Laat die spam maar komen

Cybercrime kost de burger maar een paar dubbeltjes per jaar. De bestrijding ervan veel meer. Rol de bendes op, dat is effectiever.

Medewerker Technologie

Spamfilters, firewalls, antivirussoftware, versleuteling, wachtwoorden, pin- en tan-codes – er is geen gebrek aan dure voorzieningen om online misdaad te voorkómen. Terwijl de directe schade door cybermisdaad nogal meevalt. Aan preventie doen we nu wel genoeg vinden Engelse, Duitse, Nederlandse en Amerikaanse onderzoekers. Extra geld kan beter worden gestoken in het vervolgen van cybercriminelen.

Alle computermisdrijven samen kosten de burger slechts enkele dubbeltjes per jaar, zeggen de onderzoekers. Ouderwetse belasting- en uitkeringsfraude daarentegen kost in de westerse wereld alleen al enkele honderden dollars, euro’s of ponden per burger per jaar.

Het onderzoek van hoofdauteur Ross Anderson (Universiteit Cambridge) is gedaan in opdracht van het Britse ministerie van Defensie, nadat eerder dit jaar een rapport van het Britse onderzoeksbureau Detica kritiek had gekregen. Dit rapport schatte de schade van cybercrime voor het Verenigd Koninkrijk op 27 miljard pond (33,6 miljard euro): zo’n 400 pond per Brit per jaar. TNO paste deze berekening in april aan voor de Nederlandse situatie en kwam tot een raming van 10 miljard euro schade per jaar voor de Nederlandse economie.

„De kritiek was dat een groot deel van de cijfers uit de duim was gezogen”, stelt Michel van Eeten, hoogleraar internetveiligheid aan de TU Delft. Van Eeten heeft een bijdrage aan het nieuwe rapport geleverd over botnets: netwerken van met virussen besmette pc’s die voor cybercriminelen spam versturen en persoonlijke financiële gegevens verzamelen. „70 procent van de door Detica geraamde schade kwam van diefstal van intellectueel eigendom, digitale bedijfsspionage en afpersing. Dat zijn posten waar we weinig van weten. Het belang van diefstal van intellectueel eigendom wordt sterk overdreven door de industrie, die bijvoorbeeld onbetaalde downloads gelijkstelt aan gemiste verkoop.”

Sommige cybercriminaliteit is bovendien misschien wel schadelijk voor één bedrijfstak, zoals piraterij voor softwarebedrijven, maar niet voor de economie als geheel. Gebruikers van illegale producten geven hun besparingen immers elders uit.

En veel gegevens zijn simpelweg niet bekend. Van Eeten: „Van industriële spionage weten we niets. Er komt weinig over naar buiten en als dat wel gebeurt, is de impact onduidelijk. Als bij Lockheed Martin blauwdrukken voor gevechtsvliegtuigen uitlekken, wil dat nog niet zeggen dat een ander ze kan bouwen, of dat Lockheed Martin minder verkoopt.”

Een criminele bedrijfstak waar wel veel over bekend is, is de spameconomie. Een co-auteur van Van Eeten is binnengedrongen in enkele criminele groepen en heeft inzage gehad in de boekhouding van een louche medicijnenhandel. „Er zijn betrouwbare cijfers over de criminele omzetten daar”, zegt Van Eeten. Volgens het rapport van Anderson heeft het botnet dat in 2010 eenderde van alle spam ter wereld verstuurde zijn beheerders in dat jaar 2,7 miljoen dollar opgebracht. Daartegenover staat dat de wereldwijde uitgaven aan spambestrijding meer dan 1 miljard dollar bedragen. De vergelijking met terrorisme dringt zich op: ook een verschijnsel waarvan de bestrijding veel meer geld (en doden) kost dan het probleem zelf.

Vandaar dat Anderson en zijn collega’s aanbevelen bij nieuwe investeringen minder aan preventie te doen en meer aan opsporing en vervolging van cybercriminelen. Kort door de bocht: ga liever dweilen met de kraan open. Als de kraan slechts druppelt en de loodgieter duur is, kan dat verstandig zijn.

„Dat investeren in opsporing en vervolging het meest oplevert, is een vermoeden dat zich opdringt, en dat we op de agenda willen zetten”, betoogt Van Eeten. „Er zijn al successen geweest en die hadden onmiddellijk een meetbaar effect. Toen onlangs een grote spambende werd opgepakt, nam de spam met 30 tot 40 procent af. Waarschijnlijk gaat het ook om een beperkt aantal bendes en hoef je de aandacht niet over duizenden mensen te verdelen.”

Ook bij andere vormen van criminaliteit heeft de samenleving een evenwicht gevonden tussen preventie, tolerantie en politiewerk, zegt Van Eeten. „Niemand maakt van zijn huis een vesting, je voelt dat er een niveau van inbraken is dat je niet tegenhoudt. Daarvoor zijn we verzekerd. Bij een nieuwe vorm van criminaliteit is dat lastig te verkopen, omdat mensen nog geen gevoel hebben voor wat redelijk is. Maar banken wennen langzaam aan de gedachte dat elke machine geïnfecteerd kan zijn. Elk jaar heeft 10 procent van alle Nederlandse huishoudens een besmette computer. Dan kun je niet meer volhouden dat dat afwijkend is, en moet je je erop instellen. Banken en creditcardmaatschappijen doen dat door klanten schadeloos te stellen. Dat kost minder dan de schade voorkómen.”

Volgens Britse economen van de universiteiten van Sussex en Surrey gelden trouwens vergelijkbare overwegingen voor fysieke veiligheidsmaatregelen bij bankloketten. In opdracht van Britse banken moesten ze uitzoeken of extra veiligheidsmaatregelen voor loketbeambten rendabel waren. Concreet ging het om schermen, die de employés in geval van nood konden optrekken.

De economen bestudeerden cijfers over de opbrengst van bankovervallen in het Verenigd Koninkrijk (en enkele landen daarbuiten) en publiceerden hun resultaten vorige maand in het tijdschrift Significance. De gemiddelde buit blijkt zo gering te zijn dat de kosten van de schermen niet opwegen tegen de vermoedelijk verhinderde verliezen, concludeerden ze.