De verzamelnaam 'computerfraude' wordt gebruikt voor alle vormen van fraude waarbij het gebruik van een computersysteem een belangrijke voorwaarde is voor het slagen ervan. Voor alle duidelijkheid: het woord fraude wordt gebruikt als iemand zichzelf of een ander door middel van bedrog bevoordeelt: oplichting, verduistering, spionage en gegevensdiefstal zijn daarbij veel gebruikte middelen om het doel te bereiken.

Het frauderen in of met computersystemen, bijvoorbeeld het zonder toestemming toevoegen of veranderen van betalingsopdrachten of het kopiëren van bedrijfsgegevens, staat juridisch op gelijke voet met de vormen van fraude die we al langer kenden, zoals oplichterij.

Computerfraude staat meestal niet alleen: het gaat samen met andere vormen van criminaliteit. Vaak gaan andere strafbare feiten eraan vooraf (bijvoorbeeld computervredebreuk) en wordt tijdens de fraude ook nog schade toegebracht aan computergegevens of programma's.

Vervelend genoeg is dat uw eigen computergebruikers het grootste gevaar betekenen. Zij zijn het beste op de hoogte van hun (en uw) eigen computersysteem en van de beveiligingsmaatregelen. Het kennisniveau van de gemiddelde computergebruiker is de laatste jaren sterk gestegen, waardoor het voor veel gebruikers gemakkelijker is geworden fraude te plegen.

Computersystemen zijn een stuk gebruiksvriendelijker en dus toegankelijker geworden. Vrij gemakkelijk kan de werknemer op zijn eigen werkplek, voor zijn directe omgeving in de normale 'werkhouding', onopvallend de computer voor fraude aanwenden, waarbij de computer juist bij het tijdrovende doorzoeken van allerlei mogelijk interessante gegevens van grote betekenis kan zijn. Hij hoeft niet meer op een voor hem ongewone plek door papieren (bijvoorbeeld administratieve) bescheiden te wroeten op zoek naar wat hij nodig heeft!

Daar komt bij dat, waar vroeger een collega een controlerende taak had, tegenwoordig veel controles door computers worden uitgevoerd, die op het waarnemen van onvoorspelbare, subtiele afwijkingen nu eenmaal niet zo goed zijn ingericht.

Fraude levert per definitie voordeel op voor de fraudeur, bijna altijd in de vorm van geld. Het slachtoffer van fraude lijdt dus even zo vaak verlies. Fraude met behulp van computers kan veel grotere schade veroorzaken dan 'ouderwetse' fraude zonder computergebruik.

Meestal bestaat een rechtstreeks verband tussen een bedrijfsfaillissement en misbruik van het bedrijfsinformatiesysteem. Daar komt nog bij dat de indirecte schade bij computerfraude ook zeer hoog kan oplopen: vaak worden logbestanden of systeemprogramma's gewijzigd om de fraude te verhullen, hetgeen aanzienlijke schade met zich mee kan brengen.

Wanneer loopt u als beheerder extra veel kans op computerfraude?

  • Als u een zeer groot onoverzichtelijk computersysteem beheert.
  • Als u een zeer klein computersysteem beheert: vanwege de vaak gebrekkige ervaring van beheerders van zeer kleine systemen, maar ook vanwege de nonchalance die vaak ontstaat als mensen elkaar al jaren kennen.
  • Als u de uitvoerende en controlerende taken rond het beheer van uw computersysteem niet goed heeft gescheiden.
  • Als u alle controles op het gebruik van uw systeem autonoom zonder menselijke tussenkomst laat uitvoeren. Na bovenstaande uitleg behoeft dit geen betoog.
  • Als u de beveiliging van het door u beheerde computersysteem als een statisch proces beschouwt, en niet als een dynamisch proces dat voortdurende zorg en oplettendheid vereist. (Weet u zeker dat uw back-up procedures nog passen bij de huidige status van uw systeem?)
  • Als er met behulp van het door u beheerde computersysteem rechtstreeks financieel gewin valt te behalen.
  • Als de professionaliteit van de gebruikers van uw systeem op een laag niveau ligt (en dan gaat het niet over hun technische kennis).

Welke maatregelen kunt u als beheerder nemen ter voorkoming, signalering en afhandeling van computerfraude?

Ter voorkoming van computerfraude kunt u:

  • de computerruimte met computerapparatuur en documentatie afgrendelen en/of bewaken;
  • de toegang tot de computersystemen via het netwerk op adequate wijze beveiligen;
  • deugdelijke scheidingen aanbrengen tussen uitvoerende en controlerende functies,
  • jobrotation zoveel mogelijk toepassen
  • een deugdelijk stelsel van autorisatieniveaus invoeren, gebaseerd op toegang uitsluitend tot die gegevens die nodig zijn voor de taakuitvoering (en niet op basis van hiërarchie alleen!).
  • onregelmatige, onaangekondigde controles uitvoeren om uw greep op de beveiliging te vergroten
  • het te beveiligen volume zo klein mogelijk houden door verouderde computergegevens en computerprogramma's te vernietigen;
  • gegevens over uw computerbeveiliging vertrouwelijk behandelen. Dit wil zeggen:
    • dat u deze gegevens goed afgesloten moet bewaren,
    • alleen ter inzage mag geven aan daartoe officieel bevoegde medewerkers,
    • na veroudering deugdelijk moet vernietigen,
    • gesprekken erover alleen mag voeren als afluisteren niet mogelijk is.
  • af en toe het menselijke, ervaren 'boze oog' laten rondkijken in de relevante te controleren loggegevens;
  • de professionaliteit van uw gebruikers verhogen door regelmatige training en motivering;
  • het geheel aan maatregelen vastleggen in een beveiligingsplan, onder auspiciën van het hogere management.

Ter signalering van computerfraude kunt u:

  • regelmatig (dagelijks?) logfiles en audittrails bekijken op afwijkende of onverklaarbare elementen;
  • meekijken met verdachte handelingen door de log van de gebruikte commando's te volgen;
  • uw gebruikers motiveren en instrueren waar ze op moeten letten om frauduleus handelen in hun omgeving waar te nemen en hoe ze moeten handelen indien zij ermee in aanraking komen.

Ter verdere afhandeling van computerfraude kunt u:

  • de hierboven genoemde loggegevens of audittrails vastleggen, zodat de handelingen van de verdachte kunnen worden gereconstrueerd. Vergeet niet een op papier vastgelegde verdachte log van de nodige administratieve gegevens te voorzien (datum, plaats, tijd, aanwezigen, e.d.) en met uw handtekening te waarmerken, om latere verwarring te voorkomen;
  • snel de van te voren afgesproken handelingen verrichten en contacten leggen (computerbeveiligingsfunctionaris, directie, CERT-NL, politie, collega's van andere organisaties), zoals die hopelijk in het beveiligingsplan zijn vastgelegd.

Politiesites