Dit onderzoek is een eerste verkenning in Nederland naar de impact op slachtoffers van online delicten, de behoeften van slachtoffers en de verantwoordelijkheden van politie, justitie en andere instanties bij de afhandeling van dergelijke delicten. Daarbij is er bijzondere aandacht voor de vraag in hoeverre en hoe de situatie en behoeften van slachtoffers van online criminaliteit afwijken van de situatie en behoeften van slachtoffers van traditionele offline delicten. Immers, als daar meer zicht op is wordt ook duidelijk of het bestaande slachtofferbeleid – dat ontwikkeld is voor traditionele offline delicten – voorziet in de behoeften van slachtoffers van online criminaliteit. Onder de noemer ‘online criminaliteit’ vallen diverse delicten die kunnen worden onderverdeeld in twee categorieën: cybercriminaliteit en gedigitaliseerde criminaliteit. Onder cybercriminaliteit vallen delicten waarbij de ICT-structuur zelf doelwit is én waarbij voor het plegen van dat delict ICT van wezenlijk belang is voor de uitvoering. Voorbeelden zijn het hacken van een database met persoonsgegevens of het platleggen van een website van een bank met een zogenaamde DDoS-aanval. Dit soort delicten wordt ook wel cyber dependent crimes genoemd. Onder gedigitaliseerde criminaliteit vallen traditionele offline delicten die ook online kunnen worden gepleegd. Voorbeelden zijn fraude via internet en de verspreiding van kinderpornografisch materiaal. Dit soort delicten wordt ook wel cyber enabled crimes genoemd. LinkedIn: https://www.linkedin.com/in/rutgerleukfeldt/
Bedrijven maken vaak deel uit van een keten. Ketens worden steeds meer afhankelijk van ICT voor onder meer het aankopen, bezorgen en inventariseren van producten of diensten. Deze afhankelijkheid maakt dat cyber-gerelateerde risico’s een opmars maken binnen ketens. Er is echter nog weinig bekend over deze risico’s en hoe ketens daar weerbaar tegen kunnen worden gemaakt. Dit hindert de uitwerking, uitvoering en bijsturing van beleid door de overheid. De Haagse Hogeschool heeft in opdracht van MKB Nederland en het Ministerie van Justitie en Veiligheid een verkennende studie verricht om meer zicht te krijgen op het fenomeen cyber-ketenweerbaarheid in verschillende economische sectoren. Hierbij stonden centraal cyber-gerelateerde risico’s en geleerde lessen bij het voorkomen en bestrijden van cyberincidenten en -criminaliteit in ketens. Tevens zijn aanknopingspunten voor vervolgonderzoek geïdentificeerd. Voor de dataverzameling is eerst gebruik gemaakt van literatuuronderzoek. Daarna zijn gestructureerde interviews uitgevoerd. De interviews hebben plaatsgevonden bij 12 bedrijven uit drie economische sectoren: vijf bedrijven gerelateerd aan de agrarische sector (vormen twee ketens), vier bedrijven uit de sierteeltsector (vormen één keten) en drie bedrijven uit de sector handel (vormen één keten). Deze bedrijven zijn als afnemer en leverancier geschakeld binnen hun sector en vormen daarmee een keten. Bij elk bedrijf is gesproken met cybersecurityexperts en/of bestuursleden. In elke keten hebben wij dreigingen en kwetsbaarheden op het gebied van cyber-ketenweerbaarheid vastgesteld. Met name ransomware en zogenaamde stepping stone-aanvallen zijn concrete dreigingen voor ketens. Zo is er bij alle door ons beschouwde ketens sprake van technologie die op afstand kan worden bediend via internet door een derde partij, zoals klimaatregelaars en sorteersystemen. Deze afstandsbediening is veelal kwetsbaar voor digitale inbreuken van buitenaf. Dit maakt dergelijke