Criminaliteit is veranderd, zegt Marianne Junger, hoogleraar Cybersecurity aan de Universiteit Twente. Zij onderzoekt al meer dan vijftien jaar de menselijke factor in cybersecurity en ziet hoe digitalisering het speelveld heeft verschoven: inmiddels vindt zo’n 80% van alle fraude online plaats.
Forse cijfers, en toch blijft ze optimistisch. “We weten wat werkt”, zegt ze. De oplossing ligt volgens haar niet alleen in betere beveiliging, maar vooral in samenwerking. “In de jaren negentig hebben we met gezamenlijke preventie de criminaliteit op straat teruggedrongen. Dat lukte omdat overheid, bedrijven en burgers samenwerkten. Precies dat moeten we nu online herhalen.”
“De technologie achter fraude verandert, de psychologie blijft hetzelfde”
“De ontwikkelingen gaan razendsnel”, vertelt Junger. “Toen wij in 2011 onderzoek deden bij de politie, was ongeveer 40 procent van de fraude online. Tegenwoordig ligt dat rond de 80 procent.” Ook de vormen van fraude maken een ontwikkeling door, illustreert zij met een voorbeeld: “Jaren geleden probeerden we in een test mensen te misleiden met valse QR-codes. Niemand trapte erin – we waren te vroeg. Inmiddels zie je dat criminelen QR-codes plakken op laadpalen voor elektrische auto’s, en dat mensen daar wél intrappen.”
Je moet dus constant alert blijven. Tegelijkertijd blijven de psychologische principes achter fraude hetzelfde: “Fraudeurs zetten mensen onder druk, gebruiken tijdsdruk om iemand te pushen iets te doen. Dat is al jaren hetzelfde.” Volgens Junger draait het daarom niet alleen om technische oplossingen, maar ook om kennis van menselijk gedrag. “Als je weet hoe oplichters werken, herken je sneller de signalen. En dat maakt je weerbaarder.”
Video: Marianne blikt terug op preventieve aanpak jaren ’90
“Kennisdeling is essentieel voor preventie”
Junger benadrukt dat cybersecurity een interdisciplinair veld is. Natuurlijk moeten technische problemen worden opgelost, maar uiteindelijk gaat het ook over communicatie en gedrag.”
Ze richt zich met haar onderzoek op preventie: hoe kun je mensen trainen en beter informeren om ze weerbaarder te maken? “Algemene waarschuwingen helpen niet”, zegt ze. “‘Let op’ is te algemeen. Mensen moeten weten wáár ze precies op moeten letten. Dat betekent dat je ze ook moet informeren over de specifieke vormen van fraude die bestaan.”
“Iedereen is kwetsbaar”
Volgens Junger denken veel ondernemers dat het hen niet zal overkomen. “Veel mensen hebben het idee dat het wel meevalt, maar incidenten komen in alle sectoren voor. Er zijn gerichte aanvallen, maar ook veel willekeurige. Malware zoekt voortdurend naar kwetsbaarheden.”
Zelfs kleine bedrijven lopen risico. “De kans dat je slachtoffer wordt, is groter dan dat je met brand te maken krijgt,” zegt ze. “En de schade is groot. In de praktijk blijkt dat ondernemers veel meer verliezen dan ze denken. Niet alleen data, maar ook vertrouwen. Als klantgegevens op het dark web belanden, moet je dat melden. Dat schaadt je reputatie. Kijk naar recente datalekken, bijvoorbeeld bij medische onderzoeken. Dat is pijnlijk, gênant en heeft blijvende gevolgen voor het imago van een organisatie.”
Video: Wordt u zelf nog wel eens verrast door nieuwe vormen van fraude?
“Fraudebestrijding is iets van de hele samenleving”
Om die reden pleit Junger voor samenwerking. “Banken, overheid en bedrijven moeten informatie delen. Fraudeurs gaan systematisch te werk: eerst proberen ze bank A, dan bank B, dan bank C. Zolang informatie niet wordt gedeeld, blijven ze vrij spel houden.”
Ze verwijst naar de jaren negentig, toen criminaliteit op straat afnam door een brede aanpak. “Toen hebben we gezegd: de samenleving is medeverantwoordelijk. Winkeliers, burgers, iedereen nam zijn deel. De traditionele criminaliteit daalde dankzij betere beveiliging: startonderbrekers in auto’s, stevigere sloten, verbeterde huisbeveiliging.
Diezelfde denkwijze moeten we nu toepassen op online criminaliteit. Als overheid, bedrijven en burgers samen verantwoordelijkheid nemen, kunnen we de trend keren. Het vraagt wel samenwerking op alle niveaus.”
“Nederland mist een centrale coördinatie”
In landen als Engeland en Australië bestaan al organisaties die fraudebeleid coördineren. “In Nederland ontbreekt dat nog”, zegt Junger. Volgens haar is dat nodig omdat preventie een groot verschil maakt. “Sinds 2016 nemen bedrijven steeds meer maatregelen, en de slachtoffercijfers gaan omlaag. Dat helpt. Het is nooit honderd procent, maar de kans op incidenten neemt echt af.”
“De dreiging verandert snel”
Wat haar nog steeds verrast, is de snelheid van verandering. “Met AI is zoveel mogelijk. Je kunt stemmen nabootsen, gezichten namaken. Dat is schokkend en ook wel eng”, zegt ze.
Daarom pleit ze voor realisme én voorzichtigheid. “Vijf jaar geleden was het nog leuk om alles online te zetten. Nu zeg ik: hoe minder je deelt, hoe beter. Universiteiten, bedrijven, iedereen moet daar bewust mee omgaan.”
Video: Bent u voor een verplichte verzekering voor organisaties?
“Preventie helpt, dat is bewezen”
Ondanks alle dreigingen sluit Junger hoopvol af. “Preventie helpt”, zegt ze. “Sinds bedrijven structureel maatregelen nemen, is het aantal slachtoffers gedaald. Je kunt iets doen om je te beschermen, en dat werkt.”
Tips van Marianne voor ondernemers
-
Train en informeer medewerkers. Zorg dat iedereen in het bedrijf weet hoe hij verdachte berichten of situaties herkent en meldt.
-
Breng kwetsbaarheden in kaart. Kijk kritisch naar je organisatie: werk je veel met e-mail, telefoontjes of bezoekers? Hoe opener je bent, hoe groter het risico.
-
Investeer preventief, niet pas na een incident. Cyberveiligheid werkt als een verzekering: je hoopt dat je het nooit nodig hebt, maar als het misgaat, ben je blij dat je het hebt geregeld.
-
Wees zuinig met persoonlijke informatie online. Hoe minder gegevens openbaar zijn, hoe kleiner de kans dat ze worden misbruikt.
-
Wees alert op onverwachte verzoeken. E-mails, telefoontjes of QR-codes die urgentie oproepen zijn vaak verdacht. Twijfel is gezond: controleer eerst, klik later.
-
Neem basismaatregelen zoals up-to-date systemen, sterk wachtwoordenbeleid, tweestapsverificatie, regelmatige back-ups etc.