Security (b)log: Cybercrime

Over een paar weken mag ik een lezing geven voor een zaal vol Groningse accountancy-studenten. Het verzoek daartoe bereikte mij via het team dat bij ons onder andere contacten onderhoudt met de onderwijswereld. Of ze iemand wisten die een lezing over cybercrime zou kunnen geven.

Kijk, dat vind ik nou leuk om te doen: iets vertellen over het vak waar ik een kwart eeuw geleden aan begonnen ben. Volgens de organisatie moet ik ervan uitgaan dat de congresbezoekers weinig van het onderwerp afweten. Ik kan dus helemaal losgaan. Maar waar te beginnen? Wel, bij het woordenboek. Want wat is cybercrime nou eigenlijk? Toen ik met informatiebeveiliging begon bestond het nog niet, sterker: ‘cyber’ moest nog worden uitgevonden als voorvoegsel voor alles wat ons tegenwoordig aan onze online wereld doet denken. Het woord cybercrime staat dan ook pas sinds 2014 in de Dikke Van Dale (‘computercriminaliteit, internetcriminaliteit’).

Maar met zo’n woordenboekdefinitie kom je natuurlijk niet ver. Ik hanteer dan ook liever de definitie die de politie hanteert, die gaan immers over misdaadbestrijding. Zij zeggen: cybercrime is criminaliteit met ICT als middel én doelwit. Daarin zien ze ICT heel breed – binnen deze definitie vallen ook de chip op je bankpas, de boordcomputer van je auto en natuurlijk je smartphone. Na de definitie gooi ik er nog wat wetgeving tegenaan, maar daarna wil ik zo snel mogelijk naar de praktijk, want ik wil die studenten natuurlijk iets meegeven waar ze meteen al iets mee kunnen: zichzelf – en later hun bedrijf en hun klanten – beschermen.

We gaan het dus hebben over phishing, ransomware, identiteitsfraude en DDoS-aanvallen. Kortom, over populaire vormen van cybercrime. De eerste drie vallen wat mij betreft in de categorie “daar hebben ze meteen al iets aan”, de vierde is meer iets voor later, als ze ergens werken. Ik ga ze ook alvast iets vertellen wat ze dan kunnen tegenkomen, bijvoorbeeld een USB-stick die ze van een klant krijgen en die besmet blijkt te zijn. Of een klant die zijn gegevens kwijt is door toedoen van malware, of doordat ze in de cloud stonden en daar in lucht zijn opgegaan.

En dan is er natuurlijk nog een hoofdstuk over hoe je je beschermt tegen cybercrime. Regel nummer 1: scan je apparatuur! En dan bedoel ik niet alleen je pc, maar ook je tablet en je smartphone – voor zover dat kan tenminste, want in de wereld van mobiele Apple-apparatuur mogen virusscanners niet bestaan. Een andere tip is dat je je gegevens afschermt tegen shoulder surfing – het meekijken op je beeldscherm (bijvoorbeeld in de trein) of bij het intoetsen van je pincode. Dan is er nog een open deur die ik graag intrap: trap er niet in! Zo’n mailtje dat afkomstig lijkt te zijn van Albert Heijn waarin staat dat jij één van de vijf gelukkigen bent die een cadeaukaart van € 250 hebben gewonnen? Echt niet! Als iets te mooi lijkt om waar te zijn, dan is het dat meestal ook (in mijn presentatie heb ik daar een tegeltjeswijsheid van gemaakt).

Een vaak gehoorde opmerking is dat jongelui privacy niet belangrijk vinden. In het hol van de leeuw ga ik proberen erachter te komen of dat echt zo is, om ze er vervolgens op te wijzen dat ze wel degelijk iets te verbergen hebben – en waarom. Edward Snowden heeft hier een mooie uitspraak over gedaan: als je niets geeft om het recht op privacy omdat je niets te verbergen zou hebben, dan is dat alsof je niets geeft om het recht op vrije meningsuiting omdat je geen mening hebt.

Cybercrime kan iedereen treffen. Het is de meest democratische vorm van misdaad, want cybercrime maakt geen onderscheid tussen arm en rijk, geeft er niet om waar je woont of hoe je eruit ziet. Daarom is het belangrijk dat iederéén weerbaar is.

Onlangs gaf ik een presentatie in een heel andere setting: de Presidentenzaal bij De Nederlandsche Bank. Daar waren een aantal CIO’s, waaronder de onze, een middag verzameld voor een aantal presentaties, waaronder dus de mijne, die onder andere ging over ons Security Operations Center en allerlei samenwerkingsverbanden, onder andere met het NCSC. Het publiek zat dus, in vergelijking tot die studenten, tamelijk aan de andere kant van het spectrum. Maar juist omdat het zo leuk was om daar in Amsterdam te spreken, kijk ik alvast uit naar Groningen.

Vanwege vakantie verschijnt er de komende twee weken geen Security (b)log.