Naar de content

Minder privacy = minder cybercriminaliteit?

‘Privacyvermindering niet de oplossing’

wikimediacommons

Nederland is een paradijs voor cybercriminelen, toonde beveiligingsbedrijf McAfee onlangs aan. Politici reageerden met plannen om de privacy van internetgebruikers te verminderen. “Maar dat is helemaal de oplossing niet,” zegt universitair docent Recht en ICT Mathieu Paapst. “Bewustmaking van risico’s is wat telt.”

Volgens het onderzoek van McAfee zijn er maar twee landen waar cybercriminelen actiever zijn dan in Nederland: de Verenigde Staten en de Maagdeneilanden. Dagelijks worden zo’n 154 servers in Nederland ongemerkt gebruikt om honderdduizenden computers over de hele wereld te besturen. Ze versturen spam (ongewenste emailberichten), stelen inloggegevens en wachtwoorden, kraken bankgegevens en stelen vertrouwelijke bedrijfs- en overheidsgegevens.

“Dat Nederland zo hoogt scoort in het onderzoek is zeer begrijpelijk,” stelt Mathieu Paapst, die werkzaam is aan de Rijksuniversiteit Groningen. “In Nederland hebben we een hele goede internetstructuur. We hebben hier maar liefst 6,4 miljoen breedbandaansluitingen, er zijn zo’n 1500 hostingproviders actief, waaronder het Europese datacenter van Google en het grootste internetschakelpunt ter wereld. Daarmee lopen we voor op andere landen. Als je vervolgens gaat tellen waar de meeste inbraken plaatsvinden, is het logisch dat we in de top-3 staan.”

Hoe gemakkelijk kwaadwillende hackers Nederlandse computers kunnen binnendringen bleek overigens ook vorig jaar toen een Russische groep cybercriminelen met het Dorifel-virus tienduizenden Nederlandse PC’s ontwrichtte.

Bokkensprong politici

Het is dan ook niet de uitkomst van het onderzoek van McAfee waartegen Paapst bezwaar maakt. “Wat mij stoort, is de reactie van de politiek. Zij concluderen dat het niet goed is dat we wereldwijd op de derde positie staan en er klaarblijkelijk niet in slagen om die cybercriminaliteit goed op te sporen.”

“En dús moeten we de privacy van de gebruikers maar opzij zetten. Dat vind ik een heel vreemde bokkensprong. Eigenlijk zou het zelfs andersom moeten zijn. De overheid zou ons in staat moeten stellen om onze privacy te kunnen beschermen.”

Rigoureuze maatregelen

In Nederland staan ongeveer 1,5 miljoen servers in datacenters. Paapst: “Slechts 0,01 procent van die servers is verantwoordelijk voor cyberaanvallen. En om die 0,01 procent aan te pakken, willen politici zulke rigoureuze maatregelen nemen dat de privacy van alle gebruikers in het geding komt. Dat vind ik veel te ver gaan. Vergelijk het met ‘gewone’ inbraken. Het is alsof je de politie toestemming geeft om op elk moment van de dag in elk huis te mogen kijken. En dat zonder toestemming van de bewoner. Alleen om te kijken of de bewoner wellicht een inbreker is.”

Bewustwording

Waar het in Nederland vooral aan ontbreekt is kennis, merkt Paapst. Er moet veel meer bewustwording komen onder computergebruikers. “De gemiddelde burger weet niet wat een botnet is. Hoe kan hij zich daar dan tegen beschermen? Die recente campagne over phishing, had er al veel eerder moeten zijn. Juist daar ligt een taak voor de overheid,” vindt Paapst.

“Computergebruikers moeten zich er veel beter van bewust zijn dat het belangrijk is om een virusscanner te gebruiken die up-to-date is. En dat geldt zeker niet alleen voor burgers, maar net zo goed voor bedrijven en overheden.”

De overheidscampagne ‘Veilig Internetten’ poogt cybercriminaliteit terug te dringen door burgers bewust te maken van gevaren op internet.

wikimediacommons

Vertrouwen in techniek

“In Nederland hebben we opvallend veel vertrouwen in de techniek”, vindt Paapst. “Men ziet nog lang niet alle risico’s. Ook niet bij overheden en IT-bedrijven.”

“Zo ging recent een pilotproject van start waarbij uitvaartondernemers voortaan online aangifte kunnen doen als er iemand is overleden. Iedereen heeft het in zo’n geval alleen maar over de voordelen. Dat het zoveel tijd scheelt voor een hoop mensen. Maar niemand heeft het over de nadelen.”

“Stel dat een hacker tot het systeem doordringt en iemand als overleden aangeeft? Of dreigt dat te zullen doen en iemand op die manier chanteert? Rond ICT hangt nog altijd de zweem dat het allerlei oplossingen biedt, maar dat is alleen het geval als je ook serieus nadenkt over de nadelen.”

Het achterhalen van iemands privé gegevens zoals inlognaam en password of creditkaartnummer is big business geworden.

wikimediacommons

Blauw online en meldplicht

Om cybercriminaliteit op de juiste manier aan te pakken zijn meerdere stappen nodig, meent Paapst. “Allereerst moet de overheid dus veel meer doen aan bewustwording bij computergebruikers. Ten tweede moet er veel meer blauw online komen.”

In de praktijk blijven veel aangiftes van computercriminaliteit namelijk gewoon liggen, iets wat volgens Paapst niets te maken heeft met een tekort aan bevoegdheden, maar vooral met een gebrek aan kennis en mankracht: “Denk aan een situatie waarbij iemand aangifte doet van een handelaar op Marktplaats die zijn levering niet nakomt. Vaak weet de politie niet eens hoe ze kunnen achterhalen waar die handelaar zich bevindt.”

Ook een meldplicht voor bedrijven en overheden als ergens geprobeerd is om gegevens te stelen, is volgens Paapst een belangrijke stap op weg naar een veiliger internetomgeving. “Dan wordt ook veel duidelijker wat de risico’s precies zijn.”

Mathieu Paapst (Delfzijl, 1974) studeerde rechten aan de Rijksuniversiteit Groningen. Hij is werkzaam als docent en onderzoeker bij het Centrum voor Recht en ICT van de RUG. Hij richt zich daarbij onder meer op internetrecht, IT-aanbestedingen en op de juridische, ethische en maatschappelijke vraagstukken van de informatiemaatschappij.