Cybercriminaliteit vormt een levensgroot probleem. Het bedrijfsleven is zich nog steeds schrikbarend slecht bewust van de risico’s die het loopt. Daarom is net zo’n grondige en branchebrede aanpak nodig als bij de millenniumbug. Dat stelt Richard Oosterom, directeur EDS Nederland.
Oosterom deed zijn uitspraken op een vorige week door EDS gehouden bijeenkomst over cybercriminaliteit. Zijn vergelijking met de millenniumbug is ook in een ander licht te trekken: het gevaar schuilt erin dat het onderwerp net zo gehypt wordt als het Jaar 2000-probleem. Volgens de Nederlander Rogier Holla, directoraat-generaal informatiemaatschappij Europese Commissie, is nog steeds niet duidelijk hoe groot het probleem is. "We hebben de indruk dat het groeiende is. Maar opsporing van criminelen is moeilijk, vooral ook omdat bedrijven cybermisdaden vaak niet melden uit angst voor reputatieverlies. Bovendien is het lastig om de werkelijke schade te bepalen." David Spinks, Europees manager informatiebeveiliging bij EDS, bevestigt dit beeld. Hij spreekt van een ‘wild west’-situatie. "Er bestaat nog veel onduidelijkheid. De enige aanpak die op dit moment mogelijk is, is het opjagen van cyber-outlaws naar gebieden waar ze zich veilig wanen."
Onwetend
EDS nam onderzoeksbureau IDC in de arm om de houding tegenover cybercriminaliteit in Nederland in kaart te brengen. Daaruit blijkt dat de consumenten die zaken willen doen via een website vaak niet weten of zo’n site voldoende beveiligd is. Ze geven internetondernemers nog het voordeel van de twijfel. De naar verwachting toenemende cybercriminaliteit vormt echter een grote bedreiging voor dit wankele vertrouwen en daarmee ook voor de verdere ontwikkeling van e-handel.
Volgens de onderzoekers blijkt de helft van de 290 onderzochte Nederlandse bedrijven geen medewerkers te hebben die zich bezighouden met de beveiliging van hun websites. Zij bevelen ondernemers drie acties aan: vertrouw niet op anderen buiten je onderneming, test de beveiliging regelmatig en bouw vertrouwen op met de klantenkring door heldere procedures aangaande beveiliging en privacy op te stellen.
Stilvallen
De steekproef wijst verder uit dat een groot deel van de onderzoekspopulatie geen flauw benul heeft van de overheidsinspanningen om de cybercriminaliteit terug te dringen. EDS-directeur Oosterom maakt zich hierover zorgen. Hij vindt dat burgers en ondernemers niet alles aan de overheid kunnen overlaten. "Zij hebben ook hun eigen verantwoordelijkheid. Afwachten tot de overheid wat onderneemt, kan niet."
Probleem bij het bedrijfsleven is dat informatiebeveiliging vaak als een extra kostenpost wordt gezien, terwijl het een bedrijfskritische activiteit is. Managers zijn zich nog niet bewust van de bedreigingen van cybercriminaliteit. Het IDC-onderzoek toont aan dat zowel consumenten als ondernemers weliswaar een sterke toename van deze vorm van criminaliteit verwachten, maar dat ze zich vandaag de dag geen zorgen maken. Dit tweeslachtige gevoel ontstaat doordat veel mensen niet weten wat zich op dit terrein precies afspeelt, concludeert Oosterom. Hij pleit ervoor dat de it-industrie, net zoals zij dat bij de bestrijding van het Jaar 2000-probleem heeft gedaan, een actieve rol gaat spelen in het versnellen van het bewustwordingsproces. "Dat betekent het probleem adresseren door het organiseren van fora, het voeren van een overheidslobby en het investeren in oplossingen. In de Verenigde Staten gebeurt dit al. We kunnen het ons niet verloorloven dat de digitale economie stilvalt doordat cybercriminaliteit het uitwisselen van data en het koppelen van bedrijfsprocessen onmogelijk maakt."
Regie
Bovendien zorgen twee aspecten ervoor dat ondernemers het zich niet kunnen permitteren de regie bij de overheid te laten. Allereerst kan het lang duren voordat er een effectief overheidsbeleid op Europees niveau tot stand is gekomen. Volgens Rogier Holla zal de EU volgens planning dit najaar een plan opstellen, al bestaan er nog diverse hete hangijzers (de verschillen in strafmaat tussen landen, de discussie over de verregaande bevoegdheden van opsporingsdiensten in cyberspace). "Maar", zo waarschuwde hij, "voor dat zo’n Europese aanpak echt van de grond komt, zijn we weer tien jaar verder."
Het tweede aspect is dat niet de bekende virusaanval, maar diefstal van informatie de meest voorkomende vorm van cybercriminaliteit is, gepleegd door mensen die over gedetailleerde kennis beschikken. Vaak gaat het dan om (ex-)werknemers of mensen die bij partners of klanten werken. Bedrijven houden hier nog veel te weinig rekening mee en moeten betere beveiliging in huis halen, vindt Holla.