De aanpak van internet- en hostingproviders die willens en wetens cybercriminelen ondersteunen, of onvoldoende doen om dit tegen te gaan, verloopt traag. Er zijn allerlei plannen om te voorkomen dat cybercriminelen de Nederlandse infrastructuur misbruiken, maar vooralsnog is de opbrengst mager. ‘Bulletproof’-resellers, ofwel aanbieders van hostingdiensten die cybercriminelen garanderen dat ze uit de handen van politie en justitie blijven, kunnen vaak ongestoord hun gang gaan.
Dat blijkt uit een Kamerbrief waarin minster Yeşilgöz van Justitie en Veiligheid de Tweede Kamer informeert over de resultaten van een zogenoemde reseller-actie van de politie. Die deelde eind 2022 een lijst met 38 namen van malafide partijen en riep internet- en hosting-aanbieders op de dienstverlening aan deze klanten direct te staken. Het doel is om netwerken te schonen van criminele organisaties die Nederlandse servers en netwerken misbruiken voor malafide zaken.
Opvallend: geen van de aangeschreven internet- en hostingbedrijven deelt hoeveel malafide resellers er in hun klantenbestand zaten. ‘Het betreft bedrijfsgevoelige informatie die zij niet specifiek wensen te delen’, schrijft de minister.
Wel heeft ze van brancheorganisatie Dutch Cloud Community gehoord dat ‘enkele’ hostingproviders actie hebben ondernomen naar aanleiding van de brief en namenlijst. Ook zijn er gesprekken tussen de politie en de Dutch Cloud Community over mogelijkheden om signalen van malafide wederverkopers ‘structureler’ met hostingproviders te delen.
Aanpak
In 2021 waarschuwde de politie ook al voor bulletproof-hosters van Russische komaf die via de Nederlandse digitale infrastructuur ‘zaken doen’. Op verzoek van de internetsector kwam de politie in 2022 met een lijst met namen van malifide resellers.
In de brief van de minister staan vooral ‘oplossingsrichtingen’ die verkend worden. Het gaat bijvoorbeeld om het delen van informatie over criminele handelingen tussen het ministerie en de hostingsector. Dat gebeurt binnen het project Cleannetworks. Daarin delen de Stichting Nationale Beheersorganisatie Internet Providers en het ministerie informatie waardoor internet- en hostingproviders zich beter kunnen beveiligen tegen dreigingen. Het project krijgt geld van het ministerie en een securityfonds van de EU.
Ook de strafrechtelijke aanpak wordt onderzocht. In 2022 heeft het gerechtshof in Den Haag bepaald dat dienstverleners onder omstandigheden niet zijn uitgesloten van strafrechtelijke aansprakelijkheid, ook niet als zij geen bevel tot het ontoegankelijk maken van gegevens hebben ontvangen. ‘Deze uitspraak biedt mogelijkheden voor vervolging van hostingproviders die criminelen actief helpen’, stelt de minister van justitie. ‘Aanpassing van het Wetboek van Strafrecht is daarom op dit moment niet voorzien’, schrijft ze.
Gedragscode
Ook wil de rijksoverheid zelf het goede voorbeeld geven door alleen internet- en hostingdiensten in te kopen bij ‘verantwoorde leveranciers’. Het volgt bij inkoop ervan de Gedragscode Abusebestrijding. Aanbieders verklaren daarmee dat ze misbruik van hun infrastructuur proberen te voorkomen en daartoe voldoende maatregelen nemen. Ook wordt samen met Cleannetworks een keurmerk ontwikkeld dat de keuze voor verantwoorde leveranciers moet ondersteunen.
De bewindsvrouw schrijft ook dat partijen die domeinnaamregistratiediensten aanbieden, verplicht zijn om accurate domeinnaamregistratiegegevens bij te houden, zoals het e-mailadres en telefoonnummer van de afnemer. Maar ze houdt een slag om de arm. ‘Indien deze domeinnaamgegevens worden bijgehouden, kunnen de politie en het Openbaar Ministerie deze in het kader van een opsporingsonderzoek vorderen.’
Tot slot wijst de minister op de eigen verantwoordelijkheden van internet- en hosting-aanbieders: Naast de stappen die het OM en de politie zetten, is het tegengaan van het faciliteren van criminaliteit door hostingproviders een aandachtspunt voor de sector zelf, aldus Yeşilgöz.
Ik neem aan dat er nog enige onafhankelijke toetsing gedaan wordt door laten we zeggen een rechter als het gaat om het bestempelen van malafide organisaties als crimineel of leven we tegenwoordig in een politiestaat? En ja, keerzijde van onze digitale delta is dat deze als uitvalsbasis gebruikt kan worden door malafide organisaties maar controle daarop wringt met het idee van netneutraliteit welke in wet is vastgelegd.
Ben ook benieuwd naar de criteria waarop die 38 bedrijven geselecteerd zijn.
En als je criminele sites host, ben je dan mede-schuldig ?
Is er ook een gedragscode mbt weglachen ?
Mijn individuele email server met static ip/dns, wordt door hotmail.com als onbetrouwbaar bestempeld, terwijl die aan alle voorwaarden als spf/dkim/ssl/authentication voor alle gebruikte domeinen voldoet. Server is nergens bekend als spamhub. Toch wordt alle email ervan geweigerd, puur op basis van ip-range.
“Opvallend: geen van de aangeschreven internet- en hostingbedrijven deelt hoeveel malafide resellers er in hun klantenbestand zaten.” Sommige hosting resellers lijken wel erg veel op sommige banken met hun bankgeheim en sommige onroerend goed makelaars en hun vaste notarissen. Bulletproof hosts kunnen dus gemakkelijk van een januskop voorzien worden.
Richtlijnen voor resellers zijn daarom belangrijk, niet dat resellers zo onnozel zijn dat ze niet weten wat er te koop is. De Stichting Digitale Infrastructuur Nederland (DINL) heeft het over “Daartoe is het essentieel dat de infrastructurele, faciliterende en daarmee neutrale rol van infrastructuur providers met betrekking tot handhaving en opsporing wordt gerespecteerd en tegelijkertijd de zelfregulerende mechanismen, multi-stakeholder en bottom-up aanpak van opsporing en handhaving worden gestimuleerd. Voorbeelden hiervan zijn de Notice and Takedown (NTD) procedure en de aanpak van abuse.“ Mooi, maar daar kan je nog alle kanten mee op.
Thema’s, zoals het uitvoeren van audits op basis van overeengekomen auditrechten en het opvolgen van de Bribery Act 2010, door hostingbedrijven en resellers moeten duidelijk omschreven worden, zodat iedereen weet waaraan men juridisch toe is.