Toon posts:

Beschermende- en risicofactoren in de ICT-sector

Pagina: 1
Acties:

vrijdag 22 oktober 2021 16:08

Acties:
  • 0 Henk 'm!
  • naomi14
  • Registratie: Oktober 2021
  • Laatst online: 23-11-2021

naomi14

Topicstarter
Dag allemaal,

Ik ben momenteel aan het afstuderen voor de masteropleiding Interventiecriminologie aan de Vrije Universiteit Amsterdam. Het laatste jaar merkte ik dat het onderwerp 'cybercriminaliteit' mij steeds meer interesseerde, en besloot over dit onderwerp dan ook mijn scriptie te schrijven.
Vanuit de Criminologie leren wij dat het hebben van een stabiele baan een bescherming biedt voor het plegen van criminaliteit. Dus wanneer iemand in het verleden crimineel gedrag heeft vertoond, is de kans groot dat diegene daarmee stopt wanneer hij of zij een stabiele baan krijgt.
Echter blijkt uit recent onderzoek dat dit niet volledig op lijkt te gaan als het om cybercriminaliteit gaat in de ICT-sector (Weulen Kranenbarg, Ruiter, Van Gelder & Bernasco, 2018). Beter gezegd: het hebben van een functie in de ICT-sector vergroot juist de kans op cyberdaderschap.
Dit vond ik een interessante bevinding, en vroeg mij af of dit ook werkelijk zo is, en welke factoren hieraan ten grondslag zouden kunnen liggen. Zo laat eerder onderzoek b.v. zien dat ICT'ers het risico lopen geworven te kunnen worden door criminelen om hun ICT-skills op illegale manier in te zetten (het hoeft dan nog niet te betekenen dat diegene dan op de hoogte is van het feit dat dit voor illegale doeleinden is) (Bijlenga en Kleemans, 2018).
Voor dit onderzoek heb ik een survey opgesteld die ik verspreid onder personen die werkzaam zijn of stage lopen in de ICT-sector.

Mijn eerste verzoek hierbij is dus: zouden mensen die werkzaam zijn of stage lopen in de ICT-sector mijn enquête in willen vullen? Het kost ongeveer 15 minuten de tijd en is volledig anoniem!

Daarnaast zal ik mijn onderzoeksresultaten ook hier posten als het onderzoek is afgerond. Ik verwacht de enquête rond half/eind november te sluiten. Daarna begint het analyseren en het afronden van het onderzoek, dus het zal enkele maanden duren voordat het onderzoek is afgerond.

Ik ben bovendien heel benieuwd naar jullie mening over dit onderwerp. Denken jullie dat een functie in de ICT-sector een risico kan vormen voor het plegen van cybercriminaliteit? Of denk je dat de ICT-sector juist een bescherming vormt?

Even een disclaimer: omdat er nog zo weinig onderzoek omtrent dit onderwerp is uitgevoerd, richt ik mij op 'bedrijfscybercriminaliteit'. Hierbij kon ik makkelijker aansluiting vinden bij eerdere studies, en eventueel studies met elkaar vergelijken.

De link naar de enquête: https://vuass.eu.qualtrics.com/jfe/form/SV_8xi644EdmIPOzXw

Ik ben benieuwd naar jullie kijk hierop! En voor degene die de enquête hebben ingevuld: hartelijk dank! _/-\o_
Als jullie zelf niet werkzaam zijn in de ICT-sector, maar wel mensen in jullie netwerk hebben die daar werkzaam zijn, aarzel dan niet om deze enquête met hen te delen!

Disclaimer 2: ik heb toestemming voor dit topic gekregen van Ardana

Groetjes,
Naomi

vrijdag 22 oktober 2021 17:08

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Wat is bedrijfscybercriminaliteit? Bedoel je het 'aanvallen' van bedrijven en andere organisaties? Of het bedrijfsmatig exploiteren van foutedingen door partijen zoals Wikipedia: Hacking Team ?

Elders ook al gezegd: het is goed om onderscheid te maken tussen enkele vormen van cybercrime. We gaan hier niet de discussie voeren of en hoeveel schade er is door auteursrechtschending (torrenten van films, software, etc.) maar ik denk dat velen, zeker ook in de ICT, dat minder 'erg' vinden en de drempel daarvan dan ook veel lager zullen hebben liggen dan bijv. een dDoS doen cq. kopen of malware gaan verspreiden.

Aan mijn omgeving denkende denk ik dat velen hebben gedaan aan tenminste 'licht downloaden', althans tot Spotify en Netflix opkwamen. De stap naar - en de consequenties voor het in de ICT werkzaam kunnen blijven - van (black hat) computervredebreuk o.i.d. is een grote stap verder. Althans, ik kan niemand noemen die dat als volwassene nog doet.
Beter gezegd: het hebben van een functie in de ICT-sector vergroot juist de kans op cyberdaderschap.
Is dat causaliteit, of correlatie? Je hebt alleen geld nodig om een dDoS te kopen, maar voor andere zaken heb je toch wel kennis nodig. En als je de kennis hebt, is de kans significant dat je in de ICT kunt werken.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 22 oktober 2021 20:36

Acties:
  • 0 Henk 'm!
  • undisclosed
  • Registratie: December 2004
  • Laatst online: 19-09 16:48

undisclosed

Interessante onderzoekvraag @naomi14! Ik heb je bronnen niet bekeken en weet niet wat je precies waarnaar je op zoek bent, maar toch een paar ((hopelijk opbouwende!) opmerkingen na het doorlopen van de enquête. Die heb ik overigens niet ingediend vanwege onderstaande vragen en opmerkingen.

@F_J_K stelt hier een goede vraag. De enquête gaat ervan uit dat je weet '(bedrijfs)cybercriminaliteit' is, en vooral dat je je ervan bewust bent als je op dat pad begeeft.

