Cybercrime: We wanen ons veiliger dan we zijn

Cybercrime is een groeiend gevaar waar ondernemingen onvoldoende bewust van lijken. Hoe groot is de cyberdreiging anno 2018? Wat kost cybercrime de samenleving en hoe kunnen we ons ertegen wapenen?

In oktober was de zesde European Cyber Security Month (ECSM), een goed moment om de balans op te maken. Cybercrime is criminaliteit die zich afspeelt binnen de cyberspace, of het world wide web (www). Cybercrime is zo oud als computernetwerken zelf. Het begrip en het fenomeen bestaan al sinds de jaren tachtig. In dit decennium stak het eerste computervirus de kop op en vond de eerste grootschalige ransomware-aanval plaats. Tegenwoordig kent cybercrime vele gedaanten. Van vandalisme tot gegevensdiefstal en identiteitsfraude.

Net zoals de traditionele criminaliteit, kent cybercriminaliteit criminelen van allerlei allooi. Van kruimeldieven met beperkte kennis en middelen tot grote criminele organisaties met miljardenwinsten, die over de meest geavanceerde technologieën kunnen beschikken.

Cybercriminaliteit floreert. De bevolking en het aantal internetgebruikers neemt alleen maar toe. We verbinden ook steeds meer apparaten met het internet, waardoor we meer toegangspunten voor criminelen creëren en zo de kwetsbaarheid vergroten. Ook vertrouwen we meer en meer gegevens toe aan de cloud, waardoor criminelen uit een steeds grotere vijver kunnen vissen. Hoe kunnen we ons in dit cybertijdperk wapenen tegen cybercrime?

Meer dan het BBP van Rusland

In 2016 registreerde de Nederlandse politie 2,6 miljoen cybercrime-delicten. Dat zijn dan alleen nog de gevallen waarvan aangifte is gedaan. Het werkelijke aantal ligt ongetwijfeld stukken hoger. Meer dan de helft van de kleine bedrijven heeft te maken met cybercrime. De overheid trekt dan ook 1,2 miljoen uit voor betere voorlichting aan het mkb. 

Cybercrime anno 2018 is een lucratieve business. Volgens een onderzoek gaat er jaarlijks circa 1,34 biljoen euro om in deze ondergrondse economie. Dat is meer dan het bruto binnenlands product (BBP) van een land als Rusland. Meer dan de helft van de omzet, een slordige 765 miljard euro, komt op het conto van illegale handel op online marktplaatsen. Dat gaat ten koste van het bedrijfsleven en overheden, die omzet en belastinginkomsten mislopen.

In het verkopen van handelsgeheimen en de diefstal van IP-adressen gaat jaarlijks zo’n 445 miljard euro om. In het illegaal verhandelen van gegevens circa 142 miljard euro. Aan malware en ransomware verdienen cybercriminelen ‘slechts’ 2,3 miljard euro, maar dat bedrag geeft een wat vertekend beeld van de dreiging die malware vormt.

Een ander probleem is identiteitsfraude, en praktijken zoals phishing en skimming. De helft van alle Nederlanders heeft wel eens te maken gehad met een poging tot identiteitsfraude. Al blijft het in de meeste gevallen bij een poging. Over 2016 en 2017 werd 5,7 procent van de Nederlandse bevolking daadwerkelijk het slachtoffer van identiteitsfraude. Dit percentage lag in 2015 (3,4 %) en 2014 (2,1 %) lager. De kans dat je slachtoffer wordt van identiteitsfraude neemt dus toe.

Wat kost cybercriminaliteit de samenleving?

De maatschappelijke kosten van cybercrime nemen explosief toe. In 2015 kostten online criminele activiteiten de samenleving al 2,7 biljoen euro. Naar verwachting is dat toch al astronomische getal in 2021 verdubbeld. Enerzijds door een te verwachten stijging van de cybercriminaliteit. Anderzijds door de toenemende beveiligingsmaatregelen die organisaties en burgers moeten treffen om hun gegevens te beschermen.

