De afgelopen jaren is er elke dag wel iets in het nieuws te vinden over cybercrime of criminaliteit met een digitale component. Cijfers van geregistreerde criminaliteit dalen[1], maar hoe zit dat met cybercriminaliteit? Kunnen we dit überhaupt uitdrukken in cijfers, hoe registrerenwe het? En is er iets aan te doen of is het dweilen met de kraan open?
In de introductie heb ik bewust de termen cybercrime en criminaliteit met een digitale component benoemd, omdat daar de schoen al wringt met registratie van incidenten. Wat voor de één cybercrime in enge zin is, valt voor een ander geheel niet onder cybercrime. Als we al niet goed weten wat de omvang van het probleem is, hoe weten we dan een goede interventiestrategie te ontwikkelen? Als de omvang onduidelijk is, welke mensen gaan we inzetten en welke middelen worden vrijgemaakt? Dit is heel specifiek gedacht vanuit een opsporingsblik, maar ik zou het graag breder willen belichten, namelijk ook vanuit het beleidsveld.
Als we geen goed beeld hebben van de activiteiten die tot cybercrime gerekend worden, hebben we ook geen goed beeld van de totale omvang, geen beeld van de interventies die gedaan moeten worden en als we geen beeld hebben van de middelen en mensen die vrijgemaakt moeten worden, in hoeverre is het beleid wat we ontwikkelen op cybercrime dan effectief?
Fopmaatregelen
Op dit moment durf ik te stellen dat het ontwikkelde beleid niet voldoende effectief is. Binnen de Nederlandse politiek zijn er nauwelijks personen te vinden die zich volledig verdiept hebben in het cyber dossier en ook daadwerkelijk begrijpen waar het over gaat en wat er te doen valt. Dat zie je terugkomen in allerhande maatregelen zoals bijvoorbeeld het koppelen van databases, het uitbreiden van bijzondere bevoegdheden en bijvoorbeeld het voorstel om terug te hacken[1]. Het zijn fopmaatregelen. Fopmaatregelen omdat er alleen maar meer data verzameld wordt, burgers een deel van hun privacy inleveren, zonder dat duidelijk is wat het oplevert en zonder dat er geïnvesteerd wordt in skills en capaciteit.
Big crime = big turnover
Cyber- en digitale criminaliteit is een nieuwe tsunami van criminaliteit welke op ons afkomt. Er is slechts een kleine groep die werkelijk begrijpt waar het over gaat, maar die talloze diensten verlenen aan allerlei andere bad guys[2]. Het zijn state-enemies, het is de maffia, het zijn netwerken van professionele georganiseerde criminelen, het is het straatboeffie op de hoek, het is de enge buurman op zolder en binnenkort ook de klasgenoot van uw zoon of dochter (als die het al niet is). Niet alleen nationaal, maar juist vooral ook internationaal, grenzen tellen hier niet. Voorheen moest je enigszins een nerd zijn om geld met deze activiteiten te ‘verdienen’, tegenwoordig is een computer en een goede internetverbinding voldoende. Dat maakt het gelijk een groot probleem, denk niet langer in big data, maar in big crime.
En een big turnover. In de Verenigde Staten kun je zomaar voor jaren achter de tralies verdwijnen als je computers hackt, mensen oplicht of pikante foto’s van kleine kinderen uitwisselt. In Nederland niet, een taakstraf, een boete en in enkele gevallen een (on)voorwaardelijke gevangenisstraf… als de criminelen al gepakt worden. Criminelen richten zich massaal op Nederland, de Nationale Politie heeft hun topteam uitgebreid met een aantal Fte en nog is het dweilen met de kraan open. Cybercrime en digitale criminaliteit zijn een veel groter probleem dan de reguliere vormen van criminaliteit. Waarom? Door de combinatie van onvoldoende capaciteit bij de opsporing, ontbrekende skills van zowel opsporing als binnen de politiek en de enorme wijdverbreidheid van verschillende criminaliteitstopics online.
De nieuwe route naar succes
Is het tij nog te keren? Natuurlijk, echter zoals altijd moet er een groeiproces doorgemaakt worden. Onbekend maakt onbemind. Politici moeten begrijpen dat digitale criminaliteit niet zomaar op te sporen is door het verzamelen van meer data, door het leggen van meer koppelingen. Opsporing en vervolging moet een serieuze boost krijgen, gebaseerd op drie punten:
- uitbreiding capaciteit
- ontwikkeling kennis en skills
- innovatie
Investeringen in versnellers en versimpelaars moeten serieus overwogen worden. Net als de crimineel voor wie het plegen van deze criminaliteit steeds eenvoudiger wordt, moet het simpel zijn voor de gemiddelde ambtenaar om deze boeven te vangen, aan te klagen en te vervolgen. Hiermee los je een deel van de overlast op, zonder de privacy van de normale burger in te perken. De politiek moet begrijpen wat digitale criminaliteit inhoudt, op welke indicatoren beleid bepaald moet worden en hoe prioriteiten gesteld moeten worden. Dan zal er snel genoeg ingezien worden dat er internationaal beleid moet volgen om digitale criminaliteit internationaal aan te kunnen pakken. Het zijn veelal geen simpele Nederlandse top-100 boeven die zich hiermee bezig houden, maar keiharde criminelen zeer zeker niet zelden uit Rusland en omstreken[3].
Voor al deze maatregelen heb je geen hoog opgeleide professionals voor nodig, maar net zoals het blauw op straat, het blauw online. Versimpelaars in het proces en investeringen in kennis en skills. Een ambtenaar moet even snel en eenvoudig online kunnen bewegen en kunnen begrijpen wat er gebeurt als dat hij met zijn wapenstok om kan gaan en als dat hij de krant kan lezen.
Tevens noem ik bewust versnellers, versnellers om al die mensen die zich storten op digitale criminaliteit te helpen. Nu de focus nog op het verzamelen van zoveel mogelijk data ligt, zal die data ook verwerkt moeten worden, dat red je met de huidige capaciteit nauwelijks. Er moet voorkomen worden dat elders in het proces een nieuwe file wordt veroorzaakt. Dat betekent dus investeren in innovatie.
Welke visie ik heb op cybercrime? Cybercrime en digitale criminaliteit blijft een groot probleem nu en in de nabije toekomst. Volledige cyber veiligheid is een illusie, maar het streven moet zijn om samen met de politiek, opsporing en het bedrijfsleven te investeren in een veilige digitale wereld. Investeringen in kennis, skills en innovatie zijn daarbij essentieel, voor nu en voor de toekomst.
[1] https://www.isptoday.nl/opinie/wetsvoorstel-computercriminaliteit-terughackbevoegdheid-webcammeekijkrecht-decryptiebevel-en-wereldwijde-rechtsmacht-bij-cybercrime/ [2] https://www.bbc.com/news/technology-29567782 [3] https://www.trouw.nl/tr/nl/5133/Media-technologie/article/detail/3715600/2014/08/08/Europol-Russische-cybercriminelen-gevaar-voor-internetgebruiker.dhtml