Door Ralph van Os

Over fraude is de laatste tijd al veel te doen geweest, men denke aan de recent gehouden parlementaire enquête met betrekking tot de bouwfraude en aanverwante zaken. Dit artikel zal ingaan op nieuwe vormen van fraude beter bekend onder de naam en noemer ‘computerfraude’alsmede berichten over de laatste stand van zaken hieromtrent.

Voordat we komen bij de kern van dit artikel, computerfraude, is het zaak om te kijken naar hoe computerfraude kan ontstaan, welke vormen er zoal zijn, alsmede wat wij onder computerfraude dienen te verstaan.

Computerfraude is de moderne variant, i.e. directe afgeleide, van de aloude en klassieke bekende verschijningsvorm van criminaliteit genaamd fraude.

Fraude en fraudekwesties zijn complexe zaken. Althans worden vaak als complex gezien en of gemaakt. Voor een goed inzicht in deze materie is het noodzakelijk om dit terrein af te bakenen. Middels het gebruik van een aantal definities en voorbeelden zal dit worden ondervangen. Wat kan men zoal verstaan onder fraude? Een goede definitie is moeilijk te vinden. Dit omdat het probleem met betrekking tot fraude gelegen is in het feit dat fraude een aantal zaken verenigt i.e. overschrijdt. Elementen van fraude i.e. frauduleus gedrag zijn echter wel te formuleren. Fraude bestaat o.a. uit een combinatie van de termen en begrippen; bedrieglijk, onder valse voorwendselen, met het oogmerk zich te bevoordelen et cetera. Men zou op basis van deze termen als frauduleuze handeling kunnen definieren:

Een handeling waarbij men gebruik maakt van valse voorwendselen, in combinatie met het al dan niet ge-(mis)bruik maken van hulpmiddelen en of apparatuur, met het doelmerk om zich op basis van deze bedrieglijke gegevens ten koste van anderen te bevoordelen i.e. te verrijken.

Bovenstaande definitie geeft goed aan op welke punten de term fraude grensoverschrijdend is. Direct gekoppeld hieraan is het feit dat ‘fraude’ niet als juridisch geclassificeerd i.e. vermeld staat in het wetboek van strafrecht. Juridisch gezien wordt fraude dan ook meestal omschreven als een combinatie van handelingen zoals er zijn: valsheid in geschrifte, oplichting, diefstal et cetera.

Met deze achtergrondinformatie richten wij ons op de moderne verschijningsvorm, computerfraude. Een omschrijving van computer-gerelateerde fraude is te vinden in Computercriminaliteit in Nederland uit 1990:

‘fraude, waarbij de bedrieglijke middelen bestaan uit manipulaties van computer programma’s of –gegevens. Hieronder vallen ook toegangsgevens en in de computer vastgestelde bevoegdheden’,Computerfraude bestaat uit een combinatie van de eerder vermelde traditionele vorm(en) van fraude aangevuld met een aantal specifieke, gedigitaliseerde kenmerken. Als aanvulling op het ontbreken van een wettig kader inzake fraude heeft de wetgever per 1 maart 1993 een wet ingevoerd, de Wet Computercriminaliteit, die behaalde zaken (helder) be(om)schrijft alsmede de opsporende instanties bepaalde (extra) bevoegdheden toedicht.

Door de steeds snellere ontwikkelingen op het gebied van de automatisering, de digitalisering van onze samenleving, ontstaan er nieuwe vormen van criminaliteit. Los van de discussie met betrekking tot of deze vormen nieuw zijn of niet, is het een gegeven feit dat er steeds meer middelen zijn die voor meerdere zaken, dan waarvoor deze van origine bestemd waren, gebruikt worden. Met name dit laatste lijkt een van de oorzaken te zijn die (kunnen) leiden tot computercriminaliteit en computerfraude.

