46 environment in our interface with technological systems.”Welke uitdagingen zouden er niet zijn, als de criminologie techno-sociale theorieën zouontwikkelen. Men dient te focussen op het menselijk handelen met betrekking tot hun gelijktijdige 47samenstelling als informatieve en technische activiteit in plaats van old wine in new bottles?5.1.5 Tussentijdse conclusieWe zien drie mogelijke theoretisch invalshoeken om cybercrime op organisaties te verklaren. In deeerste plaats gaan we achterhalen hoe organisaties hoe slachtofferschap ervaren en hoe het43 Y. JEWKES EN M. YAR, Handbook of internet Crime, Devon, Willan Publishing, 2010, 56.44 S. BROWN, “The criminology of hybrids: Rethinking crime and law in technosocial networks”, Theoretical Criminology 2006, 225-228.45 J. Young, The Exclusive Society,. Londen, Sage, 1999, 192.46 S. LASH, Critique of Information, Londen, Sage, 2002, 15.47 S. BROWN, “The criminology of hybrids: Rethinking crime and law in technosocial networks”, Theoretical Criminology 2006, 223-244.18 CYBERVICTIMS
  • 25. slachtofferschap van organisaties een invloed kan hebben op de samenleving. Vervolgens proberenwe aan de hand van de routine activiteiten theorie te verklaren waarom bepaalde organisatieskwetsbaarder zijn voor vormen van cybercrime. Via de moral panic gaan we achterhalen hoebepaalde mediaberichtgeving een impact kan hebben op het beleid met mogelijks gedragsschadetot gevolg. In het hoofstuk nieuwe techno-sociale theoriën proberen we de lezer te overtuigen omstil te staan bij de vertechnisering van onze samenleving en de nood aan nieuwe theoretischeinzichten die het techno-sociale mee in ogenschouw neemt. CYBERVICTIMS 19
  • 26. 5.2 Wetgevend kader5.2.1 Informaticacriminaliteit in het StrafwetboekInformaticacriminaliteit werd in België in het strafrecht ingevoerd met de Wet op de 48informaticacriminaliteit van 2000 en wordt in het strafwetboek beschreven in vier misdrijven. 49 50Naar aanleiding van het Europees Cybercrimeverdrag werden in 2006 nog een aantal artikels 51gewijzigd maar niet alles wat nodig was om het verdrag te kunnen ratificeren werdgeïmplementeerd. 52 EN 535.2.1.1 INFORMATICAVALSHEID“Valsheid in informatica is het wijzigen of wissen van gegevens in een informaticasysteem of hetgebruik van die gegevens veranderen, zodat ook de juridische draagwijdte verandert. Het begrip isingevoerd om een einde te maken aan de problemen die ontstonden wanneer men het begripvalsheid in geschrifte wilde toepassen op computergegevens. Immers: zijn gegevens op een 54computer nu wel of niet te beschouwen als geschriften?”Voorbeelden van valsheid in informatica zijn het aanpassen van examenresultaten in de systemenvan een universiteit en het namaken van betaalkaarten. 555.2.1.2 INFORMATICABEDROG“Informaticabedrog is het met bedrieglijk opzet zichzelf of iemand anders onrechtmatig verrijken 56via datamanipulatie. Het gaat in dit geval om de manipulatie van een toestel: bij internetfraude 57manipuleert men personen.”48 Wet 28 november 2000 inzake informaticacriminaliteit, BS 3 februari 2001, 2909.49 Verdrag van de Raad van Europa van 23 november 2001 Convention on Cybercrime, CETS, nr. 185.50 Wetsontwerp tot wijziging van de wet van 28 november 2000 betreffende de informaticacriminaliteit, de wet van 30 juni 1994 betreffende het auteursrecht en de naburige rechten, en van de wet van 23 maart 1995 tot bestraffing van het ontkennen, minimaliseren, rechtvaardigen of goedkeuren van de genocide die tijdens de tweede wereldoorlog door het Duitse nationaal socialistische regime is gepleegd, Parl.St. Kamer 2004- 05, nr. 51 1284/008, 3.51 Wet van 15 mei 2006 tot wijziging van de artikelen 259bis, 314bis, 504quarter, 550bis en 550ter, BS 12 september 2006, 46332.52 Art. 210bis Sw.53 Bijzonder opzet is vereist. Staat niet expliciet vermeld in Art. 210bis Sw. maar werd opgenomen in Art. 193 Sw. (voor heel hfdstk V).54 www.belgium.be/nl/justitie/veiligheid/criminaliteit/computercriminaliteit/.55 Art. 504quarter Sw.20 CYBERVICTIMS: Wetgevend kader
  • 27. Voorbeelden van informaticabedrog zijn gebruik maken van een gekraakte telefooncentrale en hetgebruik van een vervalste kredietkaart. 585.2.1.3 HACKING“Hacking is een zeer vaag begrip. Zelfs informatici verschillen van mening over de preciezebetekenis van het woord. Hacking is ongeoorloofd binnendringen in een computersysteem. Met deinbraak is meestal kwaad opzet gemoeid. Maar ook onopzettelijk een verbinding tot stand brengenen die verbinding vrijwillig behouden, wordt als hacking beschouwd. Ook het hacken van eeninformaticasysteem dat niet of nauwelijks beveiligd is, is strafbaar. Bij de beoordeling van hackingmaakt de wet een onderscheid tussen insiders en outsiders. Insiders zijn personen die wel eenbepaalde toegangsbevoegdheid hebben, maar die bevoegdheid overschrijden. Zij zijn alleenstrafbaar als ze hacken om schade toe te brengen of bedrieglijk opzet te plegen. Deze beperkinggeldt niet voor outsiders: zij zijn altijd strafbaar, ook al kraken ze een systeem met goedebedoelingen. Het is verboden om gegevens die computerinbraken mogelijk maken, te verzamelenof, al dan niet tegen betaling, aan te bieden. Dit verbod dient vooral om de handel in 59toegangscodes en hacking tools aan banden te leggen.”Voorbeelden van hacking zijn het inbreken in het computersysteem van een universiteit en hetkopiëren van een magneetstrip van een betaalkaart. 605.2.1.4 INFORMATICASABOTAGE“Informaticasabotage is het best te omschrijven als vandalisme in een informaticaomgeving. Hetverschil met informaticabedrog is dat informaticasabotage geen verrijking tot gevolg hoeft tehebben: gegevens zonder toestemming wijzigen, is op zichzelf al een misdrijf. Vaninformaticasabotage is dus sprake als iemand opzettelijk een virus in omloop brengt, maar ook alsiemand de klantengegevens van een concurrent vernietigt zonder er zelf financieel voordeel uit tehalen. Ook het ontwikkelen en verspreiden van data-sabotagetools is strafbaar. De wetgever 61viseert hiermee vooral virusbouwers die schadelijke programmas ontwerpen of verdelen.”Voorbeelden van sabotage zijn het buiten werking stellen van een computersysteem door eenDDoS-aanval en het infecteren van pc’s zodat ze als zombie kunnen worden opgenomen in eenbotnet.56 Oplichting met behulp van het internet.57 www.belgium.be/nl/justitie/veiligheid/criminaliteit/computercriminaliteit/.58 Art. 550bis Sw.59 www.belgium.be/nl/justitie/veiligheid/criminaliteit/computercriminaliteit/ (consulatie 25 februari 2011).60 Art. 550ter Sw.61 www.belgium.be/nl/justitie/veiligheid/criminaliteit/computercriminaliteit/. CYBERVICTIMS: Wetgevend kader 21
  • 28. 5.2.2 Overige misdrijvenNaast deze vier delictsvormen bestaan er ook nog klassieke misdrijven die nu via internet kunnenworden gepleegd. Deze worden strafbaar gesteld in volgende wetgeving: 625.2.2.1 OPLICHTING MET INTERNET“Internetfraude of internetoplichting is de computervariant van de klassieke oplichting. Oplichtingis het ontfutselen van goederen of gelden aan nietsvermoedende personen met mooie woorden envoorstellen. Ook wanneer iemand daarvoor gebruikmaakt van de moderne communicatiemiddelen,is er voor de wetgever sprake van oplichting. Het internet biedt de mogelijkheid om op korte 63termijn en met zeer weinig financiële middelen een groot aantal slachtoffers te bereiken.” 64Een voorbeeld van oplichting met internet is phishing .5.2.2.2 INTERNET EN AUTEURSRECHTEN“Ook op het internet gelden de auteursrechten. Werken die auteursrechtelijk beschermd zijn, zoals 65 66tekeningen, fotos, muziek, film en software , mag u niet verspreiden via het internet zonder deuitdrukkelijke toestemming van de auteur. Een auteur van een programma kan de namaker vanzijn werk strafrechtelijk laten vervolgen, maar dat kan alleen als het namaken kwaadwillig ofbedrieglijk is gebeurd. Niet alleen de namaker is strafbaar: ook wie namaakprogrammas voorhandelsdoeleinden verkoopt, in voorraad heeft voor verkoop of invoert in België, overtreedt het 67auteursrecht.” Internetpiraten zijn hackers die zich bezighouden met het omzeilen van debeveiligingen op software, muziek en films en/of ze dan beschikbaar stellen op het internet. Omvoldoende capaciteit en bandbreedte te hebben op het internet gaan zij hiervoor servers vanorganisaties hacken en een deel van de opslagcapaciteit gebruiken om hun illegaal materiaal teverspreiden.Een voorbeeld van een inbreuk op auteursrechten is het illegaal uploaden van een televisieseriewaar auteursrechten op gelden.62 Art. 496 Sw.63 www.belgium.be/nl/justitie/veiligheid/criminaliteit/computercriminaliteit/.64 Het achterhalen van login gegevens of kredietkaartgegeven door middel van een valse website.65 Wet van 30 juni 1994 betreffende het auteursrecht en de naburige rechten.66 Wet van 30 juni 1994 houdende omzetting in Belgisch recht van de Europese richtlijn van 14 mei 1991 betreffende de rechtsbescherming van computerprogramma’s, BS 27 juli 1994, erratum 5 november 1994, 19315.67 www.belgium.be/nl/justitie/veiligheid/criminaliteit/computercriminaliteit/.22 CYBERVICTIMS: Wetgevend kader
  • 29. 685.2.2.3 DATABANKBESCHERMING 69De wet van 1998 is er gekomen om de Europese Richtlijn betreffende bescherming vandatabanken om te zetten in Belgische wetgeving. Deze wet is tweeledig en zal enerzijds een 70wijziging betekenen van de auteurswet van 1994 waardoor databanken via de auteurswetkunnen worden beschermd en anderzijds een sui generis recht invoeren voor de bescherming van 71databanken. Als de database niet voldoet aan het oorspronkelijkheidscriterium kan je het nietbeschermen via het auteursrecht maar kan je het sui generis recht inroepen. Als men kan getuigenvan een substantiële investering dan heeft men het recht om het hergebruik en de opvraging vande volledige database of een substantieel deel ervan te verbieden. 725.2.2.4 AFPERSINGAfpersing naar aanleiding van hacking (ransomware) is strafbaar volgens art. 470 van hetstrafwetboek. Afpersing is een vorm van diefstal met het onderscheid dat de dader van dit misdrijfde goederen niet wegneemt onder bedreiging maar doet afgeven. Men eist van het slachtoffer dathij een som betaalt, nadat men bestanden heeft geëncrypteerd of zijn computer heeft geblokkeerdmet kwaadaardige software (malware), om zijn computer terug vrij te geven. Ook kunnenbedreigingen geuit worden, dat men gestolen data publiek zal maken als het slachtoffer hetgevraagde bedrag niet betaalt. 735.2.2.5 SPAM“Spamming is het massaal versturen van e-mail naar mensen die daar niet om hebben gevraagd.Meestal gaat het om commerciële berichten met een erotisch karakter. Spammers verzendenberichten aan duizenden en zelfs miljoenen ontvangers tegelijkertijd. Spammen is verboden. Demailservers van de meeste internet Service Providers (ISP) weigeren alle mails die afkomstig zijnvan incorrecte adressen. Veel spammers gebruiken namelijk verschillende adressen en trachten zo68 Wet 31 augustus 1998 houdende omzetting in Belgisch recht van de Europese richtlijn van 11 maart 1996 betreffende de rechtsbescherming van databanken, BS 14 november 1998, 36914.69 Richtl. 96/9/EG van het Europees Parlement en de Raad van 11 maart 1996 betreffende de rechtsbescherming van databanken, Pb.L. 27 maart 1996, afl. 77, 20-28.70 Art. 19 Wet 31 augustus 1998 houdende omzetting in Belgisch recht van de Europese richtlijn van 11 maart 1996 betreffende de rechtsbescherming van databanken, BS 14 november 1998, 36914.71 Als een db voldoet aan het criterium van oorspronkelijkheid kan het beschermd worden door auteursrecht. Het moet een persoonlijke stempel dragen in keuze/selectie of Rangschikking/ordening.72 Art. 470 Sw.73 KB van 4 april 2003 tot reglementering van het verzenden van reclame per elektronische post, BS 28 mei 2003, 29292. CYBERVICTIMS: Wetgevend kader 23
  • 30. hun echte verzendplaats te verbergen. Sommige ISPs bieden hun gebruikers een spamfilter aan. 74Deze filter controleert alle inkomende mail op spam.” 755.2.2.6 CYBERSQUATTING“Cybersquatting is het registreren van een domeinnaam die identiek of gelijkaardig is aan eenmerk, handelsnaam, familienaam of elke andere benaming die iemand anders toebehoort, zonderzelf een legitiem recht of belang op deze benaming te hebben en met als doel schade toe te 76brengen aan een derde of er onrechtmatig voordeel uit te halen.”5.2.2.7 MELDINGSPLICHT DATA BREACH 77De Europese richtlijn 2002/58 wordt ingevoerd bij de wet van 2005 betreffende de elektronische 78communicatie waarbij art. 114 (ePrivacy richtlijn art. 4) alle aanbieders van openbareelektronische communicatiediensten verplicht om bij elk risico op aantasting van de beveiliging van 79zijn netwerk, de abonnees en het BIPT in te lichten. Deze wet werd zeer recent nog gewijzigd inde mate dat een inbreuk in verband met persoonsgegevens niet zal moeten gemeld worden aanhet BIPT en de abonnee indien de betrokken data onbegrijpelijk werd gemaakt voor eenieder die 80 81geen recht op toegang daartoe heeft (geëncrypteerd) . Door een aantal recente incidenten van 82dataverlies, met hoge zichtbaarheid, werkt Enisa aan een set van richtlijnen voor de aanpak vande technische implementatie en procedures om informatie over data breaches te delen, zoals 83voorgeschreven door de richtlijn. Daarnaast werkt het Europees Parlement en de Raad van 84Europa aan een uitgebreid voorstel tot wijziging van de e-Privacy richtlijn . De verantwoordelijkevoor de verwerking van persoonsgegevens die een inbreuk vaststelt, in verband met74 www.belgium.be/nl/justitie/veiligheid/criminaliteit/computercriminaliteit/.75 Wet van 26 juni 2003 betreffende het wederrechtelijk registreren van domeinnamen, BS 9 september 2003.76 http://economie.fgov.be/nl/ondernemingen/Intellectuele_Eigendom/Domeinnamen/cybersquatting/.77 Art. 4 richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de becherming van de persoonlijke levenssfeer in de sector elektronische communicatie, Pb.L. 31 juli 2002, 201, 37-47. (Hierna e-Privacy richtlijn).78 Art. 114 wet 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005.79 Belgisch Instituut voor Postdiensten en Telecommunicatie.80 Art. 114/1 wet wet 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005; toegevoegd bij art. 80 wet 10 juli 2012 houdende diverse bepalingen inzake elektronische communicatie, BS 25 juli 2012.81 I. RINGOOT, “Miljoenen LinkedIn-wachtwoorden open en bloot op het internet.”, De Morgen 6 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1449806/2012/06/06/Miljoenen-LinkedIn- wachtwoorden-open-en-bloot-op-internet.dhtml.82 European Network and Information Security Agency, een agentschap van de Europese Unie.83 www.enisa.europa.eu/activities/identity-and-trust/risks-and-data-breaches/dbn.84 COM(2012) 9.24 CYBERVICTIMS: Wetgevend kader
  • 31. persoonsgegevens die voor de voor de betrokken persoon schade, inclusief reputatieschade, totgevolg kan hebben, zal in de toekomst zonder onnodige vertraging, de bevoegde nationaleautoriteit en de betrokken persoon hiervan in kennis moeten stellen.5.2.3 Informaticacriminaliteit extra infoNaast voorgaande misdrijven worden in de Belgische strafwet ook kinderpornografie, racisme ennegationisme en cyberpesten strafbaar gesteld. Allen komen in aanmerking voor cybercrimedoordat ze via het internet kunnen worden gepleegd, maar zijn minder van toepassing voorcybercrime gepleegd op organisaties. Kinderpornografie zou een probleem kunnen vormen alswerknemers of hackers de systemen van een organisatie misbruiken om kinderpornografie op teslaan of om pedofiele websites te bezoeken. Dit komt in de literatuur niet naar voor als eenprobleem maar wordt wel vermeld voor de volledigheid. Ook vermelden we hier de wet tegen hetnegationisme en de behandeling van cyberpesten in onze strafwet om compleet te zijn. 855.2.3.1 KINDERPORNOGRAFIE“Pornografisch materiaal wordt steeds vaker via het internet verspreid. Dat geldt ook voor tekstenen beelden die betrekking hebben op minderjarigen. Kinderpornografie is in ons land strafbaar. Wiepornografisch materiaal met kinderen maakt, tentoonstelt, verkoopt, verhuurt, verspreidt,overhandigt, invoert of zelfs alleen maar bezit, begaat een misdrijf. Ook wie via eencomputernetwerk kinderpornografie tentoonstelt of verspreidt, is strafbaar. Zelfs als personen nietminderjarig zijn en het beeld alleen maar een indruk van minderjarigheid oproept, spreken we nogvan kinderpornografie. Ook iemand die met computertechnieken een afbeelding creëert van 86onbestaande kinderen van jonger dan achttien jaar, is strafbaar.” 875.2.3.2 RACISME EN NEGATIONISME“Racistische uitlatingen of publicaties zijn strafbaar ook wanneer ze via het internet verspreidworden. Hetzelfde geldt voor het ontkennen, minimaliseren, rechtvaardigen of goedkeuren van de 88Holocaust.”85 Art. 383 en art. 383bis wet 9 februari 2006 houdende instemming met het Facultatief Protocol bij het Verdrag inzake de rechten van het kind, inzake de verkoop van kinderen, kinderprostitutie en kinderpornografie, aangenomen te New York op 25 mei 2000, zoals het op 14 november 2000 door de Secretaris-generaal van de Organisatie van de Verenigde Naties is verbeterd, BS 27 maart 2006, 17213.86 www.belgium.be/nl/justitie/veiligheid/criminaliteit/computercriminaliteit/.87 Wet van 23 maart 1995 tot bestraffing van het ontkennen, minimaliseren, rechtvaardigen of goedkeuren van de genocide die tijdens de tweede wereldoorlog door het Duitse nationaal-socialistische regime is gepleegd, erratum BS 25 juni 1999, 7996.88 www.belgium.be/nl/justitie/veiligheid/criminaliteit/computercriminaliteit/. CYBERVICTIMS: Wetgevend kader 25
  • 32. 89, 905.2.3.3 CYBERPESTENHet is een vorm van pesten die geassocieerd wordt met de nieuwe informatie- encommunicatietechnologieën en valt onder het veroorzaken van overlast via elektronischecommunicatie. Cyberpesten is een relatief nieuw fenomeen waarbij jongeren bijvoorbeeldbedreigende e-mails of SMS-berichtjes naar hun minder geliefde leeftijdsgenoten sturen of er 91worden websites ontwikkeld met weinig flatterende foto’s en commentaar over deze personen.5.2.4 Slachtoffers in het Belgische strafrechtDe rechtspersoon die het slachtoffer wordt van een strafrechtelijk misdrijf kan klacht indienen bijeen politiedienst of bij het parket maar is geen noodzakelijke partij in het strafprocesrecht. Sinds 92de wet van 1998 zijn er verschillende slachtofferstatuten in het leven geroepen en zijn de rechtenvan de slachtoffers uitgebreid. Om ingelicht te worden over de behandeling van de zaak, zoals 93sepotbeslissingen kan men zich laten registreren als benadeelde persoon . Enkel wanneer menzelf het initiatief neemt om als slachtoffer zich burgerlijke partij te stellen heeft men dezelfderechten als de inverdenkinggestelde verdachte en kan men inzage vragen in het dossier. Ookrechtspersonen kunnen zich burgerlijke partij stellen. Ook al hebben slachtoffers zich niet latenregistreren als benadeelde persoon of burgerlijke partij, de procureur des Konings is verplicht alle 94gekende slachtoffers op te roepen voor de openbare terechtzitting zodat ze zich alsnog 95burgerlijke partij kunnen stellen.89 Art. 442bis Sw.90 Art. 145 wet 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005.91 H. VANDEBOSCH, K. VAN CLEEMPUT, D. MORTELMANS, M. WALRAVE, Cyberpesten bij jongeren in Vlaanderen, studie in opdracht van het viWTA, Brussel, Vlaams Instituut voor Wetenschappelijk en Technologisch Aspectenonderzoek, 2006, 12, 22.92 Wet 12 maart 1998 tot verbetering van de strafrechtspleging in het stadium van het opsporingsonderzoek en het gerechtelijk onderzoek, BS 2 april 1998, 10027.93 Art. 5bis Sv.94 Art. 5ter, 182 en 216quarter §1 Sv.95 C. VAN DEN WYNGAERT, Strafrecht en strafprocesrecht: in hoofdlijnen, Antwerpen/Apeldoorn, Maklu, 2009, 591-596.26 CYBERVICTIMS: Wetgevend kader
  • 33. 5.3 AardDe ontwikkeling naar een technologische maatschappij met meer interconnectiviteit, meer ICT-afhankelijkheid, meer gebruikers en meer economische belangen brengt ook risico’s met zich mee.Deze ontwikkelingen zijn niet immuun voor misbruik en worden onmiddellijk gevolgd doorontwikkelingen in de criminaliteit. ICT is hierbij niet alleen een middel maar ook een doelwit voor 96criminele activiteiten.In dit rapport hanteren we de term cybercrime als een overkoepelend begrip voor alle vormen vancriminaliteit die gepleegd wordt tegen bedrijven, overheden en non-profitorganisaties met behulpvan ICT of met ICT als doelwit. We maken in dit rapport ook gebruik van de wettelijke terminformaticacriminaliteit als we het over cybercrime hebben. Enerzijds heb je de klassieke opdelingvan cybercrime in enge zin waar criminaliteit gepleegd wordt op informaticasystemen. Anderzijdsde opdeling cybercrime in brede zin waar ook conventionele criminaliteit wordt gepleegd met 97behulp van informaticasystemen. Om deze opdeling te maken gebruiken sommige schrijvers de 98termen specifieke informaticacriminaliteit en niet-specifieke informaticacriminaliteit , anderen 99gebruiken de termen computercriminaliteit en internet- of cybercriminaliteit . Doordat er zoveelverscheidene vormen van cybercrime bestaan, beperken we ons hier tot de vormen waarvoor,volgens de literatuur, organisaties het meeste risico lopen op slachtofferschap. Deze wordenhieronder één voor één besproken.5.3.1 Vormen van cybercrimeBestaande onderzoeken tonen duidelijk aan dat de grootste beveiligingsrisico’s voor organisaties opde eerste plaats malware is en vervolgens datadiefstal. In een aantal onderzoeken wordt ookgesproken over het toenemende risico op hacking, draadloze verbindingen, mobiele apparaten,verwijderbare media en social engineering. Daarnaast zullen we ook de risico’s bespreken van96 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 8.97 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 9-10.98 B. VAN OUDENHOVEN, De nieuwe Belgische wetgeving inzake informaticacriminaliteit, onuitg. presentatie ICRI K.U.Leuven, s.d., 4-5.99 D. SIKKEL, Opzet enquête financieel-economische criminaliteit en computercriminaliteit, Leidschedam, Sixtat, 2009, 14. CYBERVICTIMS: Aard 27
  • 34. meer recente ontwikkelingen zoals de cloud, afpersing, DDoS, elektronische sabotage, botnet,gerichte aanvallen, advanced persistent threat en spionage.5.3.1.1 MALWARE “Criminelen gebruiken malware om de lading van containers in de Antwerpse haven te stelen, zo blijkt uit een e-mail die Security.nl in handen kreeg. De Zeehavenpolitie kreeg recentelijk te maken met containers die door middel van een valse vrachtbrief of eigendomsdocument waren opgehaald. Met de valse documenten wordt de container bij een malafide ontvanger afgeleverd, die de lading direct lost en steelt. Om de valse 100 vrachtbrieven of eigendomsdocumenten te maken gebruiken de criminelen malware.”Malware is de samentrekking van malicious en software. Het wordt gebruikt als verzamelnaam 101voor alle vormen van software met kwaadaardige bedoelingen. Onder malware verstaan weonder andere virussen, wormen, trojans, spyware, dialers, keyloggers, adware, rootkits, scarewareen ransomware.Een recente publicatie van Enisa raad banken aan om in de toekomst er vanuit te gaan dat elkeklanten-pc geïnfecteerd is met malware en vanuit dit standpunt de nodige beveiligingsmaatregelen 102te nemen .5.3.1.2 DIEFSTAL VAN INTELLECTUEEL RECHTEN, FINANCIËLE OF PERSOONLIJKE INFORMATIE (DATA BREACHES) “Een hacker beweert 50 gigabyte aan gegevens van Visa- en MasterCard-klanten gestolen te hebben. Hij publiceerde al een lijst van 113 paginas waarop hij de kaartnummers heeft weggelaten ‘om de onschuldigen te beschermen’. Ook Belgische klanten staan op die 103 lijst.”Diefstal van intellectuele rechten is het illegaal verkrijgen van materiaal waarop copyrights ofoctrooien rusten en bedrijfsgeheimen of handelsmerken. We begrijpen hieronder vooral ontwerpen,plannen, blauwdrukken, codes, software, formules, recepten, muziek etc. Diefstal van persoonlijkeof financiële informatie is het onrechtmatig bekomen van informatie die kan worden gebruikt voor100 www.security.nl/nieuwsbrief/artikel/211/42131?utm_source=newsletter&utm_medium=email&utm_campaig n=newsletter.101 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 23.102 www.enisa.europa.eu/media/press-releases/eu-cyber-security-agency-enisa-201chigh-roller201d-online- bank-robberies-reveal-security-gaps.103 J. VLEMINGS, “Hacker steelt 50GB gegevens Visa- en Mastercardklanten.”, De Morgen 18 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1456047/2012/06/18/Hacker-steelt-50-GB- gegevens-Visa--en-MasterCard-klanten.dhtml.28 CYBERVICTIMS: Aard
  • 35. 104het openen van bankrekeningen of om toegang te krijgen tot bestaande rekeningen. Bij diefstalvan data gaan er meestal andere vormen van cybercrime aan vooraf zoals hacking maar dit kanook gewoon via fysieke toegang om de data te kopiëren of om malware te installeren.Medewerkers gaan zich meestal inlaten met het blootstellen van persoonlijke of gevoelige 105informatie en het stelen van intellectuele gegevens via hun laptop, mobiele toestellen of e-mail .Crimeware is een vorm van malware die vooral gericht is op het verzamelen van persoonlijk en of 106financiële informatie .De belangrijkheid van de gestolen gegevens zoals wordt gezien in recente gebeurtenissen zoals het 107 108Cablegate incident en het stelen van data van banken , maakt dat bedrijven zich meer moeten 109gaan toespitsen op het risico van deze data breaches .5.3.1.3 HACKING “Hackers die vanuit China opereren zouden in juli vorig jaar tot vier keer toe de e- mailaccounts van EU-president Herman Van Rompuy en tien andere hooggeplaatste EU- officials gekraakt hebben. Een groep van dertig Amerikaanse beveiligingsspecialisten die de hackersgroep in de gaten hield, hebben daarover computerlogbooks laten zien aan het 110 financiële agentschap Bloomberg.”De term hacken in combinatie met technologie stamt uit de jaren zestig van de twintigste eeuw.Het was een positieve beschrijving van iemand die bekwaam is in het ontwikkelen van elegante, 111creatieve en effectieve oplossingen voor technische problemen . Deze vroege hackers haddeneen overtuigd geloof in de bevrijdende kracht van de technologie en legden de nadruk op principeszoals vrijheid van informatie en de onbeperkte toegang tot technologie. Het is duidelijk te zien hoe104 R. RANTALA, Cybercrime against businesses in BJS Special Reports, s.l., National Criminal Justice, 2008, 11.105 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 9.106 A. EMIGH, The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond, Nevada, Radix Labs, 2006, 1.107 Cablegate is de bijnaam van het incident waarbij de data met geheime communicaties van Amerikaanse ambassades wereldwijd (Cables) door een Amerikaanse militiare ICT-er werden gestolen en werden gepubliceerd op de website WikiLeaks van Jullian Assange. http://wikileaks.org/cablegate.html.108 J. VLEMINGS, “Hacker steelt 50GB gegevens Visa- en Mastercardklanten.”, De Morgen 18 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1456047/2012/06/18/Hacker-steelt-50-GB- gegevens-Visa--en-MasterCard-klanten.dhtml.109 ERNST & YOUNG, Insights on IT risks: The evolving IT risk landscape, The why and how of IT Risk Management today, Amsterdam, Ernst & Young, 2011, 9.110 A. SNOEYS, “Hackers stalen e-mails Herman van Rompuy”, De Morgen 30 juli 2012, www.demorgen.be/dm/nl/983/Nieuws/article/detail/1478081/2012/07/30/Hackers-stalen-e-mails-Herman- Van-Rompuy.dhtml.111 M. YAR, Cybercrime and Society, Londen, Sage publications, 2006, 23. CYBERVICTIMS: Aard 29
  • 36. deze principes kunnen worden misbegrepen en het gedrag van hackers wordt geassocieerd metongeautoriseerde toegang tot systemen. Het gevolg hiervan is dat de term hacking de dag van 112vandaag wordt gelinkt met deze ongeautoriseerde toegang en het verslaan van de beveiliging.Deze veralgemening ligt nog zeer gevoelig in de hackerswereld en zij verkiezen eerder de termcracking voor het binnendringen in ICT-netwerken voor criminele doeleinden, de zogenaamdeblack-hats. Ze verkiezen de term hacking voor onder andere het binnendringen incomputersystemen met goede bedoelingen, alias white-hats. In dit onderzoek maken we gebruikvan de wettelijke term hacking voor alle vormen van ongeautoriseerde toegang. Er wordt wel eenonderscheid gemaakt tussen interne hacking waarbij medewerkers hun toegangsbevoegdheidbewust overschrijden en externe hacking waarbij buitenstaanders binnendringen of proberenbinnen te dringen in een informaticasysteem van een bedrijf of organisatie. Hackers breken binnenin een computersysteem of applicatie onder andere door middel van vulnerabilities in de beveiligingvan het systeem of de software (door bv. wireless toegang of SQL-injection), door gebruik temaken van fysieke toegang (via bv. USB-sticks, firewire of verwijderbare media) of door hetkraken van paswoorden (door bv. social engineering, rainbow tables of brute force attack). Ook hetongeoorloofd binnendringen van een onbeschermd netwerk valt onder hacking.De beveiliging van systemen is zo verbeterd dat in de praktijk meestal gebruik wordt gemaakt vanverschillende stappen en technieken om in een systeem binnen te dringen. “Zo kan een webservergehackt worden door het wachtwoord te kraken, waarna een IFrame-injectie geplaatst wordt die 113weer gebruik maakt van een zwakheid in de browser van de bezoekers van die website.”Hacking en blended threath is de basis die aan verschillende andere vormen van cybercrimevoorafgaat en waar men ook in de toekomst rekening mee zal moeten houden.5.3.1.4 MISBRUIK VAN DRAADLOZE NETWERKEN, MOBIELE APPARATEN EN VERWIJDERBARE MEDIA “Uit een kantoor van een Antwerpse N-VA-medewerkster zijn in de loop van vorige week vrijdag verschillende bestanden van de partij op een usb-stick verdwenen. De medewerkster heeft een klacht ingediend bij de politie. Dat schrijven de Concentrakranten die het hebben over ‘politieke spionage’. N-VA Stad Antwerpen nuanceert het belang van 114 de bestanden.”112 Y. JEWKES EN M. YAR, Handbook of internet Crime, Devon, Willan Publishing, 2010, 174.113 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 32.114 X, “N-VA: Niks wereldschokkends in gestolen info.”, De Morgen 9 februari 2012, www.demorgen.be/dm/nl/5036/Wetstraat/article/detail/1392229/2012/02/09/N-VA-Niks- wereldschokkends-in-gestolen-info.dhtml.30 CYBERVICTIMS: Aard
  • 37. Uit verschillende onderzoeken komt naar voor dat bijna de helft van de organisaties zich zorgenmaakt als het gaat over beveiliging van draadloze netwerken en het gebruik van mobiele 115apparaten en verwijderbare media .Meer en meer bedrijven maken gebruik van draadloze netwerken waar hackers via wardriving opproberen in te breken om zo het bedrijfsnetwerk te infiltreren of het netwerk te gebruiken als jump 116naar andere netwerken en zo anoniem te blijven . Eén nalatige persoon of ongepatchte 117computer is genoeg voor aanvallers om toegang te krijgen tot een organisatie van waaruit 118andere aanvallen kunnen worden uitgevoerd. Ook meer en meer bedrijven bieden hunmedewerkers de mogelijkheid om van thuis uit te werken waarbij zij de mogelijkheid hebben omvan buiten uit op het bedrijfsnetwerk in te loggen en deze toegang voor de home office een extrazwakheid in het systeem uitmaakt.Hardware ontwikkeling heeft gezorgd voor een flexibelere toegang tot het internet en meermobiliteit voor data zodat cybercrime preventie meer is geworden dan alleen de bescherming van 119vaste pc’s . Het onderzoek van CSO toont aan dat ook mobiele toestellen zoals laptops ensmartphones meer ingezet worden door de bedrijfswereld. Dit is een extra risico omdat laptops enandere mobiele toestellen worden gebruikt door medewerkers om bedrijfsdata te downloaden en te 120stelen . Het succes van smartphones en andere mobiele toepassingen loopt ook evenredig met 121het aantal vulnerabilities waaraan ze zijn blootgesteld en vormen zo een extra risico op hacking . 122Daarnaast is er een groeiende markt voor malware voor smartphones zoals mobile dialers .Alhoewel er op dit ogenblik veel minder dreiging is voor mobiele apparaten dan voor pc’s zal diegeleidelijk aan toenemen met het aantal mobiele applicaties die beschikbaar worden en hettoenemende gebruik ervan voor gevoelige transacties zoals online aankopen en 123bankverrichtingen .115 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2010, 25, 34.116 S. MCQUADE, Encyclopedia of cybercrime, Londen, Greenwood Press, 2009, 191-193.117 Op regelmatige tijdstippen voorzien producenten van software patches of updates om de kwetsbare plekken in hun software te dichten. Gebruikers van software worden verondersteld om hun systemen dan ook geregeld te updaten om zich te beschermen tegen een mogelijke aanval.118 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 8.119 EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 9.120 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 10.121 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 15.122 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 13.123 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 15. CYBERVICTIMS: Aard 31
