De CO2-emissiehandel is de afgelopen jaren herhaaldelijk getroffen door criminele acties van malafide figuren die van de povere beveiliging gebruik maakten om veel geld uit het systeem te trekken. De komende tijd komt de Nederlandse Emissieautoriteit (Nea) daarom met een hele waslijst aan maatregelen tegen cybercriminaliteit die het systeem “zo veilig als een bank” maken. Dat zei Harm van de Wetering, hoofd registratie emissiehandel bij de Nea woensdag op de IIR-conferentie ‘Het Nationale CO2-platform 2011’.

Door Tijdo van der Zee

Allereerst zijn er de ‘besmette’ emissierechten. In Nederland zijn geen gedupeerden van wie emissierechten zijn gestolen. Wel zijn er hier handelaren met ‘besmette’ emissierechten in hun bezit. Zij kochten, zonder het te weten, gestolen emissierechten. Hier speelde de vraag: waren zij schuldig aan heling, of genoten zij kopersbescherming? De beslissing is genomen ten gunste van de huidige eigenaren. Argument hierbij was dat de unieke nummers niet duidelijk zichtbaar zijn, maar ergens “op pagina drie”, aldus Van de Wetering, zijn weggestopt. De Nea heeft deze nummers, waaraan elk document dus afzonderlijk herkenbaar is, weg gegumd. Hierdoor zijn ze niet meer van schone rechten te onderscheiden en kunnen ze weer zonder problemen verhandeld worden. Overigens blijven de nummers voor de Nea wel zichtbaar.

Om diefstal in de toekomst te voorkomen is een hele trits aan maatregelen in voorbereiding (geïnitieerd vanuit Europa of de taskforce Diefstal Emissierechten) of al genomen. Het voert te ver om die hier allemaal in detail te bespreken, maar een aantal opmerkelijke elementen kunnen worden belicht.

Sinds kort moeten gebruikers naast hun gebruikersnaam en wachtwoord een SMS-code invullen bij het inloggen op het Nederlandse Register CO2 Emissiehandel. Deze maatregel is ook getroffen in bijvoorbeeld Duitsland en Tsjechë. Op deze manier wordt phishing tegengegaan. Daarbij worden door valse mails inloggegevens buitgemaakt. Gebruikers wordt in die mails gevraagd om bijvoorbeeld een aantal ‘essentiële zaken’ op de account aan te passen. Eenmaal binnen kunnen de boeven pakken wat ze willen. Vanaf komend jaar gaat aan individuele transacties ook een SMS-code vooraf.

Vanaf deze week moeten transacties in principe altijd door twee gebruikers van een rekening uitgevoerd worden, tenzij de tegenrekeningen door twee personen aan een lijst van ‘vertrouwde rekeningen’ wordt toegevoegd. Dit 4-ogenprincipe op transacties is een Nederlandse maatregel die in sommige andere EU-lidstaten ook getroffen wordt, bijvoorbeeld in het Verenigd Koninkrijk.

Ook is de beveiliging tegen virussen verbeterd. Virussen zijn in staat om zaken in de computer zodanig te veranderen, dat criminelen op afstand de computer overnemen. De Nea gaat bij signalen van dreigende beveiligingsaanvallen al haar gebruikers benaderen via e-mail met het verzoek oplettend te zijn en niet in te gaan op misleidende e-mails en telefoontjes. Maar het gaat verder. De Nea heeft een onderzoek laten uitvoeren naar eventuele computervirussen op de IP-adressen van de registergebruikers. De gebruikers die gekoppeld zijn aan IP-adressen met veel virussen zijn benaderd met het verzoek na te gaan wat er op hun systeem of PC aan de hand is. “Dit is een vrij experimentele maatregel die nog niet zo vaak is toegepast”, zegt Bram Maljaars, Coördinator Registratie Emissiehandel bij de Nea in een toelichting.

Ook komt er een al eerder aangekondigde vertraging van 26 uur tussen de aankoop en de daadwerkelijke overdracht van emissierechten. In de tussentijd kan de overboeking worden geannuleerd. Deze maatregel voorkomt heel snelle doorboekingen van emissierechten, waardoor het overzicht verloren gaat. Deze laatste maatregel komt uit de nieuwe Europese registerverordening die per 1 januari 2012 in werking treedt. Eerder al werd BTW-fraude aangepakt.

Verschenen in Energeia, 25 augustus 2011