Deze digitalisering, de opmars van het gebruik van deze moderne automatiserings middelen, het koppelen van de interne-, intranetten, & externe netwerken van (grote) bedrijven aan het internet, zorgen diverse verschuivingen! Het is dan ook niet verwonderlijk dat het aantal incidenten toeneemt.

Volgens PriceWaterHouseCoopers, gebaseerd op hun Europese onderzoek, European Economic Crime Survey 2001, het eerste Europese onderzoek op dit gebied, nemen (computer)fraude zaken een steeds prominentere plaats in in onze moderne samenleving! De cijfers spreken voor zich.

• 42,4 % van de grote Europese bedrijven werden de afgelopen twee jaar getroffen door fraude

In Nederland lag dit percentage op:

• 38,3 % voor grote bedrijven &
  
• 22,8 % voor kleinere bedrijven

63% van de respondenten vermelde dat het om eigen personeel ging en tevens bleek uit dit onderzoek dat het geraamde gemiddelde schadebedrag per bedrijf € 15,1 miljoen is voor grote bedrijven >5000 werknemers en € 3,1 miljoen voor kleinere bedrijven. Ook opmerkelijk uit dit onderzoek zijn de feiten dat maar 65% van de respondenten aangifte doet, alsmede dat deze incidenten voor 58% toevallig werden ontdekt!

,Met bovenvermelde gegevens in het achterhoofd is het interessant om is te gaan kijken naar eerder beschikbaar (onderzoek) materiaal inzake deze materie. Het boek computercriminaliteit in Nederland (1990) geeft een goed overzicht van wat er toen speelde. Men constateerde toen nog niet veel computerfraudekwesties, maar wel al een ander opmerkelijk gegeven. Namelijk dat als er sprake was van computerfraude dit gepaard ging met fikse schades/schadebedragen!

Andere rapporten, van wat recentere datum, Fraude en het Internet (1999) van de SMVP, laten zien welke trends er zoals verwacht werden; focus op betalingsverkeer via het internet en het risico op fraude; creditcardfraude; goederen aanschaf in het buitenland (belastingfraude) et cetera.

Op basis echter van het meest recente laatste rapport van PriceWaterHouseCoopers uit 2001 lijkt het alsof zowel de overheid als het bedrijfsleven zich niet de moeite getroosten om kennis te nemen van al deze zeer interessante en meestal nuttige adviezen.

Fraude, en dan met name in deze context computerfraude kan enkel plaatsvinden als organisaties geen rekening houden met de vele beveiliging en overige, al dan niet gerelateerde, risico’s die er zoal zijn. Awareness is dus een eerste vereiste.

Daarnaast dient er ook ruime aandacht te zijn voor normen en waarden. Welke normen en waarden gelden er zoal binnen een organisatie, de formele en de informele. Zijn deze er überhaupt wel? Worden deze nageleefd, wie is hiervoor verantwoordelijk, inclusief de controle hierop. Wat doet de organisatie als men fraude constateert? Doet met aangifte et cetera.

Controle en functiescheiding vormen ook een specifiek punt van aandacht, wie controleert wie en wanneer. Men denke aan de Baring Bank. Ook daar had men, zo dacht men, de zaken goed voor elkaar.

Deze gegevens in combinatie met een specifiek onderzoek naar de diverse doelstellingen en gelieerde (bedrijfs)belangen, geven voldoende mogelijkheden om adequaat en preventief met dit soort (mogelijke) incidenten en aanverwante zaken om te gaan.

Daarnaast is er vanuit zowel de pragmatische als empirische disciplines van het security management diverse materiaal beschikbaar. Het is nu aan de overheid en het bedrijfsleven, liefst gezamenlijk opererend om hieraan (blijvend) een passende invulling te geven.

Ralph van Os, Vanos Recherche Beveiligings Adviesbureau en Vanos Security, is Criminoloog & Security Manager.

De status quo op het gebied van computerfraude: een overzicht werd onder andere eerder gepubliceerd in het vakblad Beveiliging.