Inleiding en context
Het is vandaag 9 februari 2022. En natuurlijk ook vandaag weer een verse ´kennisparel´ in jullie mailbox. Het is alweer de 339e sinds ik medio maart 2020 een start maakte met het versturen van deze pareltjes. Zoals jullie zien betreft het inhoudelijk een groot aantal zeer verschillende onderwerpen op het brede terrein van criminaliteit en rechtshandhaving. De ontvangers kunnen dus aan ´cherry picking´ doen. Niet alles zal voor iedereen altijd even relevant zijn, maar de delete knop is snel te bedienen. En als service staan alle verschenen ´kennisparels´ mooi chronologisch op deze site: https://prohic.nl/de-parels-van-jaap-de-waard/ Afgelopen jaar zijn trouwens 60.000 van deze ´kennisparels´ via die site gedownload.
Maar nu naar de ´kennisparel´ van vandaag. Er is veel te doen over slachtofferschap van en bescherming tegen cybercriminaliteit, zowel onder de bevolking als individuele slachtoffers als onder het bedrijfsleven en de overheid. Sinds 2012 wordt via de zogenaamde Veiligheidsmonitor het individuele slachtofferschap van cybercriminaliteit gemeten: https://www.cbs.nl/nl-nl/publicatie/2020/10/veiligheidsmonitor-2019 Op 1 maart a.s. worden de meest recente slachtoffercijfers door het CBS naar buiten gebracht, ik zal daar een afzonderlijke ´kennisparel´ over sturen.
De bijgesloten ´kennisparel´ van vandaag betreft de door het Centraal Bureau voor de Statistiek (CBS) uitgegeven cybersecuritymonitor. Die monitor geeft een overzicht van de ICT-veiligheidsmaatregelen en –incidenten van Nederlandse bedrijven uitgesplitst naar bedrijfsgrootte en bedrijfstak op basis van diverse bronnen van binnen en buiten het CBS. De meeste cijfers gaan over 2019, maar voor sommige cijfers wordt een overzicht over de periode 2016–2019 gegeven. Dit is het vierde jaar op rij dat het CBS de Cybersecuritymonitor uitbrengt. Het doel van de monitor is het rapporteren over de meest actuele stand van zaken over de cyberweerbaarheid van bedrijven en huishoudens in Nederland. Dat gebeurt met voornamelijk CBS-cijfers over het aantal cybercrime gerelateerde incidenten en maatregelen die genomen worden om deze incidenten te voorkomen. De cybersecuritymonitor wordt mede op verzoek van het Ministerie van Economische Zaken en Klimaat (EZK) gemaakt.
Bron
CBS (2021). Cybersecuritymonitor 2020. Den Haag: CBS, 30 pp. https://www.cbs.nl/nl-nl/longread/aanvullende-statistische-diensten/2022/cybersecuritymonitor-2020?onepage=true en https://www.cbs.nl/nl-nl/publicatie/2021/18/cybersecuritymonitor-2020
Samenvatting
De structuur van de monitor is weer opgezet volgens dezelfde lijnen als de afgelopen drie edities. Cybersecurity werd hierin opgesplitst in twee domeinen: maatregelen en incidenten. Bij cybersecuritymaatregelen denken we aan het hele scala van mogelijkheden om de veiligheid van computers, smartphones, laptops, servers en netwerken te verhogen. Cybersecurityincidenten zijn juist de gevolgen van acties of activiteiten die de veiligheid van deze digitale systemen ondermijnen. Cybersecurityincidenten hoeven niet altijd een gevolg van kwaadwillende acties te zijn: ook een systeemfout waardoor gevoelige data naar buiten gebracht wordt of het verliezen van een onbeveiligde USB-stick in de trein kan als een cybersecurityincident gezien worden. Immers, ook bij dit soort incidenten wordt de digitale veiligheid ondermijnd. Het ontstaan van cybersecurityincidenten als gevolg van kwaadwillenden wordt ook wel aangeduid als cybercrime.
In dit rapport worden in hoofdstuk 2 de cybersecuritymaatregelen besproken, dat wil zeggen de maatregelen die door bedrijven worden genomen om zichzelf meer cyberweerbaar te maken. In hoofdstuk 3 wordt ingegaan op alle cybersecurityincidenten bij Nederlandse bedrijven en personen. Ten slotte gaan we in hoofdstuk 4 in op de geregistreerde cybercrime, dus de cybersecurityincidenten door kwaadwillenden die ook daadwerkelijk slachtoffers gemaakt hebben.
Afsluitend
Met de digitalisering van de samenleving groeit de interesse in cybercrime. Gezien de complexiteit en constant veranderende aard van cybercrime, is de totale omvang van cybercrime op dit moment niet bekend. Om toch enig zicht te krijgen op de omvang ervan, is het van belang om allereerst zicht te krijgen op de hoeveelheid misdrijven, waarbij ICT in de bestaande politieregistraties een rol heeft gespeeld. Dat is nog niet zo eenvoudig. Slechts een klein deel van de relevante delicten kan namelijk uit de huidige registratiemethoden worden afgeleid. Dit betekent dat er handmatig een onderscheid moet worden gemaakt tussen digitale delicten en traditionele vormen van criminaliteit in processen-verbaal. Deze handmatige methode is echter erg tijdrovend en bovendien foutgevoelig.
Het CBS heeft daarom een geautomatiseerde methode toegepast voor het onderzoeken van processen-verbaal. Om te achterhalen bij welke geregistreerde misdrijven cybercrime een rol speelt, zijn de processen-verbaal uit 2016, in nauwe samenwerking met de politie, door middel van tekstanalyse onderzocht. Op deze manier kan de omvang van de geregistreerde cybercrime beter en aanzienlijk sneller worden ingeschat dan met de handmatige methode. Op dit moment kent de politieregistratie nog geen mogelijkheid om, naast het type delict, ook aan te geven of er sprake is van een cybercrime-aspect bij een proces-verbaal. Wel kan cybercrime als hoofddelict worden geregistreerd. Het wordt dan als ‘computercriminaliteit’ (voormalig computervredebreuk) gecategoriseerd. Om te achterhalen of er bij andere typen van criminaliteit sprake is van een cybercrime-aspect, moet de inhoud van de tekst zelf doorzocht worden. Voor een beschrijving van dit project verwijs ik naar deze link waar een inhoudelijk uitleg wordt gegeven van dit initiatief: https://www.cbs.nl/nl-nl/over-ons/innovatie/project/cybercrime-achterhalen-in-aangiften Hopelijk dat hiermee in de toekomst een betere omvangschatting gemaakt kan worden van het fenomeen ´cybercriminaliteit´.
