Het nieuwe stelen

Een computer aan de straat, floppies in een
gehuurde auto, patientengegevens volgelvrij, een
USB stick kwijt over Afganistan, en nu verliest
men weer informatie in Afganistan.  Iedereen
spreekt er schande van, disciplinaire maatregelen
worden genomen, oekazes afgekondigd, beterschap
beloofd, maar het helpt geen zier.  Een paar
voorbeeldjes.  Deze maand verloor een lid van het
Zuid-Afrikaanse leger een USB stick.  Op de stick
stond vertrouwelijke informatie over
geldtransporten door de lucht.  De Verenigde
Naties vereisen daarvoor een maximum van 5000
dollar om kapingen te voorkomen.  Uit de
documenten bleek dat men die grens 57 maal had
overschreden:  maar liefst 285000 dollar aan
soldij was via een tripje met een VN-vliegtuig
vervoerd.  Terwijl je in Zuid-Afrika gewoon per
SMS kunt bankieren.

Deze maand bleek dat Unisys een computer kwijt
is.  Daarop staat medische verzekeringsinformatie
van 18000 Amerikaanse oorlogsveteranen.  Denk aan
naam, adres, woonplaats, sofi-nummer, welke
verzekeraar, en claim informatie.  Veteranen
vragen zich af hoe Unisys hun informatie kan
bezitten.  Voor hen is IT-outsourcing een
onbegrijpelijk verhaal: hun privacy-gevoelige
informatie zomaar bij anderen stallen?  Een
ongehoord idee!  Ze zijn niet alleen: "Companies
that have offshore jobs need to reflect on their
decision and the assumption that cost savings
benefiting them and their shareholders outweigh
consumer confidentiality and confidence"
verkaarde een vakbondsman naar aanleiding van het
bericht dat een Engelse journalist via een
offshore call-center voor 5000 dollar van 1000
mensen persoonlijke bankrekeninggegevens had
gekocht waaronder toegangscodes, adressen, en
paspoortgegevens.

In mei van dit jaar werd ingebroken bij een data
analyst van het departement van veteranen zaken,
en werd een laptop plus externe disk
buitgemaakt.  Daarop stonden gegevens van tussen
de 17.5 en 26.5 miljoen mensen, met inbegrip van
1.1 miljoen actieve militairen, 430000 nationale
gardisten, en 645000 reservisten.  Naam, adres,
woonplaats, sofi-nummer, soms gegevens over
partners zo voor het grijpen.  Het modelnummer
werd vrijgegeven en een beloning van 50000 dollar
uitgeloofd.  Dat leidde eind juni tot
inlevering van de spullen bij de FBI.

Er leven grote zorgen onder de getroffenen dat
deze inbraak tot identiteitsfraude kan leiden.
Er zijn nog geen tekenen van te bespeuren, maar
uit voorzorg komt er een jaar gratis krediet
monitoring voor de slachtoffers.  Men denkt nu
dat dat 160.5 miljoen dollar gaat kosten.  En
dat monitoren is geen luxe maatregel.
Identiteitsfraude is in de Verenigde Staten al
een plaag.  In 2005 alleen al 686683 klachten
over identiteitsfraude en identiteitsdiefstal.
Maar dat is het topje van de ijsberg: een
onderzoek in 2003 leert dat "almost 10 million
Americans have discovered that they were the
victim of some form of ID Theft within the last
year".

En wat kan men zoal doen met de identiteit van
een ander?  In 26% van de gevallen gaat het om
creditcardfraude, 18% telefoonfraude, 17%
bankfraude, 12% werk-gerelateerde fraude, 9%
overheids-gerelateerde fraude, 5% leenfraude, en
25% overig, plus nog 6% waar het bij een poging
blijft.  Wat moet je je nu bij
creditcardfraude voorstellen?  Die 26% is
opgedeeld in categorieen:  in 15.6% lukt het om
een nieuwe creditcard aan te vragen.  Op jou naam
de bloemetjes buitenzetten!  Daarom merkt 43% van
de slachtoffers binnen een maand dat er iets
grondig mis is, maar ja dan is het al te laat.
Bij telefoonfraude moet je ook in deze richting
denken.  Van die 18% is maar liefst de helft van
de gevallen ten behoeve van een nieuw mobieltje.
Gratis bellen op jou naam!  Bij bancaire fraude
lukken nieuwe accounts minder goed.  Maar het
lukt wel om electronisch geld weg te sluizen, of
bestaande rekeningen te plunderen.

Identiteitsfraude is lucratief.  Uit onderzoek
blijkt dat in de Verenigde Staten met een
gestolen identiteit gemiddeld 10200 dollar
verdiend wordt aan nieuwe accounts, "slechts"
2100 met bestaande accounts, en gemiddeld over
alle fraudetypes 4800 dollar, wat in totaal
neerkwam op 47.6 miljard dollar in 2003.  Daar
zit 5 miljard betaald door slachtoffers bij;
gemiddeld per slachtoffer 500 dollar.  Dat is
exclusief de tijd die het je ook nog eens kost.
Denk bij nieuwe accounts aan gemiddeld 60 uur
werk om het ongedaan te maken, bij bestaande
accounts aan 15 uur om uit te leggen dat je niet
plots koopziek bent geworden, gemiddeld over alle
soorten is het 30 uur, en in totaal 297 miljoen
uur worstelen met creditcard-maatschappijen,
telecom-providers, banken, de belastingdienst, en
meer.

Hoe kom je nu aan die gegevens?  In 25% van de
gevallen is diefstal van portefeuilles,
agenda's of de post in de VS de manier geweest om
de identiteit te stelen.  Echter, de helft van de
mensen had geen idee hoe degenen die hun
identiteit misbruikten aan hun gegevens was
gekomen.  Een soort virtueel zakkenrollen dus:
zonder dat je er erg in hebt worden je gegevens
gelift en daarmee je geld afhandig gemaakt.
Daarom is de privacy van onze persoonlijke
gegevens zo cruciaal, en moet onze digitale
identiteit stringent bewaakt worden.  Ook al heb
je niets te verbergen!

Ik ben benieuwd of we hier eerst ook miljarden
schade moeten lijden wegens identiteitsfraude
voordat de bescherming van onze gegevens
werkelijk tot topprioriteit wordt verheven.
Totnutoe is er weinig hoop, gegeven een recent
radioverslag over de levendige illegale handel in
prive-gegevens.  Informatiemakelaars leveren
zonder problemen informatie over saldo's, geheime
telefoonnummers, kentekens, arbeidsverleden,
schulden, uitkeringen, strafblad.
Advocatenkantoren, banken, verzekeraars, en
overheid lijken gebruik te hebben gemaakt van de
diensten.  Het nieuwe stelen komt eraan!

X

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica 
aan de Vrije Universiteit in Amsterdam.  Hij
schrijft maandelijks een column in AG II.  hij is
te bereiken via email:  x@cs.vu.nl.  Deze tekst is 
copyright SDU.  Niets van deze uitgave mag zonder
schriftelijke toestemming van de uitgever worden
overgenomen of worden gepubliceerd.