Malware-epidemie

Volgens Kaspersky Lab was 2017 het jaar van de ransomware. In zijn terugblik op datzelfde jaar, ziet de ontwikkelaar van cybersecuritysoftware ook een toename in aanvallen gericht op het vernietigen of de diefstal van gegevens. Ook waren er in 2017 de nodige datalekken, waarbij de gegevens van miljoenen klanten openbaar werden. Het aantal gevallen van malware op mobiele besturingssystemen nam toe.

Kaspersky voorspelde voor 2018 dat de malware-epidemie nog wel even zal aanhouden en goed zal gedijen bij onze toegenomen connectiviteit. Een betrekkelijk nieuwe vorm van internetcriminaliteit is cryptomining, waarbij software op je computer wordt geïnstalleerd voor het minen van cryptovaluta. Een winstgevende bezigheid. Cryptomining lijkt dan ook de nieuwe favoriete modus operandi van internetcriminelen te zijn.

Cybercrime baart ons (te) weinig zorgen

We lijken ons niet heel erg druk te maken over cybercrime en wanen ons veiliger dan we daadwerkelijk zijn. Dat wijst het Nationaal Cybersecurity Bewustzijnsonderzoek 2018 uit. Hoewel we steeds vaker te maken krijgen met cybercrime, maken we ons niet meer zorgen en schatten we de kans dat we het slachtoffer worden van cybercrime te laag in. Ook over identiteitsfraude maken we ons niet al te druk. Zelfs als we getroffen worden door cybercriminaliteit, treffen we in de helft van de gevallen geen maatregelen naar aanleiding van het voorval.

Wat kunnen we doen tegen cybercriminaliteit?

Het gebrek aan gevaar(h)erkenning en de lage bereidheid preventieve maatregelen te treffen tegen cybercrime baart enige zorgen. Met de campagne ‘Maak het ze niet te makkelijk’ leert de overheid Nederlanders zich beter te wapenen tegen internetcriminelen. De campagne vindt plaats in het kader van de Europese maand van de cyberveiligheid, of European Cyber Security Month (ECSM).

De campagne presenteerde een vijftal simpele maatregelen die mensen kunnen treffen om het cybercriminelen een stuk lastiger te maken:

1. Voer software-updates direct uit. Dergelijke updates dichten veelal bekende beveiligingslekken, waarmee je voorkomt dat er gevoelige informatie wordt gestolen.
2. Zorg dat je gevaarlijke links herkent. Veelal worden deze verspreid via e-mailberichten. Het volgen van een dergelijke link kan ertoe leiden dat je onbedoeld malware installeert of belangrijke informatie, zoals inloggegevens, prijsgeeft.
3. Gebruik overal een ander wachtwoord en vernieuw je wachtwoorden regelmatig. Databases van websites en organisaties worden voortdurend gehackt, waarbij inloggegevens van klanten en bezoekers worden buitgemaakt. Door verschillende wachtwoorden te gebruiken zorg je ervoor dat als jouw account bij website A ten prooi valt aan een hack, deze gegevens niet gebruikt kunnen worden om in te loggen bij website B en C.
4. Gebruik gedegen anti-malware software. Er zijn legio gratis en betaalde virusscanners van goede kwaliteit, zowel voor computer, tablet als smartphone. Zorg dat je al deze apparaten beschermt; gelukkig zijn er ook handige antivirus apps te downloaden in de App Store en Play Store.
5. Backups, backups, backups: maak met grote regelmaat backups. Mocht je bijvoorbeeld slachtoffer worden van ransomware, dan is er een reëel risico dat je je bestanden verliest. Door met een gepaste frequentie backups te maken beperk je de schade; vergeet ook niet je telefoon en tablet te backuppen. Backups kan je maken in de cloud of op een fysieke harde schijf.

Deze simpele stappen zijn ook van toepassing binnen organisaties, die hierin echter een stap verder moeten gaan. Elke organisatie – klein of groot – doet er goed aan een gedegen risicoanalyse uit te voeren naar de specifieke cyberdreigingen, en die te vertalen naar een beveiligingsbeleid en -procedures. Vervolgens is het zaak medewerkers voor te lichten over het beleid en de procedures. Ook moet er worden gezocht naar samenwerkingen, binnen de branche en daarbuiten. Gezien het schreeuwende tekort aan cybersecurityprofessionals, bestaat de grootste uitdaging voor organisaties misschien wel uit het behouden en werven van talent op het gebied van cybersecurity.