technologie en het securitybeleid van ketenpartners die toegang hebben tot deze technologie een kwetsbaarheid voor de keten. Ook valt het op dat de medewerkers van de bedrijven een belangrijke rol spelen bij het ontstaan van cyberincidenten en -criminaliteit in de keten. Mogelijk wordt dit veroorzaakt door onveilig gedrag, gemakzucht en een gebrek aan kennis bij medewerkers over dreigingen en kwetsbaarheden. Er zijn tevens belangrijke lessen opgehaald bij de bedrijven die wij interviewden. Zo is het in het kader van cyberketenweerbaarheid van belang dat bedrijven hun cyberveiligheid op orde hebben. De onderzochte bedrijven investeren daarin door onder meer technische beveiliging en procedures voor werknemers. Ook zijn investeringen in de cyberveiligheid tussen schakels en de keten als geheel van belang. Bijvoorbeeld door de eigen digitale infrastructuur gescheiden te houden van de infrastructuur van ketenpartners. Over het algemeen worden dergelijke maatregelen slechts sporadisch genomen door de bedrijven die meededen aan dit onderzoek. Zo komt het onderwerp cyberveiligheid vaak niet terug in contracten met leveranciers, blijft (structureel) overleg tussen partners op dit gebied uit en is informatiedeling over cyberrisico’s en geleerde lessen op ketenniveau beperkt. Controle op de risico’s lijkt in de ketens veelal te ontbreken en samenwerking lijkt vooral te berusten op vertrouwen. Verschillen in genoemde dreigingen, kwetsbaarheden en geleerde lessen tussen bedrijven zijn mogelijk te verklaren door het type bedrijf en diens omvang, de volwassenheid van de organisatie op ICT-gebied en de positie van een bedrijf in de keten. Zo lijken met name ICT-dienstverleners en grote bedrijven zicht te hebben en te handelen op keten-gerelateerde dreigingen en kwetsbaarheden. Gezien de verkennende aard van deze studie is nader onderzoek echter nodig om bevindingen te verstevigen. Ons advies is om meer gericht onderzoek te doen naar de risico’s zoals in deze studie zijn geïdentificeerd en dit tevens te doen in andere ketens of binnen andere economische sectoren. De onderzochte ketens zijn slechts beperkt representatief voor de gehele economie, waardoor het onduidelijk is in hoeverre de huidige resultaten gelden voor andere ketens binnen en buiten de door ons onderzochte economische sectoren. Een onderwerp waar wij denken dat meer kennis op nodig is, is het fenomeen stepping stone-aanval. Ondanks dat dit een belangrijk fenomeen lijkt, komt uit onderhavig onderzoek onvoldoende naar voren op welke manier een ketenaanval via kleine ketenpartners plaatsvindt, in welke mate een keten daar schade van ondervindt en hoe een dergelijke aanval kan worden voorkomen. Wij adviseren bovendien om te onderzoeken hoe ketens cyberveiligheid contractueel kunnen bewerkstelligen in de samenwerking met ketenpartners. Zo is het de vraag welke eisen er in het contract met partners gesteld moeten worden om risico’s voldoende af te dekken. Wij adviseren bovendien om actuele informatie over cyberrisico’s toegankelijk te maken voor ketenbedrijven, met name bij kleine bedrijven die beperkte middelen hebben om zichzelf te beschermen en informatie in te winnen. Help ketens waar nodig met het op orde brengen van hun interne cyberveiligheid, de cyberveiligheid tussen schakels en de cyberveiligheid van keten als geheel. Hierbij kan worden gedacht aan het beschikbaar stellen van voorbeeldcontracten met leveranciers, het faciliteren van (structureel) overleg tussen partners en ondersteuning van de informatiedeling op ketenniveau.
