Door Ralph van Os

De laatste tijd is er meer aandacht voor ICT-beveiliging, een onderwerp waar regelmatig over wordt gepubliceerd. Een voor de hand liggende ontwikkeling daar onze samenleving bijna volledig geautomatiseerd is. Dit artikel wil een licht werpen op een nieuwe ontwikkeling. De interesse van criminologen in de beveiliging en dan met name in de ICT-beveiliging.

Criminologie en criminologische kennis ten behoeve van de ICT-beveiliging. Zou deze combinatie iets kunnen toevoegen inzake extra inzichten en daaruit voortvloeiende voordelen. Wat kan toegepaste criminologie bieden in relatie tot de ICT-beveiligingsbranche? Wat wordt er eigenlijk verstaan onder criminologie? Een bekende definitie die voor dit artikel gebruikt zal worden is die van Prof. Dr. W.M.E. Noach ten tijde van zijn hoogleraarschap Criminologie te Djakarta in 1954. Criminologie is:

de wetenschap van de verschijningsvormen, oorzaken en gevolgen van misdaad en wangedrag. (Noach, 1954: 26)

Een leuke bijkomstigheid is dat deze definitie, ondanks de ‘gedateerdheid’ nog steeds actueel is.
Wat is de toegevoegde waarde van criminologie, met de bovenstaande definitie in het achterhoofd? Een vraag die niet zo eenvoudig binnen het korte kader van dit artikel te beantwoorden is. Desalniettemin hoopt dit artikel hier toch een bescheiden invulling aan te geven. Ten behoeve hiervan zal er kort worden ingaan op de diverse in Nederland en het buitenland verrichte onderzoeken en publicaties. Geïnteresseerden met betrekking tot dit onderwerp kunnen contact opnemen met ondergetekende om middels discussies of het bijwonen van een van mijn (hoor)colleges hier verder op in te gaan.
De criminologie biedt een heel spectrum van mogelijkheden om bepaalde patronen in kaart te brengen en verder te onderzoeken. De ‘hackersgroepen’ zijn vanuit dit kader bezien een zeer interessante groep. Deze groep(en) zijn o.a. in de Verenigde Staten, onderwerp geweest van criminologisch onderzoek. Een van de toegevoegde waarden van een empirisch criminologisch onderzoek ligt in de inzichten die men verkrijgt inzake de diverse (extra) mogelijkheden die er zijn om (concrete) informatie te genereren en te filteren. Het verwerken van deze informatie en de verdere criminologische analyse hiervan kan een compleet in- en overzicht geven van deze groeperingen.
Andere criminologische toepassingen liggen in het doen van onderzoek naar de opgelegde strafmaat en aanverwante pakkans. De uitkomst van een dergelijk onderzoek kan zeer interessante en relevante informatie opleveren. Men zou kunnen verifiëren of er strafrechtelijk bezien daadwerkelijk een afschrikwekkende en dus preventie werking, uit voortvloeit.
Bovengenoemde voorbeelden komen voort uit een overkoepelend geheel te weten; ‘de leer der criminologie’.
De toepassing i.e. het gebruik maken van deze gegevens kan worden aangewend voor een compleet vakgebied, van macro-, meso- tot micro niveau.

De belangen van ICT-beveiliging worden tot op de dag van vandaag nogal eens onderschat en miskend. Men gaat in veel gevallen uit van de degelijk- en deugdelijkheid van de soft- en hardware. Iets wat voor de intimi op het gebied van de automatisering en informatiebeveiliging toch beslist not done is. De hoofdbelangen van de ICT-beveiliging zijn kort samen te vatten in onderwerpen als:

• Industriële spionage
  
• Fraude
  
• Vandalisme
  
• Wraak
  
• Eigendom(s), intellectueel et cetera, kwesties.

Van al deze dreigingen, die extern maar ook intern voorkomen, moet een organisatie zich terdege bewust zijn. Iets wat zal blijken uit het gevoerde of te voeren beleid. M.a.w. als een organisatie niets doet om haar gegevens en aanverwante zaken te beveiligen is men zeer onverantwoord bezig. Los van deze morele en maatschappelijke verplichting is er ook van de zijde van de overheid, via o.a. de WPR , de wettelijke plicht om aan minimale eisen te voldoen. ,De ICT-sector kan op velerlei gebied haar voordeel doen met de verkregen criminologische kennis. Criminologisch inzicht kan ICT-organisaties helpen met het maken van keuzes. De meest gebruikte ‘tool’ op ICT-beveiligingsgebied is ‘de Code voor Informatiebeveiliging’. Het merendeel van de ICT-beveiligingsplannen wordt geschreven met de ‘code’, de daarin vermelde adviezen et cetera, in het achterhoofd. Met de verkregen criminologische informatie kan er doelgericht een onderscheid worden gemaakt in de diverse te nemen beveiligingsmaatregelen. Een organisatie kan bijvoorbeeld de 10 meest rendabele maatregelen nemen, waardoor men van een ‘breed ICT-beveiligingsplan’ tot een ‘maatwerk-ICT-beveiligingsplan’ komt.
Laten wij kijken naar een typisch criminologisch iets als het daderprofiel. Via dit profiel zou een gemiddelde ICT-organisatie een ‘bepaalde’ selectie kunnen maken. Daarnaast kan een ICT-organisatie bij het opstellen van haar beveiligingsplannen dit profiel gebruiken als norm, waarop men een deel van het te voeren beveiligingsbeleid gaat richten. Diverse hiervan afgeleide scenario’s zijn dan denkbaar. Scenario’s inzake interne potentiële dreigingen die resulteren in;

• screening inzake personeelsbeleid,
  en scenario’s inzake externe potentiële dreigingen die resulteren in:
  
• het bestendig maken van van systemen op grond van het verkregen daderprofiel.