  • 38. Via verwijderbare media zoals USB-sticks en harde schijven kan de verspreiding van virussen 124worden gefaciliteerd en deze kunnen worden gebruikt voor het downloaden van bedrijfsdata .Malware kan een bedrijf worden binnengebracht door het te installeren op bv. een USB-drive of -stick die “verloren” wordt gelegd in de onmiddellijke omgeving van organisatie die het doelwit isvan de gerichte aanval. Personen die deze media vinden zullen deze dikwijls aansluiten op hun pc,om te kijken van wie de media is of uit pure nieuwsgierigheid, zodat de malware zich kan opstarten 125en installeren op de computer.5.3.1.5 SOCIAL ENGINEERING “De politie waarschuwt voor een nieuwe vorm van oplichting, waarbij oplichters via de telefoon uw bankgegevens proberen los te krijgen en vervolgens uw rekening 126 leegplunderen. Dat schrijven de Coreliokranten.”Social engineering is een aanval die niet rechtstreeks gericht is tegen computers ofcomputerprogramma’s, maar tegen de mensen die met deze computers of software werken enwordt vooral gebruikt voor het verzamelen van informatie zoals persoonlijke gegevens enpaswoorden. Door het gebruik van een list wordt geprobeerd de gebruiker te overhalen malicioussoftware op te starten, persoonlijke gegevens in te geven op een valse website of naar eenbesmette website te gaan om drive-by malicous software te installeren. Dit soort van aanvallen zijnvaak efficiënter dan technische aanvallen. Onder social engineering verstaan we vooral phishing 127maar ook vishing, SMSishing, phaxing en pharming kunnen worden toegepast. In de literatuurkomt vooral phishing naar voor als belangrijk aanvalsmiddel. Door gebruik te maken van publiekbeschikbare informatie, zoals op sociale netwerksites, kunnen criminelen de list nog aannemelijker 128maken en een spear-phishing aanval uitvoeren . Hierbij worden dan vooral bestuursleden, seniormanagement en medewerkers van de Research & Development afdeling geviseerd via phishing e- 129mails .124 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 10.125 A. EMIGH, The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond, Nevada, Radix Labs, 2006, 16.126 X, “Oplichters doen zich aan de telefoon als bankbediende voor.”, De Morgen 9 september 2010, www.demorgen.be/dm/nl/989/Binnenland/article/detail/1155235/2010/09/09/Oplichters-doen-zich-aan- telefoon-als-bankbediende-voor.dhtml.127 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 27-31.128 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 8.129 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 12.32 CYBERVICTIMS: Aard
  • 39. 5.3.1.6 MISBRUIK VAN DE CLOUD “Steve Wozniak, mede-oprichter van Apple samen met wijlen Steve Jobs, voorspelt "vreselijke problemen" met cloudcomputing. "We geven al onze gegevens weg, en hebben 130 er geen controle meer over", waarschuwt Wozniak.”Het netwerk of het internet wordt aanzien als een wolk waarin alle ICT-gerelateerde dienstendraaien. Diensten als dataopslag, netwerk-services, standaard software of op maat gemaakteapplicaties kunnen op vraag aangesproken worden op het internet. Bedrijven sparen kosten uitdoor deze diensten uit te besteden aan grote providers zodat deze hun hardware goedkoper,efficiënter en flexibeler kunnen inzetten en gebruiken. De gebruikers krijgen vanop elke plaatstoegang tot een gedeelde pool van configureerbare ICT-diensten die snel kunnen uitgebreid envrijgegeven worden. Deze diensten zijn beschikbaar ergens op het internet zonder dat de 131leverancier of de gebruiker precies weet waar, op welke machine of in welk land. 132Zoals al door barones Pauline Neville-Jones werd aangegeven tijdens de Cybersecurity 133Showcase beschrijft ook het rapport van Europol dat organisaties meer en meer opteren om hundata op te slaan in de cloud bij derden. Dit brengt een extra risico met zich mee doordat datawordt beheerd door derden waardoor je nooit zeker bent van de geïmplementeerde 134beveiligingsmaatregelen en omdat online data kwetsbaar is . Het risico van online-data wordt ookaangetoond door het onderzoek verricht door Nick Nikiforakis waarbij door middel van een scriptdie alle mogelijke id’s afgaat, alle files van verschillende klanten konden worden gedownload die bij 135verschillende File Hosting Services werden opgeslagen . Onderzoek van Ernst & Young toont aandat in Nederland 5% van de organisaties zich zorgen maakt over het beveiligingsoptiek als het gaat 136over cloud-diensten . Bovendien heb je naast de technische beveiligingsissues ook nog mogelijksproblemen met het weggeven van rechten op je digitale producten aan cloud aanbieders.130 H. VAN LIER, “Wozniak voorspelt problemen met cloudcomputing.”, De Morgen 6 augustus 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1481525/2012/08/06/Wozniak-voorspelt-problemen- met-cloudcomputing.dhtml.131 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 135-136.132 UK Special Representative to Business on Cyber Security.133 29 februari 2012 Brussel.134 EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011,135 N. NIKIFORAKIS, F. GADALETA, Y. YOUNAN en W. JOOSEN, On the privacy of file sharing services, onuitg. CW Reports CW585 Computer Wetenschappen K.U. Leuven, 2010.136 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2010, 25. CYBERVICTIMS: Aard 33
  • 40. 5.3.1.7 MISBRUIK VAN SCADA “Research (…) showed how hackers could take control of industrial control systems (ICS) used in prisons. (…)The team revealed that security systems used in most American prisons were shown to be vulnerable, allowing hackers to overload the circuitry controlling prison 137 doors, effectively locking them permanently open.”SCADA-systemen zijn industriële computersystemen om uiterst complexe productieprocessen temonitoren en controleren. Deze systemen zijn uiterst kwetsbaar voor aanvallen omdat zij dikwijlsworden gebruikt bij kritieke infrastructuur zoals elektriciteitscentrales, boorplatformen,kerncentrales, waterzuivering, enz. Daardoor brengen ze een risico met zich mee voor de hele 138maatschappij. internet criminelen proberen deze systemen over te nemen met het oogmerk op 139spionage, sabotage of afpersing . Vele van deze systemen zijn al 30-40 jaar oud en helemaal 140achterhaald . Om een update te kunnen uitvoeren moet het ganse systeem en dus ook hetproductieproces worden stilgelegd en het is meestal ook onduidelijk welke invloed een update heeftop het systeem. Omdat deze systemen het productieproces moeten garanderen worden zij zeldengeüpgraded, onder het motto “If it ain’t broke, don’t fix it.” Dit is op zich geen probleem zolangdeze systemen niet aan het netwerk worden gekoppeld en zeker niet aan het internet.De laatste jaren worden deze systemen wel meer en meer toegankelijk gemaakt via het internetomdat, door gebrek aan voldoende geschoold personeel, het beheer ervan wordt uitbesteed aan 141externe outsourcingspartners.5.3.1.8 AFPERSING “Hackers dreigen er op het internet mee dat ze vertrouwelijke informatie zullen openbaar maken die op de server van elantis.be stond, de website van kredietverlener Elantis, een137 C. THERIAULT, “Hackers could throw open prison doors, research shows”, Sophos Naked Security 08 november 2011, http://nakedsecurity.sophos.com/2011/11/08/reseach-proves-hackers-could- open-prison-door.138 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 109.139 www.cert.be/pro/attacks-scada-systems.140 J. CARR, Inside Cyber Warfare, Californië, O’Reilly, 2010, 137.141 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 109-111.34 CYBERVICTIMS: Aard
  • 41. dochteronderneming van Belfius Bank. De computerkrakers eisen 150.000 euro tegen 142 vrijdag 4 mei.”Organisaties kunnen het slachtoffer zijn van verschillende vormen van afpersing. Enerzijds wordencomputers van organisaties het slachtoffer van ransomware waarbij men de bestanden van decomputers ontoegankelijk maakt door deze te encrypteren en men pas na betaling een tool ofpaswoord ter beschikking stelt om de computers terug te unlocken. In bepaalde gevallen wordt desom wel betaald maar krijgt men toch niet de nodige tools aangereikt om de computer terugwerkbaar te maken. Anderzijds zijn er gevallen bekend waarbij een hacker data steelt en dreigt omdie publiekelijk te maken als het bedrijf geen afkoopsom betaald. Ook zijn er internetcriminelen diedreigen om een DDoS-aanval uit te voeren op de website van een organisatie en deze zoontoegankelijk te maken voor het publiek als ze een bepaald bedrag niet ophoesten. Bijcyberafpersing gaat dit zoals u kan zien dikwijls gepaard met andere feiten zoals hacking eninformaticasabotage.In de studie van de NHL Hogeschool vermoeden de onderzoekers dat cyberafpersingen in detoekomst zullen toenemen doordat bedrijven steeds afhankelijker zijn van het internet en decybercrime methoden eenvoudiger worden, maar zij kunnen dit op dit ogenblik niet empirischonderbouwen. In Nederland heeft cyberafpersing prioriteit bij politie omdat het afpersen van groteinternationale organisaties of organisaties met kritieke infrastructuur het vertrouwen van de 143consumenten zou kunnen aantasten .5.3.1.9 DISTRIBUTED DENIAL OF SERVICE (DDOS) “De hackers die Kerknet, de website van de Kerk in Vlaanderen, sinds 7 mei platlegden, willen het instituut het zwijgen opleggen. In een e-mail aan Toon Osaer, directeur van uitgeverij Halewijn, verklaarden de anonieme hackers dat het gaat om een aanval om 144 ideologische redenen.”Een DDoS is een aanval op een dienst of service zoals een website of mailserver, waarbij een grootaantal computers simultaan de dienst bestookt met dataverkeer waardoor de server niet meer142 X, “Hackers chanteren dochterbedrijf Belfius”, De Morgen 2 mei 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1432276/2012/05/02/Hackers-chanteren- dochterbedrijf-Belfius.dhtml.143 E. LEUKFELDT, M. DOMENIE EN W. STOL, Verkenning cybercrime in Nederland 2009, Den Haag, Boom Juridische uitgevers, 2010, XVII en 5.144 H. OP DE BEECK, “Hackers Kerknet willen Kerk zwijgen opleggen.”, De Morgen 23 mei 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1442948/2012/05/23/Hackers-Kerknet-willen-Kerk- zwijgen-opleggen.dhtml. CYBERVICTIMS: Aard 35
  • 42. 145bereikbaar is voor legitieme connecties en in veel gevallen zelfs helemaal vastloopt. Naast dezeDDoS-aanval kan je ook een application layer attack uitvoeren waarbij je de server niet alleenoverbevraagt maar hem ook nog eens taken laat uitvoeren waardoor de server overbelast 146wordt. Veelal zal er gebruik gemaakt worden van een botnet om voldoende capaciteit te hebbenom de aanval uit te voeren.Op het internet kan je een botnet inhuren om een DDoS-aanval uit te voeren op websites naar 147keuze zonder dat je enige kennis van zaken moet hebben . Deze botnets worden te pas en teonpas ingezet bij grootschalige aanvallen op overheidssites en bedrijven door hacktivisten zoalsAnonymous.5.3.1.10 ELECTRONISCHE SABOTAGE “De Computer Crime Unit van de Federale Gerechtelijke Politie (FGP) van Brussel en de Federal Computer Crime Unit (FCCU) van de federale politie hebben woensdag verschillende huiszoekingen uitgevoerd in het onderzoek naar de aanval op de website van staalproducent ArcelorMittal, op 6 januari jongstleden. De politie ondervroeg ook drie 148 verdachten maar die werden niet aangehouden. Dat meldt het federaal parket.” 149Informaticasabotage is best te omschrijven als vandalisme in een informaticaomgeving. Het isbewust of kwaadwillig schade toebrengen, elektronisch bekladden, kapot maken of op anderemanieren veranderen van files, data, webpagina’s, programma’s etc. Het veranderen van deinhoud van een webpagina wordt in hackerstermen defacement genoemd. Dit is meestal incombinatie met hacking waarbij men eerst inbreekt op een informaticasysteem om deze dan tesaboteren. Ook het ontwikkelen en verspreiden van malware en het uitvoeren van DDoS-aanvallenvallen onder het wetsartikel informaticasabotage maar wij verkiezen om dit apart te onderzoeken. 150Er lijkt zich vooral een enorme stijging voor te doen bij de mass defacements tegenover desingle defacements doordat vele hostingbedrijven gebruik maken van één webserver met heel veel145 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 43.146 N. KOBIE, “How dangerous is Anonymous”, PC Pro 2011, www.pcpro.co.uk/news/security/365440/how- dangerous-is-anonymouswww.pcpro.co.uk/news/security/365440/how-dangerous-is-anonymous.147 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 69.148 M. VAN DEN BOSSCHE, “Drie verdachten ondervraagd in onderzoek hack ArcelorMittal”, De Morgen 21 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1458030/2012/06/21/Drie-verdachten- ondervraagd-in-onderzoek-hack-ArcelorMittal.dhtml.149 Art. 550ter Sw.150 Doordat één webserver heel veel websites kan bevatten kan men door één server te hacken alle websites op die server defacen.36 CYBERVICTIMS: Aard
  • 43. verschillende websites. Hierdoor kan men door het hacken van één webserver soms duizendenwebsites tegelijkertijd defacen. Defacement is een techniek die veelal wordt gebruikt doorhacktivisten om hun politieke ideologie openbaar te maken. Er heerst ook een concurrentiestrijdtussen verschillende hackergroeperingen om het meeste aantal defacements op hun conto te 151hebben. Hun activiteiten loggen ze zelf op websites als zone-h .Defacen van websites zou niet populair meer zijn omdat tegenwoordig hackers hun inbraak juist zolang mogelijk geheim willen houden om de gehackte systemen te kunnen inzetten in een botnet of 152om andere delicten te plegen. Als we echter mogen afgaan op cijfers van defacement websitesals zone-h.org zien we dat defacements nog altijd in trek zijn. Ook kunnen we stellen datdefacements bijna altijd tot schade leiden door downtime maar ook vooral imagoschade met zich 153meebrengen .5.3.1.11 BOTNETSBotnet is de afkorting voor Robot Network, wat een netwerk is van met malware geïnfecteerdecomputers (zombies) die aangestuurd worden via een command & control server onder beheer vaneen cybercrimineel (botherder). Deze botherder kan zijn zombienetwerk aansturen vanop afstandom bv. malware te verspreiden, spam e-mail te versturen, persoonlijke en financiële informatie teverzamelen vanop een zombie, DDoS-aanvallen uit te voeren of een organisatie af te persen doorte dreigen met een aanval. Veelal kunnen dergelijke botnets worden gehuurd door criminelen omingezet te worden voor hun eigen doeleinden. Botnets zijn de cruciale tools voor de industrialisatievan cybercrime en zeer winstgevend. Het ontmantelen ervan heeft een duidelijke impact op demogelijkheden van cybercriminelen om op grote schaal te opereren en moet een prioriteit zijn van 154politiediensten.Botnets maken gebruik van de double fast-flux techniek om zo ongrijpbaar te zijn vooropsporingsdiensten. Recente botnets proberen om gebruik te maken van web 2.0 aanbieders omhun zombies aan te sturen maar deze doen er alles aan om botnetactiviteiten te bannen. Een vb. 155van een botnet dat heeft geprobeerd om zijn bots aan te sturen via Twitter werd na enkele urenal van Twitter geband. Botnets zouden niet zo gevaarlijk zijn was het niet voor hun dramatischaantal zombies dat deel uitmaakt van zo een botnet. De dag van vandaag hebben botnets met 60151 www.zone-h.org.152 E. LEUKFELDT, M. DOMENIE EN W. STOL, Verkenning cybercrime in Nederland 2009, Den Haag, Boom Juridische uitgevers, 2010, 48.153 E. LEUKFELDT, M. DOMENIE EN W. STOL, Verkenning cybercrime in Nederland 2009, Den Haag, Boom Juridische uitgevers, 2010, 307.154 EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 3.155 www.twitter.com. CYBERVICTIMS: Aard 37
  • 44. tot 80.000 geïnfecteerde computers een onthutsende controle over zelfs de grootste netwerk 156organisties.5.3.1.12 GERICHTE AANVALLEN, ADVANCED PERSISTENT THREATS EN SPIONAGE “Daarbij had ze het gemunt op vijf grote Belgische banken. Bij één van die banken werden tussen 1 januari en 4 juni maar liefst 7.500 klanten slachtoffer van de hackings en werd 157 1.836.130,52 euro ontvreemd.”Gerichte aanvallen worden gebruikt om toegang te krijgen tot gevoelige informatie zoalsklantengegevens om daar later munt uit te slaan. Men gebruikt hiervoor op maat gemaaktemalware of gerichte social engineering. Dit is de evolutie van social engineering waarbij slachtoffers 158op voorhand grondig worden bestudeerd. Malware kan bv. een bedrijf worden binnengebrachtdoor het te installeren op een USB-harddrive of -stick die “verloren” wordt gelegd in deonmiddellijke omgeving van een organisatie die het doelwit is van een gerichte aanval. Personendie deze media vinden zullen deze dikwijls aansluiten op hun pc, om te kijken van wie de media isof uit pure nieuwsgierigheid, zodat de malware zich kan opstarten en installeren op de 159computer.Alle advanced persistent threats is een term die de afgelopen jaren meer in de mode is maar hetgebruik is niet nieuw. Men spreekt van een advanced persistent threat bij een voortdurende, 160geavanceerde en gerichte aanval. Met behulp van een verscheidene componenten, zoals drive-by-downloads, SQL injection , malware , phishing en spam wordt een welbepaald doelwit 161bestookt .Crimeware wordt ook vaak gebruikt voor gegevensdiefstal in het kader van industriële ofoverheidsspionage. Hoogwaardige machines kunnen het doelwit zijn, maar sommige spionage kanook gebaseerd zijn op grootschalige aanvallen op persoonlijke computers, omdat deze vaakdezelfde vertrouwelijke informatie bevatten dan deze opgeslagen op een beter beveiligdeserveromgeving. Naast spionage voor eigen geldgewin kan deze gestolen data zoals vertrouwelijkememo’s of ontwerpplannen openbaar worden gemaakt, waardoor deze economische schade156 www.shadowserver.org/wiki/pmwiki.php/Information/Botnets.157 T. MAST, “Hackers stelen 3 miljoen euro via online banking.”, De Morgen 25 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1459943/2012/06/25/Hackers-stelen-drie-miljoen- euro-via-online-banking.dhtml.158 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 14.159 A. EMIGH, The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond, Nevada, Radix Labs, 2006, 16.160 GOVCERT.NL, Cybersecuritybeeld Nederland, Den Haag, GOVCERT.nl, 2011, 16.161 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 15.38 CYBERVICTIMS: Aard
  • 45. 162kunnen veroorzaken of de organisatie in verlegenheid kan worden gebracht. In het onderzoekvan Detica wordt ook industriële spionage onderzocht waaronder competitiegevoelige informatie eninformatie over fusies en overnames waardoor de criminelen voordeel kunnen halen uit beurs 163bewegingen .Het verzamelen van inlichtingen door natiestaten bestaat al sinds mensenheugenis. Natiestatenhebben meestal geen financieel motief maar eerder vergaring van inlichtingen voor economisch,politiek of militair profijt. Het meest verontrustende feit is dat deze operaties meestal goed zijngefinancierd, de beste beveiligingsingenieurs in dienst hebben en werken onder een sluier van 164geheimhouding.5.3.2 Tussentijdse conclusieVoor dit rapport gebruiken we de term cybercrime als overkoepelende term voor alle vormen vancriminaliteit met of op informaticasystemen. De bankenwereld moet, volgens Enisa, er vanuit gaandat alle computers besmet zijn met malicious software. De afgelopen drie jaar werdenverschillende data breaches vastgesteld waarbij hoogst confidentiële informatie openbaar werdgemaakt. Het ongeoorloofd binnendringen in informaticasystemen is een techniek waarvan onderandere gebruik wordt gemaakt om andere vormen van informaticacriminaliteit te kunnen plegen.Sinds korte tijd maken we een echte revolutie mee naar mobiliteit en de daarbij gepaarde risico’svan draadloze netwerken, verspreide intranettoegangen en dan vooral verwijderbare media. Je kanhet risico van cybercrime niet uitsluiten zonder de menselijke factor mee te nemen. Socialengineering wordt naar alle soorten medewerkers gericht om informatie te verzamelen. Hetaanbieden van informaticadiensten op het internet, oftewel de cloud, brengt extra risico’s met zichmee. Niet geüpdatet SCADA-systemen vormen een zeer groot risico wanneer ze aan het netwerk ofhet internet worden gekoppeld. De afhankelijkheid van ICT maakt dat vele organisaties vatbaarzijn voor afpersing. Botherders bezitten een leger van soms miljoenen zombies die kunnen wordeningezet in allerhande grootschalige aanvallen. Gerichte aanvallen en advanced persistent threatsworden gebruikt om één bepaalde organisatie te bestuderen en aan te vallen. Naast industriëlespionage is er ook sprake van cyberspionage tussen natiestaten.162 A. EMIGH, The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond, Nevada, Radix Labs, 2006, 13.163 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 6.164 W. GRAGIDO en J. PIRC, Cybercrime and Espionage: An Analysis of Subversive Multi-vector Threaths, Amsterdam, Elsevier, 2011, 82 en 127-128. CYBERVICTIMS: Aard 39
  • 46. 5.4 OmvangIn België is cybercrime, in 2010, het op één na meest voorkomende economisch misdrijf, nadiefstal van activa. In het Belgische luik van het onderzoek door PwC, meldt 44% van de 165bevraagde organisaties, die slachtoffer zijn van economische criminaliteit , dat ze slachtofferwaren van cybercrime. Dit in tegenstelling tot het globaal PwC onderzoek waarbij slechts 23% 166meldt slachtoffer te zijn van cybercrime. Wat verontrustend is, is dat een kwart van de Engelse 167respondenten meer dan tien incidenten rapporteerden voor 2010 .Door de nog steeds sterke verspreiding van de internetconnectiviteit in Europa zullen decyberaanvallen op Europese burgers en organisaties nog verder toenemen en dan vooral vanuit de 168vroeger onder-geconnecteerde gebieden .Wat de evolutie betreft, hadden meer Nederlandse organisaties in 2009 het gevoel dat de overlastvan cybercrime gelijk is gebleven aan het afgelopen jaar, dan dat er organisaties waren die het 169gevoel hadden dat cybercrime toeneemt . Daartegenover staat dat in 2010 de respondenten, diedeelnamen aan de globale survey van PwC, denken dat het aantal feiten van cybercrime aan het 170stijgen is . Ook in België (2010) merkt 45% van de organisaties dat het risico op cybercrimestijgt maar daartegen staat ook dat 54% van de organisaties denkt dat cybercrime stagneert. 171Globaal zien we een gelijkaardig beeld maar minder uitgesproken dan in België.5.4.1 PolitiestatistiekenWe gebruiken een uittreksel van de ANG voor de FCCU, voor de periode van 2008 tot en met 2011,om het aantal feiten van cybercrime vast te stellen dat gepleegd werd tegen organisaties. In deANG is het mogelijk om de juridische hoedanigheid (natuurlijke persoon of rechtspersoon) van het165 38% van alle bevraagde bedrijven. PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 3.166 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 14.167 PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 2.168 EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 3.169 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2010, 15.170 PRICEWATERHOUSECOOPERS, Cybercrime: protecting against the growing threat: Global Economic Crime Survey, s.l., PricewaterhouseCoopers, 2011, 9.171 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 14.40 CYBERVICTIMS: Omvang
  • 47. slachtoffer te vatten. Gezien dit geen verplicht veld is, wordt dit ook slechts zelden gevat. Daarommoeten we een via een andere weg het aantal feiten waarvan organisaties het slachtoffer zijngeweest, bepalen. Voor dit onderzoek hebben we geselecteerd op de bestemming plaats en hieruit 172 173de feiten gefilterd die plaats hebben gehad op een bedrijfsterrein , een overheidsgebouw of 174een locatie van een non-profitorganisatie . We beseffen dat dit niet een ideale meting is maar ditzijn de enige beschikbare politiecijfers. Een tweede opmerking is dat er per feit verschillendebestemmingen plaats kunnen worden ingegeven waardoor het mogelijk is dat één feit twee keer 175wordt geteld maar dit geldt voor een minderheid van de gerapporteerde feiten . Volgende cijfersmogen ook niet vergeleken worden met de officiële statistieken op de website van de Federalepolitie omdat hier andere telregels worden gebruikt. 10000! 8000! 6000! 4000! 2000! 0! Figure 1: Aantal feiten in het ANG waar bestemming plaats 2008 2009 2010 2011 een bedrijf, een overheid of Non-profit 125 183 136 168 een non-profitorganisatie is. Overheid 169 281 249 228 Bron: Federale politie, ANG, Download ASA, 02-04-2012 Bedrijf 6348 7797 9732 9972Er is een opvallend verschil tussen het aantal feiten dat gemeld wordt door bedrijven en het aantalfeiten gemeld door een overheid of non-profitorganisaties. Er is ook een duidelijke stijging van hetaantal feiten dat wordt aangegeven aan politiediensten maar dit is vooral op te tekenen voorbedrijven waar er een stijging is van 57% over de voorbije vier jaar. Dit is geen stijging van hetaantal gepleegde feiten maar van het aantal feiten waar politiediensten van op de hoogte zijn.172 Bedrijven: Horeca; Ontuchthuis; Recreatie en cultuur; Sport; Financiële instelling; Dienst; Winkel; Bedrijf; Grote handelszaken. Voor verdere gedetailleerde beschrijving zie bijlage 8.1.3 Bedrijf.173 Overheden: Bestuurlijk gebouw; Openbare dienstverlening; Militaire installatie. Voor verdere gedetailleerde beschrijving zie bijlage 8.1.4 Overheid.174 Non-profitorganisaties: Religieus gebouw/plaats; Welzijns-/gezondheidsinstelling; Onderwijsinstelling. Voor verdere gedetailleerde beschrijving zie bijlage 8.1.5 Non-profitorganisatie.175 Voor 2008 werden er 107 feiten dubbel geteld; voor 2009, 163 feiten; voor 2010, 68 feiten en voor 2011 werden er 190 feiten dubbel geteld. CYBERVICTIMS: Omvang 41
  • 48. 5.4.3 Vervolging parketHet onderzoek van BELCLIV bij Belgische bedrijven van 2004 bevraagt ook de status van de feitendie werden aangegeven bij justitie of politie. Uit deze cijfers blijkt dat het grootste deel van defeiten zonder enig gevolg is geklasseerd en dat voor één derde van de feiten geen dader werdgeïdentificeerd. Bijna 20% van de aangegeven incidenten waren nog in onderzoek. We hebbengeen recentere cijfers ter onze beschikking om te kijken of hier een evolutie kan wordenwaargenomen. 50%! 40%! 30%! 20%! 10%! 0%! 100% ID 9% niet-ID 31% in onderzoek 19% Figure 2: percentage van de sepot 41% verschillende statussen van vervolging.1765.4.4 Dark numberZoals federaal parketmagistraat Frédéric Van Leeuw, gespecialiseerd in informaticacriminaliteit, op28 maart 2012 tijdens de Conference on Nationale Information Sharing stelde, is het dark numberinzake informaticacriminaliteit in België nog altijd zeer hoog is. Voor België kunnen we alleenterugvallen op de cijfers van het onderzoek van in 1998 en 2004 waarin wordt gesproken van een 177dark number van 95% . Verder kunnen we ons richten op onderzoeken in het buitenland. InNederland zien we in de rapporten van Ernst & Young dat in 2004 slechts 6% van de organisatiesaangifte deed bij politie of justitie. We zien hier een duidelijke toename in 2008 tot 10% en voor 1782010 al 16% . We kunnen ons hierbij de vraag stellen of de Nederlandse evolutie ook zichtbaar176 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006.177 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006.178 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2005, 21; ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young,42 CYBERVICTIMS: Omvang
  • 49. zou zijn in België en we een toch wel een belangrijke daling zouden zien van het dark number? Inditzelfde Nederlandse onderzoek van 2010 werd ook vastgesteld dat het vooral de groterebedrijven zijn die aangifte doen van cybercrime (± 30%) tegenover een minderheid van de 179kleinere bedrijven . Voor de VK spreekt het rapport van PwC over een aangiftebereidheid van 180organisaties van 66% voor 2011 . Dit is een zeer hoog cijfer tegenover de (verouderde) cijfersvan 2004 voor België en de recentere van Nederland van 2010. De VS departement of justicemeldt in 2005 een aangiftebereidheid van om en bij de 15% voor organisaties die het slachtoffer 181werden van cybercrime .De belangrijkste reden voor organisaties om geen aangifte te doen van cybercrime is uit schrikvoor slechte reclame. Ze vrezen imagoschade als het uitlekt dat ze slachtoffer werden van een 182cyberaanval . Daarentegen meldt telkens minder dan 20% van de slachtoffers in het Engelse 183rapport van PwC dat imagoschade of prijzen van aandelen significant zijn .Een andere reden die wordt opgegeven voor de verklaring van het dark number is dat deorganisaties soms niet weten dat ze slachtoffer zijn geworden. Ofwel werd het feit nooit ontdektofwel werd het feit wel ontdekt maar laat de informaticus na om dit intern te communiceren uit 184schrik voor de reactie van de werkgever of bij gebrek aan een duidelijk 185rapportagemechanisme .De reden waarom in Nederland geen aangifte wordt gedaan, was volgens het onderzoek vooral dat 186het probleem niet belangrijk genoeg was of omdat ze het probleem zelf hadden opgelost om hun 2009, 21; ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2011, 19.179 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2010, 24.180 PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 9.181 R. RANTALA, Cybercrime against businesses in BJS Special Reports, s.l., National Criminal Justice, 2008, 2.182 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 7; EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 8; PRICEWATERHOUSECOOPERS, Cybercrime: protecting against the growing threat: Global Economic Crime Survey, s.l., PricewaterhouseCoopers, 2011, 12.183 PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 16.184 Uit informatieve gesprekken met de FCCU.185 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 7.186 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2009, 22-23; ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2011, 20. CYBERVICTIMS: Omvang 43
  • 50. systemen zo snel mogelijk terug up-and-running te krijgen. Een onderzoek bij 500 bedrijven in deVS toont aan dat drie vierde van de insider incidenten intern afgehandeld worden terwijl het toch 187deze zijn die het grootste kostenplaatje met zich meebrengen .50% van de Amerikaanse bedrijven die onderzocht werden in 2005 deed geen aangifte omdat zeervan uitgingen dat er geen criminele daad was gesteld en dat het feit te klein is om te 188rapporteren .Opvallend is de stijging van het aantal bedrijven dat aangeeft dat ze het probleem niet aan politieof justitie meldden omdat ze geen vertrouwen hebben in deze diensten terwijl wel meer bedrijven 189aangaven dat ze vertrouwen hebben in politie en justitie in hun aanpak van cybercrime . Ook het 190idee dat er toch weinig aan kan worden gedaan, zorgt voor een onderrapportage bij bedrijven .Een kwart tot de helft van de Amerikaanse bedrijven in 2004 dacht dat de politiediensten toch niet 191geïnteresseerd zijn of dat ze toch niets kunnen doen .Een overige 18% van de Amerikaanse bedrijven gaf als reden dat ze niet wisten bij wie ze het 192incident moesten aangeven of dachten dat dit buiten de bevoegdheid van politie viel . Feitenworden ook wel doorgegeven naar externe organisaties die zich bezig houden met het bestrijdenvan cybercrime maar niet naar de politie zodat ze niet in de criminaliteitsstatistieken 193terechtkomen .Ook is er een sterke stijging van 3% in 2008 tot 15% in 2010 waar bedrijven aangeven dat het 194teveel moeite kost om aangifte te doen .187 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 1, 7.188 F. ABAGNALE, M. BISHOP, A. GLEN, S. JACKMAN, N. KOZLOVSKI, K. MITNICK, S. SANDER, E. SPAFFORD, B. VERDUYN, P. WILLIAMS en R. YEPES, 2005 FBI Computer Crime Survey, Houston, FBI, 2005, 12.189 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2009, 22-23; ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2011, 20.190 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 7.191 R. RANTALA, Cybercrime against businesses in BJS Special Reports, s.l., National Criminal Justice, 2008, 7; F. ABAGNALE, M. BISHOP, A. GLEN, S. JACKMAN, N. KOZLOVSKI, K. MITNICK, S. SANDER, E. SPAFFORD, B. VERDUYN, P. WILLIAMS en R. YEPES, 2005 FBI Computer Crime Survey, Houston, FBI, 2005, 12.192 R. RANTALA, Cybercrime against businesses in BJS Special Reports, s.l., National Criminal Justice, 2008, 7.193 EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 8.194 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2009, 22-23; ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2011, 20.44 CYBERVICTIMS: Omvang