Uit je toelichting blijkt dat dat genuanceerder ligt:
naomi14 schreef op vrijdag 22 oktober 2021 @ 16:08:
Zo laat eerder onderzoek b.v. zien dat ICT'ers het risico lopen geworven te kunnen worden door criminelen om hun ICT-skills op illegale manier in te zetten (het hoeft dan nog niet te betekenen dat diegene dan op de hoogte is van het feit dat dit voor illegale doeleinden is)
De vraagstelling sluit daar niet altijd bij aan. Een vraag als "Ik ben van mening dat het goed is om cybercriminaliteit te plegen als het als doel heeft om je productiviteit te verhogen" zal vermoedelijk (hopelijk?!) door iedere respondent met 'Helemaal mee oneens' beantwoord worden. Terwijl bijvoorbeeld de vraag of het aanvaardbaar is om het bedrijfsbeleid ten aanzien van toegang tot een bepaalde gegevensset te omzeilen om zo sneller je werk te kunnen doen onder het mom van "ik weet wat ik doe" of "ik ben de expert, die regels gelden niet voor mij" waarschijnlijk genuanceerdere antwoorden zal opleveren.

Dit is het (begrijpelijke) gedrag - waar je misschien meer dan béwust crimineel gedrag door ICT'ers inzicht in zou willen krijgen - dat openingen creëert voor personen met daadwerkelijk kwaadaardige intenties. Vraag is of je dit soort gedrag niet mist door respondenten expliciet te vragen naar hun mening over crimineel gedrag.

Nog een paar opmerkingen over specifieke vragen(series):
  • De antwoorden bij vragen over bedrijfsbeleid, richtlijnen en controle zouden volgens mij beperkt moeten zijn tot 'ja' (mijn organisatie doet/heeft dat), 'nee' (mijn organisatie doet/heeft dat niet) en (ik) 'weet niet' (of mijn organisatie dat doet/heeft).
  • Vragen als "Ik denk dat vertrouwelijke data van het bedrijf waar ik werk makkelijk toegankelijk is voor mij." zou ik stellen zonder "ik denk". Aannames zijn geen betrouwbaar onderzoeksresultaat, en je doelgroep kan best met enige zekerheid kan zeggen of dit soort gegevens eenvoudig toegankelijk is. Overigens kan ook iets simpels als een e-mailadres een vertrouwelijk gegeven zijn. Wellicht zou je de vraag kunnen uitbreiden met iets als "vertrouwelijke gegevens waarvan het verder verspreiden mijn organisatie schade kan toebrengen" of iets dergelijks.
  • Ik weet niet goed wat de stelling "ik zou mij bewust zijn van de opslaglocaties van specifieke soorten vertrouwelijke data" betekent, en bij de vraag "Hoe vaak heeft u geprobeerd om toegang te verlenen tot het netwerksysteem van uw organisatie, zonder dat u daar expliciete toestemming voor had?" vraag ik me af of je bedoelt 'derden toegang gegeven' of 'zelf toegang gehad'?
Succes verder met het onderzoek!

vrijdag 22 oktober 2021 20:52

Acties:
  • +1 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-09 22:07

MAX3400

XBL: OctagonQontrol

Ik heb de enquete even doorgeklikt (maar niet ingevuld of ingestuurd) maar heb toch enige kritiek op de manier van vraagstellen of, misschien de grondslag, de visie van de opsteller van de enquete op ICT.

"Vertrouwelijke data"; staat nergens gedefinieerd wat dat is. Voor de ene persoon is dat een documentje met de telefoonnummers van directe collega's. Voor de andere is dat het "ultieme" password waarmee je de complete salarisadministratie naar jouw rekening kan sturen.

Cybercriminaliteit: in sommige scenario's (in real life) wordt inderdaad een aktieve collega "gebruikt" als hacker. Juist om de interne systemen te testen / fine-tunen. Dan is die persoon dus aktief cybercrimineel aan het spelen. Maar in de complete stelling is cybercriminaliteit een delict en dus strafbaar?
Dus wanneer iemand in het verleden crimineel gedrag heeft vertoond, is de kans groot dat diegene daarmee stopt wanneer hij of zij een stabiele baan krijgt.
Echter blijkt uit recent onderzoek dat dit niet volledig op lijkt te gaan als het om cybercriminaliteit gaat in de ICT-sector (Weulen Kranenbarg, Ruiter, Van Gelder & Bernasco, 2018). Beter gezegd: het hebben van een functie in de ICT-sector vergroot juist de kans op cyberdaderschap.
Hoe is leeftijd / geslacht / burgerlijke staat een factor naar een crimineel verleden / toekomst? En waarom is het interessant voor de enquete? En veel niet ICT-criminelen komen niet in de ICT aan de bak want voor heleboel (vertrouwelijke) functies krijgen ze geen VOG. En andersom; doordat een VOG en de totale ICT-carriere van iemand afhangt van 1x iets "crimineels doen", zou ik daar wel eens cijfers van willen zien (of neem ze mee in je onderzoek).

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 22 oktober 2021 20:59

Acties:
  • +1 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik ging er van uit dat vertrouwelijk sloeg op de BIV-classificatie. Openbaar, bedrijf/intern, vertrouwelijk, geheim, etc. Dus niet bedrijfs-vertrouwelijk. En dan niet de vertrouwelijke info waar ik vanuit mijn functie mee hoor te werken.

Maar goed, dezelfde vraag geldt natuurlijk evenveel voor bedrijfs-vertrouwelijke info en al helemaal voor geheime info.

[ Voor 0% gewijzigd door F_J_K op 22-10-2021 21:22 . Reden: Typo ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 22 oktober 2021 23:50

Acties:
  • 0 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 17:27

kodak

FP ProMod
Echter blijkt uit recent onderzoek dat dit niet volledig op lijkt te gaan als het om cybercriminaliteit gaat in de ICT-sector (Weulen Kranenbarg, Ruiter, Van Gelder & Bernasco, 2018). Beter gezegd: het hebben van een functie in de ICT-sector vergroot juist de kans op cyberdaderschap.
Dat lijkt me geen juist uitgangspunt. De studie omschrijft de basis van de gebruikte gegevens namelijk als volgt:
This study analyzes longitudinal registration data of all adults who have been at least once suspected of a cybercrime (N = 870) and/or a traditional crime (N = 1,144,740) in the Netherlands
Verdacht zijn is iets anders dan dader zijn of werkelijk betrokken zijn bij een misdaad die onder cybercrime valt. Ik vraag me nu af wat je keuze is om in het onderzoek suggestie te lezen over daderschap.

