ERNST & YOUNG FOKT HET ONVEILIGHEIDSGEVOEL OP
Als we onderzoek van Ernst & Young interpreteren dan zijn er jaarlijks in Nederland tenminste 65.000 aangiften van computercriminaliteit. De helft van alle bedrijven wordt geteisterd door inbraken en schade door virussen, zegt E&Y. De politie weet van niks, letterlijk.
Niet minder dan 31 procent van de grote bedrijven die met computerkraken en virussen te maken kreeg heeft daarvan aangifte gedaan, volgens Ernst & Young in de ICT Barometer. Deze is samengesteld op grond van een enquête ("hallo, wij doen onderzoek naar...") van Interview NSS. Van het totale aantal getroffen bedrijven deed 19 procent aangifte.
ECP.nl, een ICT-club met de nadruk op e-commerce, bracht dit op donderdag 10 juli 2003 naar buiten, want het paste goed in de kraam van de bewustwordingscampagne inzake 'kwetsbaar internet.
Toen pakte Netkwesties de zakjapanner en internet erbij en sloeg aan her rekenen.
Dan moet je eerst bij het CBS zijn, waar een schatkamer aan cijfers beschikbaar
is zodra je de sleutel hebt gevonden. CBS telt het aantal
bedrijven in Nederland: 690.000 bedrijven eind 2002.
De helft meldt zich als slachtoffer: 345.000 bedrijven. Daarvan doet 19 procent aangifte: 65.500 aangiften, en nog meer als per bedrijf er meer dan een aangifte wordt gedaan per jaar. Dat lijkt aan de hoge kant, maar wie weet, misschien misten we een trend nu het slecht gaat met het een deel van het bedrijfsleven: aangifte doen voor computerinbraak om verzekeringspenningen te innen.
Dus belden we met het KLPD in Driebergen, waar men uiterst behulpzaam is maar geen centrale statistieken kent. We moeten bij de verschillende korpsen zijn.
We beginnen in Amsterdam-Amstelland. Daar is weinig tijd voor antwoorden op vervelende vragen, een goed teken. De woordvoerder: u kunt het op internet zien.
Na enige zoeken bij korps Amsterdam-Amstelland
stuiten we op het jaarverslag 2002 van dit korps. In de uitgebreide staatjes komt computercriminaliteit niet voor. Er staan trouwens 9.000 aangiften van bedrijven in. We bellen terug naar de voorlichter:
"Er zijn zeker wel aangiften van computercriminaliteit. Of dat in de duizenden loopt kan ik niet zeggen. Vanmiddag bel ik terug."
Ondertussen kun je via Politie.nl naar andere korpsen gaan. Op de site van korps Hollands Midden staat na veel zoeken wel een jaarverslag. Dit korps vindt publicatie van tabellen niet nodig. In het hele verslag geen aandacht voor computercriminaliteit.
Bij Brabant Zuid-Oost staat geen jaarverslag en eigenlijk vind je nergens cijfers in verslagen terug over computercriminaliteit, ofschoon het onderwerp wel schaars wordt aangeroerd.
Het volgende station is op aanraden van een woordvoerder, het Nederlands Politie Instituut dat goed is in de informatievoorziening. Daar moet je eigenlijk niet zijn. Daarna volgt het ministerie van Justitie dat online geen cijfers heeft over computercriminaliteit. De woordvoerder bevestigt dat die ontbreken bij het ministerie.
Maar Justitie is zo vriendelijk ons te wijzen op het bestaan van het CBS. In Statline staan ook de aangiften bij de politie waaruit
blijkt dat er 1,8 miljoen aangiften zijn gedaan. We
jeremiauwen maar niet over het oplossingspercentage van de misdaad - dan valt
het met de veiligheid op internet nog wel mee - maar zoeken naar computercriminaliteit.
Die categorie is non-existent.
De woordvoerder van regio Amsterdam-Amstelland heeft het voor Netkwesties helemaal
uitgezocht en komt met het verlossende woord en zelfs meer dan dat:
"Er zijn geen cijfers bekend, want we registreren computercriminaliteit niet apart."
Waarom niet?
"Het is geen aparte categorie. Meestal wordt het onder fraude of oplichting weggeschoven. Het is een nieuw fenomeen, he..."
Politiekorpsen zijn alle uitgebreid met computerrechercheurs, krijgen die dan wel de aangiften op hun bureau?
"Jawel, als zaken onderzocht moeten worden en er is computercriminaliteit in het geding dan komt het daar ook wel terecht."
Niet alledaags
Bij landelijk 65.000 aangiften schatten we dat in Amsterdam het tenminste om 5.000 aangiften moet gaan. De voorlichter spreekt van 'niet alledaagse aangifte', wat gemiddeld letterlijk minder dan 365 per jaar betekent. Maar dat mogen we zo niet vaststellen. "We weten het echt niet, ik kan echt geen cijfers verstrekken."
Cijfers over computercriminaliteit kunnen politie en justitie niet verschaffen. Daarmee kunnen we het aantal van Ernst & Young niet toetsen.
Ondertussen belde Netkwesties met Ernst & Young voor een nadere uitleg, met onze
getallen. In eerste instantie ontkent het bedrijf bij meerekenen de genoemde
absolute aantallen niet.
