Het spatte vorige week van de blogs en krantenpagina’s af: in Nederland zou jaarlijks voor tien miljard euro aan schade geleden worden ten gevolge van cybercrime. TNO is met een rapport gekomen waaruit dat zou blijken. Tien miljard. Dat lijkt me sterk.
Die tien miljard vormt volgens TNO nog maar een ondergrens, mogelijk ligt de schade ergens tussen de 20 en 30 miljard. De grootste schadepost is inbreuk op auteursrecht: 3,3 miljard euro. Dan volgt spionage (2 miljard) en belasting- en uitkeringsfraude (1,5). Sluitposten zijn afpersing van bedrijven, online diefstal en het stelen van klantgegevens.
Hoe TNO op deze bedragen komt, weet ik niet: het rapport is niet vrijgegeven, we moeten het met het persbericht doen (dat klakkeloos door de media is overgenomen). TNO baseert zich op een onderzoek van het Britse adviesbureau Detica, die wel rapporten online zet, maar welke het is weet ik niet. Daarnaast wordt nog een zwik Nederlandse rapporten aangehaald. Zonder dat ik de inhoud en methodologie van het TNO-rapport ken, plaats ik toch een aantal kanttekeningen.
Ten eerste, er wordt wel veel op het bord van cybercrime geschept. Inbreuk op auteursrecht zal inderdaad een grote kostenpost zijn. Uitkeringsfraude ook wel. Maar is dit cybercrime? Wanneer wordt iets cybercrime? Zodra er een computer in het spel is? Als is ik iemand met het elektriciteitskoord van mijn laptop wurg, is dat ook cybercrime?
Ten tweede over de methodologie. Ik weet niet hoe Detica aan zijn cijfers kwam, maar ik vermoed dat ze uit een steekproef zijn geëxtrapoleerd. Een van de problemen met cybercrime is dat het zo veelomvattend is en slecht wordt geregistreerd. Daarom zijn steekproeven noodzakelijk.
Die extrapolatie is echter problematisch.
Heel toevallig verscheen gisteren een aardig stuk in de New York Times, gebaseerd op dit artikel van twee onderzoekers van Microsoft Research. De onderzoekers vertrouwden de hoge schadecijfers niet. Ze onderzochten de extrapolaties uit enkele onderzoeken en die bleken niet te kloppen. De cijfers werden opgeblazen tot de hele bevolking, maar de ondervraagde bedrijven waren niet representatief daarvoor. En ze kwamen erachter dat de uitkomsten van de extrapolatie hevig verdraaid werden door de outliers, de paar bedrijven en personen die uitzonderlijk veel schade hebben geleden.
In hun woorden: ,,Suppose we asked 5,000 people to report their cybercrime losses, which we will then extrapolate over a population of 200 million. Every dollar claimed gets multiplied by 40,000. A single individual who falsely claims $25,000 in losses adds a spurious $1 billion to the estimate. And since no one can claim negative losses, the error can’t be canceled.”
Een staaltje slechte statistiek dus.
Ik geloof best dat cybercrime een groot probleem is, immers ons halve leven heeft zich naar het web verplaatst – de goede dingen, maar ook de slechte. Op dit moment lijkt de schade van cybercrime vooral gebaseerd op rapporten die naar andere rapporten verwijzen (lees dit artikel van Vrij Nederland er maar eens op na) en schimmige cijfers. Wie zulke harde stellingen doet – jongens, we hebben het over tien miljard – mag wel iets transparanter opereren.
Reacties (11)
Cybercrime klinkt heel hacker-achtig. Dat is muziek downloaden niet. Of je dat er onder schaart, tja, dat is een definitiekwestie. Als je het mij vraagt is het woordinflatie als je dit soort ‘overtredingen’ er ook onder schaart.
Wat wel weer cybercrime is, vind ik, is het jatten van ontwerpen en ideeën van bijvoorbeeld technologiebedrijven door in te breken op computers. Dat gebeurt. En de schade die banken leiden is vele malen groter dan openbaar is. Als duidelijk zou zijn hoe vaak een bank daadwerkelijk slachtoffer is van cybercrime en hoe vaak er wordt ingebroken op internetbankieren zou iedereen zijn vertrouwen in dat systeem verliezen. Dat kan de bank niet hebben. Al extrapoleren ze het antwoord van 1 bank naar alle banken, die ene bank zal de kosten lager voorstellen dan dat ze zijn dus de extrapolatie slaat nergens op.