Daarbij lijkt het onderzoek een zeer onduidelijke definitie te hanteren van verdacht zijn van cybercrime. De onderzoekers vertalen de volgende omschrijving voor mij niet duidelijk naar hoe ze vervolgens aan de dataset en modellen voor vergelijken zijn gekomen. Nog belangrijker lijkt dat er daarbij zelfs geen verklaring gegeven is hoe de verdachtmaking tot stand is gekomen en of die stand hield of onduidelijk is gebleven. En daarbij is de wetgeving gedurende de periode van de dataset gewijzigd.
In the Netherlands, the cybercrimes that have emerged as “a direct result of computer technology” [14] are criminalized under specific articles of Dutch criminal law [34], which were used to determine whether a crime was a cybercrime or a traditional crime
Er lijkt net zo goed te hebben kunnen staan dat de resultaten van het onderzoek hinten op het belang van hoe verdachtmaking bij mogelijke cybercrime tot stand komt in vergelijking tot reguliere criminaliteit. Want zolang er niet duidelijk is of de verdachtmaking redelijk was of zelfs aanleiding was voor vervolging kan het verschil in verdacht worden gemaakt enorm zijn met de omstandigheden over reguliere criminaliteit waar de uitgangspunten over preventief zijn van een professionele leefomstandigheden van aangenomen worden.

Om alvast te voorkomen dat er commentaar komt dat er prima vanuit kan worden gegaan dat er iets vergelijkbaar zou zijn: het gaat er om wat onderzoekers aantonen dat er vergelijkbaar is als ze datasets of modellen selecteren of toepassen. En dat gaat net zo op voor hinten op vergelijking met bestaande veronderstellingen.

zondag 24 oktober 2021 20:44

Acties:
  • +2 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Er zitten veel fouten in de enquete.
Bijvoorbeeld het met regelmaat wijzigen van wachtwoorden is een zeer slechte eigenschap.
Dan krijg je wachtwoord2021q1 en daarna wachtwoord202q2, etc.

Ook is het onmogelijk om als baas/eenmanszaak naar behoren in te vullen.

Verder is huwelijksestaat, geslacht, etc. onvolledig in de huidige polygamide lhbtqi+ samenleving en niet AVG gerechtigd.

Kijk nog even goed wat je doel is van de enquete.

Als white hack crimineel verdien ik wit ook genoeg om crimineel gedrag na te bootsen ;)

Maak je niet druk, dat doet de compressor maar

maandag 25 oktober 2021 06:57

Acties:
  • 0 Henk 'm!
  • Lethalis
  • Registratie: April 2002
  • Niet online

Lethalis

Als iemand die echt te vaak naar Investigation Discovery kijkt: motive (vaak geld) and opportunity (je denkt ermee weg te komen).

Overigens is er nog iets anders aan de hand, maar dat is vooral onderbuikgevoel. Op ID worden heel vaak moordzaken besproken en dan hebben ze een lijst met verdachten die ze 1 voor 1 afgaan.

Ik grap dan altijd tegen mijn vrouw "de IT-er heeft het gedaan" en vaak krijg ik nog gelijk ook.

Mijn gevoel hierbij: er zitten relatief veel mensen met autistische trekjes in de IT. En met een beperkter inlevingsvermogen komen risico's.

Daarmee wil ik uiteraard niet zeggen dat autistische mensen gevaarlijk zijn (ik heb zelf een vorm van autisme), maar dat de kans groter is dat mensen op een dag iets doen zonder de gevolgen volledig te kunnen overzien.

Een ander probleem is dat bepaalde gunstige eigenschappen van een IT-er (nieuwsgierigheid, leergierigheid, etc) er ook toe kunnen leiden dat je dingen gaat uitproberen die niet de bedoeling zijn.

Ask yourself if you are happy and then you cease to be.

maandag 25 oktober 2021 08:32

Acties:
  • 0 Henk 'm!
  • begintmeta
  • Registratie: November 2001
  • Niet online

begintmeta

Moderator General Chat
Ik ben geen ICTer. Ik denk, zoals de auteurs van het artikel dat je aanhaalt, dat het best wel eens zo zou kunnen zijn dat werkzaamheid binnen de ICT, of specifieke ICT-kennis de mogelijkheden voor cycbercriminaliteit vergroot, net als bepaalde andere vakspecifieke kennis of gelegenheden de kans op daaraan gerelateerde criminaliteit vergroot. En dat daarmee ook de kans op het verdacht worden(of ook daadwerkelijk plegen) groter is. Het zou me eerlijk gezegd vreemd lijken als dat niet zo zou zijn.

[ Voor 9% gewijzigd door begintmeta op 25-10-2021 08:34 ]

maandag 25 oktober 2021 10:38

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

begintmeta schreef op maandag 25 oktober 2021 @ 08:32:
net als bepaalde andere vakspecifieke kennis of gelegenheden de kans op daaraan gerelateerde criminaliteit vergroot
Bij een grote drugsvangst is het "altijd" de Douanier.
In een ziekenhuis... (je raadt het al)

Maak je niet druk, dat doet de compressor maar

maandag 25 oktober 2021 11:51

Acties:
  • 0 Henk 'm!
  • insante
  • Registratie: Februari 2009
  • Laatst online: 21:27

insante

MAX3400 schreef op vrijdag 22 oktober 2021 @ 20:52:


Hoe is leeftijd / geslacht / burgerlijke staat een factor naar een crimineel verleden / toekomst? En waarom is het interessant voor de enquete? En veel niet ICT-criminelen komen niet in de ICT aan de bak want voor heleboel (vertrouwelijke) functies krijgen ze geen VOG. En andersom; doordat een VOG en de totale ICT-carriere van iemand afhangt van 1x iets "crimineels doen", zou ik daar wel eens cijfers van willen zien (of neem ze mee in je onderzoek).
Op deze punt ben ik gestopt, want o.a. geslacht en burgerlijke staat lijken irrelevant voor zo'n onderzoek tenzij het een bewuste keuze is. Heb je (@naomi14 ) bronnen die uitwijzen dat zulke data relevant kan zijn voor bedrijfscybercriminaliteit, of voor uitvoeren of identificatie van? Stereotypes kunnen natuurlijk een rol spelen in zo'n onderzoek, want in de meeste films en series zijn het toch 'nerds' en mannen die de hackers/crimineel zijn.

maandag 25 oktober 2021 12:01

Acties:
  • 0 Henk 'm!
  • Kwistnix
  • Registratie: Juni 2001
  • Laatst online: 11:11

Kwistnix

De enquete geeft nu de keuze tussen vaste baan of stage. Nu ben ik zelf ZZP-er, ik weet niet of je daar nog onderscheid in wil maken? Ik heb nu dus maar voor vaste baan gekozen. Daarbij zie ik "het bedrijf waar ik werk", dan maar even als mijn huidige klant. Dat laatste punt zal wellicht ook een dilemma zijn voor mensen die op detacheringsbasis werken; die markt is enorm groot.

Vraag over een vraag:
Het is oké om cybercriminaliteit te plegen voor onderzoeksdoeleinden, omdat het dan voor iedereen voordelen heeft.
Ik neem hier aan dat het echt gaat om criminele activiteiten, dus geen activiteiten die buiten een onderzoeksopstelling als crimineel bestempeld zouden worden of ethical hacking?

[ Voor 67% gewijzigd door Kwistnix op 25-10-2021 12:18 ]

maandag 25 oktober 2021 12:08

Acties:
  • 0 Henk 'm!
  • Kwistnix
  • Registratie: Juni 2001
  • Laatst online: 11:11

Kwistnix

insante schreef op maandag 25 oktober 2021 @ 11:51:
[...]


Op deze punt ben ik gestopt, want o.a. geslacht en burgerlijke staat lijken irrelevant voor zo'n onderzoek tenzij het een bewuste keuze is. Heb je (@naomi14 ) bronnen die uitwijzen dat zulke data relevant kan zijn voor bedrijfscybercriminaliteit? Stereotypes kunnen natuurlijk een rol spelen in zo'n onderzoek, want in de meeste films en series zijn het toch 'nerds' en mannen die de hackers/crimineel zijn.
Geslacht is sowieso een factor en ik kan mij ook voorstellen dat het relevant is voor dit onderzoek. Mannen zijn oververtegenwoordigd als het gaat om criminaliteit. Ik ben er vrij zeker van dat dit cultuur overstijgend is, maar de eerste bron die dit in ieder geval bevestigd voor Nederland is de RU:
Welke mensen plegen nou eigenlijk de meeste criminaliteit? Opvallend is dat mannen veel vaker dan vrouwen delicten plegen. Mannen zijn ook weer vaker slachtoffer van delicten, behalve als het om sexuele delicten gaat.
(https://www.ru.nl/@870109/criminaliteit_in/)

maandag 25 oktober 2021 14:02

Acties:
  • 0 Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Kwistnix schreef op maandag 25 oktober 2021 @ 12:08:
Geslacht is sowieso een factor en ik kan mij ook voorstellen dat het relevant is voor dit onderzoek. Mannen zijn oververtegenwoordigd als het gaat om criminaliteit.
Want bij andere criminele activiteiten is het eerder de vrouw?
Of hebben de criminelen in de ICT een schizofreen drag queen alter ego?
En hoe kunnen mensen zoals Raven van Dorst dit onderzoek invullen?
Het heeft naar mijn mening dus 0 relevantie voor dit onderzoek.

Rian van Rijbroek is natuurlijk ook een soort van cybercrimineel (cybercharlatan), maar heeft niks met hacken/scriptkiddies te maken.

[ Voor 19% gewijzigd door DJMaze op 25-10-2021 14:07 ]

Maak je niet druk, dat doet de compressor maar

maandag 25 oktober 2021 21:09

Acties:
  • +1 Henk 'm!
  • naomi14
  • Registratie: Oktober 2021
  • Laatst online: 23-11-2021

naomi14

Topicstarter
F_J_K schreef op vrijdag 22 oktober 2021 @ 17:08:
Wat is bedrijfscybercriminaliteit? Bedoel je het 'aanvallen' van bedrijven en andere organisaties? Of het bedrijfsmatig exploiteren van foutedingen door partijen zoals Wikipedia: Hacking Team ?

Elders ook al gezegd: het is goed om onderscheid te maken tussen enkele vormen van cybercrime. We gaan hier niet de discussie voeren of en hoeveel schade er is door auteursrechtschending (torrenten van films, software, etc.) maar ik denk dat velen, zeker ook in de ICT, dat minder 'erg' vinden en de drempel daarvan dan ook veel lager zullen hebben liggen dan bijv. een dDoS doen cq. kopen of malware gaan verspreiden.

Aan mijn omgeving denkende denk ik dat velen hebben gedaan aan tenminste 'licht downloaden', althans tot Spotify en Netflix opkwamen. De stap naar - en de consequenties voor het in de ICT werkzaam kunnen blijven - van (black hat) computervredebreuk o.i.d. is een grote stap verder. Althans, ik kan niemand noemen die dat als volwassene nog doet.

[...]

Is dat causaliteit, of correlatie? Je hebt alleen geld nodig om een dDoS te kopen, maar voor andere zaken heb je toch wel kennis nodig. En als je de kennis hebt, is de kans significant dat je in de ICT kunt werken.
Bedankt voor je feedback! De opmerking over onderscheid tussen verschillende vormen van cybercriminaliteit had ik inderdaad eerder ook al gekregen. Vind het een heel relevant punt wat wordt gemaakt, wat ik inderdaad beter had kunnen onderscheiden in de enquête. Helaas kan de enquête tussentijds niet aanpassen, want dan zou de respons die ik al had niet meer representatief zijn.

