Over fraude is de laatste tijd al veel te doen geweest, men denke aan de recent gehouden parlementaire enquête en overige, justitiële, onderzoeken met betrekking tot: de bouwfraude, de HSL-lijn, Schiphol et cetera. Dit artikel zal, in het kader van een nieuwe serie artikelen over fraude en fraude gerelateerde zaken, ingaan op nieuwe vormen van fraude beter bekend onder de naam en noemer computerfraude alsmede een overzicht verschaffen omtrent de laatste stand van zaken. De komende edities van ons vakblad zullen verder belichten welke andere fraudevormen zich zoal de laatste jaren voordoen of voor hebben gedaan, waarbij er tevens aandacht zal zijn om deze vormen vanuit een criminologisch perspectief toe te lichten.

Door R.N.R. van Os

Voordat we komen bij de kern van dit artikel, computerfraude, is het zaak om te kijken naar hoe computerfraude kan ontstaan, welke vormen er zoal zijn, alsmede wat wij onder computerfraude kunnen verstaan.

Computerfraude is de moderne variant, i.e. directe afgeleide, van de aloude en klassieke bekende verschijningsvorm van criminaliteit genaamd fraude.
(Van Os, 2002b & 2003)

Fraude en fraudekwesties zijn vaak nogal complexe zaken. Althans deze worden vaak als complex gezien en of gemaakt. Voor een goed inzicht in deze materie is het noodzakelijk om dit terrein af te bakenen. Middels het gebruik van een aantal definities en voorbeelden zal dit worden ondervangen. Wat kan men zoal verstaan onder fraude? Een goede definitie is moeilijk te vinden. Dit omdat het probleem met betrekking tot fraude gelegen is in het feit dat fraude een aantal zaken verenigt i.e. overschrijdt. Elementen van fraude i.e. frauduleus gedrag zijn echter wel te formuleren. Fraude bestaat o.a. uit een combinatie van de termen en begrippen; bedrieglijk, onder valse voorwendselen, met het oogmerk zich te bevoordelen et cetera. Men zou op basis van deze termen als frauduleuze handeling kunnen definieren:

Een handeling waarbij men gebruik maakt van valse voorwendselen, in combinatie met het al dan niet ge-(mis)bruik maken van hulpmiddelen en of apparatuur, met het doelmerk om zich op basis van deze bedrieglijke gegevens ten koste van anderen te bevoordelen i.e. te verrijken.
(Van Os, 2003)

Bovenstaande definitie geeft goed aan op welke punten de term fraude grensoverschrijdend is. Direct gekoppeld hieraan is het feit dat de term fraude niet als juridisch geclassificeerd vermeld staat in het wetboek van strafrecht. Juridisch gezien wordt fraude dan ook meestal omschreven als een combinatie van handelingen zoals: valsheid in geschrifte, oplichting, diefstal et cetera. Een ander zeer actueel probleem, zeker met de verdere eenwording van Europa is dat fraudekwesties zich ook massaal in internationaal verband voordoen. Iets was blijkt uit zowel de voor artikel gebruikte rapportages en verslagen. De diverse bronnen en hun organisaties constateren allen een stijging inzake (computer)fraude, blijkens onderstaande grafieken en tabellen.

Ook vanuit Europees oogpunt heeft men aandacht voor de problematiek omtrent fraude, iets wat gerechtvaardigd wordt door de onderstaande tabellen uit de jaarverslagen 2002 en 2003 van Eurojust te Den Haag.

Waarbij opvallend genoeg statistisch gezien het jaar 2003 een daling laat zien, van 30% (2002) in Europa naar 22%!

Grote ondernemingen in Europa lijden bij elkaar ongeveer € 3,5 miljard schade door fraude en diefstal door eigen werknemers. Ongeveer 43% van de grote bedrijven heeft te maken gehad met fraude.

In Nederland ligt dat percentage op zo’n 38% en 22% (Van Os, 2004a & PWC, 2003) voor kleinere bedrijven. Het is zorgwekkend dat veel ondernemers fraude nog altijd als een probleem zien dat weliswaar belangrijk is, maar dat niet bij hen voorkomt.

