InterviewGerrit van der Burg
OM-topman: Omvang van cybercrime zal enkel toenemen
Sinds 2002 daalt het aantal traditionele delicten. Ondertussen neemt de cybercriminaliteit juist toe. Om die laatste ontwikkeling te stuitten, schroeft het OM haar inzet flink op. ‘Maar we kunnen het niet alleen.’
Doorgaans is hij een man van de feiten. Toch waagde Gerrit van der Burg zich in 2017 aan een voorspelling. De topman van het Openbaar Ministerie liet zich het vermoeden ontvallen dat het aantal Nederlandse slachtoffers van online criminaliteit binnen vijf jaar tijd gelijk zou groeien aan de groep gedupeerden van traditionele vormen van criminaliteit. Hij kreeg gelijk. Bedrijven worden op internet voor miljoenen euro’s bedrogen. Sinds 2012 is het aantal meldingen van consumenten over online fraude en oplichting ruim verdrievoudigd.
“Cybercriminaliteit is een veelkoppig monster”, zegt hij op het Haagse hoofdkantoor van het OM. “Het is een beest waaraan enorm veel opsporingsuitdagingen kleven.”
Onlangs werd bekend dat politie en justitie begin dit jaar een grote klapper hebben gemaakt. In een onderzoek naar grootschalige internationale datadiefstal, zijn in Nederland drie mannen opgepakt. Samen zouden zij persoonsgegevens van tientallen miljoenen mensen hebben verzameld, vermoedelijk zijn duizenden bedrijven gehackt.
Een mooi resultaat, vindt Van der Burg. Toch heeft deze zaak, dat voorafgaand aan de aanhoudingen al twee volle jaren in beslag nam, zijn zorgen juist doen toenemen. “Dit onderzoek benadrukt de constante verbreding van cybercrime en gedigitaliseerde criminaliteit. De gebruikte technieken worden almaar ingewikkelder en makkelijker bereikbaar. Je hoeft niet langer een computergenie te zijn om een ddos-aanval op een computer af te sturen, iedereen kan op het darkweb en sociale media kant-en-klare pakketten kopen waarmee dat kan.”
Ook ziet Van der Burg dat deze vorm van criminaliteit zich verdiept: organisaties specialiseren zich in een bepaald segment. “Neem ransomware, gijzelsoftware die je bestanden vergrendelt en deze pas teruggeeft als je betaald hebt. Er zijn organisaties die zich specifiek daarop richten, en waar mensen net als bij een kantoorbaan in shifts werken. Werknemer A neemt contact op met het slachtoffer, en begint de onderhandelingen over de prijs, en als zijn of haar dienst erop zit, neemt persoon B het over.”
Cijfers over cybercriminaliteit, inmiddels een containerbegrip, zijn versnipperd. Hebben justitie en politie de omvang van het probleem scherp in beeld?
“Als je het hebt over de kwantiteit, de hoeveelheid, dat weten we niet precies. Maar het aantal cyberzaken dat bij ons binnenkwam nam in 2021 met 21 procent toe. In twee jaar tijd is het aantal verdachten met 47 procent gestegen, en volgens sommige experts heeft cybercrime de internationale drugshandel qua winstgevendheid al ingehaald. Het lastige is het internationale karakter van cybercriminaliteit. Een overval plegen kun je niet vanuit het buitenland, maar een hacker laat zich niet beperken door grenzen. Die kan ook vanuit Iran of Chili opereren.
“Ook ingewikkeld is dat traditionele en cybercriminaliteit steeds meer met elkaar verweven raken. De schaalbaarheid is daarnaast enorm: één phishingmail kun je aan duizenden mensen sturen. De geslaagde gevallen van phishing, de slachtoffers, die hebben we in het vizier als zij zich melden. Maar er zijn natuurlijk ook tal van mensen die dat mailtje gewoon verwijderen en verder niet aan de bel trekken. Terwijl er achter die individuele gevallen misschien wel een enorme zaak schuilt.”
Slechts een op de vijf slachtoffers van online criminaliteit stapt naar de politie.
“De cijfers waarover we beschikken, zijn inderdaad pas het topje van de ijsberg. Hoe dat gebrek aan aangifte komt? Mensen schamen zich, voelen zich een soort van schuldig dat ze erin zijn getuind. Terwijl dat woord ‘intuinen’ eigenlijk misplaatst is. De technieken zijn zo ingenieus geworden, die overduidelijk slecht gebouwde neppe websites behoren écht tot de verleden tijd. Iedereen loopt het risico slachtoffer te worden. Ook vrezen bedrijven soms voor reputatieschade. Ze betalen liever losgeld om te voorkomen dat men denkt dat ze onzorgvuldig omspringen met klantenbestanden.”
