We lijken onze e-crime onder controle te hebben. Aldus Ronald Prins, CEO en CTO van beveiligingsbedrijf Fox-IT. 35 Miljoen euro was de schade in zowel 2011 als 2012, oftewel 2 euro per Nederlander die bankiert. Gebaseerd op cijfers van de Nederlandse Vereniging van Banken. Stabiele e-crime cijfers dus op het gebied van malware op onze pc’s, laptops etc. Goed nieuws?

Ja en nee
Ja dus qua cijfers. We zijn in staat om e-crime te dempen. Nee, omdat criminelen zichzelf opnieuw uitvinden, met nieuwe mogelijkheden en kansen. En omdat cybercrime ook wel een mooi export-product is. Wat in Nederland niet meer kan, kan nog wel in andere landen (UK, DE, SE, DK) en vice-versa. En criminelen zijn innovatief met leuke producten en diensten als ‘New Cash Out’, ‘Ransomware’ en ‘Direct Hits’. Aan de namen zal het niet liggen, je denkt bijna van doe mij ook maar!

For sale!
Nieuwe cybercrime producten en diensten ‘New Cash Out’ zorgt ervoor dat je geld via zogenaamde kat-vangers, drugsverslaafden, daklozen, mensen met schulden, via via weggesluisd wordt naar het buitenland. ‘New Cash Out’ werkt ook bijvoorbeeld door via iDEAL je gekochte Bitcoins weg te trekken uit Nederland en deze via je eigen crimineel opgezette Bitcoin Exchange elders in te wisselen.

Je kan via malware toepassingen natuurlijk ook gewoon geld afpersen: ‘Ransomware’ oftewel afpersings-malware genoemd. Dit is feitelijke e-crime, vaak buiten het zicht van banken en deze fraude telt dus ook niet mee in die 35 miljoen euro e-crime waar ik eerder over sprak.

Zijn banken dan safe? Nee, want er gaan ook meer directe aanvallen plaatsvinden, zo voorspelt Prins. Op banken en op derden. Als de Amerikaanse veiligheidsdienst NSA het kan, waarom dan ook niet hackers en boeven-hackers? Waarom lukt dit steeds beter? Ook bij banken? Omdat banken steeds meer gewone middelen gebruiken die overal verkrijgbaar zijn, zodat er met hardware, software in de boeven-huiskamer goed geoefend kan worden.

Wat weten bedrijven eigenlijk van cyber-veiligheid in Nederland? Ze weten veel van firewalls, authenticiteit, tokens: preventie dus. Als de muren om Fort Knox. Minder aandacht is er echter voor detectie vooraf, intelligentie over bijvoorbeeld bedreigingen en over hoe vervolgens op response: hoe reageren we op cybercrime?

Hoe gaan bedrijven met cybercrime om? Prins schetst vijf niveaus waarop het Nederlandse bedrijfsleven omgaat met cybercrime. Strategisch, Focused, Tactisch, Ad-Hoc en Reactief. In Shopping2020 (nu ShoppingTomorrow)  wordt veel aandacht gegeven aan veiligheid. Dat proberen we op strategisch niveau te doen. Dat is in ieder geval onze ambitie. Banken versus veiligheid zitten op het niveau Focused en komen soms zelfs niet verder dan Tactisch.

Ook bij Thuiswinkel.org hebben we veiligheid al jaren omarmt. Ook wij proberen dat strategisch aan te vliegen. Maar de werkelijkheid is dat we in de uitvoering al blij mogen zijn als we focused zijn. Veilgheid maakt inmiddels integraal onderdeel uit van de certificering van ons keurmerk. Veel webwinkels komen echter nog niet verder dan een operational c.q. ad-hoc of zelfs reactief niveau.