next.checkt: ‘Cybercrime kost Nederland jaarlijks zeker 10 miljard’

0 Posted by - 1 mei, 2012 - Nieuws, NRC Next
Beeld: Bruno Mallart

BERICHT VAN TNO, 10 APRIL. OVERGENOMEN DOOR ONDER MEER HET ANP

ongefundeerd

TAMAR STELLING
nrc.next | 1 mei 2012 | p. 2 & 3

De aanleiding

TNO kwam op 10 april met het bericht dat cybercriminaliteit Nederland op jaarbasis minstens 10 miljard euro kost. TNO vermoedt dat de werkelijke kosten zelfs een factor 2 tot 3 hoger liggen. Persbureau ANP nam het TNO-bericht over en niet lang daarna verscheen het op de websites van onder andere de Volkskrant, Telegraaf, AD, Het Parool, RTL Nieuws, Powned en nu.nl. Waar komt dit hoge bedrag vandaan, vraagt lezer Wim de Jong zich af.

Interpretaties

In februari 2011 bracht de Britse advies- en technologiefirma Detica in opdracht van de Britse overheid het rapport The cost of cyber crime uit dat een inschatting maakt van de totale omvang van cybercriminaliteit in Groot-Brittannië. Dit rapport schat de cyberschade die Britten jaarlijks ondervinden op zo’n 33 miljard euro, waarvan grofweg 26 miljard euro voor rekening van het bedrijfsleven komt, 3 miljard voor de overheid en 4 miljard voor de burger.

Detica definieert cybercriminaliteit in dit rapport als: „Het uitbuiten van kwetsbaarheden in de bediening van het internet en andere elektronische systemen om illegaal toegang te krijgen tot informatie en diensten die gebruikt worden door burgers, bedrijven en de overheid, of om deze aan te vallen. De activiteiten worden ondernomen voor financieel gewin. Misdaden die een doorslaggevend financieel motief missen, of aanvallen van cyberterrorisme of cyberoorlogsvoering worden uitgesloten.’

TNO schoeide Detica’s cijfers naar Nederlandse leest en kwam zo op een totaal van 10 miljard euro cyberschade of meer, waarvan 75 procent voor rekening van het bedrijfsleven, 15 procent voor de overheid en 10 procent voor de burger.

Hoe is er gemeten?

Hoe het omrekenen precies is gedaan, kan TNO niet zeggen. Het lijkt alsof TNO de cijfers uit het Detica-rapport globaal door drie heeft gedeeld, misschien omdat het bruto binnenlands product van Nederland ongeveer driemaal zo klein is als dat van Groot-Brittannië. TNO heeft Detica’s onderverdeling in bedrijven, overheden en burgers in een percentage van de totale schade omgezet. Dat percentage heeft TNO op basis van gegevens van Ernst & Young, de KLPD, Govcert.nl en Eurostat een paar procent naar boven of beneden bijgesteld voor de situatie in Nederland. Het is niet duidelijk of alle door TNO gebruikte bronnen cybercrime hetzelfde definiëren.

En, klopt het?

Het is de vraag hoe betrouwbaar het Detica-rapport is. Hoogleraar informatiebeveiliging Peter Sommer van de London School of Economics zei in het Britse blad Information Age dat het rapport echt harde cijfers ontbeert. Zaken als reputatieschade zouden verder bijna niet te kwantificeren zijn. „Hoe bereken je een verloren zakelijke kans?” Eerder die maand schatte beveiligingssoftwarebedrijf Symantec de schade van webcriminaliteit voor Groot-Brittannië over 2011 nog op slechts 2,3 miljard euro – veel lager dan Detica.

Verder is onduidelijk of en hoe deze cijfers te vertalen zijn naar de Nederlandse situatie. TNO zegt mede hierdoor niet uit te kunnen sluiten er toch nog enkele miljarden naast te zitten en spreekt van ‘verkennend onderzoek’, zoals ook Detica zelf al deed.

We kunnen bijvoorbeeld aannemen dat criminelen wereldwijd slagvaardiger zijn in het Engels dan in het Nederlands. Dat geeft vormen van internetcriminaliteit zoals phishing in Groot-Brittannië alvast meer kans van slagen. Hoe kom je dan van Engelse phishingcijfers naar Nederlandse? Problematisch is ook de nadruk op het woord ‘illegaal’ in Detica’s definitie van cybercrime. Niet alles wat illegaal is in Groot-Brittannië is ook illegaal in Nederland. Zo is in Nederland het downloaden van auteursrechtelijk materiaal niet verboden – alleen het verspreiden. In Groot-Brittannië mag beide niet. TNO maakt dus een grove schatting, gebaseerd op een grove schatting.

Verder sluit Detica’s definitie bepaalde vormen van cybercrime gewoon uit. Denk aan cyberoorlogen, die wel degelijk om financieel gewin gevoerd kunnen worden. Of aan ‘hacktivisme’, dat weliswaar vooral draait om protest en lol, maar bedrijven flink schaadt.

Een van de weinige beschikbare harde schadecijfers over cybercrime in Nederland is afkomstig van de Nederlandse Vereniging van Banken (NVB). De NVB spreekt over 2011 van 35 miljoen euro schade door internetfraude en 39 miljoen door skimmen. Zouden alle andere sectoren samen écht 135 keer meer schade hebben geleden dan de banken, terwijl zij juist een hoog risico op cybercrime lopen?

Conclusie

Detica’s rapport ligt in eigen land onder vuur omdat het bureau zich niet baseert op harde cijfers, maar op niet-transparante schattingen. Op basis van dit rapport maakte TNO een eigen reeks niet-transparante schattingen. TNO geeft zelf toe dat er zodoende de nodige haken en ogen aan de bevindingen zitten.

TNO’s schatting van de schade door cybercrime van 10 miljard euro per jaar zou verder betekenen dat het enige harde Nederlandse cijfer dat wél beschikbaar is – dat van de banken, 74 miljoen euro schade over 2011 – 135 keer zo klein is als het totaal. Dat is voor een sector die zoveel risico loopt wel een heel gering deel. De bewering dat cybercrime Nederland minstens 10 miljard per jaar kost, beoordelen we daarom als ongefundeerd.