Misschien speelt ook iets anders mee: uit gegevens die de NOS vorig jaar opvroeg, bleek dat meldingen van cybercrime vaak niet in behandeling worden genomen door de politie, omdat de kans op oplossing onvoldoende is.
“Zeker, dat is ook een factor. Het vinden van getuigen en potentieel bewijs is bij cybercrime verduveld ingewikkeld. Los daarvan gaat het om opsporingscapaciteit. Je zult een OM nooit horen zeggen dat er niet op te boksen is tegen een bepaalde vorm van criminaliteit, maar schaarste is onze realiteit. We moeten kiezen.
“Toch is mijn advies om wél aangifte te doen. Politie en het OM zetten de komende jaren fors in op het opsporen en vervolgen van cybercrime. Zo gaan we aangiftes bundelen in de regio van de verdachte of het criminele samenwerkingsverband. En kijk naar de actualiteiten, naar die drie jongemannen die onlangs zijn opgepakt voor het hacken van duizenden bedrijven over de hele wereld. Die zaak kwam pas aan het licht toen een Nederlands bedrijf in maart 2021 aangifte deed van datadiefstal. Het gros van die bedrijven is niet naar de politie gestapt.
“Een eenduidige oplossing voor het achterblijven van die aangiftes is er niet. Ik denk dat het begint bij de vraag of mensen en bedrijven zich bewust zijn van het risico om slachtoffer te worden van cybercriminelen. Hoe vaak gaat het gesprek op kantoor of aan de keukentafel nou over digitale veiligheid? Bijna nooit. Cybercrime wordt onderschat. We vinden het vanzelfsprekend dat we sluitwerk hebben om woninginbraken tegen te gaan, verlaten het huis niet zonder de voordeur op slot te draaien. Maar dat doen we lang niet altijd als het gaat om het afschermen van onze kroonjuwelen op internet. En dat terwijl de kans dat een dief digitaal bij je inbreekt groter is.
“Cybercriminelen veranderen continu van tactiek, verhaal en medium. Om signalen van scammers en hackers te kunnen herkennen, zou het gesprek over dat onderwerp net zo alledaags moeten worden als koffie halen. Want preventie en verstoring zijn net zo belangrijk als opsporing en vervolging. Daarom werken we ook samen met externe partners als banken en de Fraudehelpdesk. Maar we kunnen het niet alleen. Voor een effectiever cybercrimebeleid moet breed actie worden ondernomen.”
Welke andere partijen kunnen een rol spelen?
“Fabrikanten van hard- en software, bijvoorbeeld. Zo is het bijzonder dat je de cameraatjes op tablets, telefoons en laptops nog steeds handmatig moet afplakken met stickertjes, en dat apparaten zich niet vanzelf uitschakelen na een aantal waarschuwingen over een of andere digitale aanval. Ook vind ik het gek dat ‘0000’ op veel plekken nog altijd wordt geaccepteerd als wachtwoord. Het is niet ingewikkeld om een sterk wachtwoord te verplichten voor gebruik van bepaalde apparatuur.
“Denk ook aan hostingbedrijven. Nederland telt een van de grootste internetknooppunten ter wereld. Door de vele snelle verbindingen en ons liberale vestigingsklimaat, komen ook bestanden van buitenlandse bedrijven vaak op Nederlandse servers terecht. Die enorme omvang maakt dat naar schatting acht op de tien cybercrimezaken via Nederland lopen. Van verzamelingen van gestolen persoonsgegevens tot kinderporno: daders kunnen over de hele wereld zitten, de data staan hier.
“Met de hostingsector zijn we continu in gesprek, onder meer over het verhogen van de drempels om webruimte te huren. Daar ligt een deel van de oplossing. En dan hebben we het nog niet gehad over internetproviders. Die zouden ook meer kunnen doen.”
Voor het aanpakken en voorkomen van cybercrime is het delen van gegevens essentieel. Toch wringt daar soms de schoen. Zo kreeg de Fraudehelpdesk in 2021 een reprimande van de Autoriteit Persoonsgegevens omdat ze geen data over mogelijke fraudeurs mag verzamelen en bewaren.
“Het is een constante zoektocht naar een evenwicht tussen privacybezwaren en gegevensuitwisselingen voor opsporing. We hebben ons aan wet- en regelgeving te houden. Op dat vlak gebeurt er momenteel wel van alles. Brussel is bijvoorbeeld bezig de restrictieve privacywetgeving iets te versoepelen, en internationaal worden afspraken gemaakt over het verruimen van de samenwerkingsbevoegdheden van politie en justitie. Een verzoek om data te delen via de formele weg neemt nu vaak maanden in beslag.
