Nee, geen pennen. Er zijn weer gegevens gestolen

Diefstal van vertrouwelijke computerdata komt ook in Nederland steeds vaker voor.

Maar niemand weet exact wat de schade is.

Mot met je baas? Ontslagen? Dan hevel je toch gewoon even de vertrouwelijke gegevens van je werkgever over naar je usb-stick?

Bradley Manning, de inlichtingenanalist die ervan verdacht wordt gevoelige videobeelden en diplomatieke telegrammen aan WikiLeaks te hebben gelekt, was de bekendste, maar zeker niet de enige die dit het afgelopen jaar deed.

Volgens een internationaal onderzoek door het beveiligingsbedrijf Kroll overtrof de schade van gegevensdiefstal in tien branches vorig jaar voor het eerst die van de ‘ouderwetse’ diefstal van geld en goederen. Schade: 1,3 miljard euro – 20 procent meer dan in 2009.

Wereldwijd had ruim een kwart van de ondervraagde organisaties met gegevensdiefstal te maken, waarvan een groot deel door eigen personeel, tegen 18 procent vorig jaar. Tegelijkertijd daalde het aantal fysieke diefstallen.

Ook in Nederland is er sprake van een groeiend probleem. In 2010 registreerde Govcert, de nationale organisatie voor ICT-veiligheid, 150 gevallen van cybercrime. Het werkelijke aantal incidenten ligt echter veel hoger.

In een anonieme enquête liet één op de acht organisaties weten dat er in de afgelopen twaalf maanden fraude had plaatsgevonden met computersystemen. In de meeste gevallen bleef het niet bij één incident.

De schade van gegevensdiefstal en cybercrime in Nederland is volgens het eerste nationale ‘Trendrapport Cybercrime en Digitale Veiligheid’ van Govcert onbekend, maar „hoogstwaarschijnlijk substantieel”. Alleen al de schade door skimming (het kopiëren van gegevens van een betaalkaart) bedroeg in 2009 36 miljoen euro.

Een groeiend probleem, waarvan de precieze omvang en miljoenenschade voor Nederland verder onbekend zijn. Waarom wordt er niet meer onderzoek naar gedaan?

„Gegevensdiefstal is een breed begrip”, zegt Eelco Stofbergen van Govcert. „Het kan gaan om identiteits- of creditcardfraude, digitale spionage, of het gebruik van klantengegevens voor marketingdoeleinden.”

Ook het berekenen van de schade is ingewikkeld. Stofbergen: „Moet je alleen naar de waarde van de gegevens kijken, of ook naar de verliezen die erdoor geleden worden en de kosten voor een nieuw veiligheidssysteem?”

Bovendien zijn er verschillende soorten daders: „Criminelen die geld verdienen door creditcardgegevens te verzamelen, bedrijfsspionnen die intellectueel eigendom doorsluizen, ethische hackers ...”

En de ontevreden werknemer.

Volgens het onderzoek van beveiligingsbedrijf Kroll komt fraude vaak van binnenuit. Vooral jonge werknemers en hoger management maken zich er schuldig aan.

De eigenaar van ICT-bedrijf MKB-ICT, Ton Ribbink, waarschuwt al langer voor de risico's van gegevensdiefstal. De Nederlandse situatie is vergelijkbaar met de mondiale, denkt hij. „Bij midden- tot kleinbedrijven is het een groeiend probleem”. Wegens het risico van imagoschade geven veel bedrijven geen ruchtbaarheid aan ICT-veiligheidsincidenten.

Een nieuwe wet moet daar verandering in brengen. In Nederland pleit het College Bescherming Persoonsgegevens, de privacytoezichthouder, voor een meldplicht voor alle bedrijven en overheidsdiensten waar een datalek heeft plaatsgevonden. Maar volgens Eelco Stofbergen van Govcert moet het probleem eerst beter in kaart worden gebracht. „Onderzoek naar de omvang en kosten van cybercrime, zou veel helpen voorkomen.”