De Nederlandse economie loopt jaarlijks 8,8 miljard schade op door de gevolgen van cybercrime. Dat becijfert het Amerikaanse Center for Strategic and International Studies (CSIS). Zij onderzochten in opdracht van beveiliger McAfee de economische schade van beveiligingsincidenten. Vooral de schade door het verlies van intellectueel eigendom, financiële fraude en marktmanipulatie door gestolen bedrijfsgegevens tikt aan.
‘Er doen veel verschillende getallen de ronde over de economische schade door cybercriminaliteit. We vonden het tijd om een gerenommeerd bureau te laten onderzoeken hoe groot die schade is’, vertelt Wim van Campen, vp Noord en Oost- Europa bij McAfee. Hij benadrukt dat het bedrag van 8,8 miljard niet het bedrag is dat criminelen buitmaken, maar een ruwe schatting is van economische schade door cybercriminaliteit.
Het rapport, getiteld ‘Net Losses – Estimating the Global Cost of Cybercrime’, concludeert dat de totale wereldwijde schade ongeveer 327 miljard euro bedraagt. Voor West-Europa komt het schadebedrag op bijna 53 miljard euro, waarbij potentieel zo’n 150.000 banen verloren gaan.
Nauwelijks goede cijfers
Vooral op het gebied van intellectueel eigendom zijn de gevolgen van cybercriminaliteit groot, zo blijkt. Landen waar de economie voor een groot deel wordt gedragen door bedrijven die afhankelijk zijn van het ontwikkelen en beschermen van intellectueel eigendom, hebben te maken met aanzienlijke verliezen in de handel, banen en inkomen. In sommige van deze landen loopt de schade op tot een relatief hoog percentage van het bruto binnenlands product (bbp). Voor Nederland is dat volgens het rapport zelfs 1,5 procent van het bbp, een van de hoogste percentages van alle landen in het onderzoek. Volgens de auteurs van dit rapport kan de hoge relatieve ‘score’ van ons land ten opzichte van andere landen echter deels te wijten zijn aan het feit dat in veel andere landen nauwelijks goede cijfers over cybercriminaliteit voorhanden zijn.
Van Campen ziet vooral de incidenten onder retailers groeien doordat cybercriminelen op zoek gaan naar bijvoorbeeld creditcardgegevens bij webwinkels. Ook de olie- en gasindustrie blijft een belangrijk doelwit voor cybercriminelen, vertelt hij. ‘Door informatie te stelen over bijvoorbeeld nieuwe boorvelden kunnen ze concurrenten voor zijn bij de gunningen van projecten, doordat ze precies weten waar ze op moeten biedn.’ Het stelen van intellectueel eigendom gaat vooral in de papieren lopen in de farmaceutische industrie, vertelt hij.
Samenwerken
Van Campen: ‘Cybercriminaliteit is de afgelopen jaren zeer sterk toegenomen en daarmee ook de economische schade voor ons land. Maar we kunnen daar iets aan doen. Onder andere door de internationale samenwerking op dit gebied te intensiveren en door te zorgen voor een betere samenwerking tussen de publieke en de private sector.’
Hij ziet dat er steeds meer werk wordt gemaakt van het systematisch verzamelen en registreren van data over cybercriminaliteit. ‘Aan de hand van deze informatie ontstaat beter inzicht in de risico’s en kunnen betere beslissingen genomen worden over het te volgen beleid. De middelen waarmee financiële informatie en intellectueel eigendom beschermd kunnen worden, zijn voorhanden. En als we die middelen goed inzetten, ontstaan er nieuwe kansen voor economische groei en zal de werkgelegenheid toenemen.’
De gebruikelijke bangmakerij om meer eigen producten te kunnen verkopen is bij menige softwarebeveiligingsbedrijf niet vreemd. Het past ook prima bij het lobbyen voor een InternetID.
Een indrukwekkend cijfer maar ‘peanuts’ vergelijken bij de miljarden die werkelijk verdampt zijn door Financieel Economische Criminaliteit (FEC).
@Peter, natuurlijk wordt dit soort onderzoek gesponsord door een softwarebeveiligingsbedrijf en niet door de bedrijven die zich laten bestelen of bespioneren. En hoe hard die 8,8 miljard is, dat is natuurlijk ook maar de vraag. Maar de schadebedragen zijn echt hoog. Dat er over miljarden gesproken wordt, dat lijkt me niet onrealistisch. Daarvoor heb ik en m’n collega’s te veel gezien.