Het doel van deze studie is het vergroten van het inzicht in hoe daders binnen de georganiseerde criminaliteit ICT gebruiken en welke invloed dat gebruik heeft op hun criminele bedrijfsprocessen. We richten ons daarbij niet uitsluitend op cybercrime, maar verkennen juist het gebruik van ICT én de consequenties daarvan voor een breder scala van soorten georganiseerde criminaliteit, dus ook ‘traditionele’ georganiseerde criminaliteit zoals drugssmokkel. Dit onderzoek maakt onderdeel deel uit van de Monitor Georganiseerde Criminaliteit. Een goed onderbouwde aanpak van de georganiseerde criminaliteit is alleen mogelijk wanneer er een gedegen inzicht bestaat in de aard van de georganiseerde criminaliteit zoals die zich in Nederland manifesteert. De Monitor Georganiseerde Criminaliteit biedt dat inzicht door zo veel mogelijk de kennis te benutten die wordt opgedaan tijdens omvangrijke opsporingsonderzoeken. Dit rapport is het resultaat van de meest recente, vijfde ronde van de monitor (eerdere rapportages: Kleemans et al., 1998, 2002; Van de Bunt & Kleemans, 2007; Kruisbergen et al., 2012). Om dieper op bepaalde thema’s in te kunnen gaan, is ervoor gekozen om de vijfde ronde uit te laten monden in drie afzonderlijke deelrapporten. In oktober 2017 is het eerste deelrapport verschenen (Van Wingerde & Van de Bunt, 2017). Dat rapport richtte zich op de strafrechtelijke afhandeling van georganiseerde criminaliteit, met name de geëiste en opgelegde straffen. Voor u ligt het tweede deelrapport, dat dus volledig in het teken staat van georganiseerde criminaliteit en ICT (informatieen communicatietechnologie). LinkedIn: https://www.linkedin.com/in/rutgerleukfeldt/
Ambtenaren openbare orde en veiligheid spelen een centrale rol in de zorg voor maatschappelijke veiligheid. Hun focus ligt van oudsher op de preventie van slachtofferschap van veelvoorkomende criminaliteit (zoals diefstal, vernielingen en vandalisme) en high impact crime (zoals woninginbraak, overvallen en straatroven) binnen hun verzorgingsgebied. Intussen heeft de digitalisering van de samenleving een ongeëvenaarde gelegenheid voor criminaliteit gecreëerd. De totale maatschappelijke schade van cybercrime werd voor 2018 op 10 miljard euro geschat (1% van BNP). Uit cijfers van het CBS blijkt dat tussen 2012 en 2018 het slachtofferschap van hacken zelfs hoger lag dan dat van fietsendiefstal. Nederlandse gemeenten hebben cybercrime in de afgelopen twee jaar dan ook breed als beleidsprioriteit omarmd. Maar in de vertaling van deze beleidsprioriteit naar concrete acties gaat het mis. Duidelijk is dat de ambtenaren openbare orde en veiligheid een taak voor zichzelf zien in de preventie van cybercrime, maar waar te beginnen? In dit project bundelen professionals uit twaalf gemeenten en vier regionale veiligheidsnetwerken hun slagkracht met onderzoekers van twee hogescholen en het NSCR voor de cyberweerbaarheid van de samenleving. De hoofdvraag van dit project luidt: Met welke interventies kunnen ambtenaren openbare orde en veiligheid de cyberweerbaarheid van burgers en bedrijven binnen hun gemeente vergroten? Middels actieonderzoek werken professionals van gemeenten en regio’s samen met onderzoekers aan het verbeteren van bestaande en het ontwikkelen van nieuwe interventies. Daarbij verscherpen zij hun beeld van de omvang en achtergronden van slachtofferschap van cybercrime. Ook onderzoeken zij achtergronden en verklaringen voor het risicobewustzijn en preventief gedrag onder doelgroepen. Deze inzichten worden in verschillende iteraties aangevuld met effectstudies, om tot een set beproefde interventies te komen waarmee de cyberweerbaarheid van burgers en bedrijven zal toenemen.