Met bedrijfscriminaliteit bedoel ik criminaliteit dat binnen een bedrijf wordt gedaan. Bijvoorbeeld door een dDos aanval binnen je eigen bedrijf te plegen. Eerder onderzoek laat b.v. zien dat oud-werknemers dit kunnen doen als wraakactie, nadat ze zijn ontslagen of hun contract niet wordt verlengt. Dit is wel een extreem voorbeeld, maar schetst hopelijk wel het beeld wat ik bedoel met bedrijfscriminaliteit.

En om tot slot terug te komen op de laatste vraag: het gaat hierbij inderdaad om correlatie. Het is inderdaad voor de hand liggend dat je voor bepaalde vormen van cybercriminaliteit ICT-kennis nodig hebt, en dat er dan een grote kans is dat deze daders dan in de ICT-sector werken. Echter ben ik dus benieuwd of er ook onderliggende factoren vanuit de ICT-sector bij kunnen dragen aan dit verband. Vandaar mijn onderzoek.

Nogmaals bedankt voor de feedback, dat waardeer ik enorm! _/-\o_

maandag 25 oktober 2021 21:13

Acties:
  • 0 Henk 'm!
  • naomi14
  • Registratie: Oktober 2021
  • Laatst online: 23-11-2021

naomi14

Topicstarter
undisclosed schreef op vrijdag 22 oktober 2021 @ 20:36:
Interessante onderzoekvraag @naomi14! Ik heb je bronnen niet bekeken en weet niet wat je precies waarnaar je op zoek bent, maar toch een paar ((hopelijk opbouwende!) opmerkingen na het doorlopen van de enquête. Die heb ik overigens niet ingediend vanwege onderstaande vragen en opmerkingen.

@F_J_K stelt hier een goede vraag. De enquête gaat ervan uit dat je weet '(bedrijfs)cybercriminaliteit' is, en vooral dat je je ervan bewust bent als je op dat pad begeeft.

Uit je toelichting blijkt dat dat genuanceerder ligt:


[...]


De vraagstelling sluit daar niet altijd bij aan. Een vraag als "Ik ben van mening dat het goed is om cybercriminaliteit te plegen als het als doel heeft om je productiviteit te verhogen" zal vermoedelijk (hopelijk?!) door iedere respondent met 'Helemaal mee oneens' beantwoord worden. Terwijl bijvoorbeeld de vraag of het aanvaardbaar is om het bedrijfsbeleid ten aanzien van toegang tot een bepaalde gegevensset te omzeilen om zo sneller je werk te kunnen doen onder het mom van "ik weet wat ik doe" of "ik ben de expert, die regels gelden niet voor mij" waarschijnlijk genuanceerdere antwoorden zal opleveren.

Dit is het (begrijpelijke) gedrag - waar je misschien meer dan béwust crimineel gedrag door ICT'ers inzicht in zou willen krijgen - dat openingen creëert voor personen met daadwerkelijk kwaadaardige intenties. Vraag is of je dit soort gedrag niet mist door respondenten expliciet te vragen naar hun mening over crimineel gedrag.

Nog een paar opmerkingen over specifieke vragen(series):
  • De antwoorden bij vragen over bedrijfsbeleid, richtlijnen en controle zouden volgens mij beperkt moeten zijn tot 'ja' (mijn organisatie doet/heeft dat), 'nee' (mijn organisatie doet/heeft dat niet) en (ik) 'weet niet' (of mijn organisatie dat doet/heeft).
  • Vragen als "Ik denk dat vertrouwelijke data van het bedrijf waar ik werk makkelijk toegankelijk is voor mij." zou ik stellen zonder "ik denk". Aannames zijn geen betrouwbaar onderzoeksresultaat, en je doelgroep kan best met enige zekerheid kan zeggen of dit soort gegevens eenvoudig toegankelijk is. Overigens kan ook iets simpels als een e-mailadres een vertrouwelijk gegeven zijn. Wellicht zou je de vraag kunnen uitbreiden met iets als "vertrouwelijke gegevens waarvan het verder verspreiden mijn organisatie schade kan toebrengen" of iets dergelijks.
  • Ik weet niet goed wat de stelling "ik zou mij bewust zijn van de opslaglocaties van specifieke soorten vertrouwelijke data" betekent, en bij de vraag "Hoe vaak heeft u geprobeerd om toegang te verlenen tot het netwerksysteem van uw organisatie, zonder dat u daar expliciete toestemming voor had?" vraag ik me af of je bedoelt 'derden toegang gegeven' of 'zelf toegang gehad'?
Succes verder met het onderzoek!
Heel erg bedankt voor je feedback!

Het zijn inderdaad relevante punten die ik mee zou kunnen nemen in vervolgonderzoek. Helaas kan ik op dit moment de enquête niet meer aanpassen, omdat zo de respons weg zou vallen die ik tot nu toe heb. Anders is het onderzoek niet meer betrouwbaar.

Ik wil je heel erg bedanken voor het invullen van de enquête, dat waardeer ik enorm! Ik val inderdaad over het punt dat ik vragen wellicht specifieker had kunnen vragen of een andere insteek had moeten innemen. Het probleem hierbij is dat ik aansluiting moet kunnen vinden bij eerder onderzoek, en dat is ook mijn struikelblok: er is namelijk nog maar weinig onderzoek naar dit onderwerp uitgevoerd.

Ik neem de feedback zeker mee als leermoment voor volgende onderzoeken!

maandag 25 oktober 2021 21:16

Acties:
  • 0 Henk 'm!
  • naomi14
  • Registratie: Oktober 2021
  • Laatst online: 23-11-2021

naomi14

Topicstarter
MAX3400 schreef op vrijdag 22 oktober 2021 @ 20:52:
Ik heb de enquete even doorgeklikt (maar niet ingevuld of ingestuurd) maar heb toch enige kritiek op de manier van vraagstellen of, misschien de grondslag, de visie van de opsteller van de enquete op ICT.