Later volgt de verklaring:
"Het gaat in feite niet alle bedrijven, maar enkel om de ICT-uitgeruste bedrijven waar computersystemen een belangrijke rol spelen. Dan moet je uitgaan van de bedrijven met meer dan vier werknemers, want bij het totaal zitten bedrijven zonder computers maar ook de inactieve BV's. Dan kom je op 140.000."
Dit laatste is nergens in het onderzoek genoemd. Het gaat om het volgende: "Het onderzoek maakt deel uit van de `EY Leadership' programma's van Ernst & Young en is uitgevoerd door Interview NSS onder ruim 890 directeuren, managers en professionals."
E&Y claimt niet dat het onderzoek representatief is, maar doet wel stellige uitspraken. Zo weten de onderzoekers wel dat de schade in 2002 in totaal 185 miljoen euro heeft bedragen voor het bedrijfsleven. Dit cijfer neemt het ANP klakkeloos over, en siert vandaag en morgen vele krantenpagina's, want het gaat erin als koek als je enkel komkommers te eten krijgt op redacties.
Maar waar komt nu die 185 miljoen euro vandaan? Ernst & Young wordt niet vrolijk
van de nieuwsgierigheid van Netkwesties maar werkt wel mee aan het audit van
haar onderzoekers. Er komt een staatje.
Daarin staat het aantal gederfde arbeidsuren per categorie bedrijven, naar omvang. De details zullen we u besparen op eentje na zo dadelijk. Het totaal komt op 4.970.582 uur. Dat is het aantal gederfde uren. "Dat vermenigvuldigen we met het gemiddelde uurloon in Nederland volgens het CBS, 37 euro. Daarmee kom je op 184 miljoen euro, de afronding op 185 miljoen is E&Y vergeven.
Maar dan het detail: in het staatje geeft E&Y ook een cijfer mee voor de categorie bedrijven met 1-4 werknemers. Dat zijn de 560.000 bedrijven die in een mondelinge toelichting buiten het verhaal gehouden moesten worden. Deze categorie, stelt E&Y, heeft 30 procent kans op schade, de gemiddelde schade komt op 14 uur. Dat maakt een totaal van 2,35 miljoen uren. Dat is 47 procent van de totale schade.
De schadecijfers vormen een benadering, dat is op zich onderzoekstechnisch niet fout, maar met deze niet representatieve enquête benadert het onderzoek de status van natte vingerwerk.
Blijft onverlet het aantal van 65.000 aangiften computercriminaliteit volgens Ernst & Young. Eerder al liet Automatisering Gids weten dat er van vervolging van deze misdrijven letterlijk niets was terechtgekomen.
Het is de juiste manier om een verkeerd beeld te schetsen. We zeggen nadrukkelijk
niet dat dit te maken heeft met activiteiten van Ernst & Young in beveiliging.
De definities
Maar heeft nu werkelijk de helft van het bedrijfsleven schade van 'computercriminaliteit'? Welke definities hanteert E&Y van de begrippen. Om die vraag te beantwoorden schakelde Ernst & Young, nog steeds bereidwillig volledige openheid verschaffend, een P.R.-bureau in. Die schreef het volgende:
1. Onder computercriminaliteit wordt in dit onderzoek verstaan de begrippen virussen en hackers. meer in het bijzonder geldt voor deze begrippen de volgende definitie:
Hacker/cracker:
In positieve zin is een hacker een persoon die zwakke plekken op computersystemen of software aantoont, zonder er verder misbruik van te maken. Helaas zijn hackers in de volksmond mensen die op systemen proberen in te breken. Die laatste worden ook wel 'crackers' genoemd, om het onderscheid tussen goede en kwade opzet duidelijk te maken....
Virus...deze definities zijn ontleend aan de begrippenlijst van de waarschuwingsdienst van de rijksoverheid.
2. In het onderzoek gaat het om de beleving van de onderzochte personen: als zij onder een virus verstaan dat het enkel is ontvangen, geldt dat evenzeer als wanneer het virus heeft toegeslagen. de ontvangst kan immers ook al schade met zich meebrengen bij het detecteren en verwijderen van het virus, alvorens het heeft toegeslagen.
3. Wat hacking is in de ogen van de onderzochte personen, daarvoor geldt ook bovenstaand antwoord. Een inval hoeft niet daadwerkelijk effect te hebben gehad, ook een gesignaleerde poging ertoe berokkent overlast en mogelijk schade. Ook hier geldt dat wanneer de onderzochte groep zelf aangeeft hiervan last te hebben gehad, die beleving maatgevend is in de resultaten van het onderzoek."
Slotsom
Nu Netkwesties het onderzoek heeft verricht, moet u zelf de conclusie maar trekken.
Ondertussen zijn miljoenen Nederlanders via de media op de hoogte gesteld van de 'feiten' die Ernst & Young, een gerenommeerde en vertrouwde onderneming, heeft vastgesteld. Die heeft ze overigens niet zelf actief verspreid. Dat deed lobbyclub ECP.nl.
Wellicht dat ECP.nl meent dat dit soort berichten het bewustzijn over veiligheid en beveiliging met computers en internet ten goede komt. Maar het tegendeel wordt bereikt als je je geloofwaardigheid op het spel zet.
[10 juli 2002, Peter Olsthoorn]
