PwC: Groeiende CO2-markt trekt aandacht fraudeurs
De groeiende CO2-markt is steeds vaker het doelwit van cyberaanvallen en fraudeurs. Tegelijkertijd zijn de beveiligingssystemen die deze aanvallen en fraude moeten voorkomen in veel landen nog relatief zwak. Dit kan het vertrouwen in de handel in CO2-emissierechten ondermijnen, aldus een rapport van PwC, getiteld 'How to assess your green fraud risks'. Het rapport brengt meerdere types van 'groene fraude' in kaart, zoals emissierechtenfraude en manipulatie in niet-financiële verslaggeving.
Volgens PwC passen criminelen succesvol bewezen technieken toe op nieuwe markten. "De toegepaste type fraudes zijn niet zozeer nieuw, maar blijken zeer doeltreffend in een markt die nog relatief jong is", aldus André Mikkers, forensisch onderzoeker bij PwC. "Het potentiële gevaar van fraude is groter in nieuwe markten, vanwege imperfecties in systemen, niet geharmoniseerde meet- en verificatiestandaarden en relatief zwakke governance. Dit zijn gaten in de formele beheersing. Minstens zo zorgelijk is dat men in nieuwe markten nog onvoldoende beducht is op het risico van fraude. De informele beheersing is er nog niet klaar voor. Beide soorten tekortkomingen vormen groeistuipen naar een volwassen markt."
Volgens Tonne Mulder, specialist in informatiebeveiliging, gebruiken fraudeurs weliswaar de meest recente technieken voor de aanval op de zwakke punten in systemen, maar gaat het om technieken die in essentie goed te pareren zijn. "Een gedetailleerde analyse van de huidige beveiligingsmaatregelen om te bepalen of deze effectief zijn tegen cyberaanvallen is een eerste vereiste, goed onderhoud en periodieke toetsing van de beveiliging een tweede."
Vooral emissiehandel vormt een doelwit, omdat er steeds meer geld kan worden verdiend op de internationale CO2-markt. Het Europese emissiehandelssysteem dekt inmiddels al circa 11.000 Europese installaties, goed voor de helft van alle EU broeikasgassen. Grote industrieën die het milieu meer belasten dan toegestaan, zijn gedwongen rechten van milieuvriendelijkere ondernemingen te kopen om zo hun vervuiling te compenseren. Het systeem vertegenwoordigt een waarde van bijna 120 miljard dollar. Daarmee is het van een zodanige orde van grootte dat het inmiddels de serieuze aandacht van criminelen trekt.
De meest voorkomende fraudetypes in relatie tot emissiehandel zijn cyberaanvallen op CO2-registers, phishing van gegevens, BTW-carrouselfraude en fraude door middel van hergebruik en dubbele verkoop van emissierechten.
Bij deze vorm van fraude hacken fraudeurs de nationale registers. Dit zijn de registers waar CO2-uitstoters hun emissierechtenrekening hebben lopen. De fraudedreiging werd begin dit jaar nog eens onderstreept toen bij een aantal digitale inbraken Europese emissierechten werden ontvreemd. Op last van de Europese Commissie werden daarop alle Europese CO2-registers gesloten. Een klein aantal landen, waaronder Nederland, heeft inmiddels kunnen aantonen dat de beveiliging goed op orde is.
Volgens Tonne Mulder is het zaak beveiligingsonderzoeken periodiek te herhalen om effectief nieuwe aanvalsmethoden te kunnen pareren. "Daarnaast kan iedere wijziging aan bijvoorbeeld functionaliteit of software onverwacht de beveiliging in gevaar brengen. Beveiliging werkt twee kanten op. Enerzijds is het doel om kwaadwillenden buiten de deur te houden. Anderzijds werkt het als maatregel om degenen die het systeem gebruiken te beschermen tegen onbedoelde fouten."
Bij phishing doet de fraudeur zich voor als emissieregister om zodoende slachtoffers naar een valse registerwebsite te lokken om daarmee accountgegevens, zoals inloggegevens, wachtwoorden, etc. van bedrijven te achterhalen. Op die manier werden recentelijk nog zes bedrijven bestolen van hun emissierechten.
Volgens Tonne Mulder moeten bedrijven waakzaam zijn met betrekking tot informatieverzoeken in relatie tot hun CO2-activiteiten. "Bedrijven moeten dezelfde standaarden gebruiken die men hanteert voor bescherming van bankgegevens. Medewerkers moeten getraind worden op het herkennen van dreigingsignalen en het ontwikkelen van een kritische houding. Aan registers de taak hun beveiliging naar een hoger niveau te tillen, zodanig dat eenvoudig misbruik van accountgegevens wordt tegengegaan."
Carrouselfraude is een vorm van belastingfraude waarin gefraudeerd wordt met de afdracht en teruggave van btw. Het komt veel voor bij grensoverstijgende handel, zoals bij emissiehandel meestal het geval is. Emissierechten die in het buitenland worden gekocht tegen 0% btw worden vervolgens lokaal doorverkocht. Bij de doorverkoop wordt wel btw in rekening gebracht, zonder deze af te dragen aan de fiscus. Inmiddels zijn in meerdere EU lidstaten de regels zo aangepast dat de afnemer van emissierechten de btw moet afdragen aan de staat, ook bij lokale leveringen. Hoewel deze maatregel in belangrijke mate fraude kan voorkomen, is zorgvuldigheid nog steeds geboden. Bedrijven moeten weten met wie ze zaken doen en prestaties aangaan.