  • 51. 5.4.5 VeiligheidsmonitorIn het verleden werd informaticacriminaliteit nooit opgenomen in de Belgische nationaleslachtofferenquête. In 2011 is er een lokale veiligheidsmonitor geweest die uitgevoerd werd doorde lokale politiezones. In deze enquête zou informaticacriminaliteit opgenomen zijn maar deresultaten zijn nog niet beschikbaar. Vanaf 2013 zou informaticacriminaliteit ook opgenomenworden in de nationale Veiligheidsmonitor maar deze bevraging is een slachtofferonderzoek bijparticulieren en niet bij organisaties en bedrijven waardoor het niet van toepassing is op ons 195onderzoek.5.4.6 Onderzoeksrapporten5.4.6.1 MALWAREMalware is een van de grootste beveiligingsrisico’s voor organisaties. In een enquête van 2004hadden 77% van de Belgische bedrijven de afgelopen drie jaar last van één of meerdere virussen 196en 80% van de Belgische bedrijven vreest voor een aanval met malware . Gezien de explosievegroei van malware de voorbije jaren, kunnen we veronderstellen dat het aantal organisaties dieslachtoffer worden op dit moment nog een stuk hoger ligt.In Nederland is het ontvangen van malware (en spam) de meest voorkomende cybercrime 197 198 199activiteit . Ook de overgang naar web 2.0 en sociale netwerksites maken het voorcybercriminelen gemakkelijker om websites te infecteren met malicious software of linken te delen 200van sites met malicious content , die dan via drive-by download automatisch wordt geïnstalleerdop de computer van de bezoeker. Voor Amerikaanse bedrijven zijn de niet aflatende aanvallen metverschillende soorten malware, die voor een groot deel van binnen de organisatie komen, heel195 Uit informatieve gesprekken met de FCCU.196 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 65.197 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2010, 18.198 De overgang van een statisch internet naar een dynamisch internet met een participerende gebruiker ipv een passieve lezer. Sites zoals facebook, twitter en blogsites maken dat de gebruiker interactief meewerkt aan het maken van content en in real-time kan communiceren.199 De digitale wereld heeft een grote impact gehad op hoe we met elkaar omgaan. Via sociale netwerksites creëren we sociale groepen en nieuwe interconnecties. Het is niet meer nodig om elkaar in het echte leven te ontmoeten maar via gelijkaardige interesses kan je vragen om toegevoegd te worden als een vriend; S. MCQUADE, Encyclopedia of cybercrime, Londen, Greenwood Press, 2009, 66.200 EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 6-7. CYBERVICTIMS: Omvang 45
  • 52. 201frustrerend . Computer virus infecties waren in 2005 de meest voorkomende cybercrime bij dezebedrijven. Meer dan 75% van deze bedrijven die andere computer beveiligingsincidentendetecteerden gaven aan dat een soort malware was geïnstalleerd en dan vooral adware. Iets meer 202dan de helft van de slachtoffers ontdekten spyware of keyloggers. Wereldwijd spelen malwaretoolkits een grote rol in de creatie van 268 miljoen nieuwe varianten van malware die in 2010 203 204gedetecteerd werden door Symantec en 403 miljoen nieuwe varianten in 2011 . Globaal 205gezien werd 69% van de datadiefstallen in 2007 bij bedrijven veroorzaakt door malware . 206Netwerken zijn niet alleen kwetsbaar voor complexe malware zoals Stuxnet of Duqu maarevengoed voor simpele virussen die verspreid worden door bv verwijderbare media zoals USB- 207sticks .Er is een sterke stijging van het aantal varianten van malware. Waar er in 2010 nog 268 miljoennieuwe varianten van malware werden ontdekt loopt dat in 2011 op tot 403 miljoen nieuwe 208malware .5.4.6.2 DIEFSTAL VAN INTELLECTUEEL RECHTEN, FINANCIËLE OF PERSOONLIJKE INFORMATIE 209Volgens BELCLIV vreest ongeveer 10% van de Belgische bedrijven een datadiefstal . 5,7% vande bedrijven had in 2004 te maken met diefstal van gegevens en 6,9% met diefstal van software.210Het onderzoek van Detica in het VK toont aan dat, met uitzondering van de gekende copyrightdiefstal, waarschijnlijk vooral ideeën, ontwerpen, methodieken en bedrijfsgeheimen door201 F. ABAGNALE, M. BISHOP, A. GLEN, S. JACKMAN, N. KOZLOVSKI, K. MITNICK, S. SANDER, E. SPAFFORD, B. VERDUYN, P. WILLIAMS en R. YEPES, 2005 FBI Computer Crime Survey, Houston, FBI, 2005, 1.202 R. RANTALA, Cybercrime against businesses in BJS Special Reports, s.l., National Criminal Justice, 2008, 3.203 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 5.204 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 45.205 VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 26.206 In oktober 2011 kwam Duqu aan het licht als afstammeling van Stuxnet. Het maakt gebruik van een zero- day exploit om spyware te installeren die onder andere toetsaanslagen gaat registreren. Het voorspelt een heropleving van Stuxnet-achtige aanvallen maar er is nog geen versie van Duqu ontdekt die ontwikkeld werd om cyber-sabotage te veroorzaken; SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 14.207 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 7.208 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 11.209 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 58.210 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 64.46 CYBERVICTIMS: Omvang
  • 53. 211cybercriminelen worden gestolen . De wijde verspreiding van internet technologie heeft ookgezorgd voor een nooit geziene uitbreiding van diefstal van intellectuele rechten in Europa en danvooral door copyright beschermd audiovisueel materiaal. Nu dat in Europa SNS meer en meertoegelaten worden op de bedrijfsvloer is er ook meer risico op besmetting met crimeware, die 212grote hoeveelheden persoonlijke, bedrijfs- en financiële data kan vergaren. Van de Amerikaanseorganisaties die diefstal van intellectuele rechten ontdekten gaf 70% aan dat er minstens éénincident was waar handelsgeheimen werden gestolen en iets meer dan de helft werd slachtoffer 213van diefstal van bedrijfsidentiteit . Globaal stelt met een steeds stijgende trend vast van data 214breaches. 95 tot 99% hiervan worden veroorzaakt door hacking en malware maar eenAmerikaans rapport stelt dat ook medewerkers zich inlaten met het stelen van intellectuele 215eigendom . Ook diefstal of verlies van computers of andere dataopslag apparaten kunnen leidentot identiteitsdiefstal. De meest blootgestelde data van data breaches was klant gerelateerde 216informatie .Het rapport van Verizon geeft globaal een zeer sterke stijging in 2011 wat betreft 217gecompromitteerde gegevens van 4 miljoen in 2010 tot 174 miljoen records in 2011 .5.4.6.3 HACKINGIn België vrezen een kleine 20% van de bedrijven een inbraak via hacking en dit is ook nietverbazingwekkend gezien 6,1% van de onderzochte bedrijven, in de periode tussen 1998 en 2004, 218het slachtoffer werd van hacking .In een studie naar Amerikaanse bedrijven zit men rond een gemiddelde van 13% van de bedrijvenvoor 2005 die het slachtoffer geweest zijn van externe en interne hacking, maar dit loopt op tot 21944% voor onderwijsinstellingen . Globaal werd in 2011 meer dan 80% van de datalekken211 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 5.212 EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 5.213 R. RANTALA, Cybercrime against businesses in BJS Special Reports, s.l., National Criminal Justice, 2008, 3.214 VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 3-4.215 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 9.216 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 30-32.217 VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 2.218 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 58, 67.219 F. ABAGNALE, M. BISHOP, A. GLEN, S. JACKMAN, N. KOZLOVSKI, K. MITNICK, S. SANDER, E. SPAFFORD, B. VERDUYN, P. WILLIAMS en R. YEPES, 2005 FBI Computer Crime Survey, Houston, FBI, 2005, 7. CYBERVICTIMS: Omvang 47
  • 54. 220veroorzaakt door hacking, wat een stijging is van 30% tegenover 2004 . Ook was er wereldwijdeen stijging van 30% voor het aantal vulnerabilities dat Symantec opmat waaronder 15 publieke 221 222 223SCADA vulnerabilities in 2010 maar al 129 zwakheden in 2011 . De opkomst van socialenetwerk sites zorgt ook voor een rijke bron van informatie die hackers over een organisatie kunnen 224verzamelen om zo een aanval op maat klaar te stomen .5.4.6.4 SOCIAL ENGINEERINGGlobaal gezien zijn banken de meest frequent bedrogen organisaties, ze tellen mee voor meer dan 225de helft van de phishing aanvallen in 2010 .5.4.6.5 MISBRUIK VAN DE CLOUDNieuwe ontwikkelingen in de informaticawereld maken dat ook criminele activiteiten meeevolueren. Meer een meer bedrijven stappen over naar gebruik van de cloud maar de 226aanvalssector schuift ook mee die kant op. Anderzijds toont een onderzoek naar de kosten vancybercrime bij Amerikaanse bedrijven geen verschil in financiële schade ten gevolge vancybercrime bij bedrijven die wel gebruik maken van cloud-diensten en bedrijven die hier geen 227gebruik van maken .5.4.6.6 MISBRUIK VAN SCADAIn de literatuur wordt weinig geschreven over gerichte aanvallen op SCADA-systemen omdat 228bedrijven zeer terughoudend zijn om dit te melden om zo negatieve publiciteit te vermijden . In2010 identificeerde Symantec wereldwijd 15 publieke SCADA-vulnerabilities tegenover 14 229vulnerabilities in 2009 . Maar dit kende een dramatische toename in 2011 tot 129geïdentificeerde SCADA-vulnerabilities die kunnen worden misbruikt om binnen te dringen in een220 VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 3.221 Voor meer toelichting over SCADA zie hoofdstuk 5.3.1.7 en 5.4.6.6.222 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 48.223 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2011, 41.224 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 8.225 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 60.226 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 87.227 PONEMON INSTITUTE, Second Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies, Michigan, Ponemon Institute, 2011, 19.228 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 111.229 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 48.48 CYBERVICTIMS: Omvang
  • 55. 230SCADA systeem . Stuxnet is het eerste gekende malware om het SCADA-systeem van vooral 231Iranese nucleaire centrales aan te vallen .5.4.6.7 AFPERSINGIn België vrezen 10-20% van de bedrijven voor een inbraak via hacking, diefstal van data, fraude 232en afpersing .In Nederland vond de NHL Hogeschool maar dertien dossiers over cyberafpersing in de periode van2003 tot 2007 waarbij het telkens ging over privépersonen die werden bedreigd met het vrijgevenvan informatie in verband met relaties of seksualiteit. Zij vonden één dossier waarbij een bedrijfwerd bedreigd met een DDoS-aanval. De conclusie over de omvang van cyberafpersing is dat hetzeer weinig voorkomt of dat de aangiftebereidheid zeer laag is. Daarentegen vonden we eenslachtofferonderzoek onder Amerikaanse en Australische bedrijven waarbij 16 tot 33% van de 233bedrijven meldde dat ze het slachtoffer zijn geweest van cyberafpersing. Een onderzoek vanBednarski naar cyberafpersing bij Amerikaanse bedrijven geeft aan dat 60% van de bedrijven hetrisico op cyberafpersing voor hun bedrijf als laag inschatten, terwijl ze toch niet de nodigeinformatie hebben om dit risiconiveau in te schatten. Ook stellen criminologischeneutraliseringstechnieken dat mensen hun risico altijd lager inschatten. Het overkomt alleen een 234ander waardoor ze er zich dan ook niet voldoende tegen kunnen wapenen.5.4.6.8 DISTRIBUTED DENIAL OF SERVICE (DDOS)In de periode van 1998 tot 2004 werd er een negentig tal Belgische bedrijven het slachtoffer vanéén of meerdere feiten zoals phishing, DDoS en defacement.Uit het onderzoek van den Hartog komt naar voor dat meer dan de helft van de ondervraagdeNederlandse bedrijven een bedreiging met een DDoS-aanval denkbaar achten. Een Nederlandsonderzoek stelt vast dat 12,7% van de bevraagde bedrijven in de eerste helft van 2004 al het 235slachtoffer was van een DDoS-aanval . De grootste DDoS-aanval gekend, is die van 2007 in230 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 41.231 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 47.232 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 58.233 E. LEUKFELDT, M. DOMENIE EN W. STOL, Verkenning cybercrime in Nederland 2009, Den Haag, Boom Juridische uitgevers, 2010, XVI.234 G. BEDNARSKI, Enumerating and Reducing the Threat of Transnational Cyber Extortion against Small and Medium Size Organizations, thesis Information Security Policy and Management Carnegie Mellon University, 2004, 18, 31.235 H. DEN HARTOG, Cybercrime, Digitaal vandalisme en sabotage. Naar een cyberveilige onderneming, onderzoeksrapport Kenniskring E-business Hogeschool InHolland, 2005, 32. CYBERVICTIMS: Omvang 49
  • 56. 236Estland waarbij de meeste overheidswebsites meerder dagen niet meer bereikbaar waren . Hetbekendste verhaal van grootschalige DDoS-aanvallen is in de nasleep van het WikiLeaks cablegateverhaal. Verschillende financiële instellingen besloten hierop de rekeningen van WikiLeaks teblokkeren met als gevolg de opkomst van de hacktivist groepering ‘Anonymous’ die de websites 237van deze bankinstellingen ontoegankelijk maakt door een DDoS-aanval .5.4.6.9 ELECTRONISCHE SABOTAGEHet onderzoek van BELCLIV uit 2004 toont aan dat 2,9% van de Belgische bedrijven tussen 2001 238en 2004 het slachtoffer is geweest van een defacement tegenover 5% van de Amerikaansebedrijven. Voor 73% van deze gevallen van cyber vandalisme had dit tot gevolg dat het systeem 239down moest worden gebracht . In Nederland werd 19% van de bevraagde bedrijven bedreigd 240met het defacen van hun website . De voorspellingen van de FCCU in 2011 dat hacktivisme nog 241zal toenemen zijn in 2012 onmiskenbaar uitgekomen .5.4.6.10 BOTNETSIn 2010 ontmantelde de FCCU nog dertig command & control servers in België.Symantec identificeerde in 2010 in totaal 40.103 verschillende nieuwe command & control servers.Men heeft botnets die het met minder dan honderd pc’s doen maar dit aantal ligt vaak veel hoger.In mei 2012 werd in Armenië een botherder veroordeeld tot vier jaar gevangenis voor hetinfecteren van dertig miljoen pc’s in het BredoLab botnet. Hij verdiende hier $ 125.000 [€! 242 24395.947 ] per maand mee door het door te verhuren aan andere criminelen .5.4.6.11 GERICHTE AANVALLEN, ADVANCED PERSISTENT THREATS EN SPIONAGEHet Nederlandse rapport van het Ministerie van Veiligheid en Justitie van 2011 geeft aan datdigitale spionage gericht op overheden, het bedrijfsleven en de academische sector de grootste236 F. PAGET, Cybercrime and Hacktivism, Santa Clara, McAfee Labs, 2010, 11.237 SOPHOS, Security threat report 2011, s.l., Sophos, 2011, 42.238 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 67.239 R. RANTALA, Cybercrime against businesses in BJS Special Reports, s.l., National Criminal Justice, 2008, 3-5.240 E. LEUKFELDT, M. DOMENIE EN W. STOL, Verkenning cybercrime in Nederland 2009, Den Haag, Boom Juridische uitgevers, 2010, 134.241 Uit informatieve gesprekken met de FCCU.242 Omgerekend aan de wisselkoers van 1 augustus 2010, 0,8349; $  € www.wisselkoersen.nl/currency/currencyconverter.aspx.243 www.wired.com/threatlevel/2012/05/bredolab-botmaster-sentenced.50 CYBERVICTIMS: Omvang
  • 57. 244dreiging is die uitgaat van buitenlandse mogendheden . Globaal nam het aantal gerichteaanvallen dramatisch toe van een gemiddelde van 77 aanvallen per dag in 2010 tot 82 aanvallenper dag in 2011. Men ziet ook een stijgende trend in het aantal advanced persistent threats in 2452011 met gemiddeld 94 per dag.5.4.7 Insiders vs. OutsidersOngeveer 15% van de Belgische bedrijven zijn in de periode tussen 1998 en 2004 slachtoffergeworden van cybercrime waarvan 14% het slachtoffer werd van interne hacking. Dit is een sterke 247daling tegenover het onderzoek van 1998. Alhoewel we, voor het aantal gevallen van interne stecybercrime, in het begin van de 21 eeuw, een duidelijke daling vaststellen, zien we in deresultaten van PwC dat de perceptie van cybercrime als een exclusieve externe dreiging omslaat 248naar het erkennen van interne risico’s .Het aantal feiten gepleegd door medewerkers is globaal gezien sinds 2004 gedaald van 33% toteen schamele 4%. Daartegenover staat een bijna even grote stijging van het aantal datalekken datvan buiten uit wordt geïnitieerd (70% 98%). Dit zou kunnen worden verklaard door het feit datoutsiders een grote hoeveelheid aan mogelijke doelwitten hebben terwijl interne daders een kleineraantal potentiële doelwitten hebben. Ook het fenomeen hacktivisme zorgt voor een groter aantal 249externe aanvallen.Hoewel hacktivisten niet zoveel aanvallen plegen, is de schade die ze aanrichten (aantal gestolen 250gegevens) dermate groot. Hoewel in 2009 het meest aanvallen afkomstig zijn van externen zijn 251het de aanvallen van interne medewerkers die in de VS de meeste schade aanrichten .244 GOVCERT.NL, Cybersecuritybeeld Nederland, Den Haag, GOVCERT.NL, 2011, 15.245 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 14.246 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 64; Diefstal van software, Diefstal van gegevens, Computerfraude, Logische sabotage.247 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 69.248 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 15.249 VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 16-17.250 VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 17.251 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 1. CYBERVICTIMS: Omvang 51
  • 58. 5.4.8 Tussentijdse conclusieHet is zeer moeilijk om de omvang van cybercrime te bepalen doordat er weinig onderzoek bestaatover cybercrime bij organisaties en de onderzoeken die bestaan telkens een andere betekenisgeven aan het begrip cybercrime waardoor vergelijkingen moeilijk worden. Politiestatistieken voororganisaties als slachtoffer zijn niet openbaar beschikbaar en de veiligheidsmonitor alsslachtofferonderzoek bevraagt alleen particulieren. Het dark number is hierdoor zeer moeilijk tebepalen en schattingen lopen uiteen van 95% voor België tot 44% voor het VK. We zien mogelijkswel een positieve evolutie. Organisaties geven feiten van cybercrime niet aan uit schrik voorimagoschade, omdat ze niet weten dat ze slachtoffer zijn, omdat ze het probleem zelf hebbenopgelost, omdat ze geen vertrouwen hebben in politie en justitie, omdat ze niet weten bij wie zemoeten aankloppen of gewoon omdat het hen teveel moeite kost.In België hebben we voorlopig het onderzoek naar cybercrime bij bedrijven, uitgevoerd doorBELCLIV in 2004 en het onderzoek cybercrime bij Belgische organisaties van PwC. Het aantalslachtoffers van malware ligt zowel in België als in de VS tussen de 70 en 80%. Malware toolkitszijn verantwoordelijk voor de enorme stijging in het aantal nieuwe varianten van malware. VoorBelgië was ongeveer 10% van de organisaties het slachtoffer van datadiefstal. Deze diefstal vangegevens wordt globaal gezien als 95 tot 99% veroorzaakt door hacking en malware zoalscrimeware maar ook medewerkers zijn verantwoordelijk voor verlies of diefstal van informatie. Erwerd een zeer sterke stijging vastgesteld van het aantal data breaches. Rond de 6% van deBelgische bedrijven werden het slachtoffer van hacking in tegenstelling tot Amerika waar dit hetdubbele was. Vooral onderwijsinstellingen zijn een populair doelwit. Globaal gezien zijn het vooralbanken die het slachtoffer werden van social engineering. Er is controverse in de verschillenderapporten over het risico van het gebruik van de cloud. Evenwel werd een dramatische toenameontdekt in het aantal zwakheden van SCADA-systemen tussen 2010 en 2011 en het voorbeeld vanStuxnet toont aan dat dit zeker niet licht moet worden opgevat. Voor België zijn er weinig cijfersbekend over organisaties die worden bedreigd met een cyberaanval. Een onderzoek bijAmerikaanse en Australische bedrijven gaf weer dat 16 tot 33% van hen al afgeperst werd terwijlze het risico toch laag inschatten. Grootschalige aanvallen met DDoS in de nasleep van wikiLeaksen op Estland maken dat organisaties zich bewust zijn van het risico. In Nederland vreest meer dande helft voor een DDoS-aanval en bekent een kleine 13% in 2004 ook slachtoffer te zijn geweest.Een kleine 3% van de Belgische bedrijven, tegenover 5% Amerikaanse bedrijven, geeft toe in 2004het slachtoffer te zijn geweest van een defacement. Botnets zijn het middel om aanvallen op groteschaal uit te voeren. In 2010 ontmantelde de FCCU nog dertig command & control servers in Belgiëvan de meer dan 40.000 door Symantec geïdentificeerde servers wereldwijd. Er is globaal eenduidelijke stijging te zien in het aantal gerichte aanvallen op organisaties en dan vooral advancedpersistent threats. Er is een sterke daling zichtbaar van het aantal feiten van interne hacking maardaartegenover staat dat zij wel de meeste schade aanrichten.52 CYBERVICTIMS: Omvang
  • 59. 5.5 DreigingUit een Brits onderzoek blijkt dat bijna de helft van de respondenten van mening is dat de 252algemene dreiging van cybercrime in 2010 is toegenomen . In 2010 werd in de VS een daling inslachtoffers van cybercrime vastgesteld maar organisaties die wel aangevallen werden ondervinden 253wel meer aanvallen dan in de afgelopen jaren . In dit hoofdstuk proberen we te achterhalen of ervolgens de literatuur een onderscheid kan worden gemaakt tussen de verschillende daderswaarvan de dreiging uitgaat en welke trends de toekomst zullen bepalen.5.5.1 Typologie dadersEthical hackers, of grey-hats gaan op zoek naar slecht beveiligde netwerken of kiezen doelbewusthun slachtoffers uit. Ze kunnen niet eenvoudig worden bestempeld worden als white-hats of black-hats. Ze breken in computersystemen zonder enige schade toe te brengen om de eigenaar later,al dan niet tegen betaling, op de hoogte te brengen van de zwakke punten in hun systeem. Hoeweldeze inbreekpartijen bij niet-hackers wel eens vragen oproepen, waren deze praktijken tot nog niet 254zo lang geleden legaal. Deze daders zullen door hun betere technische kennis minder schadeaanrichten dan scriptkiddies. Ze vormen een dreiging voor organisaties met minder beveiligdenetwerken maar breken alleen in voor de uitdaging of om bij te leren. “Als je het ‘geluk’ hebt om een ethical hacker in je systeem te hebben, verwijder hem dan niet meteen; neem de gelegenheid om alle gaten in je bedrijfsnetwerk te leren kennen of 255 alle bugs in je €10.000 Sun Workstation.”Dit type daders vormt wel een risico omdat ze zich ook toeleggen op het schrijven van tools envirussen, die ze dan zelf niet gebruiken maar beschikbaar stellen op het internet waar minderonderlegde daders zoals scriptkiddies dan gebruik van kunnen maken. Naar de toekomst toe zal er 256weinig verandering optreden in de dreiging die uitgaat van deze groep.252 PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 8.253 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 1.254 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 10, 13.255 R. CHIESA, S. DUCCI en S. CIAPPI, Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, Londen, CRC Press, 2008, 55.256 R. CHIESA, S. DUCCI en S. CIAPPI, Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, Londen, CRC Press, 2008, 47. CYBERVICTIMS: Dreiging 53
  • 60. Scriptkiddies gaan op zoek naar slecht beveiligde systemen maar richten zich vooral totslachtoffers met een grote zichtbaarheid, zoals NASA, het Witte Huis, overheden of grote 257bedrijven . Ze zijn technisch niet erg onderlegd en maken gebruik van op het internetbeschikbare scripts om hun technologische vernielzucht bot te vieren. Ze handelen vooral voor deuitdaging, maar kunnen soms ook gericht zijn op het aanbrengen van schade of bekomen van 258 259financieel gewin. Ze hebben weinig middelen maar het volume van hun aanvallen is hoog .Door hun gebrek aan technische capaciteiten kunnen ze zo ook moeilijk de impact van hun actiesinschatten waardoor ze soms ongewild enorme schade kunnen toebrengen. Organisaties met goedbeveiligde netwerken zullen minder belaagd worden door deze groep. Deze groep zal altijd blijvenbestaan maar kent een groot verloop. Scriptkiddies die ervaring opbouwen en technisch beter 260worden zullen automatisch evolueren tot hackers.Hacktivists of politieke hackers hebben een duidelijk doel voor ogen en willen een eigenideologische boodschap overbrengen. Hiervoor gebruiken ze verschillende technieken van hetdefacen van websites tot DDoS aanvallen en het stelen en publiceren van data. Hacktivisten gaanzich dikwijls groeperen waarbij ook niet technisch geschoolden zich aansluiten. Ze kiezendoelbewust hun target uit om aan te vallen. Een groepering die de laatste jaren een opmars kenten zich inzet voor goede doelen, of wat zij percipiëren als goede doelen, is Anonymous. Ze vindenhun ideologie terug in de film ‘V for Vendetta’ waarbij ze willen vechten voor het goede doel enhiervoor geweld, in hun geval elektronisch geweld, niet zullen uitsluiten. Ze stellen dat zij de 99%van de populatie vertegenwoordigen die vechten tegen het misbruik van de 1% machtigsten deraarde. Deze groeperingen vormen een grote dreiging voor organisaties die het niet altijd evennauw nemen met ethische normen of althans de ethische normen die hacktivisten voor ogenhebben. Er gaat ook een sterke dreiging uit van dergelijke groeperingen omdat zij dikwijls geenhiërarchische structuur kennen en geen hiërarchisch overleg plegen. Iedereen kan anoniem en 261zonder enige voorwaarde aansluiten, een probleem aan de kaak stellen en een operationopstarten. Bij voldoende navolging wordt het zeer moeilijk om zich te beschermen tegen een257 R., CHIESA, S., DUCCI en S., CIAPPI, Profiling Hackers – The Science of Criminal Profiling as Applied to the World of Hacking, Boca Raton, CRC Press, 2009, 167.258 Uit informatieve gesprekken met de FCCU.259 GOVCERT.NL, Cybersecuritybeeld Nederland, Den Haag, GOVCERT.nl, 2011, 17.260 Uit informatieve gesprekken met de FCCU.261 Hackersgroepering Anonymous kondigt aanvallen aan op verschillende plaatsen op het internet, zoals pastebin.org en twitter.org, onder de naam operations. Een voorbeeld van een operatie van het afgelopen jaar is #OpPedoChat waarbij zij accountgegevens gestolen hebben en gepubliceerd van websites waar pedofielen met elkaar chatten en foto’s van kinderen bespreken.54 CYBERVICTIMS: Dreiging
  • 61. massa-aanval. Men verwacht een toename van het aantal leden, aanvallen en impact naar de 262toekomst toe.Insiders plegen meestal informaticacriminaliteit uit wraak tegenover hun werkgever of omfinancieel voordeel te verkrijgen. Ze werken voor het bedrijf dat ze aanvallen en vormen een grootrisico door hun inside informatie en toegangsmiddelen. Door diensten onbeschikbaar te maken ofdata te stelen, om door te verkopen aan concurrenten of om te gebruiken bij afpersing, vormen zijeen grote dreiging voor bedrijven. In sommige gevallen kan men zelfs spreken vanbedrijfsspionage. De recente ontwikkelingen waarbij geheime documenten worden gestolen van 263overheden en banken en gepubliceerd worden op het internet tonen aan dat interne dreiging 264even belangrijk wordt dan externe dreiging . In Nederland in 2009 denkt 73% van de bevraagdeorganisaties dat cybercrime een louter externe dreiging is terwijl maar 7% denkt aan een interne 265dreiging . In 2010 denkt, volgens een wereldwijd onderzoek, al 13% van de organisaties datcybercrime een dreiging is van binnen het bedrijf terwijl nog maar 46% denkt dat cybercrime 266vooral van buiten het bedrijf komt. Het grootste risico op cybercrime wordt verwacht van buitende organisatie maar dit kan misschien worden verklaard door de focus van de media voor externe 267cybercrime aanvallen .De echte hackers of crackers, zoals ze in het wereldje genoemd worden, handelen vanuit eencrimineel oogpunt. Hun intentie is louter financieel via bv. oplichting of afpersing, of hettoebrengen van schade via sabotage. Ze hebben een zeker niveau van expertise en herinvesterenhun criminele winsten in beter materiaal waardoor ze een blijvende dreiging vormen. Ze viseren 268vooral kwetsbare doelwitten en maken slachtoffers onder de kleinere bedrijven. 269Volgens de Belgische strafwet is een criminele organisatie:262 Uit informatieve gesprekken met de FCCU.263 Wikileaks.org264 ERNST & YOUNG, Insights on IT risks: The evolving IT risk landscape, The why and how of IT Risk Management today, Amsterdam, Ernst & Young, 2011, 9.265 ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2010, 16.266 PRICEWATERHOUSECOOPERS, Cybercrime: protecting against the growing threat: Global Economic Crime Survey, s.l., PricewaterhouseCoopers, 2011, 11.267 PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 7.268 VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 11, 31.269 Art. 324bis SW. CYBERVICTIMS: Dreiging 55
  • 62. “een gestructureerde vereniging van meer dan twee personen die duurt in de tijd, met als oogmerk het in onderling overleg plegen van misdaden en wanbedrijven (…) om direct of indirect vermogensvoordelen te verkrijgen (…)”Europol waarschuwt ook dat het internet vele activiteiten van de serieuze en georganiseerdecriminaliteit gaat vergemakkelijken. Het internet wordt onder andere gebruikt voor communicatie,onderzoek, marketing, rekrutering, distributie en monetariseringstools waardoor bij het grootste 270deel van de transnationale georganiseerde criminaliteit het internet wordt misbruikt. In Belgiëhouden criminele organisaties zich vooral bezig met software-, film- en muziekpiraterij. Zij strevennaar een zo groot mogelijke winstmaximalisatie en besparen zich geen enkele moeite om die tebereiken. Hackers zoals software crackers worden ingehuurd voor hun specialisatie en ze makengebruik van hun eigen botnets die ze ook verder doorverhuren. Ze duiken onder in de anonimiteit 271van het internet en profiteren van het internationale karakter ervan om niet gepakt te worden.Cyberwarriors gebruiken informatica om hun ‘oorlog’ te voeren. Ze willen specifieke data ofinformatiesystemen destabiliseren, onderbreken of infecteren. Information war gaat van spionageover sabotage tot effectieve aanvallen uitgevoerd aan de hand van informatica. In het NederlandseCybersecuritybeeld van 2011 wordt de dreiging van cyberspionage geschetst van buitenlandsemogendheden met als doelwit de Nederlandse overheid, het bedrijfsleven en de academische 272sector . Hun vaardigheden zijn zeer goed en ze handelen om schade aan te brengen. De stapnaar het terrorisme is dan klein. Het echte cyberterrorisme tegen kritieke infrastructuur metgevaar voor mensenlevens is tot nu toe uitgebleven, maar vormt een grote bedreiging naar detoekomst toe. De probabiliteit is momenteel nog laag, hoewel het de laatste jaren enorm stijgt.Denk maar aan de cyberoorlog tussen Rusland en Estland in 2007, tussen Rusland en Georgië in2008, als aan de recente cyberaanvallen op Zuid-Korea en de VS in 2009. De impact is hoog en zalook alleen maar stijgen. Naast overheidssites werden bv. ook al de sites van banken platgelegd enhet is moeilijk te voorspellen wat nog zal volgen.5.5.3 Tussentijdse conclusieWe proberen aan de hand van de drijfveren van de verschillende type cybercriminelen teachterhalen welke dreiging ze vormen voor organisaties. Ethical hackers breken in op systemen omte leren of zwakheden in het systeem aan te tonen en niet om schade toe te brengen. Scriptkiddiesdaarentegen hebben als voornaamste drijfveer schade toebrengen aan eender wie. Hacktivistenwillen met hun acties een boodschap overbrengen maar schuwen cybergeweld niet. Ze vormen een270 EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 3.271 Uit informatieve gesprekken met de FCCU.272 GOVCERT.NL, Cybersecuritybeeld Nederland, Den Haag, GOVCERT.nl, 2011, 15.56 CYBERVICTIMS: Dreiging
  • 63. zekere dreiging voor bekende bedrijven en organisaties die het, volgens hen, niet altijd nauwnemen met de ethiek. Insiders beschikken over veel inside informatie waarmee ze enorme schadekunnen aanrichten in een bedrijf en handelen meestal uit geldgewin of wraak tegen hun(voormalige) werkgever. Hackers of crackers zoals ze in de cyberwereld worden genoemdbeschikken over goede vaardigheden en zijn op zoek naar organisaties met onveilige systemen omschade aan te richten of om er munt uit te slaan. Cyberwarriors zijn echte specialisten en gaanvoor echte oorlogsvoering. Hun probabiliteit is op dit ogenblik nog laag maar in stijgende lijn.Vooral kritieke infrastructuur kan zich hier best tegen wapenen. Georganiseerde bendes houdenzich vooral bezig met piraterij en het hacken van systemen met grote bandbreedte en capaciteitom hun illegale data te huisvesten. CYBERVICTIMS: Dreiging 57
  • 64. 5.6 KwetsbaarheidVolgens de statistieken van de FOD Economie beschikte 95% van de Belgische bedrijven in 2009 273over een internetaansluiting wat hen allemaal tot potentieel slachtoffer maakt. Maar welkefactoren bestaan er die bepaalde organisaties extra aantrekkelijk maken voor cybercriminelen?5.6.1 Typologie organisaties5.6.1.1 GROOTTE ORGANISATIEOm een opsplitsing te maken tussen de verschillende groottes van ondernemingen maken we in ditonderzoek gebruik van de definitie van de Europese Commissie in hun aanbeveling van 2003. Een“micro-onderneming” is een onderneming met minder dan tien werknemers en een jaarlijkseomzet van minder dan € 2 miljoen. Onder een “kleine onderneming” verstaan we een bedrijf metminder dan vijftig werknemers en een jaaromzet van minder dan € 10 miljoen. Een “middelgroteonderneming” heeft minder dan tweehonderdvijftig personen in dienst en een jaaromzet vanminder dan € 50 miljoen. Alle ondernemingen met tweehonderdvijftig personen of meer en een 274jaaromzet van € 50 miljoen of meer vallen onder de noemer “grote onderneming”.Grote bedrijven zijn over het algemeen aantrekkelijk voor cybercriminelen omdat de winsten die erte halen zijn groter zijn dan bij kleinere bedrijven. Ook genieten zij dikwijls een bepaald aanzienwat hen aantrekkelijker maakt voor cybercriminelen die roem willen halen. Wel zal huninfrastructuur beter beveiligd zijn wat het moeilijker maakt om binnen te breken maar wattegelijkertijd ook wel voor een grotere uitdaging zorgt. Het zijn ook de grotere bedrijven die vooralaangifte doen van cybercrime feiten bij politiediensten.Kleinere bedrijven zijn minder aantrekkelijk voor cybercriminelen omdat er zowel weinig financieelvoordeel valt te halen en alsook weinig roem. Maar zij zijn dikwijls minder goed beveiligd enhebben niet de neiging om feiten te ontdekken of aan te geven, wat hen dan toch weer 275aanlokkelijk maakt.5.6.1.2 TYPE ACTIVITEITOrganisaties die de hoogste kost dragen, ten gevolge van cyberaanvallen, zijn bedrijven die ICT-diensten leveren, financiële diensten, farmaceutische diensten en biotech industrie, en leveranciers273 http://statbel.fgov.be/nl/statistieken/cijfers/economie/ondernemingen/ict/.274 C(2003)1422/F, 39.275 VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 48.276 SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 12.58 CYBERVICTIMS: Kwetsbaarheid
  • 65. van elektronische en elektrische uitrusting. De impact van cybercrime is niet gelijk verdeeld overde verschillende sectoren en de overheid moet zich niet alleen zorgen maken over hun kritiekeinfrastructuur. De organisaties die de meeste impact ondervinden van cybercrime komen vansectoren die traditioneel niet gezien worden als doelwitten voor cyberaanvallen zoals bedrijven met 277veel intellectuele eigendom.BedrijvenHostingproviders verhuren ICT-diensten zoals webruimte, e-mail en domeinregistratie aanorganisaties (en privépersonen). Om deze diensten zo toegankelijk mogelijk te maken voor hunklanten worden er poorten opengezet waarbij men aan beveiliging moet inboeten. Dit maakt het 278aantrekkelijk voor hackers.Globaal gezien zijn banken de meest frequent bedrogen organisaties, ze tellen mee voor meer dan 279de helft van de phishing aanvallen in 2010 . Een kwart van alle bedrijven die economischecriminaliteit melden geven aan dat cybercrime hierbij het belangrijkste medium was en dat dit 280vooral voorviel in de financiële sector .Bedrijven die belangrijke ontwikkelingen doormaken zoals de farmaceutische sector, biotechindustrie en de ontwikkeling van elektronica zijn zeer kwetsbaar voor mogelijke cybercrime endragen hier ook de grootste kost van. Ook bedrijven met hoge winstverwachtingen voor gewonnenaanbestedingen zijn aantrekkelijk voor spionage alsook sectoren waar veel fusies en overnames 281zijn .Organisaties met veel intellectuele rechten zijn daardoor ook aantrekkelijker voor diefstal van data 282die beschermd is door auteursrechten of octrooien .OverhedenBelgische overheden maken meer en meer gebruik van het internet voor zowel informatievedoelstellingen als voor toepassingen die burgers en bedrijven gebruiken in hun contact met de277 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 7.278 Uit informatieve gesprekken met de FCCU.279 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 60.280 PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 4.281 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 20.282 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 5-6. CYBERVICTIMS: Kwetsbaarheid 59
  • 66. 283 284overheid . Deze overheidstoepassingen worden mee gerekend als kritieke infrastructuur .Overheden trekken vooral de aandacht van hacktivisten en cyberterroristen met als doelstelling hettoebrengen van schade. De grote bekendheid van deze websites en toepassingen maakt hen erg 285kwetsbaar als slachtoffer van cybercrime en dan vooral voor website defacements .Non-profit organisatiesUniversiteiten en hogescholen zijn vooral aantrekkelijk voor software crackers die op zoek zijn naarbandbreedte en opslagcapaciteit. Deze opslagcapaciteit kan ook worden misbruikt voor hetaanbieden van kinderpornografie. Daarnaast zijn ze extra kwetsbaar doordat ze, zoalshostingbedrijven, een opendeur politiek hebben om veel en gemakkelijke toegang toe te staan.Ook werken ze met een sterke wisselende gebruikersgroep. Scholen moeten dan ook erg op hun 286hoede zijn voor studenten die het gemunt hebben op examenvragen of puntenlijsten . Wat dekwetsbaarheid van de academische wereld nog groter maakt is dat men veel minder budget heeftom investeringen te doen in beveiliging tegenover de bedrijfswereld.Door de informatisering van ziekenhuizen en laboratoria kunnen deze ook meer en meer gerekend 287worden tot de kritieke infrastructuur . In België was er in 2009 een geval waarbij eenmedewerker van een ziekenhuis een met malware besmette USB-stick in een computer stak en die 288computer besmette met het Conficker virus . Het virus verspreidde zich over het hele ziekenhuisen op twee uur tijd integreerde het alle computers in het conficker botnet. Alle computers werktenniet meer of zeer traag. Het duurde drie dagen en nachten voordat het ziekenhuis opnieuw 289helemaal operationeel was.Kritieke infrastructuur “De verdachte stijging in het Belgische internetverkeer die maandag werd opgemerkt op de servers van de .be domeinnaambeheerder DNS.be is te wijten aan een slecht uitgevoerde spamactie vanuit het buitenland. Dat zegt het Belgisch Nationaal Computer Emergency283 Vb: Tax-on-web en kruispuntbank van de Sociale Zekerheid.284 Zie Hoofdstuk Kritieke infrastructuur.285 R., CHIESA, S., DUCCI en S., CIAPPI, Profiling Hackers – The Science of Criminal Profiling as Applied to the World of Hacking, Boca Raton, CRC Press, 2009, 167.286 Zie persartikel in 8.8.287 Zie hoofdstuk Kritieke infrastructuur.288 Het conficker virus is nog altijd een dreiging en verspreid zich nog altijd ondanks een patch die beschikbaar is sinds 2008. In september 2011 zijn er nog altijd 10 miljoen computers besmet met het conficker virus. Sophos Anatomy of an Attack seminar, 7 juni 2012, Vilvoorde, New threats in the age of social networks.289 www.deredactie.be/permalink/1.1315987; 20:45 – 22:35.60 CYBERVICTIMS: Kwetsbaarheid
  • 67. Response Team (CERT.be) dinsdag in een mededeling. Het gaat, volgens het CERT.be, dus 290 niet om een georchestreerde aanval van internetcriminelen.”Bepaalde sectoren en organisaties beheren kritieke infrastructuren waarbij het verstoren of 291stilleggen ervan, de maatschappij ernstige en ontwrichtende schade toebrengt . BelNIS is hetoverkoepelend platform dat zich buigt over zowel de classificatie als de bescherming van kritiekeinfrastructuur. De verschillende partners, waaronder de FCCU, werken samen om te komen tot een 292nationale strategie voor de beveiliging van de informaticasystemen voor kritieke infrastructuren.5.6.1.3 ORGANISATORISCHE STRUCTUUROnvoldoende aandacht van het management voor de beveiligingsproblematiek leidt vrijwel zekertot een gebrekking veiligheidsbeleid. Om informatie over de hele organisatie te beschermen is een 293gecoördineerde aanpak van security van essentieel belang. Aandacht voor beveiliging kan alleengecreëerd worden door een degelijk bottom-up communicatie van de ICT-afdeling naar de Raadvan Bestuur als een degelijke top-down communicatie naar de gebruikers. Een degelijk risicobeleid,informatiebeleid en securitybeleid zal pas ontwikkeld worden wanneer het topmanagement op dehoogte is van de opgelopen veiligheidsincidenten. Procedures om te kunnen omgaan metveiligheidsincidenten zullen pas ontstaan wanneer de top hier aandacht aan besteed en zich bewustis van de risico’s. Niet alleen moet een organisatiebreed beleid worden uitgestippeld maar er moetook voor gezorgd worden dat dit beleid in de praktijk wordt toegepast. Een ongebreideldsecuritybeleid zal zorgen voor veel incidenten en dweilen met de kraan open.5.6.1.4 BEKENDHEID BEDRIJFOrganisaties die bekendheid verwerven zijn een aantrekkelijker doelwit voor cybercriminelendoordat er niet alleen meer buit kan worden gemaakt maar ook eeuwige roem.290 X, “Aanval op het Belgisch net was slecht uitgevoerde spamactie.”, De Morgen 5 april 2011, www.demorgen.be/dm/nl/5403/internet/article/detail/1246425/2011/04/05/Aanval-op-Belgisch-net-was- slecht-uitgevoerde-spamactie.dhtml.291 Vb: Nutsvoorzieningen (water, elektriciteit, gas), telecomoperatoren, banksector, transportsector, medische sector, overheid, ….292 FEDERALE GERECHTELIJKE POLITIE, Jaarverslag 2011: Federale gerechtelijke politie, Directie economische en financiële criminaliteit, Brussel, Federale gerechtelijke politie, DJF, 2012, 30.293 GOVCERT.NL, Cybersecuritybeeld Nederland, Den Haag, GOVCERT.nl, 2011, 35. CYBERVICTIMS: Kwetsbaarheid 61
  • 68. 5.6.1.5 INTERCONNECTIVITEIT EN ICT-AFHANKELIJKHEIDWe verwachten een stijging van kwetsbaarheid voor bedrijven doordat meer en meer connecties 294worden gelegd tussen administratieve processen en bedrijfsprocessen . Hierdoor worden SCADA- 295systemen die dikwijls slecht beveiligd en geüpdatet zijn blootgesteld aan hackers . Volgens deBELCLIV enquête in 2004 blijkt dat 73,5% van de bevraagde bedrijven denkt maximaal acht uurzonder informatica denkt te kunnen overleven, zonder ernstige nadelen ervan te ondervinden.Slechts 33,8% van hen beschikt over een noodplan. En van die 33,8% denkt een kleine 60% dathij zijn ICT-omgeving binnen één dag opnieuw in werking heeft na een aanval. Dit maakt dat maar20% van de bedrijven een plan heeft waarbij hij binnen één dag opnieuw operationeel is terwijl73,5% denkt niet langer dan één dag te kunnen overleven zonder ernstige schade. Van de 296noodplannen die bestaan werd bijna 30% nooit getest .5.6.1.6 AFHANKELIJKHEID EXTERNE ICT-LEVERANCIERAmerikaanse organisaties die hun computerbeveiliging outsourcen en door een ICT-leverancierlaten beheren lopen een groter risico op aanvallen van cybercrime tegenover organisaties die hun 297beheer in-house laten doen .5.6.2 BeveiligingsmaatregelenOrganisaties aanmoedigen om meer investeringen te doen in cybersecurity, gebaseerd op 298verbeterde risk assessments zal de economische impact van cybercrime doen dalen . Verizonkomt in zijn Data Breach Investigation rapport wel tot de conclusie dat beveiligingsproblemen nietworden veroorzaakt door het gebrek aan vernieuwde beveiligingsmaatregelen maar eerder doorhet niet, weinig of slecht gebruik van conventionele middelen. Criminelen zoeken altijd de weg vande minste weerstand en gaan punten aanvallen die slecht beveiligd zijn. Verizon raadt dan ook aanom eerst alle essentiële maatregelen te nemen en dan pas meer geavanceerde technieken te 299implementeren. . Het is opvallend dat terwijl de meest van de top vijftien294 KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 109-110.295 Zie Hoofdstuk 5.3.1.7.296 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 40-44.297 R. RANTALA, Cybercrime against businesses in BJS Special Reports, s.l., National Criminal Justice, 2008, 9.298 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 3299 W. BAKER, A. HUTTON, D. HYLENDER, J. PAMULA, C. PORTER EN M. SPITLER, 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 65.62 CYBERVICTIMS: Kwetsbaarheid
  • 69. beveiligingsmaatregelen en procedures gericht zijn tegen interne dreiging, toch de helft van de 300getroffen bedrijven het slachtoffer werd van een intern incident .5.6.2.1 TECHNISCHE PREVENTIEVE MAATREGELENTesten van applicaties en code reviewen voordat ze beschikbaar worden gesteld op het productie- 301netwerk en het internet zou de helft van de data breaches kunnen beletten . Maar vooral hetuitvoeren van periodieke penetration tests, waarbij men zelf of ingehuurde white-hat hackers hetnetwerk proberen binnen te dringen, blijkt één van de effectiefste beveiligingsmaatregelen te 302zijn . Slechts slechts 35% van de kleine en middelgrote ondernemingen hebben, in 2004, hunbeveiligingssysteem laten testen tegenover 69% van de grote ondernemingen. Opvallend is dat bij 303de grote ondernemingen toch nog 31% hun beveiliging niet liet testen.Het installeren van antivirussoftware blijkt één van de populairste maatregelen te zijn die meer dan90% van de ondernemingen neemt. Doch blijven organisaties het slachtoffer zijn van 304virusaanvallen die hoge kosten met zich meebrengen. Vermoedelijk is het onvoldoende updatenvan signature files de oorzaak hiervan.De meest populaire beschermingsmaatregel die bedrijven nemen zijn identificatie en 305 306authenticatie via een gebruikersnaam en paswoord . Niet alleen het gebruik van 307gebruikersnaam en paswoord is essentieel maar ook het wijzigen van standaard paswoorden . Bijvele SCADA-systemen aangesloten op het internet blijken nog standaard paswoorden, die vrij op 308het internet beschikbaar zijn, te zijn ingesteld . Geef geen onnodige rechten aan gebruikers en300 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 1.301 W. BAKER, A. HUTTON, D. HYLENDER, J. PAMULA, C. PORTER EN M. SPITLER, 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 66.302 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 15.303 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 52.304 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 65-66.305 Identificatie is om te kijken of de persoon wel is wie hij beweert te zijn en authenticatie is om te kijken of die persoon dan toegangsbevoegdheid heeft tot hetgeen hij opvraagt.306 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 54; CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 13.307 W. BAKER, A. HUTTON, D. HYLENDER, J. PAMULA, C. PORTER EN M. SPITLER, 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 65.308 www.deredactie.be/permalink/1.1315987; 49:50. CYBERVICTIMS: Kwetsbaarheid 63
  • 70. 309gebruik logging en alarmen voor het gebruik van bepaalde rechten . In 2004 nam 90% van de 310grotere Belgische ondernemingen en iets minder kleinere ondernemingen deze maatregel.Het monitoren van logfiles op alle niveaus van webapplicaties tot het gebruik van bepaaldegebruikersrechten maar ook het monitoren van het aantal regels in een logfile kan een zeer goede 311methode zijn om een aanval te ontmaskeren .Bedrijven doen er goed aan de remote toegang tot het netwerk en tot bepaalde systemen te 312beperken tot bepaalde toestellen . Het monitoren van de internetconnecties, zodat eendatabreach kan worden gestopt op het moment dat bepaalde data het netwerk verlaat blijkt één 313van de meest voorkomende beveiligingsmaatregelen . In 2004 had 70% van de grotereBelgische bedrijven een inbraak detectiesysteem. Bij de micro-, kleine- en middelgrote 314ondernemingen liep dit terug tot een kleine van 50%.De helft van de Belgische grote ondernemingen en 10 tot 15% van de kleinere ondernemingenmaakten gebruik van hardware identificatie en authenticatie, zoals een digipass, voor de 315bescherming van hun gevoelige gegevens in 2004 .In 2004 maakte een zeer kleine minderheid van de Belgische bedrijven gebruik van encryptie om 316hun gevoelige gegevens te beschermen tegen onrechtmatige gebruikers . Dit is nochtans eenrelatief eenvoudige en efficiënte maatregel. Encryptie voor het verzenden van gegevens wordt iniets meer bedrijven toegepast.Andere middelen zoals bv. elektronische handtekening is in ongeveer 10% van de bedrijveningeburgerd.309 W. BAKER, A. HUTTON, D. HYLENDER, J. PAMULA, C. PORTER EN M. SPITLER, 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 66.310 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 54.311 W. BAKER, A. HUTTON, D. HYLENDER, J. PAMULA, C. PORTER EN M. SPITLER, 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 66-67.312 W. BAKER, A. HUTTON, D. HYLENDER, J. PAMULA, C. PORTER EN M. SPITLER, 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 66.313 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 13.314 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 53.315 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 54.316 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 54.64 CYBERVICTIMS: Kwetsbaarheid
  • 71. 5.6.2.2 HUMAN PREVENTIEVE MAATREGELENMeest effectieve maatregelen die kunnen worden genomen om een organisatie te beschermentegen cybercrime zijn onder andere regelmatige communicatie, periodieke opleiding en 318bewustzijnsprogramma’s en employee background checks.Het onderzoek van BELCLIV toont aan dat in 2004 maar 40% van de Belgische bedrijven regelsopgesteld hadden voor hun werknemers in verband met het gebruik van de ICT-omgeving terwijl 319juist de medewerkers toch een grote risicofactor zijn . Alhoewel er een daling te zien is van hetaantal feiten door insiders gepleegd zien meer bedrijven dit als een risico en richten zij ook grotereschade aan dan feiten gepleegd door outsiders.Gezien de rol van social engineering in actuele criminele feiten, is bewustmaking en hetontwikkelen van individuele en organisatorische verantwoordelijkheid, de sleutel tot het bestrijden 320van cybercrime . Cybersecurity werd in het verleden altijd beschouwd als een ICT-probleem, meteen communicatiekloof tussen managers en beveiligingspersoneel als gevolg. Slechts 13% van de 321Belgische organisaties ziet cybercrime als een verantwoordelijkheid van de CEO en de raad van 322bestuur. In tegenstelling tot 67% die denkt dat dit de eindverantwoordelijkheid is van de CIO .Dit heeft als gevolg dat de CEO en de raad van bestuur zich niet voldoende bewust zijn van de 323dreiging van het internet en de risico’s dat dit met zich meebrengt. Terwijl bewustzijn een zeergoede maatregel blijkt te zijn tegen cybercrime ontving 45% van de Engelse respondenten geen 324enkele bewustzijn of security training in 2010 . Voor België zien we hier iets positievere cijfers.Maar toch ontving 32% geen enkele bewustzijnstraining (t.o.v. 45% voor het VK en 42% globaal)maar voor diegenen die wel training ontvingen was dit maar in 24% van de gevallen face-to-face.Het overgrote deel van de bewustzijnstraining bestaat in het ontvangen van e-mails met317 W. BAKER, A. HUTTON, D. HYLENDER, J. PAMULA, C. PORTER EN M. SPITLER, 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 58.318 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 15.319 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 19.320 PONEMON INSTITUTE, Second Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies, Michigan, Ponemon Institute, 2011, 7-8; W. BAKER, A. HUTTON, D. HYLENDER, J. PAMULA, C. PORTER EN M. SPITLER, 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 67.321 Chief Executive Officer, Algemeen directeur ofwel de voorzitter van de raad van bestuur.322 Chief Information Officer, is verantwoordelijk voor de implementatie van de nodige technologie om de toegang tot informatie te stroomlijnen.323 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 19.324 PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 6. CYBERVICTIMS: Kwetsbaarheid 65
  • 72. 325aankondigingen. In België (2004) bood slechts 10% van de bevraagde bedrijven eendoorgedreven opleiding van twee of meer weken aan voor hun interne ICT-veiligheidsspecialisten 326en iets meer dan 30% verzorgde helemaal geen opleiding.Daar het misbruik door insiders een groot cyber risico vormt voor organisaties zijn backgroundchecks voor medewerkers een noodzakelijk kwaad. Eén derde van de bedrijven neemt dan ookstappen om interne dreiging te identificeren en monitoren medewerkers die hun misnoegd zijn of 327een beveiligingsrisico vormen.5.6.2.3 E-SECURITY BUDGETE-security wordt door bedrijven dikwijls aanzien als een extra kostenlast en geen noodzakelijkheidvoor hun core activiteiten. Wij gaan ervan uit dat het vastleggen van een specifiek budget voorICT-beveiliging een stap in de goede richting is. Wanneer er geen budget voorbeveiligingsmaatregelen vaststaat, moeten de uitgaven voor het veilig stellen van informaticatelkens in een ander budget worden ingeschreven wat het soms moeilijk maakt om te overtuigendat de maatregel noodzakelijk is. Het onderzoek van BELCLIV toont aan dat in 2004 het vooral degrotere bedrijven zijn die een specifiek budget vrijmaken voor de beveiliging van hun 328informaticaomgeving en wat veel minder het geval is bij kleinere bedrijven . Detica besluit zijnonderzoek in het VK door te stellen dat het aanmoedigen van organisaties om meer investeringente doen in cybersecurity, gebaseerd op verbeterde risk assessments de economische impact van 329cybercrime in de UK zal doen dalen .5.6.2.4 PROCEDURESZorg ervoor dat je klaar bent om te reageren wanneer een incident plaats heeft. Een effectiefnoodplan maakt dat je de aanval kan indijken en dat je op een degelijke manier bewijsmateriaalkan verzamelen. Zorg ook dat je dit plan test en niet wacht tot je in de praktijk een aanval 330meemaakt om je reactie te testen. Onderzoek in België (2004) toont aan dat één derde van de325 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 18.326 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 15.327 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 15.328 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 18.329 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 3.330 W. BAKER, A. HUTTON, D. HYLENDER, J. PAMULA, C. PORTER EN M. SPITLER, 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 67.66 CYBERVICTIMS: Kwetsbaarheid
  • 73. organisaties niet over een noodplan beschikt en van diegenen die wel over een noodplanbeschikken slechts de helft dit al heeft getest. Vooral de grotere ondernemingen zijn hier de betere 331leerling van de klas. In 2010 heeft al de helft van de respondenten, in een onderzoek in de VK, 332een plan uitgewerkt om cybercrime te rapporteren of is bezig met de ontwikkeling ervan .5.6.3 Tussentijdse conclusieWe gaan op zoek naar welke indicatoren bepaalde bedrijven mogelijks kwetsbaar maken voor eencyberaanval. Grote of kleinere bedrijven zijn even kwetsbaar voor een aanval maar omverschillende redenen. Het type van activiteit dat ze uitvoeren lijkt wel belangrijk voor hunkwetsbaarheid. Vooral ICT-leveranciers, financiële instellingen, R&D bedrijven en organisaties metveel intellectuele rechten lopen risico op slachtofferschap. Daarnaast lopen overheden een grootrisico omdat ze de aandacht trekken van hacktivisten en cyberterroristen. Bij de non-profitorganisaties zijn ziekenhuizen zeer kwetsbaar omdat aanvallen levensbedreigend kunnen zijnen onderwijsinstellingen zijn zeer populair bij eigen studenten. Sectoren die vallen onder kritiekeinfrastructuur zijn zeer kwetsbaar omdat het uitvallen of erger van deze sectoren sterkmaatschappij-ontwrichtend kan zijn. Bekende namen in de bedrijfswereld zijn een sterkeaantrekkingskracht op cybercriminelen omdat hier veel roem te halen valt. De interconnectiviteitmaakt dat onveilige systemen meer bereikbaar worden voor internetcriminelen. De afhankelijkheidvan een bedrijf van hun ICT maakt hen zeer kwetsbaar met mogelijk grote schade als er geennoodprocedures bestaan. Gebrek aan technische preventieve maatregelen maken sommigeorganisaties aantrekkelijk voor cybercrime. Maar naast technische maatregelen worden vooralcommunicatie, training en bewustzijn gezien als zeer belangrijke stappen in het onkwetsbaarmaken van een organisatie. Background checks voor medewerkers in bepaalde posities zijnnoodzakelijk. Een apart budget voor e-security lijkt onontbeerlijk om aan risicobepaling te kunnendoen en naargelang maatregelen te kunnen nemen. Geteste noodplannen om te kunnen omgaanmet een aanval maken dat organisaties zich minder kwetsbaar opstellen en snel, zonder veelschade, kunnen recupereren.331 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 39-40.332 CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 16. CYBERVICTIMS: Kwetsbaarheid 67
  • 74. 5.7 ImpactDe literatuur over cybercrime bij organisaties stelt duidelijk dat er buiten directe financiële schadeer ook nog onrechtstreeks andere schade kan ontstaan. We beschrijven hier de economischeimpact van cybercrime op organisaties en de mogelijke psychologische- en gedragsschade.5.7.1 Economische schadeDe economische schade geleden door organisaties ten gevolge van cybercrime is zeer moeilijk tebepalen. De totale schade is afhankelijk van vele factoren. Enerzijds is er de rechtstreeksefinanciële schade en onrechtstreekse economische schade zoals de mogelijke financiële gevolgenvan reputatieschade. De berekeningen van de schadebedragen die hier volgen moeten met enigeterughoudendheid worden bekeken. Ten eerste is het niet altijd heel duidelijk in de rapportenwelke vormen van cybercrime en welke vormen van schade worden meegenomen. Ten tweedewordt in rapporten dikwijls gewerkt met sterk uit elkaar gelegen onder- en bovengrenzen en is deuiteindelijke geleden schade soms onduidelijk. Ten derde worden buitenlandse cijfers gebruikt omhet bedrag te extrapoleren naar België maar we weten niet hoe betrouwbaar de originele cijfers enof nationaliteit een rol speelt in het slachtofferschap of niet.De enige cijfers die we op dit ogenblik beschikbaar hebben voor alle Belgische bedrijven zijn dievan BELCLIV. Een extrapolatie van deze cijfers door de FCCU geeft hier een schadebedrag vanongeveer € 2 miljard per jaar voor 2004. Opvallend aan deze cijfers is dat enkele zware gevallen 333het overgrote deel van de schade op zich nemen.Het jaarverslag van de Federale gerechtelijke politie, Directie economische en financiëlecriminaliteit vermeldt voor 2011 een algemene schade tussen de € 1 miljard en € 3 miljard per jaaraangegeven voor informaticacriminaliteit. Dit wordt in dit rapport niet opgesplitst in schade bijburgers en organisaties. Het totale bedrag van de uitgevoerde frauduleuze transacties ten gevolgevan hackings van Belgische banken is € 1,85 miljoen voor 2011. In deze materie is er trouwens 334een belangrijk dark number als gevolge van angst voor mogelijke imagoschade.333 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 72; Voor gedetailleerde berekening, zie bijlage 8.2 Schadeberekening BE 2004 volgens rapport BELCLIV.334 FEDERALE GERECHTELIJKE POLITIE, Jaarverslag 2011: Federale gerechtelijke politie, Directie economische en financiële criminaliteit, Brussel, Federale gerechtelijke politie, DJF, 2012, 70.68 CYBERVICTIMS: Impact
  • 75. Geschatte kost voor cybercrime voor Engelse Bedrijven in 2010 ligt rond £ 21 miljard [€ 25,2 335miljard ] per jaar. De kosten voor de overheid worden daarbij geschat op £ 2,2 miljard [€ 2,6 336miljard ] per jaar. In een worst case scenario ligt dit bedrag hoogst waarschijnlijk nog veel hoger 337door het zeer hoge dark number. Een onderzoek van Ponemon in 2010 bij vijftig bedrijven in deVS die het slachtoffer zijn geweest van cybercrime, toont aan dat de mediaan op $ 5,9 miljoen [€ 3384,5 miljoen ] ligt per jaar per bedrijf met een aanvalsratio van 1,4 succesvolle aanvallen perweek. We kunnen dit bedrag niet extrapoleren voor de hele VS omdat het onderzoek specifiekgericht was op bedrijven die het slachtoffer zijn geweest van cybercrime en in dit onderzoek nietvermeld wordt hoeveel percent van het totaal aantal Amerikaanse bedrijven slachtoffer zouzijn.Om deze bedragen met elkaar te kunnen vergelijken hebben we een omrekening gemaakt per€ 100.000 bruto binnenlands product (bbp). Hierbij komen we op een financiële schade van €2.223 per € 100.000 bbp voor België tegenover een schadebedrag van € 11.272 per € 100.000 bbpvoor het VK. Hier zien we dat de geleden financiële schade voor het VK vijf keer hoger ligt dan voorBelgië. Zoals we in het begin van dit hoofdstuk al aangaven is dat we heel voorzichtig moetenomspringen met deze cijfers omdat de wetenschappelijke waarde ervan niet altijd vaststaat. Welkunnen we dit mogelijks zien als een indicator dat er een groot verschil in schade kan zijn tussen 339verschillende landen.Dit onderzoek van Ponemon toont duidelijk een positieve relatie tussen de grootte van het bedrijfen de kostprijs van cybercrime. Wel is de kostprijs voor kleinere bedrijven groter per medewerker.Ook de sector waarin het bedrijf actief is, is verantwoordelijk voor de hoogte van de kostprijs.Vooral defensie, nutsbedrijven en financiële industrieën lijden onder een hogere kostprijs voorcybercrime. Vooral malware, DDoS-aanvallen, gestolen of gekaapte toestellen en insiders zijnverantwoordelijke voor deze zware kostprijs. Er bestaat ook een positieve relatie tussen de tijd dienodig is om een aanval af te weren en de kostprijs van de aanval. Het onderzoek van Ponemon gafaan dat het gemiddeld achttien dagen duurt om een aanval op te lossen. Volgens Ponemon is dit335 Omgerekend aan de wisselkoers van 1 augustus 2010, 0,8349; £  €; www.wisselkoersen.nl/currency/currencyconverter.aspx.336 Omgerekend aan de wisselkoers van 1 augustus 2010, 0,8349; £  €; www.wisselkoersen.nl/currency/currencyconverter.aspx.337 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 2.338 Omgerekend aan de wisselkoers van 1 augustus 2010, 0,8349; $  €; www.wisselkoersen.nl/currency/currencyconverter.aspx.339 Voor een gedetailleerde berekening, zie bijlage 8.3 Schadeberekening België tegenover het VK. CYBERVICTIMS: Impact 69
  • 76. ook een stijging van 67% ten opzichte van hun onderzoek in 2009. Vooral insider aanvallen 340kunnen zorgen voor een zeer lange periode, tot 45 dagen, om het probleem af te handelen.Dit verklaart mogelijks een deel van de hoge kostprijs in het VK tegenover cijfers die we voor 2004voor België terugvinden. Voor België geven de meeste respondenten aan dat ze minder dan één 341dag nodig hebben om hun ICT-omgeving terug up-and-running te hebben . Het is hier nietduidelijk of alle bijkomstige problemen dan ook van de baan zijn. We moeten ons hierbij de vraagstellen of het oplossen van feiten van cybercrime moeilijker is geworden over de jaren en dus meertijd en geld kost of dat er hier andere verklaringen voor bestaan.Het rapport van Ponemon onderzocht ook de relatie van het gebruik van beschermingsmaatregelen 342en de kostprijs van een aanval en vond hier een positieve relatie . De vraag moet hierbij gesteldworden of dat de meerprijs van de beschermingsmaatregelen af te wegen is tegen de kostprijs vancybercrime.Opvallend in het onderzoek van PwC is dat Belgische organisaties dubbel zoveel getroffen wordendoor cybercrime tegenover de globale cijfers maar dat slechts 25% van de Belgische organisatiesbezorgd zijn over de financiële impact van cybercrime in vergelijking met 31% globaal gezien. Isdit het gevolg van een lage kostprijs ten opzichte van andere landen zoals het VK of zijn hierandere argumenten voor?5.7.2 Psychologische schadeNiet-financiële gevolgen van cybercrime voor een organisatie zijn vooral reputatieschade door de 343recente hoge media-aandacht voor grote dataverlies incidenten . Feiten worden niet aangegevenaan politiediensten uit schrik om de controle op de informatiestroom te verliezen en negatief in depubliciteit te komen. 46% van de Belgische respondenten zien reputatieschade als een significante 344impact . De invloed van de media, rijk aan beelden van cyber folk devils, lijdt tot een moral340 PONEMON INSTITUTE, Second Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies, Michigan, Ponemon Institute, 2011, 20.341 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 68.342 PONEMON INSTITUTE, Second Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies, Michigan, Ponemon Institute, 2011, 15.343 PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 16.344 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 16.70 CYBERVICTIMS: Impact
  • 77. 345panic. We leven in een wereld van permanente angst en globale onveiligheid. Daarnaast melden 346ze een gevoel van bedreiging en stress over hun onveilige informaticaomgeving.5.7.3 Gedragsschade bedrijven, werknemers, samenleving?Gedragsschade is de weerslag van beide vormen van schade in het gedrag van organisaties intermen van preventie of vermijding, en wat zijn daarvan de kosten?5.7.3.1 BEDRIJVENOrganisaties die het slachtoffer zijn van cybercrime en hier schade van ondervinden kunnen zichbedreigd voelen. Dit kan zich uiten in mijdingsgedrag en opleggen van beperkingen zoals beperkteinternettoegang aan medewerkers. Naarmate de samenleving ook minder tolerant wordt tenopzichte van onethisch gedrag, moeten organisaties meer de nadruk gaan leggen op het opbouwen 347van publiek vertrouwen . Met betrekking tot imagoschade moeten organisaties meer aandachtbesteden aan beveiliging. Het meest veilig bedrijf in de markt is een belangrijk onderdeel vanconcurrentievoordeel geworden. Een veilige en betrouwbare operationele omgeving is van 348essentieel belang geworden voor Belgische organisaties. Ten tweede loopt men het risico omsnel en ondoordacht zeer dure en overbodige beveiligingsmaatregelen te treffen. Dit komt danbovenop de financiële schade die ze al geleden hebben. Ten slote heeft het gebrek van opvolgingdoor justitie als gevolg dat organisaties hun vertrouwen in politie en justitie verliezen. Het gevoelvan onmacht en gebrek aan gerechtigheid van organisaties maakt dat we het risico lopen datnieuwe feiten niet meer worden aangegeven en door gebrek aan empirische gegevens we helemaalhet gevoel met de werkelijkheid verliezen.5.7.3.2 WERKNEMERSBeschermingsmaatregelen die genomen worden om cybercrime tegen te gaan kunnen de vrijheidvan medewerkers in hun gebruik van ICT sterk beknotten. Daardoor worden werkprocedures somsomslachtig en moeilijk uit te voeren wat kan zorgen voor spanning. Daarnaast loopt men het risicodat werknemers veiligheidsmaatregelen gaan omzeilen om toch hun werk te kunnen uitoefenenzoals ze altijd hebben gedaan.345 Y. JEWKES EN M. YAR, Handbook of internet Crime, Devon, Willan Publishing, 2010, 57.346 Uit informatieve gesprekken met de FCCU.347 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 3.348 PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 16. CYBERVICTIMS: Impact 71
  • 78. 5.7.3.3 SAMENLEVINGVooral afpersing en het gebrek aan respect voor privacy levert een aantasting op de ethischewaarden van de maatschappij. Er ontstaat een zekere normvervaging bij hackers met dementaliteit dat als een informaticasysteem niet goed beveiligd is, het mag worden gehackt.Daarnaast vinden de boodschappen van hacktivistgroeperingen, tegen het onethische gedrag vanbepaalde industrieën en overheden hun weg naar de samenleving en vinden sympathie onder grotelagen van de bevolking. Hierdoor wordt hacken meer een meer oogluikend toegelaten door desamenleving, zolang het maar een goed doel voor ogen heeft.Bovendien lopen we ook een groot risico dat als kritieke infrastructuur zou worden gehackt, desamenleving sterk zou worden aangetast worden met zelfs risico’s op levens.5.7.4 Tussentijdse conclusieEen schaderaport opmaken voor de impact van cybercrime bij organisaties is geen sinecure. Erbestaat weinig onderzoek en het onderzoek dat wel bestaat is niet met elkaar te vergelijken. Wenemen de cijfers over van de FCCU voor de financiële schade bij Belgische bedrijven en dit ligt voor2011 tussen de € 1 miljard en € 3 miljard. Voor de VK werd deze schade geschat op €25,2 miljardper jaar voor 2010 wat vijf keer hoger is dan voor België. De kostprijs van cybercrime hangtsamen met de grootte van het bedrijf, hoe groter hoe meer schade en het type activiteit, defensie,nutsbedrijven en financiële sector lijden grote schade. Ook de tijd dat het duurt om systemen terugonline te krijgen, is verantwoordelijk voor een grote kost. Daarnaast ondervinden organisaties ookimagoschade met mogelijks economische gevolgen en nemen stress en onveiligheidsgevoelens toe.Als gevolg van deze impact gaan organisaties bepaalde risico’s mijden en hun medewerkersmogelijks beperkingen opleggen.72 CYBERVICTIMS: Impact
  • 79. 6 ONDERZOEKSRESULTAAT6.1 AnalyseIn het kader van dit onderzoek werden er in totaal drie interviews afgenomen van drieverschillende types organisatie die in het verleden al het slachtoffer werden van cybercrime. Drieinterviews is minder dan we gehoopt hadden maar meer dan we verwacht hadden. Omdat hetaantal respondenten te klein is moeten we oppassen in de analyse van de data en kunnen we hierzeker geen statistische verwachtingen stellen. Het mag ook duidelijk zijn dat de drie geïnterviewde,grote spelers zijn op de markt en we respons van kleinere organisaties missen. Het interview metde overheidsorganisatie werd niet persoonlijk gehouden maar online via een vragenlijst. Het nadeelis dat hier niet verder ingegaan kan worden om bepaalde antwoorden verder te verduidelijken. Ditmoeten we zeker meenemen in onze analyse van de antwoorden. De overige twee interviewswerden wel face-to-face afgenomen. We maken in elk hoofdstuk per bevraagde organisatie eenoverzicht en op het einde een korte conclusie. Op het einde zullen we de verzamelde datevergelijken met de gegevens die in de literatuur voorhanden waren.6.1.1 Criminologische theorieënVictimologieDe onderwijsinstelling verkiest duidelijke een interne afhandeling van feiten van cybercrimetegenover een politionele of gerechtelijke afhandeling. Ook is hij van mening dat organisaties diezich niet voldoende beveiligen mee schuldig zijn aan hun slachtofferschap.Voor onze telecom operator is het belangrijkste motief dat ze zo veel mogelijk financiële schade terecupereren. Ze zijn eerder voorstander van een subsidiaire afhandeling en zullen geen vervolginginstellen als dit niet nodig is. Ze zijn er zich ook van bewust dat als mensen geen geld hebben, jeer ook geen geld kan halen en vervolging dan ook weinig zin heeft. Er wordt soms wel beroepgedaan op privédetectives met als gevolg dat zij verplicht zijn om alle criminele feiten waar zij vanop de hoogte zijn aan te geven. Er wordt geopteerd voor een gerechtelijk afhandeling voor zakenwaar er belangrijke imago- of financiële schade is. Er wordt maar een klein deel van de schadevergoed. Hij is niet van mening dat organisaties die zich slecht beveiligen mee verantwoordelijkzijn voor hun slachtofferschap zoals vrouwen die met een korte rok over straat lopen ook nietverantwoordelijk zijn voor mogelijke seksuele agressie. Wel is het jammer dat organisaties zichsoms niet beveiligen gezien vele maatregelen gewoon gratis zijn, maar hij nuanceert dit omdatorganisaties dikwijls niet voldoende op de hoogte zijn en dat ook niet moeten zijn.Onze overheidsrespondent is van mening dat organisaties die zich niet of slecht beveiligen tegeneen cyberaanval mee verantwoordelijk moeten worden gesteld en dat dit mee in wetgeving moetopgenomen worden. CYBERVICTIMS: Analyse 73
  • 80. Er wordt zo veel mogelijk geijverd voor een interne afhandeling bij feiten van cybercrimetegenover een politionele of gerechtelijke afhandeling. Het subsidiariteitsbeginsel is hier van krachten er wordt alleen klacht ingediend voor serieuze feiten met een hoge financiële of imagoschade.Twee van de respondenten zijn ook van mening dat bedrijven die zich slecht of niet beveiligen meeschuldig zijn aan de aanval waarvan ze het slachtoffer werden. Eén is die mening niet helemaaltoegedaan maar vindt het betreurenswaardig dat organisaties soms basis maatregelen die gratisbeschikbaar zijn niet nemen.Moral panicTot de dag van vandaag werd er nog geen berichtgeving gedaan over feiten van cybercrime tegendeze onderwijsinstelling. Volgens onze respondent komt dit omdat organisaties nog altijd zeerterughoudend tegenover staan uit schroom of uit schrik voor negatieve publiciteit. Hij vindt wel dater meer in de media mag komen over cyberaanvallen op organisaties als onderdeel van debeleidsvoering. Hij gelooft er sterk in dat de berichtgeving die wel in de media komt, een invloedheeft op hoe de organisatie denkt over beveiliging maar hij kan niet inschatten tot op welkehoogte.In het verleden werd er al bericht over een hacking bij onze telecom respondent. De organisatie isgeen voorstander van de aandacht in de pers omdat die dikwijls eenzijdig is en niet altijd juist. Hijpersoonlijk zou liever zien dat er meer aandacht is voor het fenomeen cybercrime omdat dit hetbewustzijn zal aanwakkeren maar prefereert op dit ogenblik online forums omdat hier verkeerdeinformatie snel wordt rechtgezet door middel van reacties van lezers. Hij ondervindt ook dat dehoeveelheid ruchtbaarheid in de pers evenredig is met het stijgen van het beveiligingsbudget, watvoor hem voordelig is maar misschien niet zo voor de organisatie op zich.Er werd in de pers niet bericht over een aanval bij de overheid en onze respondent is van meningdat er inderdaad te weinig over cyberaanvallen in de pers komt. Niet dat berichtgeving overcybercrime tegen organisatie tot nu toe veel invloed heeft gehad op hun budget voorbeveiligingsmaatregelen.Er werd in het verleden nog niet veel bericht in de pers over de feiten van cybercrime die onzeslachtoffers overkwamen. Nochtans zijn allen voorstander van een uitgebreidere maar dan wel eencorrectere berichtgeving in de pers. Persberichten lijken een invloed te hebben op hoe organisatiedenken over beveiliging maar wordt niet in alle gevallen vertaald in een toename van hetbeveiligingsbudget.6.1.2 Wetgevend kaderDe respondent van de onderwijsinstelling geeft aan dat gezien zijn vroegere werkervaring hij vrijgoed op de hoogte is van de Belgische wetgeving inzake informaticacriminaliteit.De telecom operator heeft een juridische afdeling die gespecialiseerd is in de materie rondtelecomfraude en cybercrime en draagt zelfs bij aan het tot stand komen van nieuwe wetten.74 CYBERVICTIMS: Analyse
  • 81. Hijzelf is ook vrij goed op de hoogte van de wetgeving inzake elektronische communicatie eninformaticacriminaliteit. De huidige wetgeving legt hen, als ISP, wel veel verplichtingen op, zoalsmeldingsplicht terwijl het sommige fouten of misbruiken niet behandeld. Deze organisatie is zeergoed op de hoogte van de wet inzake meldingsplicht van data breaches omdat ze er als ISP ookmee geconfronteerd worden. Bij een zaak waarbij klantengegevens werden gestolen lichtte deorganisatie dan ook het BIPT en alle betrokkenen persoonlijk in. Het is wel niet altijd duidelijk wie 349er bedoeld wordt met “de betrokken overheid ” en op welke manier ze in geval van een grotedata breach hun klanten persoonlijk kunnen inlichten. Het versturen van honderdduizenden brievenper post wordt gezien als toch wel heel kostelijk en niet haalbaar. Onze respondent vindt hetverplicht rapporteren van data breaches wel een voordeel om de nodige aandacht van hetmanagement inzake security te krijgen.De respondent die voor zijn overheidsbedrijf spreekt moet toegeven dat hij niet heel goed op dehoogte is van het wetgevend kader inzake informaticacriminaliteit.Twee van de drie respondenten geven aan dat ze zelf vrij goed op de hoogte zijn van de Belgischewetgeving rond informaticacriminaliteit en in geval van de telecomoperator wordt er zelfsgesproken over een heuse juridische afdeling, die ook betrokken wordt bij het opmaken vanwetgeving. Het is ook de telecomoperator die de meldingsplicht van data breaches toch een zwarelast vindt om dragen maar verwelkomt het voordeel dat het topmanagement nu duidelijk op dehoogte is van de beveiligingsrisico’s en dit weerspiegelt in het budget voor security.6.1.3 AardDoor de hybride organisatie en netwerkstructuur wordt het moeilijker en moeilijker om tedefiniëren wat cybercrime nu eigenlijk is. De enige bedenkingen die hij heeft met de wettelijkeomkadering is het vervolgingsbeleid. Vormen van cybercrime zoals malware, diefstal van pc’s metgevoelige data, externe hacking, het ontbreken van een policy voor externe toegang tot hetnetwerk voor bv. thuiswerk, social engineering, insiders en spam baren de onderwijsinstelling degrootste zorgen. De respondent maakt zich vooral zorgen rond malware doordat er deverschillende organisaties binnen de onderwijsinstelling een eigen beleid voeren voor de aankoopvan hardware en software en niet altijd voldoende op de hoogte zijn van de noodzaak tot aankoop,installatie en geüpdatet houden van de nodige beveiligingssoftware. De onderwijsinstelling heeftdaarnaast een opendeur policy waardoor alle gebouwen en lokalen vrij toegankelijk zijn en velepc’s met soms vertrouwelijk informatie onbeheerd worden achtergelaten. Vele medewerkerswerken heel wat uren van thuis uit en loggen, via het internet, in op het bedrijfsnetwerk. Erbestaat spijtig genoeg geen overeenkomst over, met welke apparaten zij wel of niet mogen349 Art. 114/1 wet 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005. CYBERVICTIMS: Analyse 75
  • 82. aanloggen en aan welke eisen, zoals een antivirus pakket, deze moeten voldoen. Dit houdt eengroot risico in voor de veiligheid van het bedrijfsnetwerk. Zij zien ook een groot risico op socialengineering en cybercrime geïnitieerd van binnen de organisatie door een insider. Als laatste is degrote hoeveelheid spam e-mail die verstuurd wordt naar de e-mail servers van deonderwijsinstelling een bekommernis voor de respondent.Cybercrime is: “Any crime that takes place on the cyberspace.” Oftewel elke onwettige activiteit ophet netwerk. Het netwerk als internet of het telecomnetwerk, wat zich ook meer en meer op hetinternet bevindt. Het team is het meest geïnteresseerd in criminaliteit op het net zoals botnets,portscans, spam en phishing. Maar ook malware, datadiefstal en hacking baart hen zorgen. Er iseen zeer strikte policy en controle op het aansluiten van eigen draadloze routers op hetbedrijfsnetwerk. Er wordt gebruik gemaakt van een volledig open draadloos netwerk in het gebouwvoor bezoekers maar dit is volledig afgesloten van het interne netwerk. Er is een verbod om USBapparaten te gebruiken op bedrijfscomputers en diefstal van pc’s met data op wordt binnen dezeorganisatie eerder aanzien als diefstal van materiaal dan als cybercrime. Datadiefstal door gebruikte maken van draadloze netwerken, mobiele apparaten of verwijderbare media zullen in de eersteplaats gezien worden als het niet volgen van bedrijfspolicy en naargelang het gebruik van de dataworden aanzien als cybercrime. Social engineering wordt vooral gezien in de vorm van subscriptiefraude. Maar ook zijn ze al het slachtoffer geweest phishing e-mails, evenwel zonder ernstigegevolgen. De daders hebben geen toegang tot het bedrijfsnetwerk om misbruik te kunnen makenvan de toegangsgegevens maar twee werknemers gebruikte hetzelfde paswoord ook op hunpersoonlijke e-mail. De persoonlijke e-mail accounts van de twee werknemers die zich haddenlaten misleiden werden misbruikt om spam te versturen. Testen toonden aan dat hun persoonlijkedata echter niet werd bekeken. De telecomoperator maakt op dit ogenblik alleen gebruik vaninterne cloud diensten en heeft hier nog geen criminele feiten kunnen vaststellen. Wel overwegenze om bepaalde cloud diensten op het internet te gaan gebruiken. De cloud diensten die zeaanbieden aan hun klanten worden niet gemonitord en tot hiertoe hebben nog geen klantenproblemen gerapporteerd. Er werden wel pogingen tot afpersingen uit China gedetecteerd maardeze zijn niet ernstig. Wel hebben ze naar aanleiding van de FCCU ransomware virus vele klachtengehad van klanten omdat de naam van hun ISP vermeld werd en hun klanten dachten dat zijachter het blokkeren van hun pc zaten. Op zich zijn ze nog niet het slachtoffer geweest van eenDDoS-aanval. Wel is er een poging tot hacking geweest via een brute force attack, vanuit China,die hun VOIP apparatuur zo overbelastte dat deze onbereikbaar werd voor klanten. Ze zijn ook alhet slachtoffer geweest van een defacement van een website die ontwikkeld werd door een externepartner. De grootste zorg rond botnets voor hen is dat pc’s van klanten geïnfecteerd geraken enspam beginnen te versturen over de e-mail servers van hun ISP. De telecom operator is hierbijindirect slachtoffer omdat hun mailservers overbelast geraken, op een zwarte lijst komen te staanen geen e-mails meer kunnen versturen over het internet. Buiten één geval van een gerichteaanval zijn zij niet op de hoogte van andere aanvallen waarbij hun organisatie specifiek als doelwitwerd gesteld. Aanvallen door insiders zijn meer het overtreden van reglementen en minder het76 CYBERVICTIMS: Analyse
  • 83. plegen van criminele feiten. De organisatie investeert veel in beveiliging en campagnes waarbijwerknemers goed op de hoogte zijn om het vertrouwen van de onderneming niet te schenden. Degrootste dreiging voor onze telecom organisatie gaat uit van malware aanvallen en insiders omdatzij de grootste schade kunnen toebrengen.Bij de overheid wordt cybercrime vooral gezien als diefstal van onder andere data en hettoebrengen van imagoschade. Deze overheid werd al slachtoffer van hacking, social engineering,een DDoS aanval en het gebruik van botnets. De grootste dreiging voor hen komt vooral vanmogelijke datadiefstal, hacking, het gebruik van draadloze netwerken, mobiele apparaten ofverwijderbare media, en ook het gebruik van cloud diensten en een mogelijke DDoS. Als eenoverheidsdienst zien zij ook mogelijk gevaar voor een gerichte aanval, advanced persistent threatof spionage.Onze organisaties werden vooral het slachtoffer van malware, hacking, phishing en datadiefstal(met of zonder pc) en deze baren de organisaties dan ook grote zorgen. Ook mogelijke aanvallenvan een insider is een belangrijk issue voor hen, omdat zij grote schade kunnen toebrengen, ook alwerd nog geen enkel onder hen daar slachtoffer van. Daarnaast werden er ook feiten vastgesteldvan social engineering, spam, botnets, portscanning en een DDoS-aanval. Ook het gebruik vancloud diensten, draadloze netwerken, mobiele apparaten en verwijderbare media baart hen zorgen.6.1.4 OmvangIn eerste plaats is het voor onze onderwijsinstelling belangrijk dat er intern melding wordt gemaaktvan feiten van cybercrime aan de veiligheidsconsulent. Onze respondent is er ook van op dehoogte dat hij aangifte kan doen bij een Computer Crime Unit van de politie maar heeft dit nognooit gedaan. Hij weet niet of er in het verleden wel aangiftes zijn gebeurd bij de politie maarbetwijfelt dit. Dit maakt dat we voor deze organisatie een dark number kunnen bepalen vanwaarschijnlijk om en bij de 100%. Hij denkt niet dat het dark number voor cybercrime bijorganisaties in de toekomst zal dalen. Hij haalt verschillende redenen aan waarom deonderwijsinstelling geen aangifte deed van feiten van cybercrime. Als belangrijkste reden wordt,niet geheel onverwacht, de schrik voor imagoschade opgegeven. Tweede meest voorkomendereden is dat men niet weet dat men slachtoffer is geworden. Ofwel wordt het feit niet ontdekt ofwelwordt het wel ontdekt maar intern niet gerapporteerd. Onze respondent herhaalt ook meermaalshet belang aan een goede monitoring en rapportering. Soms worden problemen ook gewoon zelfopgelost, zoals bij insider incidenten maar ook omdat het een natuurlijke reflex is om systemen zosnel mogelijk terug up-and-running willen hebben. Als laatste reden wordt opgegeven dat hetgewoon teveel moeite en werk kost om aangifte te doen. Voor Belgische organisaties geeft hij ookals belangrijkste reden om feiten van cybercrime niet aan te geven, de schrik op negatievepubliciteit en in relatie daarmee, het zelf oplossen van problemen. Daarnaast geeft onzerespondent dat het niet duidelijk is wat de Computer Crime Units van de politie juist voor hen kanbetekenen. Hij wijst erop dat de politie aan hun public relations moet werken zodat organisaties CYBERVICTIMS: Analyse 77
  • 84. weten wat ze van de politie kunnen verwachten. De onderwijsinstelling beseft dat door het gebrekvan aangiftes bij politie alleen het topje van de ijsberg voor hen zichtbaar is. Maar dit geldt nietalleen voor de officiële politiestatistieken maar zoals hij al herhaaldelijk signaleert geldt hetzelfdevoor interne meldingen. Zonder een goede monitoring en rapportage krijgt de organisatie alleenhet topje van de ijsberg te zien. Naast het feit dat de onderwijsinstelling nooit aangifte deed bijpolitie vermelden we ook dat zij ook nooit een melding maakte van feiten bij het Belgische CERT.Deze telecom operator weet duidelijk dat hij met klachten terecht kan bij de Regionale Computer 350Crime Unit (hierna RCCU ), voor specifieke feiten bij de FCCU of bij de Procureur des Konings enheeft dit dan ook al ontelbare keren gedaan. Daarnaast lichten zijn in het kader van hun 351meldingsplicht ook het BIPT in voor sommige feiten of doen ze melding via eCops . Er wordt ooksamengewerkt met CERT en ENISA. De organisatie is zeer tevreden over de samenwerking met depolitiediensten en het parket. Dit wordt toebedeeld aan het feit dat er alleen klacht wordt ingediendvoor belangrijke feiten en dat voor de overige feiten alleen een melding wordt gemaakt. Er wordttelkens een degelijk onderzoek gevoerd en regelmatig worden ook daders gevat en veroordeeld.Deze organisatie meldt 100% van de feiten van cybercrime maar zoals eerder hier gesteld is ditniet altijd gelijk aan het indienen van een klacht bij politie of justitie. Als het feit belangrijk is wordtklacht ingediend ongeacht dit slechte publiciteit voor het bedrijf met zich zou kunnen meebrengen.Onder de klanten van de telecom operator dienen maar 10% van de slachtoffers klacht in bijpolitie. Sommige klanten gaan zelfs zo ver om ronduit tegen politiediensten, die op de hoogtewerden gebracht door de telecom provider, te liegen en te vertellen dat er niets gebeurd is. Deredenen die de klanten aanhalen om geen klacht in te dienen zijn in de eerste plaats schrik voornegatieve publiciteit, de kosten die gepaard gaan met een klacht zoals het betalen van werkurenom gegevens te verzamelen en te getuigen en het aanstellen van een advocaat, en gewoonwegomdat ze niet begrijpen wat er aan de hand is en hoe ze politie kunnen helpen. Onze respondenthoopt dat met de nieuwe meldingsplicht van data breaches voor alle organisaties er beterschap zalzijn in het aantal aanklachten maar denkt eerlijk gezegd dat er niet veel zal wijzigen. Doordatcybercrime een geglobaliseerd fenomeen is worden weinig daders gevat en worden er dienvolgensook weinig vervolgd of veroordeeld. Cybercrime is in de eerste plaats een zaak van beveiligen danvan opsporen en vervolgen. Voor de daders die toch in België gevat worden is de organisatietevreden over de vervolging en veroordelingen.Er is bij deze overheidsdienst wel geweten dat ze bij de RCCU en of de FCCU klacht kunnenindienen voor feiten van cybercrime maar deden dit nog nooit. We komen niet te weten voor welke350 Zijn de gedeconcentreerde diensten van de Federale gerechtelijke politie, per arrondisement, gespecialisseerd in informaticacriminaliteit.351 www.ecops.be; eCops is een online Belgisch meldpunt waar je als internetgebruiker misdrijven in verband met België op of via het internet kan melden.78 CYBERVICTIMS: Analyse
  • 85. reden ze geen klacht hadden ingediend. Ze vermoeden dat 95% van de cybercrime aanvallen nietterechtkomen in de politiestatistieken maar hopen dat dit cijfer zal dalen als de nieuwe Europese 352regelgeving van toepassing zal zijn. Deze overheid is van mening dat feiten van cybercrimemaximaal moeten vervolgd worden door het parket.Alle organisaties zijn op de hoogte dat ze aangifte kunnen doen van feiten van cybercrime bij deRCCU. Maar er is duidelijk een opvallend verschil in het melden of aangeven van cybercrime. Tweevan de drie organisaties meldde nog geen enkel incident, terwijl ze al wel slachtoffer werden,terwijl de het telecombedrijf alle feiten meldde en of aan politiediensten er aangifte van deden. Ditwas zeer duidelijk het gevolg van de wettelijke verplichting voor het telecombedrijf om melding tedoen van feiten van cybercrime. Europa staat op het punt om een richtlijn in te voeren waarbij alleorganisaties melding zullen moeten doen van belangrijke data breaches. Misschien dat naar detoekomst toe met deze wet een tijdperk tegemoet gaan waarbij veel meer feiten wordenaangegeven en we misschien een duidelijk zicht krijgen op de omvang van cybercrime voororganisaties. Alleen de onderwijsinstelling gaf redenen waarom zijzelf geen aangifte haddengedaan van cybercrime. Dit was uit schrik voor imagoverlies, omdat men niet weet dat menaangevallen was, omdat men het probleem zelf opgelost had om de systemen zo snel mogelijkterug up-and-running te krijgen. De ISP die we bevraagde gaf geen reden op omdat zij wel allesmelden maar hun klanten gaven maar 10% van de feiten aan met als reden ook op de eersteplaats het risico van negatieve publiciteit. Daarnaast de grote kostprijs om officieel te gaan ensoms ook gewoon niet begrijpen wat er aan de hand is. Het is opvallend dat de geïnterviewdeoverheidsdienst de mening is toegedaan dat feiten van cybercrime maximaal moeten vervolgdworden, doch diende zij nog nooit klacht in voor feiten waar ze zelf het slachtoffer van werden.Onze vraag over welke vormen van cybercrime de onderwijs instelling al slachtoffer is geweest iszeer moeilijk te beantwoorden waarbij de respondent weer verwijst naar het gebrek aanmonitoring en rapportering. Hij stelt we dat gezien de grootte van de organisatie hij op alles jamoet antwoorden maar we gaan voor alle zekerheid nog het lijstje af. Door het gebrek aan eencentraal afdwingbaar veiligheidsbeleid bestaat er in de organisatie ook geen verplichting op hetnaleven van regels zoals het installeren van een anti-virusscanner. Daardoor is deonderwijsinstelling al meerdere keren slachtoffer geworden van malware. Ook al heeft deorganisatie geen technisch rapporteringstool om hier juiste cijfers te kunnen geven en kan eralleen worden afgegaan op een enquête uitgevoerd gevoerd bij medewerkers. Er wordt zelfsgesproken over meer dan vijf uitbraken voor de afgelopen drie jaar. Datadiefstal als gevolg van hetstelen van onbeheerd computermateriaal is ook al meermaals voorgevallen. Van hacking zijn zij352 Wij vermoeden dat hij hierbij verwijst naar het recente voorstel van het Europese parlement waarbij er een meldingsplicht wordt gevraagd voor alle data breaches; COM(2012) 9. CYBERVICTIMS: Analyse 79
  • 86. natuurlijk al slachtoffer geweest en het is zelfs zo dat wanneer nieuwe servers online komen zijbinnen de kortste keren zien dat er pogingen zijn om deze te hacken. Hacking incidenten werdenmeer dan vijf keer vastgesteld over de afgelopen drie jaar. Ook cybercrime via draadlozenetwerken is zeker aan de orde en ook meer dan vijf keer voor de afgelopen drie jaar. Een grotezorg voor de onderwijsinstelling is dat 40% van de draadloze routers door hen zelf werdgeïnstalleerd zonder enige controle van de centrale ICT-dienst of deze ook wel veilig zijngeconfigureerd. Ook is er weet van voorvallen van social engineering. De onderwijsinstelling maaktgebruik van verschillende cloud services maar onze respondent weet niet of zich hier alongeregeldheden hebben voorgedaan. Feiten van cyberafpersing en elektronische sabotage hebbenzich ook al voorgedaan maar ook DDoS-aanvallen waarbij botnets werden ingezet. Gerichteaanvallen zijn waarschijnlijk al wel voorgevallen maar onze respondent wijst erop dat ze niet hetvermoeden of de perceptie hebben dat de onderwijsinstelling een target is voor hackers en al zekergeen honeypot zoals banken dat wel zijn. Advanced persistent threats en spionage zijn onbestaandof minimaal. Als laatste wordt ook het grote aantal spam aangehaald die wordt tegengehoudendoor de spamfilter op het e-mail systeem. De organisatie ziet hallucinante hoeveelheden spam ophet netwerk binnenkomen. De onderwijsinstelling werd al wel slachtoffer van insider aanvallenwaarbij deze de grootste impact hebben voor de organisatie. Er wordt een stijgende trendwaargenomen wat betreft het aantal aanvallen op de organisatie maar dit kan verklaard wordendoor het meer en meer informatiseren van processen. Ook ziet hij cybercrime op Belgischeorganisaties alleen maar toenemen. Als laatste krijgen we de uitspraak: “Who cares, dat er zoveelaanvallen zijn, als die geen business impact hebben.”Er is heel wat terughoudendheid bij onze telecomoperator wanneer we het over omvang vancybercrime willen hebben maar na wat aandringen kunnen een aantal zaken wel gezegd wordenmaar niet in detail. Bij de meeste vormen, zoals gelukte malware uitbraken, datadiefstal, hacking,social engineering (in de vorm van phishing) en elektronische sabotage werden minder dan vijffeiten gepleegd in de afgelopen drie jaar. Voor botnets zijn zij veel meer slachtoffer geweest maardan indirect doordat klanten met zombie pc’s spam beginnen te versturen over hun mailservers.Voor SCADA, cloud diensten, cyberafpersing, DDoS, gerichte aanvallen en insiders meldt hij geenfeiten. Voor cyberafpersing bestaan er wel de feiten van Chinese e-mails die geld eisen omdat zezogezegd hun domain zouden hebben geregistreerd en een zaak van drie jaar geleden maar dezezijn blijkbaar niet ernstig genoeg voor hen om opgenomen te worden als afpersing. Alhoewel ze ditnooit met 100% zekerheid kunnen zeggen, denkt deze organisatie dat er geen aanvallen op hunsystemen gebeuren zonder dat zij daar weet van hebben. De afgelopen jaren is er een duidelijketoename van het aantal aanvallen op hun organisatie. Dit wordt door hen verklaard omdat er in deeerste plaats meer gerapporteerd wordt en ook gewoonweg omdat er meer diensten online staan.Ze zijn meer zichtbaar en worden meer blootgesteld aan hackers. Als we hen vragen over hoe zijhet aantal aanvallen zien op Belgische organisaties in het algemeen kunnen ze terugvallen opcijfers die ze zelf de afgelopen zes jaar hebben verzameld over het aantal aanvallen oporganisaties die bij hen klant zijn. Sinds zes jaar stellen zij elke twee jaar een verdubbeling vast80 CYBERVICTIMS: Analyse
  • 87. van het aantal aanvallen. Er worden minder aanvallen uitgevoerd door insiders dan door outsidersmaar zij vormen wel een grote dreiging doordat ze veel insider informatie hebben en hun dadenlange tijd kunnen verdoezelen.De respondent deelt ons mee dat hun overheidsorganisatie al twee tot drie keer slachtoffer werdvan hacking en al meer dan vijf keer van social engineering. Ook een DDoS-aanval en een feitwaar een botnet mee gemoeid was, werd hen noodlottig. Daarnaast is er ook het vermoeden datdoor gebrek aan efficiënte, gerichte en proactieve monitoring een aantal feiten niet aan het lichtkwamen. Omdat te weinig gegevens beschikbaar zijn kan er niet gesproken worden over eendalende of stijgende trend. Wel vermoeden ze dat er een toename zal zijn van het aantal aanvallenop Belgische organisaties. Vooral voor malware, datadiefstal, hacking, misbruik van draadlozenetwerken, mobiele apparaten of verwijderbare media, misbruik van SCADA-systemen,elektronische sabotage en botnets wordt er een spectaculaire toename verwacht naar de toekomsttoe. Voor de overige vormen wordt er ook een toename verwacht maar minder spectaculair. Onzerespondent denkt dat Belgische organisaties vooral het slachtoffer zijn van externe aanvallen maarvermoedelijk zullen door de globalisatie aanvallen door insiders meer gerichter worden en ookmeer schade toebrengen.Er zijn toch wel verschillen merkbaar in de omvang van cybercrime waar de verschillende typesvan organisaties het slachtoffer werden. Alle slachtoffers werden getroffen door spam, de eneomdat hij zoveel spam ontvangt de andere omdat hij ongewild meewerkt aan een spamaanval.Hacking en social engineering viel hen allemaal te beurt. De onderwijsinstelling meer dan vijf keer,de overige minder dan vijf keer. Vooral voor malware en datadiefstal is er een verschil waarbij deonderwijsinstelling telkens meer dan vijf bezoeken kreeg, de telecomoperator werd wel slachtoffermaar minder dan vijf keer en de overheidsinstelling kreeg hier helemaal niet mee af te rekenen.Draadloze netwerken is vooral een zorg voor de onderwijsinstelling terwijl de overige tweeorganisaties hier goede afspraken rond maken. Voor afpersing, DDoS, elektronische sabotage,botnets en gerichte aanvallen werden telkens twee van de drie organisaties al het slachtoffer maarin minieme mate. Er wordt gebruik gemaakt van cloud diensten maar er is hier nog geen impactgeweest of toch voor zover ze dit kunnen weten. SCADA wordt in geen enkele organisatie die webevroegen gebruikt en dus ook niet misbruikt. Eén organisatie werd al wel eens het slachtoffer vaneen insider. Alhoewel we zeer sterk moet oppassen met het gebruik van cijfers in dit onderzoek,lijkt het erop dat vooral de onderwijsinstelling cybercriminelen over de vloer kreeg, daaropvolgendde telecomoperator en maar in minieme mate de overheidsdienst. Wel willen we er ook nog eensop wijze dat het interview met de overheidsdienst online gebeurde zonder de mogelijkheid omverder in te gaan op antwoorden. Alle drie de organisaties vermoeden een stijgende trend in hetaantal aanvallen op hun organisatie maar twee van hen hekelen duidelijk het laten afweten vaneen goede monitoring en logging. Alleen de telecomoperator is er vrij zeker van dat er geenaanvallen aan hun elektronisch oog ontsnappen. Ze vermoeden ook alle drie een toename van het CYBERVICTIMS: Analyse 81