Sommige bedrijven en overheden maken regelmatig een risicoanalyse en bepalen daarbij wat een bepaalde mate van beveiliging kost en wat dat financieel oplevert. Met name de financials doen dat. De rest bekijkt de beveiligingvoorstellen van hun IT-afdeling en IT-leveranciers zelden snel en serieus, ook niet de voorstellen voor betere procedures. Eerst moet het misgaan en dan reageert men vaak nog eens verkeerd, bijvoorbeeld door te rigoureus en te eenzijdig maatregelen te nemen, of zich vooral te richten op het geheimhouden van de inbreuken (de schade aan hun eigen imago). Zo hebben de bedrijven van het Urenco consortium cruciale kernwapentechniek laten stelen gedurende een lange periode. En de BVD (nu AIVD) en de CIA hebben op gepaste afstand toegekeken, niet wetende dat er al veel meer gestolen was, dan werd gedacht. En spioneren moest toen nog vooral met analoge Minox minicamera’s, kopieerapparaten en dergelijke. Tegenwoordig gaat het meestal via de digitale snelweg. De AIVD en NSA doen alsof alleen zij de digitale beveiligingsgaten en backdoors kennen en controleren, maar dat is niet zo.
Algemeen managers zijn vaak net zo arrogant en eigenwijs. Ze willen er niet aan dat gebruiksvriendelijke en gelijktijdige redelijk veilige ICT, meer geld kost dan veilige ICT die beduidend minder gebruiksvriendelijk is. Redelijk veilige single sign-on zonder tokens en veilig gebruik van USB-sticks en van privé devices, het kan. Maar dat kost meer geld dan de meeste managers willen betalen. Dus maken ze geen echte keuzes en betalen ze uiteindelijk vroeger of later dubbel door de cyber crime. En dan heb ik het nog niet over de MKB-ers die zo onhandig zijn om hun NAS en beveiligingscamera’s via een slecht of zelfs onbeveiligde Wifi verbinding beschikbaar te stellen aan elke crimineel.
@Ewout, je hebt gelijk. Helaas zijn cyber criminaliteit en Financieel Economische Criminaliteit steeds meer met elkaar verweven. Het toewijzen van de schade aan het één of ander is daarom meestal nogal lastig.
@John van Voren
Dat Urenco verhaal zit toch nog wat anders in elkaar:
http://www.canadafreepress.com/2006/ludwig032306.htm
@kj, dat soort verhalen ken ik. Die zijn door Ruud Lubbers de wereld in geholpen.
De werkelijkheid wordt meer benaderd op http://www.stelling.nl/kleintje/370/Urenco.htm en op http://www.sp.nl/nieuws/tribune/200510/khan_bommen_uit_nederland.shtml.
Er is geen enkel bewijs dat het personeel of de beveiliging van Urenco het bevel heeft gekregen om atoomgeheimen te laten stelen (dat kan juridisch ook niet). Wel is aangetoond dat enkele professoren vuil spel hebben gespeeld (die reeds vanaf het begin medeverdachten waren). Netzo is het onzin om te stellen dat de CIA ons OM een dringend verzoek heeft gedaan of zelfs de opdracht gaf om spionnen zoals Abdul Qadeer Khan te laten lopen. Lubbers zat daar achter met zijn Federatie Metaal- en Electrotechnische industrie achtergrond. Lubbers laveert graag overal tussendoor zonder ergens de verantwoordelijkheid voor te nemen. Vandaar die nonsens zoals “in the cold war era “you had to listen to the Americans”. Welke Amerikanen waren dat dan? Vertegenwoordigers van de CIA in Den Haag hebben er bij ons op aangedrongen om Khan aan te pakken en niet de shit door te schuiven naar de VS. Die zouden dan Pakistan ernstig moeten frustreren, want Pakistan kon geen oorlog van India winnen en wilden een nucleaire optie.
We zullen niet snel weten hoe het precies zit (er komt hierover alsmaar geen parlementaire enquête omdat het CDA en VVD dat niet willen en het strafdossier is “zoekgeraakt”. Vast staat dat er nu veel geïnvesteerd moet worden om bijvoorbeeld dictator Kim Jong-un / Chol-pak van Noord Korea in het gareel te houden omdat zijn grootvader ook Urenco atoomgeheimen heeft gekocht om atoombommen mee te maken.
Gelukkig vindt het VNO dat bedrijven hun verantwoordelijkheid moeten nemen. Zie
http://www.vno-ncw.nl/SiteCollectionDocuments/Forumartikelen/forum_1510_bedrijfsspionage.pdf