"Vertrouwelijke data"; staat nergens gedefinieerd wat dat is. Voor de ene persoon is dat een documentje met de telefoonnummers van directe collega's. Voor de andere is dat het "ultieme" password waarmee je de complete salarisadministratie naar jouw rekening kan sturen.

Cybercriminaliteit: in sommige scenario's (in real life) wordt inderdaad een aktieve collega "gebruikt" als hacker. Juist om de interne systemen te testen / fine-tunen. Dan is die persoon dus aktief cybercrimineel aan het spelen. Maar in de complete stelling is cybercriminaliteit een delict en dus strafbaar?


[...]ne

Hoe is leeftijd / geslacht / burgerlijke staat een factor naar een crimineel verleden / toekomst? En waarom is het interessant voor de enquete? En veel niet ICT-criminelen komen niet in de ICT aan de bak want voor heleboel (vertrouwelijke) functies krijgen ze geen VOG. En andersom; doordat een VOG en de totale ICT-carriere van iemand afhangt van 1x iets "crimineels doen", zou ik daar wel eens cijfers van willen zien (of neem ze mee in je onderzoek).
Bedankt voor je feedback! Demografische kenmerken worden in dit onderzoek meegenomen als controlevariabelen. Daarmee kan ik eventueel zien - mogen er significante verbanden uit mijn onderzoek komen - of deze niet verband houden met b.v. iemands leeftijd of burgerlijke staat. Wellicht niet het eerste waar je aan denkt bij mijn onderzoeksvraag, maar toch relevant om mee te nemen.

Ik had inderdaad bepaalde vragen en definities beter kunnen formuleren, en neem het zeker mee voor volgend onderzoek.

maandag 25 oktober 2021 21:23

Acties:
  • +1 Henk 'm!
  • naomi14
  • Registratie: Oktober 2021
  • Laatst online: 23-11-2021

naomi14

Topicstarter
kodak schreef op vrijdag 22 oktober 2021 @ 23:50:
[...]

Dat lijkt me geen juist uitgangspunt. De studie omschrijft de basis van de gebruikte gegevens namelijk als volgt:

[...]

Verdacht zijn is iets anders dan dader zijn of werkelijk betrokken zijn bij een misdaad die onder cybercrime valt. Ik vraag me nu af wat je keuze is om in het onderzoek suggestie te lezen over daderschap.

Daarbij lijkt het onderzoek een zeer onduidelijke definitie te hanteren van verdacht zijn van cybercrime. De onderzoekers vertalen de volgende omschrijving voor mij niet duidelijk naar hoe ze vervolgens aan de dataset en modellen voor vergelijken zijn gekomen. Nog belangrijker lijkt dat er daarbij zelfs geen verklaring gegeven is hoe de verdachtmaking tot stand is gekomen en of die stand hield of onduidelijk is gebleven. En daarbij is de wetgeving gedurende de periode van de dataset gewijzigd.

[...]


Er lijkt net zo goed te hebben kunnen staan dat de resultaten van het onderzoek hinten op het belang van hoe verdachtmaking bij mogelijke cybercrime tot stand komt in vergelijking tot reguliere criminaliteit. Want zolang er niet duidelijk is of de verdachtmaking redelijk was of zelfs aanleiding was voor vervolging kan het verschil in verdacht worden gemaakt enorm zijn met de omstandigheden over reguliere criminaliteit waar de uitgangspunten over preventief zijn van een professionele leefomstandigheden van aangenomen worden.

Om alvast te voorkomen dat er commentaar komt dat er prima vanuit kan worden gegaan dat er iets vergelijkbaar zou zijn: het gaat er om wat onderzoekers aantonen dat er vergelijkbaar is als ze datasets of modellen selecteren of toepassen. En dat gaat net zo op voor hinten op vergelijking met bestaande veronderstellingen.
Bedankt voor je reactie! Ik begrijp dat het onderzoek wat ik aanhaal voor de vragen kan zorgen die je beschrijft. Daarnaast moet ik toevoegen dat in dat onderzoek het verband tussen 'cyber-offending' (oftewel: verdacht zijn van cybercriminaliteit) en het hebben van een functie in de ICT-sector níet significant is. Er is dus wel een verband, maar dit verband is niet groot genoeg om te zeggen dat er een sterke correlatie is. De insteek van mijn onderzoek is daarom ook niet om dat verband te bewijzen op de een of andere manier, maar om te kijken of er factoren zijn binnen de ICT-sector die dit verband zouden kunnen verklaren, of juist tegen kunnen spreken. Ik kies dan ook niet voor een vergelijkbare dataset als in het aangehaalde onderzoek.

Nogmaals, bedankt voor je reactie! :)

maandag 25 oktober 2021 21:30

Acties:
  • 0 Henk 'm!
  • naomi14
  • Registratie: Oktober 2021
  • Laatst online: 23-11-2021

naomi14

Topicstarter
Lethalis schreef op maandag 25 oktober 2021 @ 06:57:
Als iemand die echt te vaak naar Investigation Discovery kijkt: motive (vaak geld) and opportunity (je denkt ermee weg te komen).

Overigens is er nog iets anders aan de hand, maar dat is vooral onderbuikgevoel. Op ID worden heel vaak moordzaken besproken en dan hebben ze een lijst met verdachten die ze 1 voor 1 afgaan.

Ik grap dan altijd tegen mijn vrouw "de IT-er heeft het gedaan" en vaak krijg ik nog gelijk ook.

Mijn gevoel hierbij: er zitten relatief veel mensen met autistische trekjes in de IT. En met een beperkter inlevingsvermogen komen risico's.

Daarmee wil ik uiteraard niet zeggen dat autistische mensen gevaarlijk zijn (ik heb zelf een vorm van autisme), maar dat de kans groter is dat mensen op een dag iets doen zonder de gevolgen volledig te kunnen overzien.