  • 88. aantal aanvallen op Belgische organisaties in het algemeen en het telecombedrijf kan hier zelfscijfers voorleggen en spreekt over een verdubbeling elke twee jaar voor de afgelopen zes jaar.6.1.5 DreigingDe onderwijsinstelling heeft geen idee over wie er allemaal achter de aanvallen zit maar deperceptie is dat het vooral over grey-hats gaat en scriptkiddies. Motieven om op hetonderwijsnetwerk in te breken zijn vooral nieuwsgierigheid en het op zoek gaan naar interessanteinformatie. Daarnaast zijn er ook studenten die zich bezig houden met het op zoek gaan naarpunten en examenvragen maar deze amateurhackers worden dan ook af en toe gesnapt. Als wevragen naar de mening van de onderwijsinstelling over grey-hats moet hij ons het antwoordschuldig blijven maar hijzelf staat persoonlijk zeer weigerachtig tegenover deze categorie vanhackers. 95% van hen zullen inderdaad alleen goede bedoelingen hebben maar hoe haal je die 5%eruit die niet zo’n fraaie doelstellingen hebben. Liever ziet hij zijn netwerk veiliger maken doorwhite-hats erop los te laten onder op voorhand gecontroleerde afspraken en voorwaarden.Onze telecomorganisatie ondervindt vooral een dreiging van mensen uit een lagere socio-economische klasse. Personen met een laag inkomen die zich bepaalde diensten niet kunnenveroorloven maar deze toch trachten te bekomen. Zij willen hier ook duidelijk niet de termcrimineel gebruiken maar spreken over “the common sad people.” Ze zijn in het verleden al hetslachtoffer geweest van een scriptkiddie maar stellen dat je niet altijd kan bepalen van wie eenaanval uitgaat. Ze ondervinden wel veel schade van criminele organisaties die zich bezig houdenmet phreaking. Ze zijn nog nooit het slachtoffer geworden van spionage maar maken zich somswel ongerust over mogelijke aanvallen van concurrenten gericht tegen hun organisatie. Ze willenhier wel duidelijk benadrukken dat ze tot hier toe daar van verstoken bleven. Als motieven achtereen aanval vermoeden zij voor financieel voordeel en in één geval is er duidelijk sprake van eenwraakactie. Bij de vraag wat hun mening is over grey-hat hackers die wel inbreken in hunsystemen maar geen schade veroorzaken en de organisatie op de hoogte willen stellen van deproblemen in hun beveiliging is de officiële reactie: “We do not tolerate that”. De officieuze reactieis dat ze altijd dankbaar zijn voor mensen die helpen en ze hen in ruil gratis cursussensysteembeveiliging aanbieden. Deze organisatie is van mening dat België niet belangrijk genoeg isop de wereldmarkt om een mogelijk doelwit te zijn voor een uitgebreide landelijke aanval. “Keepan eye on it, but I don’t think that we should be that much concerned.”De overheid die we interviewde werd al het slachtoffer van een scriptkiddie die vooral handelde uitactivisme en nieuwsgierigheid. Ze zijn heel open-minded wat betreft grey-hat hackers en vindendat dit moet kunnen. Er wordt ook uitgegaan van een klein risico voor Belgische organisaties opaanvallen van buitenlandse mogendheden. Ook schatten ze de kans op menselijke fysiek lijdennaar aanleiding van een cybercrime veel minder in als voor polariserende landen.Voor alle drie de organisatie is de vraag over wie ze denken de grootste dreiging is voor hunorganisatie zeer moeilijk te beantwoorden. Alle drie de organisaties vermoeden dat ze al het82 CYBERVICTIMS: Analyse
  • 89. slachtoffer werden van een scriptkiddie. Maar de onderwijsinstelling spreekt ook over aanvallenvan grey-hats en de telecomoperator krijgt vooral te maken met cybercrime van arme mensen uiteen achtergestelde socio-economische klasse die op zoek zijn naar diensten die ze zich niet kunnenveroorloven. De motieven van die aanvallen liggen volgens hun vermoeden ook vooralnieuwsgierigheid, financieel voordeel en activisme. Voor de telecomorganisatie is er wel eenenorme dreiging van georganiseerde criminele bendes die vooral financieel voordeel proberen tehalen door phreaking en hier toch ook in slagen. Er worden bij de onderwijsinstelling wel eensstudenten betrapt die op zoek zijn naar interessante informatie. De mening over grey-hats is nooitgrijs maar altijd wit of zwart. Vooral de instelling die krijgt af te rekenen met gray-hats staat hierweigerachtig tegenover. De beide andere instelling zijn hier meer open in en vinden dat dit moetkunnen en zelfs dankbaar zijn voor de tips and tricks.6.1.6 Kwetsbaarheid6.1.6.1 TYPOLOGIE ORGANISATIEOnze onderwijsinstelling bevestigd de literatuur waarbij gesteld wordt dat grotere organisatiesmeer het slachtoffer worden van cybercrime door het volgende te stellen op de vraag van welkevormen van cybercrime zij al het slachtoffer werden: “Gezien de grootte van onze organisatiemoeten we op alle ja zeggen.”De telecomorganisatie die we interviewden kunnen we thuisbrengen in de categorie van groteondernemingen. Zij bevestigen dat zij soms slachtoffer zijn, niet om hun naam of bekendheid,maar door hun grootte. Hij is wel van mening dat het vooral kleinere organisaties zijn die hetslachtoffer kunnen worden van een insider omdat zij meer informatie concentreren bij één enkelepersoon.Onze bevraagde overheid is een grote organisatie met meer dan 250 ambtenaren en meer dan €50 miljoen omzet.Twee van de drie organisaties (van de derde hebben we geen antwoord op die vraag) bevestigenons vermoeden dat ze vooral een doelwit zijn door de grootte van hun organisatie. Doordat ze eengrote organisatie zijn hebben ze dikwijls ook meer diensten online waardoor ze automatisch eengrotere zichtbaarheid hebben en ook een grotere omvang van het aantal aanvallen. Er wordt ookgesproken over het risico op insiders dat bij kleinere organisaties waarschijnlijk groter zal zijndoordat zij meer informatie concentreren bij één persoon en minder verspreid over de organisatie.Onze specialist stelt dat zij de perceptie hebben dat de onderwijsinstelling door de markt gezienwordt als een instelling met weinig bedrijfsinformatie. Er valt weinig intellectuele eigendom testelen en ze zien zich niet als een doelwit voor aanvallen. “De interne gemeenschap is niet echtovertuigt, of van doordronge,n dat ze met waardevolle data bezig zijn.” Wanneer ik hem wijs ophet feit dat een Amerikaans onderzoek uitwijst dat maar 13% van organisaties hackers over devloer krijgen maar dat dit oploopt tot 44% voor onderwijsinstellingen meldt hij dat het monitoren CYBERVICTIMS: Analyse 83
  • 90. van incidenten beter kan en dat de onderwijsinstelling toch nog geen target is zoals een bank datwel is. Het komt telkens neer op het feit dat ze maar een beperkt zicht hebben op incidenten diezich voordoen. Doordat ze een onderwijsinstelling zijn bevestigt hij wel dat ze een doelwit zijn vande studenten maar dat deze dikwijls nog amateurhackers zijn en dan ook regelmatig geklistworden. Een onderwijsinstelling heeft een netwerk met een open karakter waar geregeld tijdelijkegastdocenten en medewerkers toegang toe moeten hebben maar die altijd decentraal wordenaangesteld waardoor het een moeilijke opvolging kent. Onze respondent maakt verschillende kerenverwijzingen naar de bankwereld die toch een veel betere monitoring en rapportering kent enstrikte procedures om te kunnen omgaan met het beheer van toegangen. Ook denkt hij dataanvallen op kritieke infrastructuur in de toekomst de oorzaak kan zijn van menselijke fysiekeschade en dat het risico daarop stijgende is.Onze telecomrespondent ziet het aantal aanvallen op hun organisatie toenemen maar wijdt ditmeer aan de grotere zichtbaarheid en blootstelling door het uitbreiden van het aantal diensten, danaan de bekendheid van het bedrijf. Hij geeft wel toe dat het type van activiteit, namelijk telecom,cybercriminelen kan aantrekken. Ook het feit dat ze een kritieke infrastructuur zijn zou hackerskunnen aantrekken maar zij zien zichzelf niet als een hoog risico voor de samenleving indien huninfrastructuur wordt aangevallen.Het derde interview dat we afnamen via een online vragenlijst was in naam van een Belgischeoverheidsorganisatie. Zij zien zichzelf ook niet als een mogelijk doelwit voor gerichtecyberaanvallen maar vermoed dat overheidsdiensten in polariserende landen meer risico loopt danin België.De onderwijsinstelling denkt niet dat hun type activiteit van hen een doelwit maakt voorcybercriminelen, buiten dan voor studenten die op zoek gaan naar interessante informatie. Weldenken ze dat het open karakter van de instelling, de gebouwen en het netwerk het risico op eencyberaanval laat toenemen. Daarnaast is ook de decentrale organisatie een probleem omdat geencentraal security beleid kan opgelegd worden. De telecomoperator denkt dat door het typeactiviteit dat ze uitvoeren hen een doelwit maakt voor vooral phreakers. De overige incidenten zijnmeer te wijten aan de grootte van het bedrijf en de grote zichtbaarheid in cyberspace. Eenoverheid zou een doelwit kunnen zijn door hun type van activiteit maar dit valt wel mee voor eenland als België.Er wordt ons gewezen op de noodzaak van een veiligheidsconsulent die onafhankelijk is van deICT-afdeling en direct rapporteert aan de Raad van Bestuur. Daarnaast is het noodzakelijk dat ereen auditcomité bestaat die op voorhand de risico’s van de onderwijsinstelling gaat in kaartbrengen. Een derde parameter is het monitoren en rapporteren van opgelopen incidenten om hetmogelijk te maken de business risico’s hiervan in te schatten en daar een centraal beleid op af testemmen. Een vb. is de veelvuldige diefstallen van pc’s met soms toch gevoelige data op. Paswanneer er centraal gemeld wordt welk type van data er op deze manier gestolen werd kan er een84 CYBERVICTIMS: Analyse
  • 91. beleid op afgestemd worden om bv. alle pc’s te versleutelen. Als je niet weet dat er data wordtgestolen is er geen business impact en zal er geen budget kunnen vrijgegeven worden voorbeveiliging. Daarnaast wordt er geopperd om de verschillende afdeling een grote mate van vrijheidte bieden maar wel een aantal minimum standaarden op te leggen inzake beveiliging. Als laatstemoet er een duidelijke definiëring komen van functie-inhouden en verantwoordelijkheden en moeter reclame gemaakt worden voor de centrale securityafdeling. De public relations kan beter.Het grote telecombedrijf dat we interviewden heeft duidelijke organisatorische structuren enafspraken om zich te beschermen tegen cybercrime. Verschillende afdelingen die zich bezighoudenmet beveiliging rapporteren direct aan de Raad van Beheer. Er wordt van hen verwacht dat alleincidenten worden gemeld en onderzocht. Daarnaast worden voldoende campagnes gevoerd omook de gewone medewerker hiervan bewust te maken.Organisatorische maatregelen zoals directe communicatielijnen met de Raad van Bestuur, eengoede monitoring en risicoanalyse kan het bewustzijn bij de top van een organisatie aanwakkerenen de daarmee gepaard gaande security budgetten. Een centraal goed georganiseerdveiligheidsbeleid kan het aantal aanvallen terugdringen. De onderwijsinstelling die het meestgeplaagd wordt door incidenten is duidelijk nog niet op de goede weg, het telecombedrijfdaarentegen lijkt op het eerste zicht te slagen in een goed organisatorische veiligheidsbeleid.De perceptie van de onderwijsinstelling is dat het bedrijf onvoldoende bekend is in dehackerswereld en geen target vormt voor gerichte aanvallen. Vooral als ze zichzelf vergelijken metde bankwereld waar dit wel het geval is. De enige bekendheid die zij verwerven om het mogelijkdoelwit te zijn voor een aanval is onder de studenten. Maar, naar de toekomst toe zien ze dedreiging toenemen door de globalisering van het onderwijs en de daarmee inherentesamenwerkingsverbanden. “We zullen daardoor meer genoodzaakt worden om op internationaleaspecten bekendheid te verwerven.”Het is niet zozeer de bekendheid van het telecom bedrijf dat de aandacht trekt van mogelijkecriminelen maar het type activiteit en de hoge zichtbaarheid door het uitgebreide dienstenpakket.Het is niet de bekendheid van onze bevraagde organisaties die hen mogelijks een doelwit makenvoor cybercriminelen maar zij zijn dan ook geen beroemde of beruchte spelers op de internationalemarkt.Het feit dat de onderwijsinstelling werkt met derde partijen op ICT-vlak maar ok op andere niveausmaakt hen kwetsbaar voor mogelijke cybercrime. Opmerkingen die gemaakt worden door derespondent verwijzen meestal naar mogelijk insider incidenten. Het gebrek aan procedures omgebruikers te verwijderen uit systemen en het gebrek aan controle of externe medewerkers denodige certificatie hebben en background checks.In het geval van de telecomoperator speelt de afhankelijkheid van een externe ICT-leveranciergeen rol doordat ze zelf hun ICT- en security afdeling hebben. CYBERVICTIMS: Analyse 85
  • 92. Het werken met een derde partij voor je ICT-diensten maakt dat je bepaalde controles verliest enje misschien daardoor kwetsbaarder bent voor mogelijke cybercrime. We hebben wel maar éénrespondent die afhankelijk is van een ICT-leverancier.6.1.6.2 BEVEILIGINGSMAATREGELENDe onderwijsinstelling is van oordeel dat de genomen preventiemaatregelen in hun organisatie nietof onvoldoende invloed hebben om cybercrime tegen te gaan. De meest nuttigepreventiemaatregelen zijn een bewustwording van meldingsplicht van feiten van cybercrime en eenorganisatorische aanpak van het beveiligingsbeleid.De technische en niet-technische maatregelen die genomen worden lijkt voor de telecomleverancier zijn vruchten af te werpen. Er wordt op een efficiënte manier omgegaan met hetmelden van mogelijk incidenten en medewerkers weten hoe ze ermee moeten omgaan. Hij steltwel dat elke maatregel op zich belangrijk is in het hele pakket van maatregelen en dat je geenenkele kan uitsluiten. Basismaatregelen zoals firewalls, identificatie en authenticatie zijn belangrijkmaar vooral logging-systemen en bewustzijnscampagnes hebben een grote invloed op het gehelebeveiligingsconcept.De beveiligingsmaatregelen die genomen worden bij deze overheid lijken maar een beperkteinvloed te hebben op het tegengaan van cybercrime. De maatregel die ze het nuttigst achten is hettegengaan van de kwetsbaarheid maar ze zien deze met de tijd nog toenemen.Maatregelen die genomen worden om hun organisatie te beschermen tegen aanvallen vancybercriminelen hebben onvoldoende tot beperkte invloed hierop. Alleen bij de telecomorganisatielijken het uitgebreid pakket aan technische maatregelen hun doel te bereiken.Een goede beveiligingsmaatregel is het netwerk regelmatig laten onderzoeken via gecontroleerdepenetration testing. Antivirusprogramma’s op pc’s is een heikel punt in deze organisatie. Er bestaatop dit moment geen centraal veiligheidsbeleid die dat kan opleggen aan de onafhankelijkeafdelingen. Een derde as van een goed veiligheidsbeleid voor deze onderwijsinstelling is hetmonitoren van securityincidenten. Het loggen en rapporteren van feiten is cruciaal om hetprobleem te kunnen indijken en om een goed beleid te kunnen voeren. Zowel het loggen vanidentificatie en authenticatie van gebruikers via paswoorden, als het loggen van vreemde toestellenop het netwerk is essentieel maar gebeurt nu nog niet of te weinig. Ook worden er geenbeperkingen opgelegd welke toestellen remote toegang krijgen tot het netwerk wat een risicoinhoudt omdat je niet weet welke beveiligingsmechanisme het toestel heeft. Wel maken ze gebruikvan een inbraak detectiesysteem. Deze onderwijsinstelling denkt eraan om hun infrastructuur tebeveiligen via hardware identificatie. “Dit zit zeker in de planning.” Encryptie wordt niet gebruikt indeze instelling omdat het duur is en alleen kan worden verantwoord als diefstal van data ookbusiness impact heeft. Zolang er geen goede monitoring en rapportering is kan hier geen budgetvoor worden vrijgemaakt. Daarnaast is onze respondent geen voorstander van het gebruik vanencryptie op laptops. Het gebruik van de elektronische handtekening wordt wel overwogen en staat86 CYBERVICTIMS: Analyse
  • 93. op de planning. Wat belangrijk is voor onze respondent is om het netwerk te monitoren opverschillende lagen en die monitoring samen te brengen in één systeem. Dan pas kan je correlatiesleggen tussen verschillende events en bepalen of er een bepaalde aantal bezig is of niet. Ook hetprincipe om verschillende verdedigingsmechanismes achter elkaar te zetten zoals niet alleenscannen van pc’s op virussen maar ook de e-mails en de netwerkschijven is een must.Het lijstje van technische maatregelen die we hebben opgesteld vanuit de literatuur voldoethelemaal aan de voorzieningen die de telecomleverancier nam. Versleuteling en elektronischehandtekening wordt niet bedrijfsbreed toegepast maar daar waar nodig. Naast ons lijstje vanpenetration testing, paswoord credentials, hardware identificatie en inbraak detectie systemenworden er nog andere maatregelen genomen maar dit zijn de belangrijkste.De belangrijkste maatregelen die genomen worden in dit overheidsbedrijf zijn beperkt totidentificatie en authenticatie via paswoorden en hardware.Vooral onze tweede respondent neemt een heel uitgebreid pakket van beveiligingsmaatregelen enantwoord positief op alle technische maatregelen die we hem voorschotelen. Daarnaast neemt hijook nog andere technische acties maar hij bevestigt dat dit de belangrijkste zijn. De eersterespondent doet het heel wat minder en vooral het ontbreken rond een antivirus beleid isopvallend. Ook ontbreekt het hen aan een degelijk monitoring en logging systeem waardoor je ookde omvang van het probleem niet kan inschatten. De meest verspreide technische maatregel is,niet geheel onverwacht, het gebruik van paswoorden voor identificatie en authenticatie.Een goede communicatie tussen de Raad van Beheer en de ICT-afdeling enerzijds en demedewerkers anderzijds staat nog niet helemaal op punt maar zit wel in de planning. Er bestaangeen regels of policy in verband met het remote connecteren op het bedrijfsnetwerk of rond hetaanmaken en verwijderen van gebruikersaccounts. Er zijn ook geen afspraken rond waar jepersoonlijke data kan zetten op je pc en welke bedrijfskritische data eigenlijk niet thuishoort opeen laptop maar op een server hoort te staan. Zolang er geen meldingen zijn van welke data er opgestolen laptops staat zal er ook geen policy rond gevoerd worden. Dit is een grote tekortkoming inhet veiligheidsbeleid. Er bestaat voor deze organisatie al minimaal, security training voor hun ICTspecialisten en er wordt ook gepland om dit nog uit te breiden. Veiligheidsbewustzijn is eenhoeksteen van een goed veiligheidsbeleid maar daar is hier nog enorm veel werk aan. Volgensonze respondent zou het een onderdeel moeten zijn bij de aanwerving en jaarlijks moeten wordenhernieuwd maar het bestaat nog niet voor deze instelling. Bij bewustzijnstraining horen ookpreventiecampagnes rond bv. je laptop met een slot vastleggen, het niet open laten van je bureauals je even buitengaat tot het bewaren van bepaalde data op goed geback-upte servers. Maardergelijke campagnes werden nog niet georganiseerd door de onderwijsinstelling. Er worden welbackground checks uitgevoerd bij aanwerving van personeel.Het hele pakket van niet-technische maatregelen wordt toegepast bij deze grote telecomoperator.Van bepaalde afspraken en reglementen, tot grote bewustzijnscampagnes en road shows die elk CYBERVICTIMS: Analyse 87
  • 94. team bezoeken. Er zijn wel problemen gerezen met het uitvoeren van background checks bij hetaanwerven van medewerkers die toegang hebben tot gevoelige informatie. Op vraag van deprivacy commissie zijn ze hier mee opgehouden en voeren nog alleen background checks uit bij hetin dienst nemen van bestuursleden waar een afweging wordt gemaakt tussen het te lopen risico enprivacy.Er worden geen maatregelen genomen die gericht zijn aan de ambtenaren van onze bevraagdeoverheidsdienst, zoals bewustzijnscampagnes of training.Ook bij het pakket niet-technische maatregelen lijkt onze telecomrespondent de beste leerling vande klas te zijn. Hij bevestigt ook dat het hele pakket van maatregelen nodig zijn om een goedbeleid te voeren. Als je niet weet waar je je tegen probeert te beschermen dan zal die beschermingook niet lukken. De onderwijsinstelling is goed op weg om goede communicatielijnen met hetmanagement op te stellen en de training van hun beveiligingspersoneel nog verder uit te breiden.We ontbreken hier duidelijke afspraken rond het gebruik van connecties op afstand, gebruik vandraadloze routers, mobiele apparaten en verwijderbare media. Er zijn nog geenpreventiecampagnes bij bestaande medewerkers of bij het aanwerven van nieuw personeel. Ookbij de overheid is nog heel veel werk aan de winkel om hun ambtenaren bewust te maken van dedreiging van het internet.Er bestaat in deze organisatie een budget dat specifiek is voorzien voor security maar dit wordtcentraal beheerd. Door het gedecentraliseerd beleid zijn de onafhankelijke afdelingen niet verplichtom beveiliging af te nemen van de centrale ICT-afdeling. Als een onafhankelijke afdeling oordelendat zij beter extern diensten of hardware gaan kopen, dan doen zij dat. “Dit helpt natuurlijk nietaan de efficiëntie voor een veilig beleid.”Voldoende budgetten worden vrijgemaakt voor verschillende ICT-security projecten bij onzetelecomrespondent.Er is binnen deze overheidsorganisatie maar een uiterst beperkt budget speciaal voorzien voorbeveiliging van hun ICT-omgeving.Zonder de nodige budgetten kan er natuurlijk geen sprake zijn van een goed veiligheidsbeleid.Opnieuw is bij onze telecomoperator hier een goed en duidelijk beleid rond. Er bestaan zelfsverschillende budgetten voor verschillende aspecten van beveiliging. Bij de onderwijsinstellingbestaat er wel een centraal veiligheidsbudget maar dit wordt niet altijd gebruikt door andereafdelingen omdat daar ook consequenties rond veiligheid aan vasthangen. Bij de overheid is hetbudget voor veiligheid te beperkt.Er bestaan in beperkte technische domeinen procedures om te kunnen omgaan met eencyberaanval. De personen die bv. de firewall beheren weten vrij goed wat er moet gebeuren bijeen aanval. Maar organisatorisch, wie moet er verwittigd worden bij welk incident enzovoort,bestaat er geen draaiboek.88 CYBERVICTIMS: Analyse
  • 95. Duidelijk procedures en draaiboeken werden opgesteld door hun Computer Security IncidentResponse Team. Duidelijke afspraken over wat er moet gedaan worden en wie op de hoogte moetgehouden worden.Deze overheid heeft maar beperkte uitgewerkte procedures om te kunnen omgaan met eencyberaanval.Alweer moeten we vaststellen dat de telecomleverancier duidelijke procedures heeft om hoe zemoeten omgaan met een aanval en wie er in de (communicatie)loop moet gehouden worden. Detwee andere hebben wel beperkte procedures maar rekenen vermoedelijk op het gezonde verstandvan hun ICT-personeel.ImpactDeze onderwijsinstelling heeft geen idee of er mogelijke economische impact is geweest naaraanleiding van cybercrime aanvallen op hun organisatie en er is vandaag de dag niet te bepalen ofer financiële schade is geleden. Het duurde gemiddeld 2 tot 3 dagen om de problemen na eencyberaanval terug volledig onder controle te krijgen. Wel bevestigen ze dat er een zekeregedragsschade kan worden vastgesteld. Er worden soms beperkingen opgelegd om schade in teperken maar daardoor gaat het gebruiksgemak omlaag met als gevolg dat gebruikers toch hunweg zoeken op het netwerk en er achterdeurtjes opengaan. Het opleggen van beperkingen kansoms tot gevolg hebben dat er nieuwe toegangen ontstaan die nog onveiliger zijn dan degene diewerd afgesloten. Voor deze onderwijsinstelling is het ook zeer duidelijk dat de grootste impactwordt veroorzaakt door insiders. Outsiders voeren meer aanvallen uit maar met kleinere impact.Over het schadebedrag dat werd opgesteld door de FCCU van € 1 tot € 3 miljard heeft hij geenmening.Het is moeilijk te bepalen hoe lang het duurt om terug volledig controle te krijgen op een situatiewaarbij een cybercrime aanval werd uitgevoerd. Dit kan gaan van een paar uur tot een paardagen. Maar naast het technisch terug in orde brengen van de systemen moet men ook nogrekening houden met een indirect tijdsverlies voor het opstellen van verslagen en opvolging. Hijschat het directe gedeelte van de nodige tijd in op 2 tot 3 dagen. De telecomoperator lijdt duidelijkzware verliezen naar aanleiding van cybercrime maar wil daar niet verder op in gaan. Buiten definanciële schade vermoeden ze niet dat ze nog andere economische schade lijden door bv. hetverlies van contracten. Wel geven ze aan dat op management niveau er een grote mate vanpsychologische schade kan optreden. “when you go with an incident to management they can havea heart attack every time.” Ook gedragsschade kan optreden door meer strikter te gaan werken enminder toe te laten. De respondent is het ook eens dat het schadebedrag van € 1 tot € 3 miljardvoor Belgische organisaties heel reëel zou kunnen. Zeker als je in die kostprijs ook depreventiemaatregelen rekent die organisaties nemen ter voorkoming van cybercrime. Voor hen isvooral het fenomeen phreaking een probleem qua financiële schade. CYBERVICTIMS: Analyse 89
  • 96. Het duurt gemiddeld 5 dagen om een aanval volledig onder controle te krijgen maar deze overheidondervond verder geen economische schade. Er werd op het online interview geen financiëleschade aangegeven maar we weten niet of dit is omdat er geen schade is of omdat ze dit lieverniet meedelen. Wel wordt er psychologische schade zoals stress, overbezorgdheid ofonveiligheidsgevoelen en gedragsschade zoals meidingsgedrag of overbescherming opgegeven.Deze overheid ondervond nog geen negatieve publiciteit die tot imagoschade leidde. Onzerespondent heeft geen idee hoe het bedrag dat beraamd werd door de FCCU tot stand kwam enkan hier geen oordeel over geven maar hij is niet verbaasd over de grootteorde ervan. Ze zijn ookvan oordeel dat insiders meer schade zullen toebrengen aan een organisatie omdat ze langeronopgemerkt kunnen opereren. Hij ziet de schade voor organisaties naar de toekomst toenemenen vreest vroeg of laat één specifiek incident dat veel schade zal berokkenen.Het indirecte tijdsverlies naar aanleiding van de opvolging van een aanval van cybercrime, zoalswordt gegeven door onze respondent van de telecomorganisatie kan een verklaring zijn voor het 353verschil in oplossingstijd van minder dan één dag, gegeven door het onderzoek van BELCLIV uit 3542004 en de achttien dagen uit het Amerikaanse rapport . Ook onze respondenten geven eenwaarschijnlijk gemiddelde tijd aan van maar twee tot drie dagen om een cyberaanval volledigonder controle te krijgen. Zoals ook verwacht, kon of wilde geen enkele respondent uitweiden overhet geleden schadebedrag. Ofwel is het niet geweten ofwel worden er nooit cijfers gegeven. Demeeste vonden het, door de FCCU berekende, schadebedrag tussen € 1 en € 3 miljard mogelijksreëel en werden niet verrast door de grootteorde ervan. Twee respondenten vermelden dat eencyberaanval psychologische schade zoals stress en overbezorgdheid kan teweegbrengen bij bv. hetmanagement. Daarnaast melden alle drie de respondenten in zekere mate gedragsschade alsgevolg van cybercrime. Organisaties gaan beperkingen opleggen uit schrik voor nog meer schademaar dit kan als neveneffect hebben dat het gebruiksgemak omlaag gaat en medewerkers op zoekgaan naar achterpoortjes. Onze respondenten melden dat ze geen imagoschade hebben geledenten gevolge van negatieve publiciteit terwijl dit de belangrijkste reden is om geen aangifte te doen.Of dit het gevolg is van het feit dat twee onder hen ook inderdaad nog geen aangifte gedaanhebben is nog maar de vraag. Onze telecomorganisatie die alle feiten meldt geeft toe dat ze in ééngeval imagoschade opliepen door een wraakactie van een scriptkiddie.353 BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 68.354 PONEMON INSTITUTE, Second Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies, Michigan, Ponemon Institute, 2011, 20.90 CYBERVICTIMS: Analyse
  • 97. 6.2 Conclusies en AanbevelingIn onze conclusie spreken we over Belgische organisaties alsof de resultaten gegeneraliseerdkunnen worden naar alle Belgische organisaties maar dit is gezien de omvang van dit onderzoekmethodologisch niet haalbaar. Als we over Belgische organisaties hebben dan willen we hier vooralde door ons bevraagde organisaties bedoelen. Wat is de ervaring van Belgische bedrijven, overheden en non-profitorganisaties met de aard, dreiging en impact van cybercrime?Volgens ons onderzoek kunnen we enerzijds de routine activiteiten theorie gebruiken om teverklaren waarom sommige organisaties het slachtoffer worden van cybercrime en anderen niet.“Het samenkomen (in tijd en ruimte) van gemotiveerde daders en bruikbare doelen, samen met de 355afwezigheid van bekwame bewakers meer kans zal leveren op criminaliteit.” Motieven voormogelijke daders zijn in het kader van cybercrime vooral financieel gedreven, nieuwsgierigheidofwel willen ze een boodschap uitdragen. Dit samen met de kwetsbaarheid van organisaties doorhun omvang, activiteit, zichtbaarheid, organisatorische structuur of afhankelijkheid van een derdeICT-leverancier, zullen meer de aandacht trekken van cybercriminelen. Als je daarbij deafwezigheid van technische en niet-technische beveiligingsmaatregelen optelt kom je bij het risicoop slachtofferschap van cybercrime.In de victimologie gaan we kijken hoe slachtoffers omgaan met hun statuut. De conservatievevictimologie bestudeerd vooral de zichtbare criminaliteit. Als we cybercrime bekijken door de ogenvan Lanier en Henry plaatsen we dit in het onderste deel van het prisma. Deze vorm vancriminaliteit wordt bij veel organisaties zelfs niet opgemerkt en al helemaal niet in de samenleving.De liberale victimologie gaat ook slachtoffers onderzoeken van de meer verborgen vorm vancriminaliteit zoals cybercrime. Vele organisaties zijn zich in de eerste plaats niet eens bewust vanhun slachtofferschap en als ze wel op de hoogte zijn kiezen ze om geen aangifte of melding te doenvan het feit. Een organisatie die wettelijk verplicht wordt om alle feiten te melden doet dit ook. De355 M. LANIER en S. HENRY, Essential Criminology, Colorado, Westview Press, 2004, 93. CYBERVICTIMS: Analyse 91
  • 98. gevolgen zijn een hoge bewustzijn, sterke beveiliging en lage omvang van feiten. Misschienmoeten we mee voorstander zijn van een meldingsplicht voor alle organisaties (zoals het Europeesparlement ook voorstelt) zodat cybercrime bij organisaties meer kan opschuiven in het zicht van desamenleving en naar de conservatieve victimologie. De radicaal-kritische victimologie onderzoektalle vormen van menselijk lijden. Voorbeelden zoals het SCADA virus stuxnet gericht tegen Iraansenucleaire installaties, in de zeer recente geschiedenis tonen aan dat cybercrime wel de oorzaak zoukunnen zijn van menselijk lijden. Op dit ogenblik kunnen we nog geen feiten aanhalen waar dit hetgeval is maar het wordt niet uitgesloten voor landen in een penibele situatie maar niet zozeer voorBelgië of Belgische organisaties.Als laatste hebben we onderzocht of we de theorie van moral panic kunnen toepassen opcybercrime bij organisaties. Tot hier toe werd er maar weinig bericht in de pers over organisatiesdie het slachtoffer werden van een cyberaanval en was er dus weinig reactie op deze feiten. Onzerespondenten zijn daarentegen wel voorstander van een grotere publiciteit die wel correct moetzijn en niet doorspekt met vooroordelen. Deze perscampagne zou in hun voordeel kunnen spelenom het bewustzijn van de organisaties en hun medewerkers te vergroten. Eenzijdige en niet altijdcorrecte berichtgeving leidt volgens hen wel tot imagoschade. Dit is dan ook de grootstebezorgdheid van de organisaties om niet publiek te gaan met hun slachtofferschap.De wetgeving in België inzake informaticacriminaliteit is in het algemeen goed gekend bij deorganisaties en sommige werken zelfs mee tot de totstandkoming ervan. Daders die gevat wordendoor politiediensten worden ook vervolgd en veroordeeld. Wel is er de opmerking dat er aan datwetgevend kader ook zware verplichtingen hangen voor organisaties en dan vooral demeldingsplicht waar providers van telecommunicatiediensten aan moeten voldoen. Zeer recent isdeze wet gewijzigd zodat het melden van gestolen data alleen nog verplicht is indien deze nietversleuteld is. Een voorstel van het Europees parlement om deze meldingsplicht uit te breiden naarandere organisaties is in de maak.Er is een zekere unanimiteit als we kijken welke vormen van cybercrime het grootste risico vormtvoor organisaties. Vooral malware en spam baart hen zorgen. Organisaties die investeren inpreventiemaatregelen tegen deze vormen hebben geen last van uitbraken. Ook insiders wordengerekend als een groot risico, niet zozeer in omvang maar vooral door de haalbaarheid van eenaanval en de enorme impact dat zij kunnen hebben op de organisatie. Diefstal van gegevens doorhacking of door diefstal van materiaal was vooral een zorg voor de organisatie met een opendeurbeleid waar iedereen binnen en buiten kan. Draadloze netwerken, mobiele apparaten enverwijderbare media vormen een risico om te worden misbruikt of om data te stelen. Goedeafspraken en controle daarop kunnen een positieve invloed hebben. Social engineering onder devorm van phishing is een veel voorkomende cybercrime maar kan eenvoudig worden tegengegaandoor goede bewustmakingscampagnes. Cloud systemen worden nog niet in die mate gebruikt datze een zorg zijn maar moet wel in het oog gehouden worden naar de toekomst toe. In onsonderzoek hebben we geen organisaties geïnterviewd die gebruik maken van SCADA-systemen en92 CYBERVICTIMS: Analyse
  • 99. kunnen dan alleen maar voortgaan op de waarschuwing in de literatuur om deze systemen ofwel teupdaten ofwel niet aan een netwerk en zeker niet aan het internet aan te sluiten. Ondanks derecente persberichten over afpersingspraktijken bij burgers en banken en de hoge cijfers inbestaande onderzoeken, maken onze organisaties zich hier niet al te veel zorgen rond. Belgischeorganisaties werden al wel eens het slachtoffer van een DDoS-aanval, elektronische sabotage engerichte aanvallen maar ook dat zien zij niet als een groot risico. Organisaties kunnen opverschillende manieren het slachtoffer worden van een botnet. Omdat hun pc’s besmet worden meteen botnetvirus en ze op deze manier participeren in een aanval of omdat ze een aanval teverwerken krijgen van een botnet. Het grootste risico voor Belgische organisaties zijn insiders.Er wordt een duidelijke stijgende trend gezien in het aantal aanvallen waar onze organisaties hetslachtoffer van worden en onze respondenten zien dit als een algemene trend voor alle Belgischeorganisaties. De cijfers die de telecomoperator ons kon voorleggen spreekt van een verdubbelingvan het aantal aanvallen per twee jaar voor de afgelopen zes jaar. Dit zal volgens hen nietafnemen, eerder geleidelijk, maar niet exponentieel, blijven toenemen.Het is moeilijk om uit te maken wie er achter een aanval zit als de daders niet gevat worden. Onzeorganisaties zien vooral een dreiging uitgaan van scritpkiddies en daders met een financieel motief.Voor telecomoperators zijn dat criminele organisaties die zich vooral inlaten met phreaking enmensen die diensten willen bekomen maar die zich niet kunnen veroorloven. Over ethical hackerszijn de meningen verdeeld. De ene organisatie is dankbaar voor hun hulp, de andere organisatieheeft toch bekommert om de mogelijke schade die ze zouden kunnen aanrichten.Als belangrijkste indicatoren van kwetsbaarheid haalden we onder andere bekendheid van hetbedrijf uit de literatuur. Dit wordt niet zozeer gevolgd door onze bevraagde organisaties maarvermoedelijk is dit omdat geen van hen grote spelers waren op de internationale markt. Welwerden de grootte van de organisaties, de zichtbaarheid op het internet, hun type activiteit en deafhankelijkheid van een derde ICT-leverancier gezien als mogelijke kwetsbaarheid. Ook het niettoepassen van basis beveiligingsmaatregelen vormen dat een organisatie kwetsbaar is omaangevallen te worden door cybercriminelen.Zoals te verwachten willen organisaties niet spreken over de financiële schade die ze geledenhebben als gevolg van cybercrime. Of misschien is dit omdat ze helemaal niet weten hoeveelschade ze oplopen. Als mogelijke aanvallen niet gemonitord worden, weet je niet hoeveel je teverwerken krijgt en weet je ook niet hoeveel business impact dit heeft op je organisatie. Als wehen de cijfers voorleggen die voor 2011 berekend werden door de FCCU zijn ze niet verbaasd overde grootteorde van het bedrag tussen de € 1 en € 3 miljard. Naast de financiële schadeondervinden organisaties ook grote stress en zijn ze overbezorgd over de gevolgen van eencyberaanval. Deze psychologische schade zal leiden tot gedragsschade waarbij beperkingenworden opgelegd aan hun medewerkers dat het paradoxale gevolg kan hebben dat er nogonveiligere achterdeurtjes open gaan. CYBERVICTIMS: Analyse 93
  • 100. 7 BIBLIOGRAFIE7.1 Rechtsbronnen7.1.1 Europese rechtsbronnenVerdrag van de Raad van Europa van 23 november 2001 Convention on Cybercrime, CETS, nr.185.Kaderb. Raad nr. 2005/222/JBZ, 24 februari 2005 over aanvallen op informaticasystemen, Pb.L. 16maart 2005, 67-71.C(2003)1422/F.COM(2010)517/F.COM(2012) 9.Med. Raad nr. 2010/C 115/01, Programma van Stockholm – Een open en veilig Europa ten diensteen ter bescherming van de burger, Pb.C. 4 mei 2010, 1-38.7.1.2 Belgische rechtsbronnenArt. 210bis, art. 504quarter, art. 550bis, art. 550ter, art. 496, art. 442bis Sw.Wet 30 juni 1994 houdende omzetting in Belgisch recht van de Europese richtlijn van 14 mei 1991betreffende de rechtsbescherming van computerprogramma’s, BS 27 juli 1994, erratum 5november 1994, 19315.Wet van 23 maart 1995 tot bestraffing van het ontkennen, minimaliseren, rechtvaardigen ofgoedkeuren van de genocide die tijdens de tweede wereldoorlog door het Duitse nationaal-socialistische regime is gepleegd, erratum BS 25 juni 1999, 7996.Wet 28 november 2000 inzake informaticacriminaliteit, BS 3 februari 2001, 2909.Wet van 26 juni 2003 betreffende het wederrechtelijk registreren van domeinnamen, BS 9september 2003, 45225.Wet 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005.Wet 9 februari 2006 houdende instemming met het Facultatief Protocol bij het Verdrag inzake derechten van het kind, inzake de verkoop van kinderen, kinderprostitutie en kinderpornografie,aangenomen te New York op 25 mei 2000, zoals het op 14 november 2000 door de Secretaris-generaal van de Organisatie van de Verenigde Naties is verbeterd, BS 27 maart 2006.Wet 10 juli 2012 houdende diverse bepalingen inzake elektronische communicatie, BS 25 juli 2012.94 CYBERVICTIMS: Analyse
  • 101. KB van 4 april 2003 tot reglementering van het verzenden van reclame per elektronische post, BS28 mei 2003.MvT Ontwerp van wet houdende goedkeuring van het Verdrag betreffende decomputercriminaliteit, gedaan te Boedapest op 23 november 2001, Federale ministerraad, 20 juli2010.Vraag om uitleg van de heer Guido De Padt aan de minister van Justitie over de ratificatie van hetverdrag betreffende de informaticacriminaliteit, Hand. Senaat 2010-11, 26 mei 2011, nr. 5-2394.Vraag om uitleg van de heer Guido De Padt aan de minister van Justitie over de ratificatie van hetverdrag betreffende de informaticacriminaliteit, Hand. Senaat 2011-12, 28 december 2011, nr. 5-4000.7.2 RechtsleerABAGNALE, F., BISHOP, M., GLEN, A., JACKMAN, S., KOZLOVSKI, N., MITNICK, K., SANDER, S., SPAFFORD, E., VERDUYN, B., WILLIAMS, P. en YEPES, R., 2005 FBI Computer Crime Survey, Houston, FBI, 2005, 17 p.BAKER, W., HUTTON, A., HYLENDER, D., PAMULA, J., PORTER, C. EN SPITLER, M., 2011 Data Breach Investigations Report, s.l., Verizon, 2011, 72 p.BEDNARSKI, G., Enumerating and Reducing the Threat of Transnational Cyber Extortion against Small and Medium Size Organizations, thesis Information Security Policy and Management Carnegie Mellon University, 2004, 52 p.BELCLIV, Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen: Resultaten van een tweede enquête van BELCLIV, Brussel, BELCLIV, 2006, 82 p.BROWN, S., “The criminology of hybrids: Rethinking crime and law in technosocial networks”, Theoretical Criminology 2006, 223-244.CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 28 p.CARR, J., Inside Cyber Warfare, Californië, O’Reilly, 2010, 212 p.CARRABINE, E., IGANSKI, P., LEE, M., PLUMMER, K. EN SOUTH, N., Criminology!: a sociological introduction, London, Routledge, 2004, 428 p.CHIESA, R., DUCCI, S. en CIAPPI, S., Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, New York, CRC Press, 2008, 279 p.CHRISTIE, N., “The ideal victim” in E. FATTAH (eds.), From Crime Policy to Victim Policy, Bassingkstoke, Macmillan, 1986, 17-30. CYBERVICTIMS: Analyse 95
  • 102. COHEN, S., Folk Devils and Moral Panics, Oxon, Routledge, 2002, 201 p.CSO MAGAZINE, CERT PROGRAM, DELOITTE en U.S. SECRET SERVICE, 2010 cybersecurity watch survey: cybercrime increasing faster than some company defenses, s.l., CSO Magazine, 2010, 21 p.DEN HARTOG, H., Cybercrime, Digitaal vandalisme en sabotage. Naar een cyberveilige onderneming, onderzoeksrapport Kenniskring E-business Hogeschool InHolland, 2005, 87 p.EMIGH, A., The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond, Nevada, Radix Labs, 2006, 31 p.ERNST & YOUNG, Insights on IT risks: The evolving IT risk landscape, The why and how of IT Risk Management today, Amsterdam, Ernst & Young, 2011, 16 p.ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2005, 27 p.ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2009, 36 p.ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2010, 34 p.ERNST & YOUNG, Onderzoeksresultaten ICT Barometer over cybercrime, Amsterdam, Ernst & Young, 2011, 31 p.EUROPOL, High Tech Crimes within the EU: Old Crimes New Tools, New Crimes New Tools. Threat Assessment 2007, Den Haag, Europol, 2007, 58 p.EUROPOL, internet Facilitated Organised Crime Threat Assesment, Den Haag, Europol, 2011, 11 p.FEDERALE GERECHTELIJKE POLITIE, Jaarverslag 2011: Federale gerechtelijke politie, Directie economische en financiële criminaliteit, Brussel, Federale gerechtelijke politie, 2012, 84 p.GOVCERT.NL, Cybersecuritybeeld Nederland, Den Haag, GOVCERT.nl, 2011, 55 p.GRABOSKY, P., “Virtual Criminality: Old Wine in New Bottles?”, Social & Legal Studies 2001, 243-247.GRAGIDO, W. en PIRC, J., Cybercrime and Espionage: An Analysis of Subversive Multi-vector Threaths, Amsterdam, Elsevier, 2011, 254 p.HERRERA-FLANIGAN, J. en GHOSH, S., “Criminal Regulations” in S. GHOSH en E. TURRINI (eds.) Cybercrimes: A Multidisciplinary Analysis, Heidelberg, Springer, 2010, 435 p.JAISHANKAR, K., Cyber Criminology: Exploring internet Crimes and Criminal Behavior, Londen, CRC Press, 2011, 252 p.JEWKES, Y. en YAR, M., Handbook of internet Crime, Devon, Willan Publishing, 2010, 654 p.96 CYBERVICTIMS: Analyse
  • 103. KORPS LANDELIJKE POLITIEDIENSTEN - DIENST NATIONALE RECHERCHE, Cybercrime – focus op high tech crime: Deelrapport Criminaliteitsbeeld 2009, Driebergen, Korps landelijke politiediensten - Dienst Nationale Recherche, 2010, 213 p.LANIER, M. en HENRY, S., Essential criminology, Colorado, Westview Press, 2004, 430 p.LASH, S., Critique of Information, Londen, Sage Publications, 2002, 234 p.LEUKFELDT, E., DOMENIE, M. EN STOL, W., Verkenning cybercrime in Nederland 2009, Den Haag, Boom Juridische uitgevers, 2010, 267 p.MCLAUGHLIN, E. en MUNCIE, J., The Sage Dictionary of Criminology, Londen, Sage, 2008, 485 p.MCQUADE, S., Encyclopedia of cybercrime, Londen, Greenwood Press, 2009, 210 p.NIKIFORAKIS, N., GADALETA, F., YOUNAN, Y. en JOOSEN, W., On the privacy of file sharing services, onuitg. CW Reports CW585 Computer Wetenschappen K.U. Leuven, 2010, 11 p.PAGET, F., Cybercrime and Hacktivism, Santa Clara, McAfee Labs, 2010, 55 p.PONEMON INSTITUTE, Second Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies, Michigan, Ponemon Institute, 2011, 29 p.PRICEWATERHOUSECOOPERS, Combating cybercrime to protect UK organisations: Global Economic Crime Survey – UK report, s.l., PricewaterhouseCoopers, 2011, 20 p.PRICEWATERHOUSECOOPERS, Cybercrime in the spotlight: Global Economic Crime Survey 2011 – Belgium, s.l., PricewaterhouseCoopers, 2011, 25 p.PRICEWATERHOUSECOOPERS, Cybercrime: protecting against the growing threat: Global Economic Crime Survey, s.l., PricewaterhouseCoopers, 2011, 36 p.RANTALA, R., Cybercrime against businesses in BJS Special Reports, s.l., National Criminal Justice, 2008, 20 p.RAYMOND, E., Jargon File 4.4.7, s.l., 29 december 2009, http://catb.org/jargon/html/index.html.SIKKEL, D., Opzet enquête financieel-economische criminaliteit en computercriminaliteit, Leidschedam, Sixtat, 2009, 108 p.SOPHOS, Security threat report 2011, s.l., Sophos, 2011, 48 p.SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 106 p.SYMANTEC, internet Security Threat Report Volume 17, s.l., Symantec, 2012, 50 p.VAN DEN WYNGAERT, C., Strafrecht en strafprocesrecht: in hoofdlijnen, Antwerpen, Maklu, 2009, 698 p.VAN OUDENHOVEN, V., De nieuwe Belgische wetgeving inzake informaticacriminaliteit, onuitg. presentatie ICRI K.U.Leuven, s.d., 36 p. CYBERVICTIMS: Analyse 97
  • 104. VANDEBOSCH, H., VAN CLEEMPUT, K., MORTELMANS, D., WALRAVE, M., Cyberpesten bij jongeren in Vlaanderen, studie in opdracht van het viWTA, Brussel, Vlaams Instituut voor Wetenschappelijk en Technologisch Aspectenonderzoek, 2006, 210 p.VERIZON, 2012 Data Breach Investigations Report, s.l., Verizon, 2012, 76 p.YAR, M., Cybercrime and Society, Londen, Sage publications, 2006,185 p.YAR, M., “The Novelty of ‘Cybercrime’: An Assessment in Light of Routine Activity Theory”, European Journal of Criminology 2005, 407-427.Young, J., The Exclusive Society, Londen, Sage, 1999, 217 p.7.3 MediaISAKOVA Y., “Russia opts for universal anti-cybercrime convention”, The Voice of Russia 20 juli 2011, http://english.ruvr.ru/2011/07/20/53481702.html.MAST, T., “Hackers stelen 3 miljoen euro via online banking.”, De Morgen 25 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1459943/2012/06/25/Hackers-stelen- drie-miljoen-euro-via-online-banking.dhtml.OP DE BEECK, H., “Hackers Kerknet willen Kerk zwijgen opleggen.”, De Morgen 23 mei 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1442948/2012/05/23/Hackers-Kerknet- willen-Kerk-zwijgen-opleggen.dhtml.RINGOOT, I., “Miljoenen LinkedIn-wachtwoorden open en bloot op het internet.”, De Morgen 6 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1449806/2012/06/06/Miljoenen- LinkedIn-wachtwoorden-open-en-bloot-op-internet.dhtml.SNOEYS, A., “Hackers stalen e-mails Herman van Rompuy”, De Morgen 30 juli 2012, www.demorgen.be/dm/nl/983/Nieuws/article/detail/1478081/2012/07/30/Hackers-stalen-e- mails-Herman-Van-Rompuy.dhtml.THERIAULT, C., “Hackers could throw open prison doors, research shows”, Sophos Naked Security 08/11/2011, http://nakedsecurity.sophos.com/2011/11/08/reseach-proves-hackers-could-open- prison-door.VAN DEN BOSSCHE, M., “Drie verdachten ondervraagd in onderzoek hack ArcelorMittal”, De Morgen 21 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1458030/2012/06/21/Drie- verdachten-ondervraagd-in-onderzoek-hack-ArcelorMittal.dhtml.VAN LIER, H., “Wozniak voorspelt problemen met cloudcomputing.”, De Morgen 6 augustus 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1481525/2012/08/06/Wozniak-voorspelt- problemen-met-cloudcomputing.dhtml.98 CYBERVICTIMS: Analyse
  • 105. VLEMINGS, J., “Hacker steelt 50GB gegevens Visa- en Mastercardklanten.”, De Morgen 18 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1456047/2012/06/18/Hacker-steelt-50- GB-gegevens-Visa--en-MasterCard-klanten.dhtml.WISNIEWSKI, C., “Targeted attacks steal credit cards from hospitality and educational institutes”, Sophos Naked Security 30/11/2011, http://nakedsecurity.sophos.com/2011/11/30/targeted- attacks-steal-credit-cards-from-hospitality-and-educational-institutions/.X, “Oplichters doen zich aan de telefoon als bankbediende voor.”, De Morgen 9 september 2010, www.demorgen.be/dm/nl/989/Binnenland/article/detail/1155235/2010/09/09/Oplichters-doen- zich-aan-telefoon-als-bankbediende-voor.dhtml.X, “Aanval op het Belgisch net was slecht uitgevoerde spamactie.”, De Morgen 5 april 2011, www.demorgen.be/dm/nl/5403/internet/article/detail/1246425/2011/04/05/Aanval-op-Belgisch- net-was-slecht-uitgevoerde-spamactie.dhtml.X, “Chinese hackers bestoken Amerikaanse bedrijven”, De Morgen 02 november 2011, www.demorgen.be/dm/nl/5403/internet/article/detail/1342433/2011/11/02/Chinese-hackers- bestoken-Amerikaanse-bedrijven.dhtml.X, “N-VA: Niks wereldschokkends in gestolen info.”, De Morgen 9 februari 2012, www.demorgen.be/dm/nl/5036/Wetstraat/article/detail/1392229/2012/02/09/N-VA-Niks- wereldschokkends-in-gestolen-info.dhtml.X, “Hackers chanteren dochterbedrijf Belfius”, De Morgen 2 mei 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1432276/2012/05/02/Hackers-chanteren- dochterbedrijf-Belfius.dhtml.X, “Cybercriminaliteit kost België jaarlijks 1 tot 3 miljard euro”, De Morgen 7 juni 2012, www.demorgen.be/dm/nl/5403/internet/article/detail/1450258/2012/06/07/Cybercriminaliteit- kost-Belgie-jaarlijks-1-tot-3-miljard-euro.dhtml.7.4 internethttp://cert.belnet.be http://nakedsecurity.sophos.com www.cabinetoffice.gov.ukhttp://csirt-handbook.org.uk http://statbel.fgov.be www.cert.behttp://economie.fgov.be http://wikileaks.org www.corve.behttp://english.ruvr.ru www.baesystemsdetica.com www.cybersafety.nlhttp://epp.eurostat.ec.europa.eu www.BELCLIV.be www.deloitte.comhttp://europa.eu www.belgium.be www.deloitte.comhttp://mineco.fgov.be www.bipt.be www.demorgen.be CYBERVICTIMS: Analyse 99
  • 106. www.deredactie.be www.myspace.com www.theregister.co.ukwww.ecops.be www.pandasecurity.com www.twitter.comwww.enisa.europa.eu www.pcpro.co.uk www.vbo.bewww.fedict.be www.saferinternet.be www.w3.orgwww.I-sec.be www.security.nl www.wired.comwww.idg.com www.shadowserver.org www.wisselkoersen.nl/currency/c urrencyconverter.aspxwww.idg.com www.symantec.com www.zone-h.orgwww.ifa-iaf.be www.taaladvies.net100 CYBERVICTIMS: Analyse
  • 107. 8 BIJLAGEN8.1 Verklarende woordenlijst8.1.1 Technieken8.1.1.1 MALWARE• Virussen: Een virus is een klein programma bedoeld om al dan niet stiekem dingen te doen met een systeem waar de eigenaar niet om gevraagd heeft. Soms blijft het bij onschuldige pop-up schermen, maar virussen kunnen ook erg gevaarlijk zijn. Ze kunnen de instellingen van een computer ruïneren, of de computer misbruiken om bijvoorbeeld e-mail te sturen aan duizenden mensen of om privébestanden klakkeloos te verspreiden. Virussen zijn er in vele soorten en maten. De meest voorkomende virussen op dit moment, richten zich op Windows- computers, maar er zijn ook virussen die andere systemen kunnen infecteren en 356 beschadigen. o Word- en Excel virussen o Bootsector virussen• Worm: Een worm is een programma speciaal gemaakt om zichzelf te verspreiden naar zoveel mogelijk computers. Een worm verschilt van een virus: een virus heeft namelijk een bestand nodig om zichzelf te verspreiden en een worm niet. Een worm heeft niet altijd schadelijke 357 gevolgen voor een computer, maar kan de verbinding wel langzaam maken. o Social worm: Ook gekend als phisher worms zijn de parasieten van sociale netwerksites. Ze kunnen opduiken in de gebruikers mailbox in de vorm van een bericht met een link naar bv. een filmpje maar die eigenlijk linkt naar een valse login pagina om login gegevens te kunnen verzamelen. Daarna gaat de worm zich als een creeping phish 358 verspreiden naar alle contacten van de gehackte gebruikersaccount. o Social worm++: Deze social worm gaat ook de profiel pagina van de gehackte gebruikersaccount infecteren waarbij als de bezoeker ergens in de profielpagina op klikt357 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 213.357 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 213.358 G., LOVET, “Menace 2 The Wires: Advances in the Business Models of Cyber Criminals”, Virus Bulletin Conference 2007, Fortinet, 3-4. CYBERVICTIMS: Analyse 101
  • 108. 359 zij naar de valse login-pagina worden doorgesluisd om login gegevens te verzamelen. o Cross site scripting (XSS) worm en Cross site request forgery (CSRF) worm: 360 Een gekende worm op MySpace maakte gebruik van een fout in de pagina waardoor een java script kon opgeladen worden in een bewerkbaar stukje of movie. Dit script zorgt ervoor dat elke bezoeker van de pagina automatisch een add friend verzoek verstuurd en de worm zal het verzoek accepteren. Daarna zal hij zich verspreiden door 361 zich toe te voegen aan het profiel pagina van de gebruiker.• Trojans: Een trojaans paard is een programma dat vermomd is als een onschuldig programma, foto of geluidsbestand maar daarnaast ongewenste functies uitvoert die zijn bedoeld om bijvoorbeeld de maker of verspreider van het programma ongemerkt toegang te 362 geven tot je computer of om schade toe te brengen. 363• Spyware : Is elke vorm van technologie die gemaakt is om informatie over personen of bedrijven te verzamelen, zonder dat die personen of bedrijven daarvan op de hoogte zijn om vervolgens, zonder dat iemand het weet, informatie door te sturen naar adverteerders of 364 andere geïnteresseerden. o Adware: Is een naam voor kleine programma’s die op een computer worden geïnstalleerd en zit vaak bij gratis software. Adware kan pop-up advertenties in beeld laten zien, maar wordt ook gebruikt om na te gaan waar men zoal in geïnteresseerd is op het internet om deze informatie vervolgens door te sturen naar een leverancier, die deze informatie vervolgens weer gebruikt om gerichte reclame te sturen. Zie ook 365 spyware. In sommige gevallen doet adware in alle openheid zijn werk en wou het niet tot malware moeten gerekend worden zoals de reclame die verschijnt in de gratis 366 internetbrowser Opera. o Keylogger: Een keylogger is een programma dat bijhoudt welke toetsen een gebruiker359 G., LOVET, “Menace 2 The Wires: Advances in the Business Models of Cyber Criminals”, Virus Bulletin Conference 2007, Fortinet, 4.360 www.myspace.com.361 G., LOVET, “Menace 2 The Wires: Advances in the Business Models of Cyber Criminals”, Virus Bulletin Conference 2007, Fortinet, 5.362 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 210.363 Ook wel spybot of tracking software wordt genoemd.364 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 209.365 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 188.366 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 77.102 CYBERVICTIMS: Analyse
  • 109. aanslaat om zo informatie zoals gebruikersnamen en paswoorden te verzamelen. 367 Keyloggers zijn een van de verschijningsvormen van spyware. o Remote administration: Deze software beheert een pc op afstand. Er bestaan legitieme toepassingen van Remote administration software zoals bv. gebruikt worden 368 door helpdesks maar er bestaan ook minder fijne varianten. o (Tracking)cookies: Zijn kleine tekstbestanden die, bij het bezoeken van webpagina’s, op een computer worden opgeslagen door de browser. Deze informatie kan worden gebruikt om webpaginas te personaliseren, om demografische informatie over bezoekers te verzamelen of om de statistieken van de weergegeven banners te monitoren enz. Bv. in het geval van een gebruiker die regelmatig een bepaalde webpagina bekijkt, kan de cookie de gebruikersnaam en het wachtwoord bewaren om later te gebruiken om automatisch in te loggen. Het kwaadwillig gebruik van cookies door andere software kunnen de privacy van de getroffen gebruikers bedreigen doordat profielen kunnen worden aangemaakt met persoonlijke informatie van de gebruiker en worden 369 doorgestuurd aan derden zonder dat de gebruiker zich daarvan bewust is. :• Dialer: Zijn programmaatjes die knoeien met de internetinstelingen van de computer. Als er nog een ouderwetse modem aangesloten is om een internetverbinding te maken proberen deze 370 dure telefoonnummers te bellen zoals lijnen van pornobedrijven of lijnen in het buitenland. Doordat er nog zeer weinig mensen gebruik maken van internetverbindingen over de telefoon komt dit nog weinig voor. Wel zien we een risico in de toekomst voor smartphones die kunnen misbruikt worden om betaallijnen te bellen en voor pc’s die gebruik maken van VOIP.• Rootkit: Set softwaretools waarmee de hacker alle rechten op het systeem van het slachtoffer 371 verwerft. Is genoemd naar de root user die op unix systemen alle rechten heeft.• Ransomware: Malware die een computer of de gegevens op deze computer gijzelt. Door losgeld te betalen kan het slachtoffer weer toegang krijgen tot zijn computer of gegevens. 372 Ransomware kan bijvoorbeeld werken door gebruikersdata te versleutelen.• Scareware: Deze opkomende trend schrikt de surfer af door pop-ups, e-mails of advertenties367 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 200.368 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 86.369 www.pandasecurity.com/homeusers/security-info/classic-malware/others/.370 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 85.371 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 207.372 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 206. CYBERVICTIMS: Analyse 103
  • 110. met de waarschuwing dat hun pc geïnfecteerd zou kunnen zijn met een virus of andere problemen kent. Je kan deze problemen dan detecteren via een gratis scan. Ofwel wordt tijdens de scan de malware geïnstalleerd ofwel melden ze dat er inderdaad een virus op je pc zit die je dan kan verwijderen met een aan te kopen fake anti-virus.• Drive-by download: Een drive- by-download kan zich voordoen wanneer een gebruiker een website bezoekt die is opgericht om een exploit bevatten. De exploit zorgt ervoor dat malware 373 gedownload wordt op de computer van de gebruiker zonder zijn of haar toestemming.8.1.1.2 DIEFSTAL VAN INTELLECTUEEL RECHTEN, FINANCIËLE OF PERSOONLIJKE INFORMATIE 374• Fysical access: De evil-maid-aanval wordt gebruikt door iemand die toegang heeft tot computers een besmette USB-stick in de pc te steken en door de pc op te zetten malware te installeren. o Autorun: De aanvaller hoeft vaak niet zelf aanwezig te zijn om fysieke toegang te krijgen tot een computer of netwerk. Met de implementatie van USB heeft Microsoft besloten om automatisch autorun aan te zetten. Dit betekent dat bij insertie van een USB-apparaat gekeken wordt of er programma’s op staan die automatisch gestart willen worden. Als dit het geval is, worden deze programma’s zonder verdere check gestart. 375 Malwareschrijvers maken hiervan dankbaar gebruik. o Firewire: Door een kabel aan te sluiten op deze poort krijgt de aanvaller volledige lees- en schrijfrechten in het geheugen van de computer. Hij kan hierdoor feitelijk alles doen 376 wat hij wil. Crimeware: Is een vorm van malware die vooral gericht is op het verzamelen van 377 indentiteits- en financiële gegevens om misbruik van te kunnen maken .8.1.1.3 HACKING Password hacking o Password guessing: Raden is de meest elementaire techniek om een wachtwoord te kraken. Deze methode werkt alleen bij slecht beveiligde systemen. Het aantal slecht beveiligde systemen is echter groot. Veel systemen en programma’s worden geleverd373 www.symantec.com/security_response/writeup.jsp?docid=2009-052907-2436-99.374 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 68.375 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 40.376 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 40.377 A. EMIGH, The Crimeware Landscape: Malware, Phishing, Identity Theft and Beyond, Nevada, Radix Labs, 2006, 1.104 CYBERVICTIMS: Analyse
  • 111. met een standaard wachtwoord, dat gebruikers niet of pas laat aanpassen. Lijsten met deze standaard wachtwoorden circuleren op het internet. Ook simpele wachtwoorden als ‘password’ en ‘x’ worden nog veel gebruikt. In de privésfeer worden de namen van de partner, kinderen of huisdieren veelvuldig gebruikt als wachtwoord. Veel mensen gebruiken een identiek wachtwoord voor verschillen- de applicaties. Zodra hackers het wachtwoord van één van de applicaties bemachtigd hebben, kunnen ze hiermee overal 378 binnenkomen. o Social engineering: Social engineering is een aanval die niet rechtstreeks gericht is tegen computers of computerprogramma’s, maar tegen de mensen die met de computers of de programma’s te werken. Door in te spelen op bijvoorbeeld angsten of nieuwsgierigheid proberen criminelen gebruikers te verleiden om op een knop te drukken, iets te installeren of gegevens af te geven. Hiermee omzeilen ze de 379 beveiliging.  Phishing: Bij phishing-aanvallen verzenden spammers e-mails die beweren afkomstig te zijn van bekende legitieme instellingen. De ontvanger wordt aangemoedigd om te klikken op een website link in de e-mail. Waardoor hij naar een valse website worden geleid die vrijwel niet te onderscheiden is van het echte werk. Ze verleiden gebruikers tot het bekendmaken van hun gebruikersnamen, wachtwoorden en andere vertrouwelijke informatie die vervolgens kan worden gebruikt voor het plegen van een breed scala van misdrijven op basis van 380 identiteitsfraude. 381  Vishing: Is een samenvoeging van VOIP en phishing waarbij slachtoffers gebeld worden door wat hij vermoedt een legitieme instantie die vraagt naar 382 persoonsgegevens om die later te kunnen misbruiken. 383  Pharming : Zeer moeilijk, komt dus zelden voor, bij pharming-aanvallen wordt het verkeer naar een legitieme website omgeleid naar een andere (valse) website. Dit wordt gedaan door kaping van de Domain Name Server (DNS) en het378 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 36.379 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 208.380 SOPHOS, Phishing, phaxing, vishing and other identity threats:The evolution of online fraud, 2007, 1.381 HIGH TECH CRIME CENTRE, High tech crimes whithin the eu: Old crimes new tools, new crimes new tools – Threat Assessment 2007, Europol, 2007, 29.382 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 30.383 Ook wel DNS amplification attack, Registrar hacking of Domain Hijacking genoemd. CYBERVICTIMS: Analyse 105
  • 112. veranderen van het echte IP-adres van de doelwit-website naar het IP-adres van de nep-website. Waardoor het slachtoffer het juiste webadres kan invoeren en 384 toch onbewust naar de valse website wordt omgeleid. Deze websites hebben de look&feel van een legitieme website en kunnen gebruikt worden om gebruikersnamen en paswoorden te phishen. o Rainbow tables: Dit zijn tabellen met wachtwoorden gesorteerd op frequentie. Omdat veel mensen eenvoudige of korte wachtwoorden gebruiken, kunnen veel wachtwoorden 385 relatief snel worden gebroken met behulp van een goede rainbow table. o Brute force attack: Hierbij worden alle mogelijke varianten één voor één geprobeerd. Voor een wachtwoord van acht karakters is dit binnen beperkte tijd te doen. Voor een 386 wachtwoord van 20 karakters duurt dit eeuwen. Sniffing: Afluisteren van het verkeer op het netwerk met (vaak) als doel het achterhalen van vertrouwelijke informatie. Sniffing wordt vaak door hacker gebruikt om een password te 387 achterhalen of surfgedrag in kaart te brengen. Exploit vulnerabilities: Een kwetsbaarheid is een zwakke plek in software of hardware, over het alge- meen veroorzaakt door een programmeerfout. Een kwetsbaarheid kan misbruikt worden door een kwaadwillend persoon om de software te laten crashen of om de acties uit te 388 voeren zoals het verwijderen van bestanden of toegang verlenen tot een computer. o Zero day exploit: Een Zero day (nul-dag) aanval of –dreiging probeert zwakheden in software- toepassingen uit te buiten die nog niet bekend zijn bij anderen. De term wordt ook gebruikt als de leverancier de zwakheid wel kent, maar (nog) geen patch heeft uitgegeven. Een zero day exploit is malware die gebruik maakt van een dergelijke 389 zwakheid. IP range stealing: De ip adressen van bedrijven die niet meer bestaan maar nog wel geldig ip-range hebben worden misbruikt voor clandestiene websites. Ook komt voor dat interne medewerkers gebruik maken van door het bedrijf geregistreerde ip adressen die nog niet in384 SOPHOS, Phishing, phaxing, vishing and other identity threats:The evolution of online fraud, 2007, 3.385 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 37.386 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 37.387 S. MCQUADE, Encyclopedia of cybercrime, Londen, Greenwood Press, 2009, 149.388 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 201.389 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 66.106 CYBERVICTIMS: Analyse
  • 113. 390 gebruik zijn door hen. Wardriving: Hierbij gaat men met de auto rondrijden om wireless netwerken te zoeken om deze te kunnen misbruiken. Zowel het onrechtmatig gebruik van een onbeschermd netwerk als het hacken van een beschermd netwerk valt onder het criminele figuur hacking. Men gaat gebruik maken van deze netwerken om gratis te surfen of om illegale activiteiten te ontplooien zoals surfen naar kinderpornografie of hacken van andere netwerken. Door gebruik te maken van een netwerk dat geregistreerd is op iemand anders kan je anoniem blijven.8.1.1.4 DENIAL OF SERVICE• (Distributed) Denial-of-service ((D)DOS): Een DDoS aanval is een aanval op een dienst of service zoals een website of mailserver, waarbij een groot aantal computers simultaan de dienst bestookt met dataverkeer. Als een server berekend is op een gelijktijdige connectie van 1.000 computers en de botnet herder geeft een botnetwerk van 10.000 computers de opdracht de server simultaan te bezoeken, is de server niet meer bereikbaar voor legitieme connecties. 391 In veel gevallen loopt de server zelfs helemaal vast. In België bestaat er geen echte 392 wetgeving die deze techniek criminaliseert.• Application Layer attack: Het andere type van aanval is om de service layer zoveel mogelijk werk te laten doen. Je vraagt de site niet alleen overvloedig op maar je laat de server kant ook 393 veel taken uitvoeren tot de server eronderdoor gaat . Botnets: Botnet staat voor robot netwerk. Het is een netwerk van geïnfecteerde computers die bots of zombies worden genoemd, waarbij een botnetherder een deel van de rekencapaciteit en netwerkfuncties van de geïnfecteerde computers overneemt. De aansturing vindt plaats via tussenkomst van een centrale command & control server die kan gehuurd worden. Botnets worden veelal ingezet in spam- en DDoS aanvallen of voor gebruik in clickfraude. 394 De 395 belangrijkste botnets in 2010 zijn Rustock, Grum, Cutwail, Maazben, Mega-D en Storm .390 Interview met Yoeri Vandaele april 2011, Federale gerechtelijke politie, Regionale Computer Crime Unit Brussel.391 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 43.392 Interview met Yasmine Ourari maart 2011, Juriste Federale gerechtelijke politie, Federal Computer Crime Unit.393 N. Kobie, “How dangerous is Anonymous”, PC Pro 2011, www.pcpro.co.uk/news/security/365440/how- dangerous-is-anonymous.394 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 40-48.395 SYMANTEC, internet Security Threat Report Volume 16, s.l., Symantec, 2011, 68. CYBERVICTIMS: Analyse 107