‘fraude, waarbij de bedrieglijke middelen bestaan uit manipulaties van computer programma’s of –gegevens. Hieronder vallen ook toegangsgevens en in de computer vastgestelde bevoegdheden’
(Charbon & Kaspersen, 1990: 30)

Computerfraude bestaat uit een combinatie van de al eerder in dit artikel vermelde traditionele vorm(en) van fraude aangevuld met een aantal specifieke, gedigitaliseerde kenmerken. Als aanvulling op het ontbreken van een wettig kader inzake fraude heeft de wetgever per 1 maart 1993 een wet ingevoerd, de Wet Computercriminaliteit, die behaalde zaken (helder) be(om)schrijft alsmede de opsporende instanties bepaalde (extra) bevoegdheden toedicht. Overigens ligt er al reeds, sedert een aantal jaren (!) een ingediend wetsvoorstel: wetvoorstel Computercriminaliteit II, welke naar ik begrepen heb ter eind advies en beoordeling bij de Raad van State ligt. Na de ratificatie van voornoemd voorstel zal er in het licht hiervan een nieuwe publicatie inzake computerfraude en de gevolgen hiervan verschijnen. Feit is dat de overheid de problemen met betrekking tot computerfraude en gerelateerde zaken serieus neemt. Sedert 5 juni 2002 heeft men GOVCERT.NL, wat staat voor het Computer Emergency Response Team, opgericht. Deze Nederlandse overheid organisatie biedt ondersteuning aan de overheidsinstellingen op het gebied van preventie en afhandeling van ICT-gerelateerde veiligheidsincidenten, zoals computervirussen, hacker-activiteiten en fouten in applicaties en hardware. Tevens is GOVCERT.NL voor de overheid het centrale meld- en coördinatiepunt voor relevante veiligheidsincidenten en adviseert, coördineert, monitort en informeert men over beveiliging van ICT. GOVCERT.NL is een initiatief van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en in die hoedanigheid ondergebracht bij de Stichting ICTU, de ICT-uitvoeringsorganisatie van de overheid.
,Door de steeds snellere ontwikkelingen op het gebied van de automatisering, de al eerder vermelde verdere toenemende digitalisering van onze samenleving, ontstaan er nieuwe vormen van criminaliteit. Los van de discussie met betrekking tot alsmede of deze vormen nieuw zijn of niet, is het een voldongen feit dat er steeds meer middelen zijn die voor meerdere zaken, dan waarvoor deze van origine bestemd waren, gebruikt worden. Met name dit laatste lijkt een van de oorzaken te zijn die (kunnen) leiden tot computercriminaliteit en computerfraude.

Deze digitalisering, de opmars van het gebruik van deze moderne automatiserings middelen, het koppelen van de interne-, intranetten, & externe netwerken van (grote) bedrijven aan het internet, zorgen diverse verschuivingen! Het is dan ook niet verwonderlijk dat het aantal incidenten toeneemt.

Zoals PriceWaterHouseCoopers, gebaseerd op hun Europese onderzoek, het Economic Crime Survey 2001, het eerste Europese onderzoek op dit gebied, toen al constateerde nemen (computer)fraude zaken een steeds prominentere plaats in in onze moderne samenleving! De ondervermelde cijfers spreken voor zich.

42,4 % van de grote Europese bedrijven werden in de voorgaande twee jaar getroffen van het eerste onderzoek (2001) getroffen door fraude

In Nederland lag dit percentage in de voorafgaande periode van het eerste onderzoek in 2001 op 38,3% voor grote bedrijven en 22,8% voor kleinere bedrijven.

63% van de Europese respondenten vermelde dat het om eigen personeel bleek te gaan, tevens bleek uit dit onderzoek dat het geraamde gemiddelde schadebedrag per bedrijf € 15,1 miljoen is voor grote bedrijven >5000 werknemers en € 3,1 miljoen voor de kleinere bedrijven. Ook opmerkelijk uit dit onderzoek zijn de feiten dat maar 65% van de respondenten aangifte deed, alsmede dat deze incidenten voor 58% toevallig werden ontdekt!

Het tweede PriceWaterHouseCoopers, ditmaal wereldwijd verricht (!), onderzoek, het Economic Crime Survey 2003, leverde de navolgende nieuwe gegevens op.

Is uw organisatie de afgelopen twee jaar getroffen door een van de volgende vormen van fraude?

Ten opzichte van de onderstaande geconstateerde gegevens uit 2001 versus de bovenvermelde nieuwere mondiale gegevens blijkt dat bij een aantal hierin vermelde gelijke gegevens, deze zich op minder grote schaal, tot geheel niet, zich hebben voorgedaan, ondanks de vrees hiervoor.

