ICT-docent Jos Tieman sjouwt een bak met apparatuur naar het lokaal waar hij over een halfuurtje zijn vak Security gaat geven. „Hier zitten allemaal mooie spullen in, alles waarmee je kan hacken”, zegt hij. Het is dinsdagochtend en de derdejaars studenten van de mbo-opleiding ict aan Aventus in Deventer leren in zijn les hoe ze deze hacktools kunnen gebruiken. Want als de leerlingen zich gedragen als een kwaadaardige hacker, kunnen ze gaten in het netwerk van een bedrijf vinden én dichten, zo is de gedachte.
Tieman laat zo’n hacktool zien, een klein kastje dat lijkt op een router, een kastje dat wifi-signalen verdeelt. „Dit kan alles nabootsen, bijvoorbeeld de wifi-verbinding in een Starbucks. Dan denk je dat je verbonden bent met de wifi van de koffietent, maar eigenlijk ben je verbonden met mij. En dan kan ik al jouw gegevens stelen.”
Maar voor de studenten aan de slag kunnen met dergelijk materiaal, moeten ze eerst een overeenkomst ondertekenen. Daarin verklaren ze dat ze de apparaten uitsluitend gebruiken voor educatieve doeleinden in het kader van hun ict-opleiding. En dat ze de apparaten niet mogen gebruiken voor „illegale, immorele, onethische of schadelijke activiteiten”.
Afgelopen maandag publiceerde kennisinstituut WODC de tweejaarlijkse Monitor Jeugdcriminaliteit waaruit blijkt dat een op de tien Nederlandse minderjarigen zegt zich het afgelopen jaar weleens schuldig te hebben gemaakt aan cyberdelicten of gedigitaliseerde misdrijven. Bijvoorbeeld WhatsApp-fraude, DDoS-aanvallen of hacken. Het aantal jongeren dat cyberdelicten zegt te plegen, is volgens de onderzoekers opvallend hoog in vergelijking met het aantal jongeren dat vervolgd of veroordeeld wordt voor deze vorm van criminaliteit, namelijk 0,01 procent.
We reageren anders op criminaliteit met schermen, ook omdat we de slachtoffers niet meteen zien
Politieman Wouter Klijnsoon, teamleider van het landelijke daderpreventieteam cybercrime, herkent de resultaten uit het WODC-onderzoek. Hij ziet dat veel jongeren en hun ouders heel anders tegen cybercriminaliteit aankijken dan tegen traditionele misdaad. Dat komt doordat het motief bij cybercrime soms geen economisch gewin is, maar prestige, of juist het goede denken te doen. „Geen enkele overvaller van een tankstation doet dat om de beveiliging te testen, maar sommige hackers hacken wél om die reden.”
Verschil in reactie
Maar ook de reactie van de maatschappij op digitale delicten is anders, vertelt Klijnsoon. Op een leerling die een baksteen door de ruit van een school gooit, wordt volgens hem veel heftiger gereageerd dan op iemand die probeert de school online aan te vallen, door bijvoorbeeld de website op zwart te krijgen. Dan is de reactie meer gelaten. „We reageren anders op criminaliteit met schermen, ook omdat we de slachtoffers niet meteen zien.”
Jongeren, zegt Klijnsoon, beginnen vaak klein: een videospel manipuleren waardoor je sneller kan winnen. Daarna inloggen op de deurbel met camera van de buurman, of een kleine website plat leggen. „Als dat tot succes leidt, vervagen de grenzen of kunnen ze geronseld worden door anderen om echt serieuze cybermisdrijven te plegen.”
De groep jongeren die met kleine delicten begint heeft lang niet altijd criminele intenties. Daarom is daderpreventie in sommige gevallen een doeltreffender middel dan het vervolgen en voor de rechter brengen van daders. Alle tien politie-eenheden hebben iemand in dienst die zich bezighoudt met interventies rond cybercrime. Zo wordt geprobeerd risicogroepen op het rechte pad te houden. De politie richt zich vooral op jongeren die zich bezig houden met ict, omdat zij verleid kunnen worden door cybercriminelen om hun kennis te misbruiken.
Jongeren zoals in de mbo-klas in Deventer.
De studenten op mbo-school Aventus leren in de praktijk hoe verschillende vormen van cybercriminaliteit werken. Bedrijven kunnen de leerlingen bijvoorbeeld in de toekomst vragen om een zogeheten pentest uit te voeren, ofwel ‘penetration’ test. Dan vraagt een bedrijf aan een cybersecurityspecialist om zijn digitale systemen aan te vallen, om te controleren of de beveiliging op orde is. Vervolgens vertelt zo’n specialist aan het bedrijf wat de zwakke plekken zijn en hoe die gerepareerd of versterkt kunnen worden.
De 31-jarige student Jeroen van der Peppel gaat gniffelend op zijn plek zitten. Een van zijn medestudenten had zijn laptop onbemand achtergelaten. „Ik heb snel zijn achtergrond aangepast, je moet nooit je laptop open laten staan in een IT-klas”, zegt hij lachend. Naast hem zit de 19-jarige Mees Froom. Ook een laptop die wél vergrendeld is zou hij zo binnen kunnen komen, zegt hij. „Er is altijd een manier.”
Lees ook
Jeugd niet zo crimineel, alleen wel in cyberspace
De school probeert de balans te bewaken tussen wat studenten leren over het omzeilen van digitale beveiliging, en wat ze daar vervolgens mee doen. Sectordirecteur Petjo Molenaar herinnert zich dat studenten in een les werden uitgedaagd om de pasjes van docenten te kopiëren. Toen dat was gelukt, gebruikte een van de studenten zo’n gekopieerd docentenpasje om gratis koffie te halen – iets dat alleen met een docentenpasje kan. Daarna deelde hij die koffie uit aan medestudenten.
De student vond niet dat hij iets had gestolen van de school, omdat hij de koffie had weggegeven. Uiteindelijk besloot de school een nieuw passensysteem te introduceren. „Wij hopen onze studenten op het rechte pad te houden, door te laten zien hoe mooi het is als je iemand kan helpen met ‘ethisch hacken’”, zegt Molenaar.
Politie organiseert evenementen
Ook de politie probeert die boodschap uit te dragen, onder meer aan jongeren die nog geen delict hebben gepleegd. Zo organiseren agenten evenementen waar jongeren op af komen die interesse hebben in de digitale wereld. Zo kan de politie onder het gamen met hen in gesprek raken. Sharon Veugen is zo’n interventiespecialist. „Wij weten dat jonge mensen vaak niet in de gaten hebben dat bijvoorbeeld de cijferlijst van hun school bewerken al hacken is en niet mag”, zegt Veugen. Daarom probeert ze zoveel mogelijk in gesprek te komen met jongeren die in de risicogroep vallen. „We hopen dat er via een-op-een-contact een sneeuwbal ontstaat die een mentaliteit bij jonge mensen kan veranderen.”
Gefeliciteerd, dan heb je eventjes winst. Maar als je gepakt wordt, heb je ook een aantekening op je strafblad. Succes met het vinden van een baan
Teamleider Wouter Klijnsoon vertelt dat er tienduizenden jongeren zijn die online zoeken naar informatie over een DDoS-aanval, waarbij internetdiensten gebombardeerd worden met een overdosis webverkeer zodat ze ontoegankelijk worden. Via Google en YouTube koopt de politie meerdere keren per jaar advertenties in, die verschijnen naast filmpjes of webpagina’s over zulke aanvallen. „We zien gewoon in de cijfers dat als dit soort advertenties draaien, het aantal DDoS-aanvallen stagneert”, zegt Klijnsoon.
De politie ziet dat de consequenties van jongeren die digitaal het verkeerde pad op gaan groot kunnen zijn. Klijnsoon: „Je verbaast je hoe snel het kan gaan. Ik heb tieners meegemaakt die op hun zolderkamertje ict-systemen van bedrijven hacken en op die manier tonnen aan losgeld proberen los te krijgen.”
Alternatief straftraject
Als er op forums tips worden gedeeld om te hacken, probeert de politie te achterhalen welke jongeren die tips downloaden. Politiemensen sturen vervolgens brieven en voeren stopgesprekken met de betrokken jongeren én hun ouders. Jongeren die al veroordeeld zijn voor een cyberdelict kunnen een alternatieve straf krijgen, waar ze bijvoorbeeld gekoppeld worden aan iemand die in de cybersecuritywereld werkt.
Dat alternatieve straftraject wordt tientallen keren per jaar opgelegd aan first offenders, mensen die voor het eerst de fout in zijn gegaan. Via evenementen worden honderden jongeren bereikt, de advertenties bereiken tienduizenden jongeren. Al met al een zeer beperkte groep, in vergelijking met het totale aantal jongeren dat vatbaar is voor de verlokkingen van cybercriminaliteit.
Dat onderkent teamleider Klijnsoon. „Binnen de maatschappij en politie moet het besef groeien dat een goede aanpak van cybercriminaliteit betekent dat we veel breder moeten kijken dan alleen naar opsporing en vervolging. Anders blijven we dweilen met de kraan open.”
In de mbo-klas in Deventer zegt iedereen dat ze hun kennis en vaardigheden nooit zouden misbruiken voor kwaadaardige doeleinden. „Je kan alle skills gebruiken voor het goed of kwaad in het leven”, zegt Jeroen van der Peppel. Als je goed bent opgevoed, doe je dat gewoon niet, vindt hij. Zelfs niet als er geld mee te verdienen valt. „Gefeliciteerd, dan heb je eventjes winst. Maar als je gepakt wordt, heb je ook een aantekening op je strafblad. Succes met het vinden van een baan.”