De technische kant van informatiesystemen is in beginsel overzichtelijk, maar de mens is moeilijk te sturen en vaak de zwakke schakel, stelt dr. Jan-Willem Bullee, information risk manager bij Aegon en Knab. De Master Course Cybercrime, Cybersecurity & Risk Management gaat onder meer in op dit aspect van cybercrime. Docent prof. dr. Marianne Junger: ‘Deelnemers schrikken als ze horen hoe gemakkelijk een digitaal delict te plegen is.’
menselijke psychologische processen
De mens is een raar wezen. Of in ieder geval complex, vertelt Jan-Willem Bullee. Hij is information risk manager bij Aegon en was daarvoor promovendus aan de Universiteit Twente. Hij onderzocht het fenomeen social engineering. ‘Omdat de mens veel input via zintuigen binnen krijgt, neemt hij onbewust een shortcut, een manier van informatieverwerking die heel handig is. Loopt iedereen bijvoorbeeld door een rood voetgangersstoplicht, dan is de kans groter dat jij mee gaat, omdat je denkt: “Zij zullen wel weten wat ze doen”. Op die manier geef je de beslissing wat te doen, in feite uit handen aan de groep.'
DE AANPAK VAN CYBERCRIMINELEN
Cybercriminelen maken handig gebruik van dit soort menselijke psychologische processen, stelt Bullee. Mensen laten zich gemakkelijk in de luren leggen en trappen bijvoorbeeld in een phishing mail.
Ze denken “het zal wel goed zijn”.’ En de dader? ‘Die profiteert daar volop van’, vertelt Marianne Junger. ‘Kijk, een crimineel kan het zichzelf gemakkelijk of moeilijk maken. Doe je het moeilijk, dan probeer je een computer te hacken. Doe je het gemakkelijk, dan stuur je een phishing mail. Door het enorme aantal personen naar wie je zo’n mail stuurt, zijn er altijd wel een paar die erop ingaan. Je kunt het zover opschalen als je zelf wilt. Bij hacken is die schaalbaarheid een stuk minder.’
iedereen is online
Wat volgens Junger cybercrime extra interessant maakt, is dat daders en slachtoffers in een digitale wereld anders zijn dan in de echte wereld. ‘Alles heeft een digitaal aspect, want de hele wereld is online. Omdat wij ons aanpassen aan de online omgeving, wordt alles een beetje anders. Dat maakt cybercrime een groot onderzoeksveld waarin nog veel te ontdekken valt. Daders en slachtoffers staan in een andere verhouding tot elkaar. Fysieke afstand speelt bijvoorbeeld geen rol meer.’
Hoe herken ik een cyberaanval?
Als riskmanager wil Bullee Aegon- en Knab-medewerkers bewust maken van deze verschuiving van criminaliteit van de fysieke naar de digitale wereld. ‘Klassieke bankrovers met bivakmutsen hebben plaatsgemaakt voor bijvoorbeeld zenders van phishing mails. Medewerkers van een bedrijf kunnen op deze vorm van cybercrime voorbereid zijn door het te kunnen herkennen en te weten wat de risico’s zijn. Ik licht mijn collega’s daarover voor. Wijs ze op de gevaren.’
De schaamte van het slachtoffer
Wat cybercrime volgens Bullee nog eens extra ingewikkeld maakt, is de schaamte die iemand vaak heeft als hij slachtoffer is geworden van een online delict. ‘Iemand denkt al snel: “Hoe heb ik daar nou op in kunnen gaan?”. Ook bij bedrijven die de dupe worden van bijvoorbeeld ransomware kan dit schaamtegevoel een rol spelen. Zij hadden dit immers wellicht kunnen voorkomen als hun systemen beter op orde waren geweest. Door dit schaamtegevoel worden niet alle delicten gemeld en is er geen goed zicht op de ware omvang van cybercriminaliteit.’
Preventief omgaan met cybercrime
In de Master Course Cybercrime, Cybersecurity & Risk Management worden deelnemers zich bewust van de grootte van het probleem en wat ze qua preventie kunnen doen. Junger: ‘Alle aspecten die in het echte leven spelen, spelen ook online, dus schetsen we een breed beeld waarin we onder meer ingaan op de juridische kant van de zaak, maar bijvoorbeeld ook de forensische en economische. Natuurlijk brengen we ook casuïstiek in. Deelnemers schrikken als ze horen hoe gemakkelijk een digitaal delict te plegen is. Des te relevanter is het dat ze handvatten krijgen om risico’s goed in kaart te brengen en preventiemaatregelen te nemen. Want achteraf de dader te pakken te krijgen is bij cybercrime een stuk lastiger dan in het echte leven.’