“Of er moet worden nagedacht over de anonimiteit van mensen online? Vanuit mijn professie kan ik moeilijk tegen het idee zijn dat mensen zich eerst moeten identificeren voordat ze zijn bijvoorbeeld een webshop kunnen openen, zoals in Denemarken. Maar in een democratische samenleving moeten we ook op dat vlak het goede midden zoeken. De vrijheid van onderneming is ook belangrijk.”
Als u opnieuw in uw glazen bol kijkt, wat ziet u dan?
“Mijn verwachting is dat we over vijf jaar niet eens meer zullen praten over het onderscheid tussen analoge en online criminaliteit. Natuurlijk zijn er dan nog steeds geweldsdelicten, maar los daarvan vervagen de verschillen zeker. En omvang van cybercrime zal enkel toenemen.”
Sjoerd Bakker werd afgeperst: ‘Ik koos voor totale transparantie’
Pling! Plots verscheen een appje van een onbekende op zijn telefoonscherm. Het bericht was afkomstig van een Portugees nummer, de afzender introduceerde zich als ‘Rubus’. “Hoi Sjoerd”, had hij in het Engels getikt. “De afgelopen weken hebben we alle klantgegevens van je bedrijf verkregen. We hebben al verschillende geïnteresseerde kopers, die bereid zijn meer dan 35.000 dollar te betalen voor de samengevoegde data.”
Op een Amsterdams terras blikt Sjoerd Bakker terug op die 26ste februari van 2021. Hij is directeur van Ticketcounter, een bedrijf dat de onlinekaartverkoop regelt voor onder meer dierentuinen, musea en attractieparken. “Ik weet nog dat ik het ineens gloeiend heet had. In paniek blokkeerde ik het nummer. Maar al gauw draaide ik die actie terug. Ik moest juist contact houden met deze onbekende, wilde weten wat hij van mij verlangde.”
De wens van ‘Rubus’ was niet bescheiden: binnen 72 uur wilde hij zeven bitcoins zien, samen op dat moment ruim 250.000 euro waard. In ruil daarvoor zou de dief de data vernietigen. “Het was duidelijk dat ik werd afgeperst”, zegt Bakker. “Meteen wist ik: ik ga niet betalen. No way. Zou ik dat wel doen namelijk, had ik alsnog geen garantie dat ‘Rubus’ zich aan zijn woord zou houden.”
Slechte reviews en schadevergoeding
In plaats daarvan deed Bakker aangifte bij de politie. En na bijna twee jaar van stilte, kreeg hij onlangs te horen dat er drie mannen zijn gearresteerd, eentje van 18 en twee van 21 jaar oud. Ze worden verdacht van het online bestelen van duizenden bedrijven over de hele wereld, waaronder Ticketcounter.
“Fantastisch dat ze gepakt zijn”, zegt Bakker. “Maar intussen was ik al lang blij dat de storm waarin ik twee jaar geleden terechtkwam, was gaan liggen.” Binnen die 72 uur die ‘Rubus’ hem had gegeven, informeerde de directeur begin 2021 al zijn klanten over de diefstal, zodat zij op hun beurt hún klanten op de hoogte konden brengen. “Ik koos voor totale transparantie.”
Ticketcounter heeft geen klant verloren. Wél stuitte zijn bedrijf op woede van de kaartjeskopers, de mensen wier data waren gestolen. “Ik heb veel shit over me heen gekregen, en dat ging jaren door. Zo staan op Google talloze slechte reviews over Ticketcounter. En mensen eisten tienduizenden euro’s schadevergoeding, omdat bijvoorbeeld vonden dat ze hun bankrekening moesten veranderen. Dat heeft me veel energie, en veel geld aan juridische adviezen gekost.”
Ondanks alles heeft Bakker nergens spijt van. “De belangrijkste les die ik heb geleerd is dat openheid loont. Betaal geen losgeld aan hackers, geef ruiterlijk toe dat het bij je bedrijf is misgegaan, en doe aangifte. Het kan werkelijk iedere organisatie overkomen. Zodra je apparaten verbonden zijn met het internet, loop je een risico.”
Lees ook:
Cybercriminelen zijn dol op mediabedrijven
Het afgelopen jaar voerden cybercriminelen gestaag aanvallen uit op mediabedrijven. Juist deze bedrijven zijn aantrekkelijk voor hackers.