Digitale Held: Onderzoek naar serious gaming voor het vergroten van de kritische digitale vaardigheden en digitaal bewustzijn bij kwetsbare jongeren. Onderzoek uit 2022 laat zien dat Nederlandse jongeren en jongvolwassenen bovengemiddeld vaak slachtoffer van phishing zijn en lopen daardoor vaker financiële schade op. Daarnaast onderschatten jongeren de kans dat zij slachtoffer worden van vormen van cybercriminaliteit als identiteitsfraude en gegevensverlies door een datalek . Ook blijkt uit onderzoek dat nagenoeg de helft (47%) van de jongeren het eigen niveau van digitale vaardigheden overschat. Daarbij herkent een groot deel van de jongeren onveilig onlinegedrag minder goed en zijn ze sceptisch over wat ze van ouders en leraren kunnen leren . Dit leidt onder andere tot een stijging van het aantal kwetsbare jongeren die onder bewind staan. Daarbij lijkt een aanzienlijk deel van deze groep jongeren onder bewind een licht verstandelijke beperking (LVB) te hebben. Er is echter weinig bekend over de digitale vaardigheden en de inzichten op het eigen internetgedrag van deze jongeren met een LVB en schulden. Gezien de geringe tijd die bewindvoerders hebben om de zaken van deze personen te behartigen, is er geen tijd voor het aanleren van kritische digitale vaardigheden. Binnen het project wordt onderzoek gedaan naar het vergroten van kritische digitale vaardigheden en digitaal bewustzijn bij kwetsbare jongeren, waaronder jongeren met een LVB aansluitend op de missie Gezondheid en zorg, door de toepassing van serious gaming, bite-sized learning en sleuteltechnologie als artificial intelligence (AI). In het project werkt het Lectoraat Digitale Transformatie van de Hanzehogeschool Groningen samen met twee MKB-ondernemingen, ProBewind B.V. en de startup FamilyPay B.V., en met de Stichting Humanitas DMH. Daarnaast participeert het Innovatiehuis Politie Noord-Nederland als overige partij. Het project is een uitbreiding van een bestaand netwerk, waarbij nu verder onderzoek wordt uitgevoerd met publieke instellingen.
Onderzoek uit 2022 laat zien dat Nederlandse jongeren en jongvolwassenen bovengemiddeld vaak slachtoffer van phishing zijn en lopen daardoor vaker financiële schade op. Daarnaast onderschatten jongeren de kans dat zij slachtoffer worden van vormen van cybercriminaliteit als identiteitsfraude en gegevensverlies door een datalek . Ook blijkt uit onderzoek dat nagenoeg de helft (47%) van de jongeren het eigen niveau van digitale vaardigheden overschat. Daarbij herkent een groot deel van de jongeren onveilig onlinegedrag minder goed en zijn ze sceptisch over wat ze van ouders en leraren kunnen leren .Dit leidt onder andere tot een stijging van het aantal kwetsbare jongeren die onder bewind staan , . Daarbij lijkt een aanzienlijk deel van deze groep jongeren onder bewind een licht verstandelijke beperking (LVB) te hebben. Er is echter weinig bekend over de digitale vaardigheden en de inzichten op het eigen internetgedrag van deze jongeren met een LVB en schulden. Gezien de geringe tijd die bewindvoerders hebben om de zaken van deze personen te behartigen, is er geen tijd voor het aanleren van kritische digitale vaardigheden. Binnen het project wordt onderzoek gedaan naar het vergroten van kritische digitale vaardigheden en digitaal bewustzijn bij kwetsbare jongeren, waaronder jongeren met een LVB aansluitend op de missie Gezondheid en zorg, door de toepassing van serious gaming, bite-sized learning en sleuteltechnologie als artificial intelligence (AI).In het project werkt het Lectoraat Digitale Transformatie van Hanzehogeschool Groningen samen met twee MKB-ondernemingen, ProBewind B.V. en de startup FamilyPay B.V. en Stichting Humanitas DMH. Daarnaast participeert het Innovatiehuis Politie Noord-Nederland als overige partij mee. Het project is een uitbreiding van een bestaand netwerk, waarbij verder onderzoek wordt uitgevoerd met publieke instellingen.
