Een wereld van grote en kleine getallen

Cijfers over cybercrime

Cybercrime is, zo valt te lezen op de website van politie.nl, criminaliteit met ICT als middel en als doel. ICT is dan een begrip dat breed uitgelegd moet worden, want het gaat allang verder dan de traditionele computer die is aangesloten op het internet.  De omvang van cybercrime is door de omvang en de verscheidenheid aan uitingsvormen een kwestie van schatten en is sterk afhankelijk wat we allemaal onder het begrip cybercrime laten vallen. In een binnenkort te verschijnen studie van het WODC, het wetenschappelijk onderzoeksinstituut van J&V, komen onderzoekers tot de conclusie dat er nu nog onvoldoende betrouwbare methoden zijn om de omvang van cybercrime met enige zekerheid vast te stellen. Dat zelfde geldt voor de economische schade die wij als maatschappij oplopen door cybercrime. 

De onderzoekers constateren op basis van een aantal publieke bronnen wél dat het gaat om grote getallen. Zo vonden in 2016 naar schatting 25.000 DDOS-aanvallen plaats om een systeem door overbelasting onbereikbaar te maken. Daarnaast werden maandelijks naar schatting 16 miljoen phishing-mails op een Nederlandse mailbox afgestuurd.  Die phishing-mails werden onder andere gebruikt voor het plaatsen van ransomeware; 91% van de besmettingen begint met een phishing mail. Volgens internetsecuritybedrijven vindt dit 10 tot 38 keer per dag plaats. Naar het schijnt, betaalt 1 op de 5 slachtoffers ook daadwerkelijk het gevraagde ‘losgeld’, dat overigens niet gering is. Het bedrag, vaak te voldoen in bitcoins, ligt gemiddeld op 650 euro, met uitschieters naar veel hogere bedragen.  Daarnaast wist het CBS afgelopen oktober te melden dat 21 procent van alle Nederlandse bedrijven met minstens tien werkzame personen in 2016 te maken kreeg met de gevolgen van cyberaanvallen.  Dat gaat om ongeveer 14.000 bedrijven. Vooral bedrijven in de financiële sector en de energiesector hadden hier last van. Bij de helft van de getroffen bedrijven leidden deze aanvallen tot extra kosten vanwege herstelwerkzaamheden, omzetderving, verminking of verlies van data en extra beveiligingsmaatregelen. Naarmate de omvang van het bedrijf toeneemt, neemt ook het aandeel bedrijven dat te maken kreeg met aanvallen van buitenaf toe: 41% van alle bedrijven met meer dan 500 werknemers kreeg te maken met ICT-incidenten door een aanval van buitenaf.

Toch een vorm van inbraak

Wat kenmerkend is voor cybercrime is dat één dader of een kleine groep daders op eenvoudige wijze een zeer groot aantal slachtoffers kan maken.  Sinds drie jaar meet het CBS ook het slachtofferschap van de Nederlandse burger van een beperkt aantal cyberdelicten.  “Driekwart van de cyberdelicten niet gemeld”  kopte het persbericht van het CBS naar aanleiding van deze meting. Wat opvalt is dat de meldings- en aangiftebereidheid van burgers bij cyberdelicten laag is. Daar waar de Nederlandse burger gemiddeld 40% van de delicten bij de politie meldt en in 25% van de gevallen aangifte doet, meldt slechts 26% van de Nederlanders een cyberdelict en doet nog maar 7% aangifte. En dat is gemiddeld, want het verschilt sterk per cyberdelict. Om een voorbeeld te geven, 5% van de Nederlanders geeft aan slachtoffer te zijn geworden van hacken, en daarvan maakt slechts 5% melding. Een schamele 2% van slachtoffers doet aangifte. Met andere woorden: 95% van de gehackte burgers houdt zich stil of lost het op een andere wijze op. Ter vergelijking – want hacken is toch een vorm van inbraak – van een reguliere inbraak deed 63% van de slachtoffers melding en deed 43% aangifte. Het is dus eigenlijk vreemd dat het aantal aangiften van cyberdelicten zo laag is. Uiteindelijk deden in 2017 iets meer dan 2.300 slachtoffers aangifte van een delict dat de politie kwalificeerde als cybercrime. 

Voor de rechter

De getallen worden klein als we kijken naar het aantal verdachten van cyberdelicten dat jaarlijks bij het OM binnenkomt. In 2017 werden in totaal 600 verdachten door het OM vervolgd voor een cyberdelict, of in ieder geval een delict dat werd gepleegd met behulp van ICT. Dat is een toename van 15% ten opzichte van het jaar ervoor. Uiteindelijk stonden 175 van deze verdachten voor de rechter en werden 142 verdachten door de rechter veroordeeld voor het delict. Hoeveel burgers of organisaties slachtoffer zijn geworden van deze criminelen, dat weten we helaas niet. Dat kunnen er uiteraard weer vele honderden per veroordeelde cybercrimineel zijn. Kortom, de wereld van cybercrime is een wereld van grote en kleine getallen.