Stichting Cyberbrein.nl biedt begeleiding, educatie en samenwerking met ethische hackers om jongeren bewust te maken van de juridische implicaties van hun acties.
Iedereen strooit de hele dag data om zich heen. Of het nu gaat om een aankoop of een ritje met het openbaar vervoer, de examencijfers van een kind of de logistieke data die bedrijven onderling delen. Het zijn brokjes informatie die vaak op zich niet heel veel waarde hebben. Maar aan elkaar gekoppeld in een groot databestand krijgen ze meerwaarde. Die dataverzamelingen kunnen legitiem of crimineel worden ingezet.
Maar hoe ontstaan dat soort dataverzamelingen? Het blijkt dat ook jongeren daar een rol in spelen. Onderzoek van het WODC toont aan dat bijna 20 procent van de minderjarigen zelf aangeeft in 2020 wel eens iets gedaan te hebben dat tot cybercriminaliteit kan worden gerekend.
Plezier in verzamelen
Het begint vaak heel onschuldig. Veel jongeren zijn geïnteresseerd in gaming. De meesten spelen de games zoals ze worden aangeboden. Maar een aantal games biedt de mogelijkheid zelf dingen te maken in de digitale wereld. Zo ontstaat bij sommige kinderen vaak al vroeg op de basisschool een interesse voor programmeren. En jongeren vinden het vaak leuk om te verzamelen. Dan zoeken ze bijvoorbeeld naar stemmen op internet om daar met behulp van kunstmatige intelligentie iets mee te knutselen. Dat zijn de talenten waar de IT-wereld naar op zoek is. “Maar criminelen zijn net zo geïnteresseerd in jongeren die wat meer kunnen op dit vlak”, zegt Henk van Ee, medeoprichter van de Stichting Cyberbrein.nl. De stichting begeleidt jongeren die een potentiële prooi zijn voor criminelen. Ze hebben gewoon door wat te proberen ontdekt dat ze in het schoolaccount van iemand kunnen komen. “Dat geeft een kick. Is dat illegaal, vragen ze dan. Dus gaan we in gesprek. Het is belangrijk niet gelijk te veroordelen. Ze willen laten zien dat ze iets is gelukt. Het is cool om dat te vertellen. Als je direct zegt ‘Dat moet je niet doen’, haken ze af. Dus vragen we door, hoe ze dat is gelukt en hoe ver ben je gegaan? Dan is het vroeg genoeg om te zeggen ‘Weet je ook dat dit strafbaar is?’”
Handel in data
Er zijn - niet alleen voor jongeren - allerlei manieren om dataleverancier te worden. Van Ee noemt als voorbeeld een organisatie die bijvoorbeeld bedrijfsgegevens beheert en de mogelijkheid biedt om wat gegevens van één bedrijf op te vragen. Er zijn beperkingen ingebouwd om misbruik te voorkomen. Maar stel nu dat je een script schrijft waardoor je voor een heleboel bedrijven geautomatiseerd de informatie kan ophalen, zou je zomaar een schaduwdatabase van zo'n organisatie kunnen opbouwen. “Daar is veel interesse voor. Dan kun je bijvoorbeeld alle bedrijven in een willekeurige gemeente opzoeken die iets in de installatiebranche doen, of welke filter je ook wil toepassen.” Die database is misschien niet volledig, maar iemand anders heeft weer informatie die een interessante aanvulling biedt. “Uiteindelijk leidt dat tot een grote stroom aan informatie. Er is een levendige handel in dergelijke data, vaak verkregen uit datalekken en gedeeld op platforms als het dark web of Telegram. Denk aan een database met alle 06-nummers van 50-plussers met hun profiel erbij die uit verschillende databronnen zijn samengevoegd.”
Jongeren zijn vaak heel creatief en het begint als een geintje. “Een voorbeeld is dat ze online een IP-camera bestellen die ze voorzichtig openschroeven, de firmware vervangen en wat extra software installeren. Dan sturen ze hem netjes retour. Die camera wordt weer verkocht, en dan kun je online de beelden aftappen. Dan is er soms een crimineel vriendje dat denkt: Verrek, als dit kan, kunnen we het ook op grote schaal en voor je het weet worden die camerabeelden actief op allerlei datamarkten aangeboden.”
Dunne lijn
Jongeren met dit soort interesses zijn vaak kwetsbaar. Ze willen - net als iedereen - vriendjes, erkenning en serieus genomen worden. Dat is best lastig op de lagere school als je als hobby hebt om SQL-injecties te bedenken en uit te voeren. “Komt er dan iemand in de buurt die dat wel heel interessant vindt en er ook nog wat geld voor overheeft, dan is de lijn erg dun, zeg maar.”
De Stichting Cyberbrein.nl, die Henk van Ee en zijn collega Will Moonen hebben opgericht probeert deze jongeren daarom bewust te maken van de ethische en juridische implicaties van hun dataverzameling en -gebruik. Er wordt gewerkt aan cyberweerbaarheidsprojecten, bijvoorbeeld door ze samen te laten werken met professionele hackers uit het netwerk van DIVD Academy (Dutch Institute for Vulnerability Disclosure). “Heel vaak gaat het bij de jongeren waar wij mee werken, om heel onschuldige dingen. Maar een enkele keer stuiten ze toch op een serieuze kwetsbaarheid waarbij - ik noem maar iets – kortingscodes bij een online besteldienst zijn gevonden. Dan zijn ze vaak een beetje bang. Ze weten dat het illegaal is: als je dat gaat melden geef je jezelf eigenlijk aan. Wat wij dan doen, is ze begeleiden bij het ethisch melden daarvan [responsible disclosure, red]. Soms melden wij het dan zelf om zo’n kind buiten schot te houden. Maar soms loven bedrijven ook bug bounties uit. Dan moeten we zorgen dat de beloning ook bij de jongere terecht komt.”
Omgaan met cyberbrein
Van Ee geeft aan dat de activiteiten eigenlijk nog in de kinderschoenen staan. Zelf is hij al een jaar of vijf bezig, maar de stichting is pas in april 2023 opgericht. Er worden nu ongeveer twintig jongeren intensief begeleid en in de community die daar omheen is gecreëerd zijn zo’n 100 tot 150 jongeren actief. Die variëren in leeftijd van acht tot halverwege de twintig jaar. “We betrekken ook altijd de ouders en/of verzorgers erbij, zeker bij de jonkies, zodat we ook weten dat de ouders het oké vinden dat we in gesprek zijn. Ook geven we workshops voor ouders over hoe je met zo’n cyberbrein omgaat, bijvoorbeeld op de re_B00TCMP’s die overal in het land georganiseerd worden.”
Naast online begeleiding wil de stichting zich ook richten op educatie op scholen. En proberen regionale plekken op te zetten waar jongeren fysiek naartoe kunnen om te sparren en ‘toffe dingen’ kunnen doen onder senior begeleiding die heeft leren omgaan met deze specifieke doelgroep. Maar daar is personeel voor nodig en financiering. De stichting draait nu op verschillende subsidies van onder meer het ministerie van Justitie en Veiligheid. Met gemeente Almere doet de stichting mee in een zogeheten City Deal-project, dat gericht is op het zo vroeg mogelijk leren herkennen van jonge cyberbreinen en deze kennis gebruiken voor voorlichting aan ouders en professionals in de opvoedcontext van zo’n jong cyberbrein. “Maar ik geef ook wel masterclasses en lezingen over dit onderwerp en de inkomsten daarvan gaan naar de stichting. Voor een deel komt de financiering nog uit de eigen zakken van Will en mij. Als we denken, dit moet toch echt gebeuren dan doen we een voorfinanciering, maar soms blijft het daarbij.” Dat moet wel veranderen, vindt Van Ee. Hij is nu bezig met het opzetten van fondsenwerving en de aanvraag van een ANBI-status, een erkenning van de Belastingdienst zodat donateurs hun giften kunnen aftrekken van de inkomstenbelasting. Van Ee en Moonen willen graag toe naar een maatschappelijke bv waar iedereen gewoon werknemer is en wordt betaald. “Maar we willen eerst zorgen dat er echt iets staat.”
_____
Data Expo
Op de komende Data Expo gaat veel aandacht uit naar data governance, AI en security. In de Jaarbeurs kun je op woensdag 11 en donderdag 12 september essentiële kennis opdoen, technologische mogelijkheden verkennen en nuttige contacten leggen om nieuwe stappen voorwaarts te zetten. Een bezoek aan Data Expo helpt je om antwoorden te vinden op al jouw datavraagstukken. Inschrijven als bezoeker is kosteloos en kan hier.
Lees ook: 8x Data duurzaam beheren
_____
