Een laptop tijdens een hackathon, een bijeenkomst van software- en website-ontwikkelaars, om de aanpak van de anti-fraude te verbeteren.
Een laptop tijdens een hackathon, een bijeenkomst van software- en website-ontwikkelaars, om de aanpak van de anti-fraude te verbeteren. © ANP

'Cybercrime kost Nederland jaarlijks 8 miljard'

Een Amerikaans rapport denkt dat de economische schade door hackers wereldwijd even groot is als die van verkeersongevallen en drugshandel. Nederlandse bedrijven onderschatten de gevaren.

De schade valt uiteen in grofweg drie categorieën: diefstal van octrooien, diefstal van andere bedrijfsgeheimen, en tot slot fraude met creditkaarten, bankgegevens en andere persoonlijke data.

Hackers kosten de Nederlandse economie jaarlijks 1,5 procent van het nationaal inkomen. Nederlandse bedrijven zijn nog vaak 'naief' over de omvang van deze dreiging.

De wereldwijde schade door cybercriminaliteit is ongeveer even groot als die door drugshandel en auto-ongelukken, staat in een maandag verschenen rapport van het Amerikaanse Center for Strategic and International Studies (CSIS) en computerbeveiligingsbedrijf McAfee (tegenwoordig onderdeel van chipsfabrikant Intel).

Wereldwijd schatten de opstellers de kosten op zo'n 400 miljard dollar, al tekenen zij daarbij aan dat de data gebrekkig zijn, onder meer doordat digitale inbraken lang niet altijd worden gemeld.

Bankgegevens
De schade valt uiteen in grofweg drie categorieën: diefstal van octrooien, diefstal van andere bedrijfsgeheimen, en tot slot fraude met creditkaarten, bankgegevens en andere persoonlijke data. Naast de diefstal of fraude zelf moeten bedrijven ook kosten maken om het lek in hun digitale defensie te verhelpen.

In Nederland is de schade met 1,5 procent van het nationaal inkomen relatief hoog. Dat komt neer op 8,8 miljard euro. De diefstal van octrooien en ander intellectueel eigendom lijkt de grootste bedreiging, al is het lastig de waarde van die verliezen precies te schatten. 'Ons nationale verdienmodel is in gevaar', zei een agent van inlichtingendienst AIVD vorige week op een internationaal symposium van het Nationaal Cyber Security Center in Den Haag.

'Nederland is een aantrekkelijk doelwit: we hebben de infrastructuur, we hebben de kennis en we zijn als open handelsnatie makkelijk te benaderen.'

Volgens de AIVD worden vooral hightech-bedrijven als Philips en ASML getroffen, alsmede de energie- en chemiesector. 'Veel bedrijven zijn nog te onbewust van de dreiging', aldus 'Maarten', een AIVD-agent zonder achternaam.

Hardnekkige dreiging
De hackers opereren individueel, in criminele bendes of onder de paraplu van de staat, onder meer China en Iran. Deze laatste vorm van cyberspionage wordt wel 'geavanceerde hardnekkige dreiging' (APT) genoemd. Twee weken geleden vaardigden de Amerikaanse autoriteiten voor het eerst een opsporingsbevel uit voor vijf van zulke industriële spionnen uit China, die voor een speciale divisie van het leger werken.

De risico's voor cybercriminelen zijn laag, de opbrengsten hoog

Dave Merkel van beveiliginsbedrijf FireEye

De grens tussen de verschillende soorten daders is vaag: zo zijn er ook westerse hackers die zich als freelancer laten inhuren door buitenlandse mogendheden.

'De risico's voor cybercriminelen zijn laag, de opbrengsten hoog', zegt Dave Merkel van beveiliginsbedrijf FireEye. Volgens hem is 97 procent van de bedrijven geïnfiltreerd door cybercriminelen. 'Je houdt ze niet meer buiten. Je moet accepteren dat ze binnen komen en dan bedenken hoe je je het beste kunt verdedigen.' Een mogelijke strategie is het om de tuin leiden van inbrekers met een 'honingpot' vol nep-bedrijfsgeheimen.

Persoonlijke gegevens
Behalve industriële spionage geniet ook de diefstal van persoonlijke gegevens groeiende interesse van hackers. De afgelopen twee maanden werden onder meer Spotify en eBay doelwit van zulke aanvallen, waarbij gegevens van tientallen miljoenen gebruikers werden buitgemaakt.

Het is vooralsnog moeilijk die data te gelde te maken, schrijft CSIS, maar hackers lijken er in de loop van de tijd wel beter in te worden. 'Soms gebruiken ze de persoonlijke data zelf, soms verkopen ze die aan criminelen die zich specialiseren in het exploiteren.'

Zo zijn van 145 miljoen eBay-gebruikers de wachtwoorden gehackt. Als een slachtoffer elders hetzelfde wachtwoord gebruikt, kan de wachtwoord-dief zich daar als zijn slachtoffer voordoen. De crimineel zou zo bijvoorbeeld onder de naam van het slachtoffer kunnen inloggen op huizenhuursite Airbnb en dan een door hemzelf aangeboden huis kunnen huren voor een torenhoge prijs - het bedrag wordt vervolgens direct van de creditcard van het slachtoffer afgeschreven.