Een ander probleem is dat bepaalde gunstige eigenschappen van een IT-er (nieuwsgierigheid, leergierigheid, etc) er ook toe kunnen leiden dat je dingen gaat uitproberen die niet de bedoeling zijn.
Interessant standpunt! Er is recent een onderzoek uitgevoerd naar de relatie tussen cybercriminaliteit en autisme. Hierbij de link als je geïnteresseerd bent:
https://link.springer.com...07/s10803-021-05207-1.pdf

De punten die je noemt zijn inderdaad ook interessant om te onderzoeken. Wellicht dat ik in eventuele vervolgstudies deze punten mee kan nemen.

Bedankt voor je toevoegingen!

maandag 25 oktober 2021 21:32

Acties:
  • 0 Henk 'm!
  • naomi14
  • Registratie: Oktober 2021
  • Laatst online: 23-11-2021

naomi14

Topicstarter
begintmeta schreef op maandag 25 oktober 2021 @ 08:32:
Ik ben geen ICTer. Ik denk, zoals de auteurs van het artikel dat je aanhaalt, dat het best wel eens zo zou kunnen zijn dat werkzaamheid binnen de ICT, of specifieke ICT-kennis de mogelijkheden voor cycbercriminaliteit vergroot, net als bepaalde andere vakspecifieke kennis of gelegenheden de kans op daaraan gerelateerde criminaliteit vergroot. En dat daarmee ook de kans op het verdacht worden(of ook daadwerkelijk plegen) groter is. Het zou me eerlijk gezegd vreemd lijken als dat niet zo zou zijn.
Inderdaad! Het kan ook wel door middel van logisch beredeneren verklaard worden: bij bepaalde vormen van cybercriminaliteit heb je nou immers specifieke ICT-kennis die mensen die in de ICT-sector werken eerder hebben dan mensen die daar niet werkzaam in zijn. Ik ben daarom ook benieuwd of naast die specifieke ICT-kennis wellicht andere factoren een rol kunnen spelen om dit verband te verklaren, of dit verband juist kunnen weerleggen. Ik hoop op interessante onderzoeksresultaten :)

maandag 25 oktober 2021 21:36

Acties:
  • 0 Henk 'm!
  • naomi14
  • Registratie: Oktober 2021
  • Laatst online: 23-11-2021

naomi14

Topicstarter
insante schreef op maandag 25 oktober 2021 @ 11:51:
[...]


Op deze punt ben ik gestopt, want o.a. geslacht en burgerlijke staat lijken irrelevant voor zo'n onderzoek tenzij het een bewuste keuze is. Heb je (@naomi14 ) bronnen die uitwijzen dat zulke data relevant kan zijn voor bedrijfscybercriminaliteit, of voor uitvoeren of identificatie van? Stereotypes kunnen natuurlijk een rol spelen in zo'n onderzoek, want in de meeste films en series zijn het toch 'nerds' en mannen die de hackers/crimineel zijn.
Bedankt voor je reactie! Demografische kenmerken werken in kwantitatief onderzoek (dus b.v. in survey-onderzoek) als controle. Daarmee kan getoetst worden of verbanden tussen bepaalde fenomenen ook verklaard kunnen worden door b.v. leeftijd. Ik kan me voorstellen dat het irrelevant lijkt om naar b.v. burgerlijke staat te vragen, maar toch zijn zulke demografische kenmerken ook relevant om mee te nemen in onderzoek.

maandag 25 oktober 2021 21:39

Acties:
  • 0 Henk 'm!
  • naomi14
  • Registratie: Oktober 2021
  • Laatst online: 23-11-2021

naomi14

Topicstarter
Kwistnix schreef op maandag 25 oktober 2021 @ 12:01:
De enquete geeft nu de keuze tussen vaste baan of stage. Nu ben ik zelf ZZP-er, ik weet niet of je daar nog onderscheid in wil maken? Ik heb nu dus maar voor vaste baan gekozen. Daarbij zie ik "het bedrijf waar ik werk", dan maar even als mijn huidige klant. Dat laatste punt zal wellicht ook een dilemma zijn voor mensen die op detacheringsbasis werken; die markt is enorm groot.

Vraag over een vraag:

[...]

Ik neem hier aan dat het echt gaat om criminele activiteiten, dus geen activiteiten die buiten een onderzoeksopstelling als crimineel bestempeld zouden worden of ethical hacking?
Bedankt voor je feedback! Ik heb inderdaad ZZP niet goed geoperationaliseerd in mijn enquête. Fijn dat je toch de moeite hebt genomen om de enquête in te vullen! Ik had inderdaad ook geredeneerd dat ZZP dan onder vaste baan zou vallen, maar het is voor vervolgvragen inderdaad lastig om ze goed te interpreteren. Ik vind het een goed alternatief om het dan vanuit de klant te redeneren. Ik ga deze feedback zeker meenemen voor eventueel vervolgonderzoek!

maandag 25 oktober 2021 22:02

Acties:
  • 0 Henk 'm!
  • Falcon10
  • Registratie: Mei 2002
  • Laatst online: 20:38

Falcon10

Hit it i would !

Zag het topic in het menu voorbijkomen, en dacht eerst even van : mmm, interessant.
Maar ondertussen al geleerd om eerst in dit soort topics eerst eens andere reacties te lezen, en mijn vermoeden werd bewaarheid.
Maar "het hebben van een functie in de ICT-sector vergroot juist de kans op cyberdaderschap" ? Ik hoop dat je een andere titel voor je scriptie gaat nemen, of dat je ( no offence ) zelfs een ander onderwerp gaat nemen, want eerlijkheidshalve : i'm not impressed.

Anderen hebben het hier al soortgelijke dingen aangehaald : Waarschijnlijk dat een job bij de politie de kans vergroot dat je thuis een familiaal drama aanricht met je dienstwapen.

Wat zoek je hier nu juist mee te kunnen bewijzen/aantonen ?

Waarschijnlijk dat de Afrikaanse prins uit Zimbabwe die 1 miljoen euro wil weggeven als je hem helpt om zijn fortuin vrij te krijgen als je 1000 euro stort op zijn rekening geen ICT mastermind is, of gewoon 1 of ander "genie" uit verwegistan, maar je mag er geld op zetten dat als het iets of wat cybercriminaliteit is, dat de persoon in kwestie wel iets van ICT kent.
Daarom niet noodzakelijk de systeembeheerder of programmeur van IT toko X, maar ook bv de computernerd van 14 jaar die teveel vrije tijd heeft en eens wat lol wil trappen. Vroeger bekladde je dan wel eens frontpaginas van websites met wat lolligs, nu stelen ze je facebook of instagram en twitter account etc.
Er zijn genoeg ICT studenten die wel eens wat lolligs in elkaar steken, en opeens hebben ze een worm ofzo gemaakt die gebruik maakt van 1 van de oneindig vele lekken in windows ofzo, plak er nog een encryptietooltje aan en een cryptocoin adres, en je hebt een ramsomware, en je kan lekker wat bijverdienen en de kans is klein dat men je pakt.

Zonder iets of wat ICT kennis is er tegenwoordig weinig cybercriminaliteit. De tijd van exe filetjes waarmee je de PC van de leerkracht kon overnemen en CD-ROM spelers kon open en toe doen gaan vannop afstand of het beeldscherm van je medestudent zijn PC deed omdraaien, die dingen kon je zelfs als idioot zonder enige ICT kennis. Maar dat was dan ook het woord cybercriminaliteit niet waard.

Dus mijn tip : kies gewoon een ander onderwerp, want serieus : als ik in je jury zou zitten om je scriptie te jureren, ik vrees dat ik ze vrij snel gewoon naast me neer zou leggen.

Als je dan toch een onderwerp zou willen wat wel boeit, en met cybercriminaliteit heeft te maken, dan zou ik zeggen : doe eens onderzoek naar de relatie tussen de jaarlijkse bedrijfsbudgetten voor ICT en hoeveel procent daarvan naar ICT beveiliging gaat. En splits dat vervolgens nog eens op in ICT beveiliging voor het bureautica IT systeem en vervolgens het budget voor de proces IT beveiliging.

Of nog een leuke : het normale bedrijfsbudget voor ICT beveiliging voor en na een cyberaanval op het bedrijf. Zullen niet veel bedrijven staan te springen om je inzage te geven in die zaken, maar ik kan je al vertellen dat

1) je dan pas een scriptie hebt die nog menig persoon gaat nalezen wegens interessant en misschien zelfs inzichtgevend.
2) je nog regelmatig aangesproken zal worden om jou opgedane kennis/inzichten te delen met anderen gelijkgestemden.

Just my 2 cents, je doet er zelf mee wat je wil ;)

-| Hit it i would ! |-

maandag 25 oktober 2021 22:20

Acties:
  • 0 Henk 'm!
  • TweakerNummer
  • Registratie: September 2001
  • Niet online

TweakerNummer

Lethalis schreef op maandag 25 oktober 2021 @ 06:57:
Als iemand die echt te vaak naar Investigation Discovery kijkt: motive (vaak geld) and opportunity (je denkt ermee weg te komen).

Overigens is er nog iets anders aan de hand, maar dat is vooral onderbuikgevoel. Op ID worden heel vaak moordzaken besproken en dan hebben ze een lijst met verdachten die ze 1 voor 1 afgaan.

Ik grap dan altijd tegen mijn vrouw "de IT-er heeft het gedaan" en vaak krijg ik nog gelijk ook.

Mijn gevoel hierbij: er zitten relatief veel mensen met autistische trekjes in de IT. En met een beperkter inlevingsvermogen komen risico's.

Daarmee wil ik uiteraard niet zeggen dat autistische mensen gevaarlijk zijn (ik heb zelf een vorm van autisme), maar dat de kans groter is dat mensen op een dag iets doen zonder de gevolgen volledig te kunnen overzien.

Een ander probleem is dat bepaalde gunstige eigenschappen van een IT-er (nieuwsgierigheid, leergierigheid, etc) er ook toe kunnen leiden dat je dingen gaat uitproberen die niet de bedoeling zijn.
Het lijkt erop dat je de klassieke autisme leer aanhangt, maar daar is nogal wat tegengeluid op uit wetenschappelijke hoek. Maar om binnen het topic te blijven: er is nogal een verschil tussen autisme en autistische trekjes.

"Is There a Relationship Between Cyber-Dependent Crime, Autistic-Like Traits and Autism?", https://link.springer.com...1007%2Fs10803-019-04119-5 , Open Access
This was the first study to empirically explore whether autism, autistic-like traits, explicit
social cognition, interpersonal support and digital skills were
predictors of cyber-dependent criminality. Whilst higher levels of autistic-like traits were associated with a greater risk of committing cyber-dependent crime, a self-reported diagnosis of autism was associated with a decreased risk of committing cyber-dependent crime.

maandag 25 oktober 2021 22:42

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Laten we het niet persoonlijk maken en liever inhoudelijk over het onderwerp discussiëren :Y)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 25 oktober 2021 22:51

Acties:
  • 0 Henk 'm!
  • begintmeta
  • Registratie: November 2001
  • Niet online

begintmeta

Moderator General Chat
naomi14 schreef op maandag 25 oktober 2021 @ 21:32:
... daarom ook benieuwd of naast die specifieke ICT-kennis wellicht andere factoren een rol kunnen spelen om dit verband te verklaren, of dit verband juist kunnen weerleggen. Ik hoop op interessante onderzoeksresultaten :)
Naast aanwezigheid van bepaalde kennis zal ook de gelegenheid voor diverse cybercriminelecriminele acties vaak groter/laagdrempeliger zijn.

Wat je hierboven schrijft impliceert eigenlijk dat het uitkomstfenomeen dat je nodig hebt voor je onderzoek min of meer "cybercrimineel ja/nee" is. Dat meet je echter niet (als ik niets in de vragenlijst heb gemist, er zijn wel wat tangentiele vragen). Wat zijn je concrete onderzoeksvragen? Ga je nog gegevens verzamelen in andere groepen behalve de ICTers die je hier wil recruteren (bijvoorbeeld binnen de cybercriminelen, of buiten de ICTers)?

[ Voor 3% gewijzigd door begintmeta op 25-10-2021 22:55 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq