Digitale gegevens vormen een waardevol goed. Ze zijn niet alleen informatief, maar ook lucratief en kwetsbaar. In haar proefschrift Stolen data: theft and trade onderzoekt Renushka Madarie de mechanismen achter datadiefstal en de handel in gestolen data. Centraal staat de vraag hoe cybercriminelen gestolen gegevens verkrijgen en welke factoren hun handelen beïnvloeden. Het onderzoek richt zich op twee vormen van datadiefstal: (1) de inbraak in organisatiesystemen om data te ontvreemden, en (2) het verkrijgen van reeds gestolen data via online platforms.

Datadiefstal uit organisatiesystemen

Aan de hand van interviews met cybersecurity-experts heeft Madarie een zogenoemd crime script opgesteld: een stapsgewijze analyse van het gedrag van datadieven. Dat proces omvat de voorbereiding (het selecteren van een doelwit en verkrijgen van eerste toegang), het doorzoeken van het netwerk en uiteindelijk de daadwerkelijke diefstal en benutting van data. In tegenstelling tot traditionele, lineaire criminele processen blijken deze cyberaanvallen vaak cyclisch te verlopen. Daders herhalen handelingen of passen hun strategie aan afhankelijk van de reactie van het doelwit of beveiligingsmaatregelen.

Binnen dit proces maakt Madarie onderscheid tussen twee typen beslissingen: targetselectie (welke organisatie of dataset wordt aangevallen) en strategische keuzes (hoe, waar en wanneer de aanval wordt uitgevoerd). De Routine Activity Theory – waarin criminaliteit wordt verklaard uit de samenkomst van gelegenheid, afwezigheid van toezicht en aanwezigheid van een gemotiveerde dader – wordt herijkt voor de digitale context. De studie laat zien dat omgevingsfactoren als tijdstip, toegankelijkheid van systemen en waarneembare beveiligingsniveaus sterk bepalend zijn voor de keuzes van daders. Daarbij blijkt sprake van een gelaagd doelwit: organisaties beheren systemen, die op hun beurt specifieke gegevens verwerken.

Handel in gestolen data

Naast de directe diefstal onderzocht Madarie de verspreiding en handel van data op drie typen websites: paste sites, hackerfora en darkwebmarkten. Op paste sites worden vaak lijsten met e-mailadressen en wachtwoorden openbaar gemaakt. Op fora en marktplaatsen vindt vervolgens handel plaats in gestolen data, waarbij aanbieders en kopers reputatiesystemen gebruiken om betrouwbaarheid te beoordelen.

Op basis van ruim duizend advertenties voor gestolen inloggegevens op een darkwebmarket analyseerde Madarie met paneldata de aantrekkelijkheid van advertenties. Interessant is de paradox dat advertenties met meer eerdere verkopen juist minder populair werden. Mogelijke verklaring: hoe vaker een dataset verkocht is, hoe groter het risico dat meerdere kopers dezelfde gegevens benutten, waardoor de exclusieve waarde afneemt.

Methodologische bijdrage

Tot slot levert het proefschrift een methodologische vernieuwing voor het crime scripting van cybercriminaliteit. Omdat bestaande scripts sterk verschillen in structuur en detail, stelt Madarie voor om object-oriented modelling toe te passen. Deze gestandaardiseerde notatietechniek verhoogt de vergelijkbaarheid, betrouwbaarheid en volledigheid van toekomstige analyses van criminele gedragingen in cyberspace.

Afsluiting

Madarie toont aan dat datadiefstal geen eenmalige gebeurtenis is, maar een complex, iteratief proces waarin daders strategisch inspelen op kansen in de digitale omgeving. De handel in gestolen data vormt vervolgens een eigen, semi-georganiseerde markt met consumentenlogica: vraag, aanbod en reputatie bepalen de prijs. Het proefschrift biedt daarmee waardevolle inzichten voor zowel wetshandhavers als organisaties die hun digitale weerbaarheid willen versterken.

Lees verder:

Stolen data: theft and trade

• Stolen data: theft and trade