Volgens PwC passen criminelen succesvol bewezen technieken toe op nieuwe markten. "De toegepaste type fraudes zijn niet zozeer nieuw, maar blijken zeer doeltreffend in een markt die nog relatief jong is", aldus André Mikkers, forensisch onderzoeker bij PwC. "Het potentiële gevaar van fraude is groter in nieuwe markten, vanwege imperfecties in systemen, niet geharmoniseerde meet- en verificatiestandaarden en relatief zwakke governance. Dit zijn gaten in de formele beheersing. Minstens zo zorgelijk is dat men in nieuwe markten nog onvoldoende beducht is op het risico van fraude. De informele beheersing is er nog niet klaar voor. Beide soorten tekortkomingen vormen groeistuipen naar een volwassen markt."
Volgens Tonne Mulder, specialist in informatiebeveiliging, gebruiken fraudeurs weliswaar de meest recente technieken voor de aanval op de zwakke punten in systemen, maar gaat het om technieken die in essentie goed te pareren zijn. "Een gedetailleerde analyse van de huidige beveiligingsmaatregelen om te bepalen of deze effectief zijn tegen cyberaanvallen is een eerste vereiste, goed onderhoud en periodieke toetsing van de beveiliging een tweede."
Vooral emissiehandel vormt een doelwit, omdat er steeds meer geld kan worden verdiend op de internationale CO2-markt. Het Europese emissiehandelssysteem dekt inmiddels al circa 11.000 Europese installaties, goed voor de helft van alle EU broeikasgassen. Grote industrieën die het milieu meer belasten dan toegestaan, zijn gedwongen rechten van milieuvriendelijkere ondernemingen te kopen om zo hun vervuiling te compenseren. Het systeem vertegenwoordigt een waarde van bijna 120 miljard dollar. Daarmee is het van een zodanige orde van grootte dat het inmiddels de serieuze aandacht van criminelen trekt.
De meest voorkomende fraudetypes in relatie tot emissiehandel zijn cyberaanvallen op CO2-registers, phishing van gegevens, BTW-carrouselfraude en fraude door middel van hergebruik en dubbele verkoop van emissierechten.
Bij deze vorm van fraude hacken fraudeurs de nationale registers. Dit zijn de registers waar CO2-uitstoters hun emissierechtenrekening hebben lopen. De fraudedreiging werd begin dit jaar nog eens onderstreept toen bij een aantal digitale inbraken Europese emissierechten werden ontvreemd. Op last van de Europese Commissie werden daarop alle Europese CO2-registers gesloten. Een klein aantal landen, waaronder Nederland, heeft inmiddels kunnen aantonen dat de beveiliging goed op orde is.
Volgens Tonne Mulder is het zaak beveiligingsonderzoeken periodiek te herhalen om effectief nieuwe aanvalsmethoden te kunnen pareren. "Daarnaast kan iedere wijziging aan bijvoorbeeld functionaliteit of software onverwacht de beveiliging in gevaar brengen. Beveiliging werkt twee kanten op. Enerzijds is het doel om kwaadwillenden buiten de deur te houden. Anderzijds werkt het als maatregel om degenen die het systeem gebruiken te beschermen tegen onbedoelde fouten."
Bij phishing doet de fraudeur zich voor als emissieregister om zodoende slachtoffers naar een valse registerwebsite te lokken om daarmee accountgegevens, zoals inloggegevens, wachtwoorden, etc. van bedrijven te achterhalen. Op die manier werden recentelijk nog zes bedrijven bestolen van hun emissierechten.
Volgens Tonne Mulder moeten bedrijven waakzaam zijn met betrekking tot informatieverzoeken in relatie tot hun CO2-activiteiten. "Bedrijven moeten dezelfde standaarden gebruiken die men hanteert voor bescherming van bankgegevens. Medewerkers moeten getraind worden op het herkennen van dreigingsignalen en het ontwikkelen van een kritische houding. Aan registers de taak hun beveiliging naar een hoger niveau te tillen, zodanig dat eenvoudig misbruik van accountgegevens wordt tegengegaan."
Carrouselfraude is een vorm van belastingfraude waarin gefraudeerd wordt met de afdracht en teruggave van btw. Het komt veel voor bij grensoverstijgende handel, zoals bij emissiehandel meestal het geval is. Emissierechten die in het buitenland worden gekocht tegen 0% btw worden vervolgens lokaal doorverkocht. Bij de doorverkoop wordt wel btw in rekening gebracht, zonder deze af te dragen aan de fiscus. Inmiddels zijn in meerdere EU lidstaten de regels zo aangepast dat de afnemer van emissierechten de btw moet afdragen aan de staat, ook bij lokale leveringen. Hoewel deze maatregel in belangrijke mate fraude kan voorkomen, is zorgvuldigheid nog steeds geboden. Bedrijven moeten weten met wie ze zaken doen en prestaties aangaan.
Geen opmerkingen: