Een keurmerk voor internetproviders zorgt niet voor meer veiligheid op het internet en is in feite gewoon een marketingtool, dat laat XS4ALL aan Security.NL weten. De ISP sloeg twee weken geleden alarm naar aanleiding van een brief die de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) had verstuurd. De OPTA is voorstander van een keurmerk, omdat dit consumenten een veilige provider laat kiezen.

"Er zijn geen "onveilige" access providers. Er zijn wel onveilige websites en gebruikers die zich onveilig gedragen," zegt technisch directeur Simon Hania. Volgens hem zijn er in Nederland nog nauwelijks aanbieders die als laks te kenmerken zijn. "Als dat zo was, dan treedt er namelijk een zelfcorrigerend mechanisme tussen providers in werking: verkeer van en naar een dergelijk provider gaat dan hinder ondervinden van elders ingestelde blokkades.”

Hij noemt als voorbeeld dat de mailservers van sommige providers soms voor spam misbruikt worden. Vervolgens komt die mailserver op een blocklist, waardoor mailverkeer van alle klanten van die provider hinder ondervindt. Dat leidt weer tot grote aantallen helpdesktelefoontjes en dat kost de provider geld. Dus zal die minder laks optreden. "Voor dit effect is een keurmerk echt niet nodig."

Als het gaat om besmette abonnees treedt de provider actief op. In veel gevallen wordt de verbinding gefilterd of gedeeltelijk afgesloten. XS4ALL doet dit voor twee zaken, om de klant tegen het weglekken van informatie te beschermen, maar ook om verdere verspreiding tegen te gaan.

Bij de overheid zijn ze zeer te spreken over de houding van internetproviders als het om computercriminaliteit gaat. "Providers doen zo adequaat mogelijk hun best," zegt GOVCERT woordvoerster Ella Broos. Ze vindt een keurmerk wel een goed initiatief zolang het aan de markt wordt overgelaten. Dat geldt ook voor de controle ervan. Het is dus niet zo dat de overheid providers tot een keurmerk gaat verplichten of als controleur gaat optreden. Broos merkt wel op dat mocht er een keurmerk komen, ISP’s die hier niet over beschikken, niet per definitie onveiliger zijn dan hun gecertificeerde concurrenten.

Keuze

Bij de OPTA zien ze een keurmerk als middel zodat consumenten een goed geïnformeerde keuze voor een ISP kunnen maken, waarbij er bewust voor een bepaald beveiligingsniveau kan worden gekozen. "Consumenten kunnen dan op transparante wijze zien welke veiligheidsmaatregelen door een ISP zijn genomen. Het is een voorstel uit de branche zelf geweest en de ISP's zouden het dan ook zelf moeten opzetten in de ogen van OPTA," zegt woordvoerster Cynthia Heijne.

Een keurkmerk kan volgens de OPTA weldegelijk voor een hoger beveiligingsniveau zorgen. "Sommige ISP's dachten zelf dat het wel een nuttig middel was. Als door middel van zo'n keurmerk consumenten kunnen kiezen op beveiligingsniveau, zullen ISP's ook meer op dit aspect gaan concurreren, waardoor uiteindelijk de markt zichzelf naar een hoger niveau van beveiliging tilt," gaat Heijne verder.

De vraag blijft natuurlijk zolang er geen keurmerk is, hoe consumenten een veilige provider kunnen kiezen. "Voor een leek is dat nu moeilijk, vandaar dat we het idee van de branche om een keurmerk te voeren zo goed vinden. Dan kan een consument dit onderscheid wel maken."

Volgens Hania zal het niets uitmaken. "Het helpt geen biet om access provders van een keurmerk te voorzien. Een keurmerk op zichzelf lost niks op. Helemaal wanneer alleen access providers eronder zouden vallen. Onveiligheid komt namelijk bij allerlei hosters voor in zowel binnen als buitenland." De technisch directeur haalt daarbij de quote van collega Niels Huijbregts aan. "Luchtvervuiling los je immers ook niet op door iedereen verplicht een mondkapje te laten dragen, dat doe je door roetfilters te installeren op de uitlaat van de vervuiler."

Marketingtool

Mocht het keurmerk er komen, dan moet het niet tot een "gimmick" verworden wat leuk staat in reclames. "Daarom moeten de eisen van het keurmerk serieus en uitdagend zijn. Dus ook serieus in de zin dat de branche zelf streng toeziet op de uitgifte er van. Uiteindelijk zijn de ISP's er zelf ook bij gebaat als dit een zinvol keurmerk is: de consument kan dan immers zelf de "goeien" van de "kwaaien" onderscheiden. En op die manier haal je dus de rotte appels uit de mand en wordt het duidelijk welke ISP's daadwerkelijk de veiligheid van hun klanten hoog in het vaandel hebben staan," aldus Heijne. Zij vindt dat als het een initiatief van de markt is, de controle in eerste instantie ook bij de markt moet liggen.

Hania blijft echter sceptisch over het keurmerk voor providers en keurmerken in het algemeen. "Een keurmerk is per definitie altijd een marketingtool. Het valt dus niet te voorkomen dat het dat wordt. Het is het al."