EU, Help!

Ik weet nog het virus op mijn eerste computer; paniek en direct een vriend gebeld die het kon oplossen. Twintig jaar later wordt software automatisch bijgewerkt dat kwetsbaarheden niet of moeilijk misbruikt kunnen worden. In die afgelopen 20 jaar heb ik geen virus meer gehad op mijn computer. De business case voor het maken van virussen is daarom beperkt geworden. De overlast van deze vorm van cybercrime is opgelost, maar we zijn er nog niet want de bestrijding van cybercrime is een belangrijk speerpunt van de EU.

Laatst verscheen er een bericht in de Volkskrant en allerlei nieuwssites over een EU-investering van 450 miljoen euro tegen cybercrime (bron ANP). Maar welke vorm van cybercrime gaan we hiermee oplossen?

De business case voor malware-op-maat (Advanced Persistent Threats) is enorm gegroeid. Digitale bandieten beroven relatief eenvoudig een bank op afstand. Zo is recent de Centrale Bank van Bangladesh gehackt. Hoewel 840 miljoen dollar aan gehackte transacties is voorkomen, is 72 miljoen dollar nog steeds onvindbaar. Iemand in de Filippijnen is hier erg rijk van geworden. Dit soort digitale overvallen gaan steeds vaker voorkomen. Na de (centrale) banken, komen de overheden, de multi-nationals en het MKB aan de beurt. Over 20 jaar zal dit wel beheerst zijn, maar voorlopig zie ik groei van deze 'business'.  De juridische pakkans van deze boeven is bijzonder klein, omdat opsporing en regelgeving per land verschilt.

Een andere vorm van 'cybercrime' is digitale advertentie verkoop. Deze vorm van ' fraude' zal niet iedereen begrijpen en zal ik daarom kort toelichten. Voor een digitale advertentie betaal je geld aan Google. Google heeft een platform waarop deze advertenties worden verhandeld.  Als bijvoorbeeld telegraaf.nl deze advertentie x-maal toont aan een bezoeker, dan krijgt de Telegraaf een bedrag voor minus de marge die Google behoudt. Hoe meer bezoekers De Telegraaf heeft, hoe meer zij verdienen met het tonen van advertenties. Nu trekt De Telegraaf natuurlijk bezoekers aan door inhoudelijk goede journalistiek te bedrijven. Echter, er zijn ook websites die op een andere manier aan bezoekers komen. Malware kun je inzetten om extra verkeer naar jouw websites te krijgen. Daardoor kun je met specifieke malware computers van bezoekers gebruiken om simpel geld te verdienen door het manipuleren van surfgedrag van onwetende gebruikers.

Een derde voorbeeld van cybercrime die moeilijk te bestrijden is, zijn malafide diensten in de periferie van grote bedrijven. Een betaald servicenummer (bv 1 eur per gesprek) dat met 1 cijfer verschilt van een servicenummer van een groot bedrijf, levert gewoon geld op zonder echte dienstverlening. Als je als beller namelijk per ongeluk het verkeerde nummer belt, kost je dat wel 1 euro. Nu zijn die kosten te overzien, maar de eigenaar van dat nummer verdiend meer dan een gemiddeld goed doel met een dure campagne. 

Zo zijn er nog talloze vormen op te noemen van cybercrime. In de politiek hebben ze dus goed gezien dat cybercrime een steeds groter 'dingetje' gaat worden door de anarchie op het web. Veel problemen worden gewoon door de markt zelf opgelost; een bank gaat namelijk zichzelf goed beschermen tegen digitale overvallen. Eén nationaal aanspreekpunt die bedrijf overstijgende en internationale zaken rondom cybercrime coördineert met de juiste instanties is m.i. een ontbrekende schakel in de digitale handhaving; een soort digitale recherche met kennis van cybercrime misstanden en opsporingbevoegdheden. Slechts enkele bedrijven weten de weg te vinden naar de AP, ACM, NCSC, de Politie en een Fraudehelpdesk? Wellicht is deze dienstverlening wel de toekomst van ons Nationaal Cyber Security Centrum, waarbij de reikwijdte ook het MKB omvat. Zo'n service heeft een toegevoegde waarde voor de maatschappij en dat moet lukken voor die 450 miljoen. Ik vertrouw erop dat de EU-budgethouders genoeg praktijkkennis hebben en zich niet teveel laten leiden door de cybercrime lobbyisten.