De overheid heeft het belang van criminologen en ICT-deskundigen al erkend. Recentelijk plaatste de KLPD in een groot aantal landelijk dagbladen een oproep voor academici met een criminologische achtergrond en een meer dan gemiddelde interesse in ICT-zaken zoals Cybercrime. Het wachten is nu op verdere (h)erkenning en toenadering vanuit de ICT- en andere branches.

De toename van de diverse ICT-beveiligings incidenten rechtvaardigt een nader onderzoek. Het zwaartepunt van zo'n onderzoek ligt in het in kaart brengen van deze incidenten. Een voor de handliggende gedachte is dan die, van het instellen van een criminologisch onderzoek naar de diverse voorvallen die plaats hebben gevonden in Nederland alsmede om deze en nieuwe incidenten nauwkeurig, en permanent, te gaan registreren. Vanuit en met deze gegevens kan een hoop informatie worden gegenereerd. Uit deze informatie zou men conclusies kunnen distilleren waarna men dit beleidsmatig kan distribueren. Vanuit commercieël oogpunt bezien is deze kennis te gebruiken inzake het adviseren, consulteren et cetera.
Om de vraag of criminologisch onderzoek op het gebied van de ICT-beveiliging heeft plaatsgevonden in Nederland te kunnen beantwoorden, is er o.a. contact gezocht met het WODC. Het WODC is bij uitstek de wetenschappelijke informatiebron die van deze en aanverwante gebieden het overzicht, nationaal en internationaal, voorhanden heeft. Op basis van de via het WODC verkregen informatie meen kunnen we constateren dat er in Nederland nog geen empirisch criminologisch onderzoek heeft plaatsgevonden. In het buitenland zijn er wel een aantal, verwante, soms relevante onderzoeken geweest, zoals:

• Database detection methods in criminal investigation (Collins, V. (1995) Computer law and security report jaargang 11, afl. 1 (jan., feb), pag. 2-11 United Kingdom).
  
• Assurance, prevention et security (Ocqueteau, F. (1995) Deviance et societe jaargang 19, afl. 2 (juli), pag. 149-200 België, Frankrijk).
  
• Information security (Piper, F. (1995) Intersec jaargang 5 , afl. 5 (mei), pag. 192-194).
  
• Communications security-now and in the future (Putman, C. and Ritten, D. (1995) Intersec jaargang 5, afl. 4 (april), pag. 138-141).

De aangetroffen onderzoeken in Nederland richten zich wel op beveiligingsvraagstukken maar missen de specifieke criminologische invalshoek. Het gaat hier om de navolgende onderzoeken, bron het WODC, die men heeft gevonden via het hanteren van diverse zoektermen:

• Beveiliging in informatievoorziening: onderzoek op basis van een landelijke enquête (Spruit, M. & Looijen, M. (1995) Informatie jaargang 37, afl. 5 (mei), pag. 328-336).
  
• Informatiebeveiliging: alleen de techniek kan averechts werken (Wernsen, N. (1995) Preventie jaargang 19, afl. 148 (dec), pag. 11-13).
  
• Beheersing informatiebeveiliging (Algemene Rekenkamer, 1995).
  
• De georganiseerde criminaliteit in Nederland: dreigingsbeeld en plan van aanpak. (Ministerie van Justitie (1995) justitieel beleidsplan).

Voor een deel is het gemis van een criminologische invalshoek wel verklaarbaar. Automatisering is al een wereld op zich zelf. Daarnaast is informatiebeveiliging een omvangrijk en complex gebied, ‘een wereld in een wereld’. Vanuit de branche zou men eerst criminologische elementen moeten gaan inbrengen of toetsen. Samenwerking lijkt dan voor de hand te liggen. Dit zou voor beide partijen interessant en rendabel kunnen zijn. Hierbij moeten de ICT-beveiligers hun eigen taken, kennis en kunde, niet onderschatten. De kennis van de ins & outs is iets wat van onschatbare waarde is. Dit in combinatie met de criminologische kennis en invalshoeken, is iets wat kan bijdragen tot het opwerpen van een geduchte barrière die bestand is en blijft tegen de diverse dreigingen waaraan menige organisatie blootstaat. Hier ligt een nieuwe uitdaging en misschien zelfs een nieuw specialisme voor de criminoloog van vandaag en morgen. Zal de toekomst ons, naast de al bekende stromingen van criminologen, een nieuwe soort brengen de Cyber- of ICT-criminoloog misschien?

Ralph van Os, Vanos Recherche Beveiligings Adviesbureau en Vanos Security, is Criminoloog & Security Manager. Tevens is hij als docent Criminologie & Veiligheid verbonden aan de Noordelijke Hogeschool Leeuwarden voor de reguliere HBO opleiding Integrale Veiligheid, onafhankelijke afstudeerrichting van de faculteiten: Bestuurskunde, Economie & Recht. Alsmede als hoofddocent Criminologie & Veiligheid verbonden aan de Vakgroep Criminologie en Veiligheid van de Contractgroep van Inholland Hogeschool.

Criminologie & ICT-Security werd onder andere eerder gepubliceerd in:
Het vakblad Beveiliging http://www.beveiliging.nl, november 2000: Criminologische kennis behoedt ICT-organisaties voor beveiligingsblunders.
&
Het Informatiebeveiliging Jaarboek 2003/2004, juni 2003, Ten Hagen Stam/Wolters Kluwer NV, http://www.ths.nl Hoofdstuk 1.4: Criminologie als vertrekpunt voor informatiebeveiliging.