En wat te denken van alle kosten en manuren die gestoken worden in het voorkomen van cybercrime? Is dat ook meegeteld? Zou wel moeten lijkt mij.
Dit nattevingerwerk van TNO hadden ze wat mij betreft net zo goed niet naar buiten hoeven brengen. Je hebt niets aan de conclusies.
Een van de grote problemen bij de bestrijding van cybercrime is dat de overheid de verantwoordelijkheid voor bestrijding op de verkeerde plek legt (de ISP’s). De overheid laat ook consequent na om bedrijven (lees: banken) aan te spreken op hun verantwoordelijkheid om hun e-diensten voldoende veilig te maken en te roepen dat zij (de overheid) de cybercrime gaat vervolgen (en dat NIET doet).
Niet dat dat mij verbaast: de overheid is al tientallen jaren nalatig bij het formuleren van goede strategieën waar het gaat om industriebeleid, innovatiebeleid en ook veiligheidsbeleid. Den Haag is een grote wassenneus van kletsmajoors die nog geen deuk in een paktje boter kunnen slaan en alleen de belastingen kunnen verhogen.
Het is op dit moment juist zo dat de banken hun eigen boontjes moeten doppen. Ze moeten zelf cybercrime die tegen hen gericht is voorkomen, maar ook opsporen en waar mogelijk aanpakken. De overheid/politie doet hierin weinig tot niets. Dat maakt het onmogelijk om het daadwerkelijk aan te pakken, want op het moment dat banken de infrastructuur van hackers (laten) kapotmaken (botnets vernietigen) zijn ze zelf strafbaar. Cybercriminelen die banken aanpakken zijn hierdoor vrijwel onschendbaar. Banken kunnen zich niet wapenen.
En Laura, doen ze dat? Met moeite… Als ik kijk naar de snelheid waarmee de magneetstrip verdween, het internet bankieren dat nog steeds niet aan acceptabele normen voldoet…..
Ik ben het pertinent met je oneens dat banken niets kunnen doen. Het is de overheid ook die absoluut nalatig is om de banken hierop aan te spreken.
En de technische mogelijkheden zijn weldegelijk aanwezig om goede beveiliging aan te brengen, maar banken vinden andere zaken (bestuurs-bonussen?) klaarblijkelijk belangrijker.
Valt de prijzenjungle van de telecomsector (bijvoorbeeld data voor € 2.50 per MB, en vaak nog meer) ook onder de cybercrime die TNO heeft meegerekend?
Het publiek wordt rijp gemaakt voor verdere inperking van “het vrije net”,met de welwillende medewerking van de “oude”media.
Dat is inderdaad het geval. Het vervelende is dat “het publiek” daar vaak nog enthousiast aan meewerkt omdat men veelal niet verder kan kijken dan de neus lang is.
@About: : inderdaad, die telecommers zijn hopeloos als je probeert de exacte prijscomponenten boven tafel te krijgen. Riekt inderdaad naar misleiding en oplichting.
Grappig (maar niet echt) dat onder cybercrime blijkbaar alleen het “grote werk” valt. De schade die particulieren lijden ten gevolge van virusssen en ander gespuis word niet genoemd? Is dat cybervandalisme?
Ik denk dat er aardig wat mensen zijn die digibeet genoeg zijn en na ontregeling van hun pc deskundige hulp moeten betalen om de boel weer op orde te krijgen.
Dit valt er indirect wel onder. Een virus dat een ‘kleine’ gebruiker heeft, is er immers niet voor gemaakt om die gebruiker zelf lastig te vallen, maar om hem zijn bankgegevens of inlogcodes te ontfutselen. Die worden ingezet voor het ‘grote werk’.
Maar het verwijderen van de virussen en het gedoe met virusscanners dat kleine gebruikers hebben wordt vrees ik inderdaad niet meegenomen, heel jammer ja.
Speaking of cybercrime…
Ik kan tegenwoordig alleen maar op sargasso komen via een proxy omdat jullie volgens OpenDNS te boek staan als een phishing site. Iemand anders hier last van?
dit krijg ik zonder proxy:
http://phish.opendns.com/?url=sargasso.nl&nref
We hadden vrijdag kort last van een hack (phishing site ergens in cache gepropt). Dat is verholpen. Maar nog niet alle (open)DNS servers hebben dat door. Ga klagen zou ik zo zeggen :-)