​Security valt of staat met opvoeding (en onderwijs)

“Hacken is cool. Hacken voor fun dan, gewoon omdat je er dingen mee voor elkaar kan krijgen die anders echt niet lukken of mogen eigenlijk en je scoort makkelijk veel geld.” Aan het woord is een jongere die naar voren komt uit onderzoek naar cyberskills. Een WiFi-blokkerende enkelband gaat hem heus niet tegenhouden.

Hacken is in de ogen van jongeren een indrukwekkende vaardigheid. Meer dan de helft (57 procent) van de jongeren vindt dit, blijkt uit een onderzoek naar cybervaardigheden. Hacken in de verkeerde, cybercriminele zin van het woord blijkt dan ook een verleidelijk pad. Jongeren onder de 25 jaar zijn technisch zeer goed onderlegd, maar ook zeer beïnvloedbaar.

Groeiend generatieprobleem

Ze kijken niet meer op van grootschalige cyberaanvallen en hacks. Ze zijn wel bezorgd, maar vooral nieuwsgierig en soms zelfs bewonderend over dit soort digitale daden. Sommigen willen zich inlaten met dubieuze activiteiten, bijvoorbeeld voor de lol (17 procent), voor clandestiene zaken (16 procent) of voor financieel gewin (11 procent). Een serieus securityprobleem, dat een serieuze aanpak nodig heeft.

“Laten we technologie gebruiken om criminele jongeren te straffen. Een WiFi-blokkerende enkelband is veel beter dan celstraf.” Het lijkt een gek idee van een naïeve tech-fetisjist, maar de bedenker is dat niet. De notie van een WiFi-jammer als strafmaatregel is geopperd door de Britse politietopman Gavin Thomas die daarin een effectiever en ook wel goedkoper middel ziet om criminele jongeren aan te pakken.

Inventiviteit van de ‘dark side’

Dit proefballonnetje van de hoofdcommissaris voor een WiFi-jammer is alleen nogal zinloos. Een dief hou je ook niet tegen met een omgangsverbod op lopers. Namaaksleutels en aanpasbare sleutels zijn immers lang niet de enige manier om sloten open te krijgen. Ouderwetse breekijzers helpen ook en daarnaast is er nog sluwe omzeiling of bedotting van gesloten deuren. Op cybergebied heb je het dan over bijvoorbeeld Ethernet, 4G, of hacking van de WiFi-jammers. De inventiviteit van criminelen en van tech-enthousiaste jongeren kent haast geen grenzen.

Bewijs voor deze innovativiteit van de ‘duistere zijde’ duikt met grote regelmaat op. Zie bijvoorbeeld de centrale rollen van 17- tot 20-jarigen in de recordbrekende DDoS-aanval door het Mirai-botnet. De daders daarachter zijn nu opgespoord door omvangrijk uitzoekwerk van onderzoeksjournalist en security-expert Brian Krebs. Hij was zelf slachtoffer van deze enorme aanval, uitgevoerd met hordes gehackte IoT-apparaten.

Nederland doet mee

Krebs is weliswaar een Amerikaanse expert annex doelwit, maar zijn aanvallers zijn internationaal. Net zoals DDoS-aanvallen internationaal zijn en cybercrime in het algemeen. Ook in Nederland komt dit voor, qua aanvallen en qua de daders. Eind januari heeft het gerechtshof in Den Haag twee jongemannen van 25 en 26 veroordeeld tot flinke gevangenisstraffen voor het plunderen van online-bankrekeningen via Android-malware in combinatie met nepbanksites.

Een cybercriminele carrière kan op veel jongere leeftijd al beginnen, ook in Nederland. Zo zijn eind vorig jaar nog vier jongens in de Gelderse stad Lochem aangehouden vanwege DDoS-aanvallen op een school. Eén van de verdachten, die tussen de 14 en 17 jaar oud zijn, zou zelf een website beheren waar anderen dan DDoS-aanvallen kunnen inhuren. Het (katten?)kwaad varieert dus van uitvoeren tot en met faciliteren.

Het verbaast dan ook niet dat Europol recent een internationale actie heeft gecoördineerd om DDoS’ende jongeren aan te pakken. Naast Nederland deden ook landen als Australië, België, Frankrijk, Noorwegen, Spanje, het Verenigd Koninkrijk, Portugal en Zweden mee. De oogst van deze grote operatie was meer dan honderd verdachten en vierendertig concrete arrestaties. De meeste verdachten zijn jonger dan twintig jaar, meldt Europol.

Begint vaak klein

Het hoofd van Europols European Cybercrime Centre (EC3) merkt op de jongeren nu dichter op technologie staan dan ooit tevoren en dat dit de dreiging van cybercrime flink kan vergroten. Het komt vanuit een interesse in IT en begint vaak klein, wat dan leidt naar lichte – of schijnbaar lichte – cybercriminele activiteiten. Een groot deel van het probleem is dat jongeren zich niet bewust zijn van de consequenties. Dit slaat op zowel de impact van hun hackwerk, als op de gevolgen van het cybercriminele pad dat ze vervolgens inslaan.

Het is dus belangrijk om mensen in het algemeen en jongeren in het bijzonder besef bij te brengen. En dat is een kwestie van opvoeding en onderwijs. Wijze lessen geven en die echt over laten komen. Dit omvat ook lessen in hacken, lessen in onze enorme afhankelijkheid van digitalisering en dus onze kwetsbaarheid voor hacken. En lessen van wat wel en niet hoort. Eigenlijk komt dit dus neer op moderne lessen maatschappijleer en ethiek.

Recidivisme en preventie

Gelukkig wordt dit ook beseft door wetshandhavers zoals Europol en politietopman Gavin Thomas, die WiFi-jammers wél een geschikte moderne straf vindt. Hoofdcommissaris Thomas snijdt niet alleen WiFi-blokkering aan, maar heeft het ook over recidivisme. Een eventueel WiFi- of internetverbod moet in combinatie zijn met rehabilitatiecursussen en taakstraffen, pleit de politieprofessional.

Europol benadrukt – net zoals Kaspersky Lab – het belang van voorlichting en preventie, zodat jongeren een beter begrip krijgen en hun tech-talenten aanwenden voor de goede zaak. Zoals juist het ontwikkelen en bieden van bescherming tegen evil hackers, jong en oud. Kortom, cybersecurity is – net als traditionele wetshandhaving en beveiliging – een zaak van opvoeding en onderwijs.

Deze blogpost is geschreven door Martijn van Lom.

[Afbeelding © Tomasz Zajda – Fotolia]