  • 114. 8.1.1.5 ELEKTRONISCH VANDALISME/SABOTAGE• Iframe injection: Een IFrame-injectie is een gevolg van een onzichtbare defacement. Een iframe van 1x1 pixels, zodat de bezoeker deze niet kan zien, wordt toegevoegd aan een webpagina die ervoor zorgt dat met het laden van de pagina ook een stukje code vanop een andere website wordt meegeladen. Deze code probeert dan, gebruikmakend van zwakheden in het systeem, de computer van de gebruiker te besmetten. Op deze manier is het mogelijk via het hacken van een legitieme site de bezoekers van deze site te besmetten.396• SQL injection: SQL betekent Structured Query Language: een computertaal waarmee een gebruiker met een database kan communiceren. Door voor deze database onbekende SQL statements naar de database te versturen, kan een onverwachte uitkomst ertoe leiden dat kwaadwillenden extra informatie van de database ontvangen zoals gebruikersnamen en wachtwoorden.397 Kan gebruikt worden om te defacen maar ook om sites te infecteren met malicious software zodat alle bezoekers van die sites ook geïnfecteerd worden.398• Cross site scripting (XSS): Een website vulnerability dat code injection toelaat. Kan gebruikt worden door hackers om toegangscontrole te omzeilen. Misbruikt het vertrouwen dat de gebruiker heeft in een website door bv. zijn gebruikersnaam en paswoord opnieuw te laten ingeven. 399• Cross Site Request Forgery (CSRF (spreek uit als: sea-surf)): Misbruikt het vertrouwen dat een website heeft in zijn gebruikers (browsers) door een ongeautoriseerd commando te aanvaarden in naam van het slachtoffer om bv. aandelen te kopen op de gebruikers naam.400• Exploit vulnerabilities: Een kwetsbaarheid is een zwakke plek in software of hardware, over het alge- meen veroorzaakt door een programmeerfout. Een kwetsbaarheid kan misbruikt worden door een kwaadwillend persoon om de software te laten crashen of om de acties uit te voeren zoals het verwijderen van bestanden of toegang verlenen tot een computer.401 Een Zero day (nul-dag) aanval of –dreiging probeert zwakheden in software- toepassingen uit te buiten396 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 32. G., LOVET, “Menace 2 The Wires: Advances in the Business Models of Cyber Criminals”, Virus Bulletin Conference 2007, Fortinet, 2.397 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 209.398 F. PAGET, Cybercrime and Hacktivism, McAfee Labs, 2010, 31.399 G., LOVET, “Menace 2 The Wires: Advances in the Business Models of Cyber Criminals”, Virus Bulletin Conference 2007, Fortinet, 3.400 G., LOVET, “Menace 2 The Wires: Advances in the Business Models of Cyber Criminals”, Virus Bulletin Conference 2007, Fortinet, 3.401 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 201.108 CYBERVICTIMS: Analyse
  • 115. die nog niet bekend zijn bij anderen. 402• Registrar hacking of pharming: Zeer moeilijk, komt dus zelden voor, bij pharming-aanvallen wordt het verkeer naar een legitieme website omgeleid naar een andere (valse) website. Dit wordt gedaan door kaping van de Domain Name Server (DNS) en het veranderen van het echte IP-adres van de doelwit-website naar het IP-adres van de nep-website. Waardoor het slachtoffer het juiste webadres kan invoeren en toch onbewust naar de valse website wordt omgeleid.403 Deze websites hebben de look&feel van een legitieme website en kunnen gebruikt worden om gebruikersnamen en paswoorden te phishen.• Spamming: Is een verzamelnaam voor elektronische berichten die in bulk verstuurd worden en door de ontvangers niet gewenst zijn. In sommige gevallen wordt spam verstuurd vanaf één specifiek adres. Echter, bij ontdekking van dat adres, loopt het gerelateerde IP-adres groot risico geblokkeerd te worden door internet providers. Spammers kunnen dit risico vermijden door het inhuren van een botnet. Door de individuele bots spam te laten versturen, komt deze 404 van duizenden of zelfs miljoenen verschillende IP-adressen. Nieuwe technieken van spamming zijn comment spam en sociale netwerksite spamming.8.1.1.6 OVERIGE VEILIGHEIDSINCIDENTEN• Spam: Is een verzamelnaam voor elektronische berichten die in bulk verstuurd worden en door de ontvangers niet gewenst zijn. In sommige gevallen wordt spam verstuurd vanaf één specifiek adres. Echter, bij ontdekking van dat adres, loopt het gerelateerde IP-adres groot risico geblokkeerd te worden door internet providers. Spammers kunnen dit risico vermijden door het inhuren van een botnet. Door de individuele bots spam te laten versturen, komt deze 405 van duizenden of zelfs miljoenen verschillende IP-adressen.• Blended threat: Het grote gevaar vandaag ligt in het combineren van verschillende technieken. Een typisch scenario omvat het verzenden van een spam e-mail die probeert om de ontvanger te lokken naar een website. Die site is geïnfecteerd om kwaadaardige software te downloaden zodra de gebruiker er verbinding mee maakt. Die software bevat vaak een keylogger die wachtwoorden steelt, malware die programmagegevens steelt of een programma dat de computer verandert in een op afstand bestuurbaar bot dat gebruikt kan worden om denial-of-service-aanvallen te lanceren, spam te verspreiden of kwaadaardige code te402 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 66.403 SOPHOS, Phishing, phaxing, vishing and other identity threats:The evolution of online fraud, 2007, 3.404 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 38, 42.405 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 38, 42. CYBERVICTIMS: Analyse 109
  • 116. verspreiden. Als alternatief kan de pagina waarop je beland een replica zijn van een legitieme site, zoals een bank of e-commerce site, waarvan het doel is om de gebruiker zijn account 406 informatie te ontfutselen.8.1.2 Daders8.1.2.1 CREATIVE & CONSTRUCTIVE HACKERIemand die bijzondere technische creativiteit aan de dag legt, of dat nu bij het programmeren is ofbij het sleutelen aan een auto. Een apparaat iets anders laten doen dan waarvoor het is bedoeld,een besturingssysteem uit de grond stampen en of het uithalen van practical jokes zoals de 407 408vindingrijke grappen van MIT .8.1.2.2 WHITE-HATSDe term white-hat komt uit de Amerikaanse westerns. Daar hebben traditioneel de schurkenzwarte hoeden en de goeden witte hoeden. De white-hat hacker ziet zichzelf dan ook als iemanddie zijn technische vaardigheden aanwendt voor het goede doel of zichzelf niet te buiten gaat aanhet kwade. Ze houden zich vooral bezig met het testen en proberen binnen te dringen in debeveiliging van een computersysteem met de toestemming van de eigenaar. De white-hat hackerzal proberen om zich aan de wet te houden maar die wetgeving is heel verschillend van land totland en is in bepaalde landen zoals België heel uitgebreid waardoor ze zelfs met goede bedoelingendikwijls de wet overtreden, ook gedrag dat in bepaalde regios als aanvaardbaar wordt gezien kan 409in sommige landen strafbaar zijn. 410Gurus: Een guru is een door de wol geverfde hacker.Wizards: Een wizard onderscheidt zich meestal door zijn bijna magische beheersing van één 411specialisme. 412Hacktivists : De politiek dan wel sociaal geëngageerde hacker. Het Amerikaanse hackercollectief406 S. SALMONE, Meeting the Challenge of Today’s Bleded Threats, McAfee, juni 2009, 1.407 Massachusetts Institute of Technology.408 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005,5.409 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 10.410 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 9.411 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 9.412 Zie ook 8.1.2.4.110 CYBERVICTIMS: Analyse
  • 117. "Cult of the Dead Cow (cDc)" schreef bijvoorbeeld software om waarmee Chinezen zonder 413overheidscensuur konden surfen. In eigen land overtreden ze hierbij de wet niet maar hun toolsworden gebruikt in landen waar ze wel verboden zijn. Meer recent is het het hackerscollectiefAnonymous die het nieuws halen met hun DDoS aanvallen op sites die het niet altijd even nauwnemen met de ethiek.Tiger team: Is een verzameling van hackers die door het bedrijfsleven ingehuurd worden om insamenwerking al haar inbraakvernuft te gebruiken om de computerbeveiliging van één doel te 414testen.Security bedrijven 4158.1.2.3 ETHICAL HACKERS OF GREY-HATS OF OLD GUARD HACKERSHackers met goede bedoelingen maar die omwille van strenge wetgeving toch illegaal opereren. Zekunnen niet eenvoudig bestempeld worden als white-hats of black-hats. Ze breken incomputersystemen zonder enige schade toe te brengen om de eigenaar later dan tegen betaling opde hoogte te brengen van de zwakke punten in hun systeem. Hoewel deze inbreekpartijen bij niet- 416hackers wel eens vragen doet oproepen was dit tot nog niet zo lang geleden legaal. Binnen dehackerswereld zelf wordt onderscheid gemaakt tussen hackers en crackers. De eerste groep heeftde intellectuele uitdaging als motivatie, terwijl de tweede groep inbreekt met kwaadaardige 417 418bedoelingen. Grey-hats geloven dat labels voor lamers is, die niet weten wat hacking is.Geen enkele label kan hen bevatten, wat ze doen en waarom ze het doen. Soms noemen ze 419zichzelf ironisch pink-hats, of elke andere kleur dan grijs, als protest tegen deze classificatie.ICT-curious people: Zijn personen die oprecht geïnteresseerd zijn in informatica. Het zijninformaticastudenten of autodidacten die met behulp van het internet zichzelf onderwijzen. Integenstelling tot de hackers die op zoek gaan naar nieuwe zaken, gaan ICT-curious people zaken413 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 13-14.414 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 11.415 M., Rogers, “A two-dimensional circumplex approach to the development of a hacker taxonomy”, Digital Investigation, 2006, (97) x.416 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 10, 13.417 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 113.418 Zie 8.1.2.6.419 R. CHIESA, S. DUCCI en S. CIAPPI, Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking, Londen, CRC Press, 2008, 47. CYBERVICTIMS: Analyse 111
  • 118. verifiëren die anderen reeds gevonden hebben, toch zijn ze reeds vrij technisch. Hun vaardighedenzijn gemiddeld en ze handelen om de uitdaging. Ook goed beveiligde systemen kunnen slachtofferworden van de daden van ICT-curious people. Dankzij hun betere kennis kunnen zij de gevolgenvan hun daden beter inschatten en zullen minder grote schade veroorzaken. De probabiliteit zienwe als laag of misschien is het een dadergroep die meer uit het zicht blijft. Ook de impact is laaggezien ze geen negatieve intenties hebben en de gevolgen van hun daden onder controle kunnen 420houden.Hackers: Terwijl het verwacht wordt dat elke hacker in het verleden zich heeft bezig gehoudenmet speels cracking en de meeste basis technieken ervan kent, wordt er verwacht dat je hetverlangen om te cracken bent ontgroeid behalve voor goedaardige praktische redenen (als het bv. 421nodig is om enige beveiliging te omzeilen om te kunnen werken) . Echte hackers stelen geeninformatie en brengen geen schade toe aan een systeem; ze zijn alleen geïnteresseerd in het leren 422en het verbeteren van hun vaardigheden. 4238.1.2.4 MALICIOUS HACKERS OF BLACK-HATS OF CRACKERS OF CYBER-PUNKSGebruiken hun kennis en vaardigheden voor illegale doeleinden. Ze kraken computersystemen ofsoftware soms voor geldelijk gewin maar commerciële motieven zijn niet hun enige drijfveer. Determ black-hathackers komt uit, jaja goed geraden, de Amerikaanse westerns waar de boevenzwarte hoeden dragen.Gelegenheidshacker: Breekt in op e-mail of sociale netwerksite accounts uit wraak op een ex ofvrienden.Defacers: Houden zich bezig met het inbreken in webservers om de index pagina aan te passenmet hun eigen boodschap. Dikwijls een politiek getinte boodschap of zelfs ads naar websites omclicks te verdienen. 424Computer Cracker: Iemand die de beveiliging van een systeem doorbreekt. We moeten stellendan de term cracker twee betekenissen heeft, de eerste is iemand die systemen probeert te hacken420 Uit informatieve gesprekken met de FCCU.421 E. RAYMOND, Jargon File 4.4.7, s.l.n.d., 29 december 2009, http://catb.org/jargon/html/index.html.422 R., CHIESA, S., DUCCI en S., CIAPPI, Profiling Hackers – The Science of Criminal Profiling as Applied to the World of Hacking, Boca Raton, CRC Press, 2009, 172.423 M., Rogers, “A two-dimensional circumplex approach to the development of a hacker taxonomy”, Digital Investigation, 2006, (97) x-x.424 E. RAYMOND, Jargon File 4.4.7, s.l.n.d., 29 december 2009, http://catb.org/jargon/html/index.html.112 CYBERVICTIMS: Analyse
  • 119. 425en de andere pirateerd beveiligde software.Insiders: Zijn werknemers of ex-werknemers die de graad van vertrouwen die ze hebbengekregen van het bedrijf misbruiken. Ze misbruiken hun toegangsprivileges die eigen zijn aan hunfunctie. Hun vaardigheden zijn zeer goed en ze handelen uit financiële motieven of ook wel om 426schade aan te brengen.Viruswriters of Coder: Schrijven scripts en geautomatiseerde tools die door anderen worden 427gebruikt. Fungeren dikwijls als mentor nieuwelingen. 428Scriptkiddies of Novices : Hebben meestal niet voldoende technische knowhow en makendaarom gebruik van op het internet beschikbare software van echte hackers om huntechnologische vernielzucht bot te vieren. Ze worden door de white-hats verafschuwd om hun 429vernielzucht en door de black-hats omdat ze niet technisch onderbouwd zijn. Script-kiddiesrichten zich tot slachtoffer met een grote zichtbaarheid, zoals NASA, het Witte Huis, overheden of 430grote bedrijven. Een script-kiddie maakt gebruik van technieken en hulpmiddelen die dooranderen (vaak hackers) zijn bedacht en ontwikkeld. Hun vaardigheden zijn beperkt en ze handelenom de uitdaging, maar kunnen soms ook gericht zijn op het aanbrengen van schade of bekomenvan financieel gewin. Script-kiddies vormen een gevaarlijke groep omdat ze heel wat schadekunnen veroorzaken en deze vaak zelf niet kunnen inschatten. Ze zijn zich meestal niet bewust vande gevolgen van hun eigen handelen of hebben weinig boodschap aan de gevolgen of overlast voorandere internetgebruikers. De probabiliteit zien we als gemiddeld, zeker nu meer en meerhandleidingen tot hacken o.a. via youtube-fimpjes publiek beschikbaar zijn. Ook de impact 431catalogeren we als gemiddeld. 432Dark hacktivists of Political activists : In tegenstelling tot hacktivisten die geen gebruikmaken van illegale methoden houden dark-hacktivisten zich wel bezig met een destructieve vorm425 R., CHIESA, S., DUCCI en S., CIAPPI, Profiling Hackers – The Science of Criminal Profiling as Applied to the World of Hacking, Boca Raton, CRC Press, 2009, 170.426 Uit informatieve gesprekken met de FCCU.427 E., LEUKFELDT, M., DOMENIE en W., STOL, Verkenning cybercrime in Nederland 2009, Den Haag, Boom Juridische uitgevers, 2010, 28.428 M., ROGERS, “A two-dimensional circumplex approach to the development of a hacker taxonomy”, Digital Investigation, 2006, (97) x-x.429 A., DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 14.430 R. CHIESA, S., DUCCI en S., CIAPPI, Profiling Hackers – The Science of Criminal Profiling as Applied to the World of Hacking, Boca Raton, CRC Press, 2009, 167.431 <4p.39-40>432 M. ROGERS, “A two-dimensional circumplex approach to the development of a hacker taxonomy”, Digital Investigation, 2006, (97) x-x. CYBERVICTIMS: Analyse 113
  • 120. 433van politiek hacker-activisme. Een vb. Van dark hacktivisme zijn de green-hats die de website 434van European Climate Exchange gehackt hebben als onderdeel van een politiek protest tegen 435carbon credits door een green-hat defacement team.8.1.2.5 SPAMMERIemand die ongevraagd grote hoeveelheden email verstuurd voor commerciële doeleinden,phishing of gewoonweg pestgedrag. Veelal wordt er gebruik gemaakt van zombie computers 436aangesloten op een botnet.8.1.2.6 SOFTWARE CRACKER OF WAREZ d00dzWarez d00dz breken de kopieerbeveiliging van auteurerechtelijk beschermde software, zodat de 437software kan worden gekopieerd en verspreid worden over de hele wereld . Hoewel crackerszichzelf vaak hackers noemen, zijn ze dat niet (ze hebben meestal geen belangrijke programmeerkennis, noch internet expertise, noch ervaring met Unix of andere echte multi-user systemen).Lamer: Het synoniem voor luser, wordt niet veel gebruikt bij hackers maar is wel gebruikelijkonder warez d00dz, crackers en phreakers. Iemand die veel download maar nooit upload. (Ookgekend onder de term leecher). Het tegengestelde van elite. Iemand die een BBS probeert tecracken. Iemand die de sysop of andere BBS gebruikers, ergert, door veel domme vragen testellen, software met virussen upload enz. Crackers gebruiken de term ook voor crackerwannabees. Deze term lijkt afkomstig te zijn van het Commodore-64 scene in het midden van dejaren ’80. Het werd populairder onder Amiga crakcers door ‘Lamer Exterminator’, de meestberoemde en gevreesde Amiga virus ooit. Deze virus ging non-write-protected floppy diskscorrumperen. Als je de slechte sectoren ging lezen kon je zien dat deze overschreven waren door 438herhalingen van de string “LAMER!”Elite: Wordt ook gebruikt als een algemene positieve adjectief. De term is niet echt oorspronkelijkhacker slang; het wordt vooral gebruikt door ckrackers en warez d00dz, waardoor hackers hetalleen gebruiken met een sterke ironische bijklank. De term verwees vroeger naar de mensen die433 A. DASSELAAR, handboek Digitale criminaliteit – Over daders, daden en opsporing, Culemborg, Van Duuren Media, 2005, 14.434 www.ecx.eu.435 J. LEYDEN, “EU climate exchange website hit by green-hat hacker”, The Register 2010 en www.theregister.co.uk/2010/07/26/climate_exchange_website_hit_by_green- hat_hackerwww.theregister.co.uk/2010/07/26/climate_exchange_website_hit_by_green- hat_hacker.436 MCQUADE, S., Encyclopedia of cybercrime, Londen, Greenwood Press, 2009, 170-171.437 E. RAYMOND, Jargon File 4.4.7, s.l.n.d., 29 december 2009, http://catb.org/jargon/html/index.html.438 E. RAYMOND, Jargon File 4.4.7, s.l.n.d., 29 december 2009, http://catb.org/jargon/html/index.html.114 CYBERVICTIMS: Analyse
  • 121. toegelaten waren in de ‘hidden’ of ‘priviledged’ secties van BBS-en in de vroege jaren ’80 (welketypisch gepirateerde software bevatten). Diegenen die tot de vaak legendarische ‘triple supersecret’ boards waren de elite. Er bestaan overvloedige mis-spellingen van deze term in warezd00dz stijl zoals l337, eleet en 31337. Een echte hacker zal meer waarschijnlijk ‘wizardly’ 439gebruiken.Leech: Iemand die kennis consumeert zonder nieuwe software, cracks of technieken te genereren.BBS cultuur definieert een leech als iemand die files download maar weinig of geen uploads in inruil geeft en niet bijdraagt aan de berichten sectie. Cracker cultuur breidt deze definitie nog uitnaar iemand (meestal een lamer) die constant druk uitoefend goed geïnformeerde bronnen voor 440informatie en/of hulp maar die zelf niets heeft bij te dragen.Poser: Een wannabee; geen hacker slang maar gebruikt onder crackers, phreaks en warez d00dz.Niet zo negatief als een lamer of een leech. Waarschijnlijk afkomstig van een gelijkaardig gebruikonder punk-rockers en metalheads, bedoelend op ‘those who talk the talk but don’t walk the 441walk.’ 442Software cracker: Iemand die de beveiliging van een systeem breekt. We moetenverduidelijken dat de term cracker twee verschillende betekenissen kan hebben. Met de ene termwordt iemand bedoeld die aanvallen doet op systemen en met de andere bedoelen we iemand die 443beschermde software pirateert.Insiders: Medewerkers van een organisatie die zich inlaten met cybercrime. Bv. werknemers vande software industrie die beta copies van belangrijke applicaties doorgeven aan externecontactpersonen. Deze copies worden dan op een BBS geplaatst voor downloading. De bestesoftware cracking tools worden dikwijls gemaakt binnen de software firma’s zelf. Deze tools wordenontwikkeld door insiders zoals software testers die toegang hebben tot verschillende vertrouwelijke 444applicaties.439 E. RAYMOND, Jargon File 4.4.7, s.l.n.d., 29 december 2009, http://catb.org/jargon/html/index.html.440 E. RAYMOND, Jargon File 4.4.7, s.l.n.d., 29 december 2009, http://catb.org/jargon/html/index.html.441 E. RAYMOND, Jargon File 4.4.7, s.l.n.d., 29 december 2009, http://catb.org/jargon/html/index.html.442 E. RAYMOND, Jargon File 4.4.7, s.l.n.d., 29 december 2009, http://catb.org/jargon/html/index.html.443 R. CHIESA, S., DUCCI en S., CIAPPI, Profiling Hackers – The Science of Criminal Profiling as Applied to the World of Hacking, Boca Raton, CRC Press, 2009, 170.444 R. CHIESA, S., DUCCI en S., CIAPPI, Profiling Hackers – The Science of Criminal Profiling as Applied to the World of Hacking, Boca Raton, CRC Press, 2009, 170. CYBERVICTIMS: Analyse 115
  • 122. 4458.1.2.7 CYBERWARRIOR OF INFORMATION WARRIORSDeze daders gebruiken informatica om hun ‘oorlog’ te voeren. Ze willen specifieke data ofinformatiesystemen destabiliseren, onderbreken of infecteren. Information war gaat van spionageover sabotage tot effectieve aanvallen uitgevoerd aan de hand van informatica. Hun vaardighedenzijn zeer goed en ze handelen om schade aan te brengen. De stap naar het terrorisme is dan klein,een belangrijke groep binnen de information warriors zijn de cyberterroristen. Het echtecyberterrorisme met gevaar voor mensenlevens is tot nu toe uitgebleven, maar vormt een grotebedreiging naar de toekomst toe bij mogelijke aanvallen op kritieke infrastructuur. De probabiliteitis momenteel nog laag, hoewel het de laatste jaren enorm stijgt. Denk maar aan de cyberoorlogtussen Rusland en Estland in 2007, tussen Rusland en Georgië in 2008, als aan de recentecyberaanvallen op Zuid-Korea en de VS in 2009. De impact is hoog en zal ook alleen maar stijgen.Naast overheidssites werden bv. ook al de sites van banken platgelegd en is het moeilijk te 446voorspellen wat nog zal volgen. 4478.1.2.8 ORGANISED CRIMINALS OF PROFESSIONAL CRIMINALSBinnen het fenomeen computercriminaliteit komt georganiseerde criminaliteit vooral voor bijhacking van online bankieren, betaalkaartfraude en bij netwerken van criminelen die illegalesoftware, films en muziek verspreiden. Hun vaardigheden zijn zeer goed en ze handelen uit 448financiële motieven.Industriële spionage: Het stelen van informatie over nieuwe produkten of business strategieëndoor concurrenten of op vraag ervan. Spioneren wordt aanzien als strijdig met de ethiek vanhacking. Bedenk dat het gebruik van insider informatie een sterke invloed hebben op de markt ende prijzen of hoe een spion een product kan beschadigen of vernietigen of hoe het productieprocesin gevaar kan gebracht worden door het programma dat de assemblagelijn bedient aan te 449passen.Overheidsspionage: Er bestaan ook overheidsambtenaren, veelal voormalige hackers uit deonderwereld, die zich bezig houden met het aanvallen van overheidssystemen van andere landen445 M. ROGERS, “A two-dimensional circumplex approach to the development of a hacker taxonomy”, Digital Investigation, 2006, (97) x-x.446 Uit informatieve gesprekken met de FCCU.447 M. ROGERS, “A two-dimensional circumplex approach to the development of a hacker taxonomy”, Digital Investigation, 2006, (97) x-x.448 Uit informatieve gesprekken met de FCCU.449116 CYBERVICTIMS: Analyse
  • 123. 450om inlichtingen te verzamelen. 4518.1.2.9 BOT HERDERSHet creëren en beheren van een botnetwerk vergt expertise en tijd. Botnet- beheerders of botherders verhuren geregeld hun opgebouwde netwerk aan criminelen die het netwerk willengebruiken om bijvoorbeeld spam te versturen of malware te installeren. Hiermee vormen 452botnetbeheerders een belangrijke schakel in de keten van internetgerelateerde criminaliteit.8.1 Terminologie bestemming plaats ANG8.1.3 BedrijfHoreca: Eetgelegenheid, dansgelegenheid, hotel / motel, frietkraam, fast-foodOntuchthuis: bv. bordeel / bar / prive-club, sauna / massagesalon, nachtclub / cabaret,escortebureau (call-girl), peepshow, seksshop, …Recreatie en cultuur: bv. pretpark, vakantiecentrum, camping, jeugdlokaal, bioscoop,kunstgalerij, dierentuin, casino, ...Sport: bv. bowling, fitnesscentrum, golfterrein, manège, zwembad, sporthal, …Financiële instelling: bv. bankautomaat, bank, …Dienst: bv. Lotto-valideringscentrum, gokkantoor, autoverhuuragentschap, toeristische dienst,veiling, kapsalon, boekhoudkantoor, autorijschool, reisbureau, internetprovider, …Winkel: bv. warenhuis, shopping center, beenhouwerij, vishandel, juwelierszaak, wapenwinkel,optiek, dierenwinkel, …Bedrijf: bv. landbouwonderneming, brouwerij, slachthuis, fabriek, bewakingsfirma, stortplaats, …Grote handelszaken: bv. Aldi, Carrefour, Colruyt, Delhaize, Ikea, Zeeman, Leenbakker, …8.1.4 OverheidBestuurlijk gebouw: Gemeente, provinciegebouw, ministerie, ambassade/kanselarij/consulaat,konkinklijk paleis, gebouw Europese Unie450 R. CHIESA, S., DUCCI en S., CIAPPI, Profiling Hackers – The Science of Criminal Profiling as Applied to the World of Hacking, Boca Raton, CRC Press, 2009, 159.451 G., LOVET, “Dirty Money on the Wires: The Business Models of Cyber Criminals”, Virus Bulleting Conference 2006, Fortinet, x-x.452 KPLD – DIENST NATIONALE RECHERCHE, Cybercrime – focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2009, Korps landelijke politiediensten, 2009, 117. CYBERVICTIMS: Analyse 117
  • 124. Openbare dienstverlening: bv. politiebureau, gerechtsgebouw/justitiepaleis, gevangenis, douane, gas- en electriciteitsmaatschappij, watermaatschappij, postkantoor, bushalte, spoorwegstation, metrostation, … Militaire installatie: Springstoffenopslagplaats, Shape, kazerne, gebouw, Navo 8.1.5 Non-profitorganisatie Religieus gebouw / plaats: bv. begraafplaats, begijnhof, klooster, tempel, moskee, … Welzijns- / gezondheidsinstelling: bv. apotheek, ziekenhuis, psychiatrische instelling, laboratorium, kuuroord, OCMW, ziekenfonds, … Onderwijsinstelling: bv. kleuterschool, lagere school, universiteit, … 8.2 Schadeberekening BE 2004 volgens rapport BELCLIV Rechtstreeks! Onrechtstreeks! ! ! ! ! €!1.000! 323! !€!323.000!! 322! !€!322.000!! €!75.000! 45! !€!3.375.000!! 35! !€!2.625.000!! ! €!187.500! 21! !€!3.937.500!! 16! !€!3.000.000!! ! €!375.000! 9! !€!3.375.000!! 4! !€!1.500.000!! ! €!500.000! 22! !€!11.000.000!! 11! !€!5.500.000!! ! 420! !€!22.010.500!! 388! !€!12.947.000!! ! ! ! ! ! ! ! ! ! ! ! ! 22%!van!de! ! ! !Totaal!voor! Totaal!per! Schadebedrag! Aantal! schadegevall 420! jaar!voor!420! per! bedrijven!BE! en!=! ! bedrijven! bedrijven! bedrijf/jaar! 2004! cybercrime!€!34.957.500! !€!11.652.500!! !€!2.563.550!! !€!6.104!! !333.837!!!! !€!2.037.637.718!! Omdat het rapport met zeer uitgebreide klassen werkt en er vele kleine schadegevallen zijn en het rapport maar een laagste categorie heeft van < € 25.000 hebben we ervoor gekozen om het gemiddelde bedrag voor de laagste categorie op € 1.000 te houden. Dit geldt ook voor de hoogste categorie waar er gesproken wordt van > € 500.000 waar we het gemiddelde bedrag op € 500.000 houden. Voor de overige catergorieën hebben we het gemiddelde van die klasse genomen. De financiële schade ten gevolge van informaticacriminaliteit wordt berekend door het het aantal bedrijven die rechtstreeks en onrechtstreekse schade hebben geleden te vermenigvuldigen met het bedrag van de opgelopen schade. Dit bedrag delen we dan door drie gezien de enquête de 118 CYBERVICTIMS: Analyse
  • 125. financiële impact bevroeg voor de afgelopen drie jaar. Vervolgens nemen we hier 22% van hetbedrag omdat dit het deel is van de schadegevallen die te wijten zijn aan informaticacriminaliteit. 453Daarna maken we een extrapolite naar alle bedrijven in België.8.3 Schadeberekening België tegenover het VK Bruto!Binnenlands! Wisselkoers!! Product454! 01!augustus!2010455! ! ! VK!2010! $290.721.538.461! 1,3028! €!223.150.533.186! BE!2011! $117.208.333.333! 1,3028! €!89.966.165.615! ! ! ! ! ! ! Schade!per!€!100.000! Schade! Bruto!Binnenlands! Produkt! ! VK!2010! ! €!223.150.533.186! €!25.152.650.651456!! €!11.272!! BE!2011! €!89.966.165.615! €!2.000.000.000457! €!2.223!!Om het verschil in financiële schade vast te kunnen stellen tussen België en het VerenigdKoninkrijk hebben we ervoor gekozen om een extrapolatie te doen naar het bruto binnenlands453 Dit is dezelfde manier waarop de FCCU de geleden schade voor bedrijven naar aanleiding van cybercrime voor 2004 heeft gemeten. Met dank aan Marjolein Delplace.454 Wereldbank; search.worldbank.org/quickview?name=%3Cem%3EGross%3C%2Fem%3E+%3Cem%3Edomestic%3C%2F em%3E+savings+%28current+US%24%29&id=NY.GDS.TOTL.CD&type=Indicators&cube_no=2&qterm=Gr oss+domestic+product.455 www.wisselkoersen.nl/currency/currencyconverter.aspx456 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 2.457 FEDERALE GERECHTELIJKE POLITIE, Jaarverslag 2011: Federale gerechtelijke politie, Directie economische en financiële criminaliteit, Brussel, Federale gerechtelijke politie, DJF, 2012, 70. CYBERVICTIMS: Analyse 119
  • 126. 458product (bbp) . Eerst rekenen we het bbp om naar euro, via de wisselkoers van 1 augustus 2010,om overal met dezelfde munteenheid te werken. Voor België hebben we heel uiteenlopendecijfers, voor 2011 een schade tussen de € 1 miljard en € 3 miljard. Voor onze berekening gaan weuit van het gemiddelde tussen deze twee bedragen en gebruiken voor de omrekening een schade 459van € 2 miljard. Voor het VK nemen we schadebedrag van 2010 uit het rapport van Detica , ineuro. Daarna berekenen we de schade ten gevolgen van cybercrime per € 100.000 bbp. Hierbijkomen we uit op een schade die vijf keer hoger ligt voor het VK tegenover België.8.4 Organisaties die zich bezighouden met cybercrime• FCCU (Federal Computer Crime Unit)• BELCLIV (Belgische Club voor Informaticaveiligheid vzw) opgericht door VBO (Verbond van 460 Belgische ondernemingen vzw. 461• Belnet CERT (Computer Emergency Response Team)• BelNIS (Belgian National internet Security): werkgroep 462• BIPT (Belgisch Instituut voor postdiensten en telecommunicatie) 463• Fedict (FOD Informatie- en Communicatietechnologie. 464• FOD Economie, Cel internetbewaking. 465• IFA (Instituut van forensische auditoren vzw) 466• LSec (Leuven Security Excellence consortium)• NOT (Nationaal Overlegplatvorm Telecommunicatie) 467• POB (Permanent Overlegplatvorm bedrijfsbeveiliging) binnen het VBO458 “Het bruto binnenlands product (bbp) van een land of van een regio is de marktwaarde van alle goederen en diensten die er op één jaar tijd worden geproduceerd.”; www.belgium.be/nl/economie/economische_informatie/nationaal_product/.459 CABINET OFFICE EN DETICA, The Cost of Cyber Crime: a Detica Report in Partnership with the Office of Cyber Security and Information Assurance in the Cabinet Office, Surrey, Detica, 2011, 2.460 www.BELCLIV.be.461 http://cert.belnet.be.462 www.bipt.be.463 www.fedict.be.464 http://mineco.fgov.be.465 www.ifa-iaf.be.466 www.I-sec.be.467 www.vbo.be; De communicatie met het Permanent Overlegplatform Bedrijfsbeveiliging (pob) is in 2011 stilgevallen omdat de werkgroep niet meer werd ondersteund door het vbo en er geen specifieke vergaderingen meer werden samengeroepen. FEDERALE GERECHTELIJKE POLITIE, Jaarverslag 2011: Federale120 CYBERVICTIMS: Analyse
  • 127. 468• Platform Safer internet Belgium• B-CCENTRE (Belgium Cybercrime Centre of Excelence, Training, Research and Education)8.5 Chronologisch overzicht cybercrime risico’s voor bedrijven469 gerechtelijke politie, Directie economische en financiële criminaliteit, Brussel, Federale gerechtelijke politie, DJF, 2012, 48.468 www.saferinternet.be.469 ERNST & YOUNG, Insights on IT risks: The evolving IT risk landscape, The why and how of IT Risk Management today, Amsterdam, Ernst & Young, 2011, 4. CYBERVICTIMS: Analyse 121
  • 128. 8.6 Interview8.6.1 Oproep InterviewGeachte,Naar aanleiding van mijn stage bij de Federale gerechtelijke politie (FCCU) in het kader van mijnopleiding Criminologische Wetenschappen aan de Vrije Univeristeit Brussel werd er mij gevraagdom voor mijn meesterproef een onderzoek te doen naar Belgische organisaties die het slachtofferzijn geweest van cybercrime. Voor dit kwalitatief onderzoek, in samenspraak met mijn promotorProf. Dr. Els Enhus, zijn we op zoek naar organisaties die zouden willen meewerken door middelvan een kort interview. We beseffen dat het voor een organisatie niet altijd evident is om tegetuigen over feiten van cybercrime en garanderen dan ook volledige anonimiteit.We zouden u willen vragen naar feiten van cybercrime-aanvallen van de afgelopen 3 jaar waarvanuw organisatie het slachtoffer is geweest en uw mening hieromtrend. De onderwerpen die weaanhalen zijn de aard, omvang, dreiging, kwetsbaarheid en impact van cybercrime. Als laatstebevragen we uw mening rond mediaberichtgeving.Zou u bereid zijn om een uurtje vrij te maken om mij te ontvangen om een interview af te nemen?Met vriendelijke groeten,Cindy SmeuldersMaster Criminologische WetenschappenVrije Universiteit BrusselCindy.Smeulders@vub.ac.be122 CYBERVICTIMS: Analyse
  • 129. 8.6.2 Oproep online interviewGeachte,Onlangs stuurde ik u een uitnodiging om deel te nemen aan een interview naar slachtofferschapvan organisaties naar aanleding van cybercrime. Vermoedelijk hebt u nog geen tijd gehad om hierop te reageren of bent u op vakantie. Omdat ik goed besef dat het niet altijd evident is om tijd temaken voor dergelijk onderzoek, heb ik het interview ook online gezet. Hopelijk zou u toch eenmoment kunnen vinden om uw ervaringen met cybercrime bij uw organisatie met ons te delen. Wegaranderen ook voor het online interview volledige anonimiteit zodat noch u of uw organisatie hiernegatieve gevolgen van zou kunnen ondervinden.Alvast bedankt voor uw tijd.Met vriendelijke groeten,Cindy SmeuldersMaster Criminologische WetenschappenVrije Universiteit BrusselCindy.Smeulders@vub.ac.be8.6.3 Interview CYBERVICTIMS: Analyse 123

×