In Mondiaal opzicht geeft 47% van alle respondenten aan dat fraude werd ontdekt dankzij de interne of externe controlefunctie. Het percentage voor Nederland ligt aanzienlijk lager 38%. Het is opvallend te noemen dat fraude in Nederland in verreweg de meeste gevallen, 56%, bij toeval werd ontdekt. Dit percentage wijkt overigens niet veel af van het percentage dat in 2001 van toepassing, te weten 58%, voor alle West-Europese landen. Als we echter kijken naar de resultaten van dit wereldwijde onderzoek, dan ontstaat er een ander beeld. Het aantal respondenten dat zegt bij toeval fraude te hebben ontdekt bedraagt dan: 32%. Aangetekend dient nog te worden dat een combinatie van factoren er vaak de oorzaak van zijn dat fraude wordt ontdekt. Natuurlijk zijn er genoeg systemen, op het gebied van controle en risicomanagement, welke fraude (kunnen) detecteren. Edoch deze functioneren vaak pas optimaal bij meldingen van, in- of externe, accountants of klokkenluiders. Op basis van het voornoemd PWC onderzoek uit 2003 scoort Nederland in Mondiaal opzicht slecht op het gebied van het hebben van een adequaat antifraudebeleid.

Met bovenvermelde gegevens in het achterhoofd is het interessant om terug te kijken naar eerder beschikbaar (onderzoek) materiaal inzake deze materie. Het boek computercriminaliteit in Nederland (1990) geeft een goed overzicht van wat er toen (al) speelde. Men constateerde toen nog niet veel computerfraudekwesties, maar wel al een ander opmerkelijk gegeven. Namelijk dat als er sprake was van computerfraude dit gepaard ging met fikse schades/schadebedragen! Iets wat eigenlijk het laatste decennium van de vorige eeuw in relatie tot het heden niet tot weinig is veranderd…

Andere rapporten, van enige jaren terug, Fraude en het Internet (1999) van de SMVP, lieten zien welke trends er zoals verwacht werden; focus op betalingsverkeer via het Internet en het risico op fraude; creditcardfraude; goederen aanschaf in het buitenland (belastingfraude) et cetera. Naar het zich aan liet zien is veel van wat men hierin beschreef grotendeels bewaarheid geworden.

Fraude vormen, zoals computerfraude kunnen enkel plaatsvinden als organisaties geen rekening houden met de vele veiligheids- en beveiliging risico’s die er zoal zijn. Het zich hiervan bewustzijn, in de vorm van security awareness, is dus en blijft één van de (aller)eerste vereisten.

Daarnaast dient er ook ruime aandacht te zijn en te blijven voor normen en waarden, tegenwoordig in menige organisatie terug te vinden onder de modernere benamingen (bedrijfs) ethiek, integriteit, coparate values en complaince. Mooie benamingen maar welke normen en waarden gelden er zoal binnen een organisatie, de formele en de informele zo deze er überhaupt al zijn? Worden deze nageleefd, wie is hiervoor verantwoordelijk, inclusief de gescheiden controle hierop. Een nieuwe ontwikkeling is de rol van de zogenaamde klokkenluiders. Iets waar veel over te doen is en waar menige (grote) organisatie rekening mee dient te gaan houden, getuige onderstaande figuur.

Tot slot is en blijven permanente controle en zaken als functiescheiding specifiek punten van voortdurende aandacht, wie controleert wie en wanneer, wat zijn iemand zijn of haar bevoegdheden et cetera.. Iets wat, om een recent voorbeeld te noemen, in de Rotterdamse haven met de voormalige directeur Scholten geheel uit de hand bleek te zijn gelopen. Of wat verder in het recente verleden, de roemruchte kwestie omtrent de Engelse Baring Bank. In beide voornoemde kwestie dacht men de zaken goed voor elkaar te hebben. De realiteit bleek echter van een geheel andere aard te zijn.

Zoals de vermelde cijfers in dit artikel laten zien, door de jaren heen en in relatie en vergelijking met de Europese en Mondiale statistieken, is er nog veel in Nederland op het gebied van fraudepreventie – en bestrijding voor verbetering vatbaar zo niet noodzakelijk. Middels nieuw, en voor zover mogelijk permanent, (wetenschappelijk) onderzoek dient er gekeken te worden naar de meest recente ontwikkelingen. Op basis van de verkregen kennis en inzichten kan men prognoses bijstellen, verder ontwikkelen en mogelijkerwijs adequaat nieuw beleid ontwikkelen. Waarbij de insteek zou moeten zijn om dit zowel gezamenlijk, publiek-privaat, alsmede op Europees zo niet Internationaal niveau aan te pakken. Op deze wijze wordt het de potentiële fraudeur(s) effectief onmogelijk gemaakt zich op en ten koste van anderen te verrijken.

Bron: Os, van R.N.R. (2005) Februari 2005, Beveiliging nummer 2, 18e jaargang, Artikel p.32-37 (achtergrond):Computerfraude kan ook uw organisatie treffen

Auteur: R.N.R. van Os MA CSS RSE, HBO Docent criminologie en veiligheid Thorbecke Academie, Noordelijke Hogeschool Leeuwarden & Directeur-eigenaar van Vanos Recherche Beveiligings Adviesbureau, Vanos Security.