Project dat cybercrime bij Nederlandse hosters onderzocht afgerond
Een project van de Nationale Politie, het Openbaar Ministerie, de Autoriteit Consument & Markt (ACM) en de TU Delft dat cybercrime bij Nederlandse hostingproviders onderzocht is afgerond. Het project Nederland Schoon werd in 2014 gelanceerd en was gericht op abuse bij hostingproviders.
Het gaat dan om providers van wie de netwerken bijvoorbeeld worden gebruikt om spam te versturen of die malware- en phishingsites hosten. Zo ging de politie als onderdeel van het project in gesprek met hostingproviders van wie de infrastructuur verhoudingsgewijs vaker door cybercriminelen werd gebruikt dan andere providers. Ook werd er een 'vervuilingskaart' van Nederlandse hostingproviders opgesteld die naar verhouding het meeste misbruik kennen. Daarnaast zijn er met het project kenmerken ontdekt waar een 'goede' klant zich onderscheid van een 'slechte' klant en is de branche geholpen met het invullen van hun eigen verantwoordelijkheid bij het tegengaan van abuse, aldus de ACM.
Vorig jaar besloot het Openbaar Ministerie om het project niet meer te leiden, omdat zij naar eigen zeggen weinig handelingsperspectief heeft voor vervolgactie. "Er is onvoldoende grond om opzet te bewijzen en de hosters aan te pakken met behulp van het eigen instrumentarium van het OM." Nu meldt de ACM dat het project is afgerond. De hostingbranche heeft het project opgepakt onder de naam Abusebestrijding 2.0. Net als bij Nederland Schoon staat ook nu het bestrijden van abuse en cybercrime bij providers centraal. Hiervoor is er onder andere een Code of Conduct opgesteld en krijgen slechte hosters mogelijkheden om zich te verbeteren met kant en klare hulp en geselecteerde best practices.
Een groot aantal hosters doet niet mee aan dit soort verenigingen. Dat zijn de hosters die er geen belang in zien om zich te verenigen of geen belang hebben bij het naleven van een code of conduct. Ook deze hosters hebben geen last van juridische gevolgen, hooguit kunnen ze als klant van een andere hoster uit de gratie vallen.
Lost deze situatie iets op? Slechte hosting voorkomen doet de code of conduct niet, hooguit worden abuse meldingen sneller opgepakt. Dat is een winst. Is het genoeg? Met een groot deel van de hosters die niets doen en nog genoeg gelegenheid hebben om er geld mee te verdienen zo weinig mogelijk aan abuse te doen is dat nauwelijks geloofwaardig te noemen.
Er zijn geen getallen die bewijzen dat er minder foute hosting in Nederland is. Dit begint met dat juridisch gebrek waarom het volgens het OM nauwelijks te onderbouwen is dat foute hosting bestaat. Dat gebrek binnen de wetgeving is waar alle hosters voordeel bij hebben, met of zonder code of conduct.
Op Prinsjesdag werd cybercrime als belangrijk onderwerp genoemd. Als een kabinet echt aanpak van cybercrime wil dan komt er niet slechts geld maar ook wetgeving. Wetgeving die aangeeft wat Nederland bij hosting niet kan accepteren, waarmee er wel een middel is om foute hosting en cybercrime aan te pakken. Maar met het belang van vrije handel en de niet aantoonbare werking van zelfregulering zal de keuze eerder zijn om hosters hun gang te laten gaan. Dan stemmen we als land ook in met de economische schade en de mogelijkheid om als hosters en criminelen aan cybercrime te verdienen.
Zonder wetgeving om cybercrime bij de aanbieder te stoppen stemmen we in met een land waar je geld kan verdienen aan cybercrime. En dat is heel makkelijk geld verdienen. Het enige wat je daarvoor hoeft te doen is een paar regels hanteren waarin je stelt dat je criminele zaken niet kan accepteren en dan verantwoordelijkheid afschuiven op de klanten. Tegen de tijd dat iemand bedenkt dat die klant niets doet zijn ze al wat weken of maanden verder en is de winst voor de klant en de hoster al gemaakt.
Men had ook de bad hosting lijst van SiteVet kunnen hanteren en eens kunnen kijken hoeveel geblackliste URLs er nog worden gehost. Staat Leaseweb nog steeds op nummer 1?
Net als bij het verbeteren van de kwaliteit van de infrastructuur doet men liever niet te veel. Brakke hosting, MX issues, DNS problemen, certificering niet op orde, zwakke ciphers, configuratie-ellende enzovoort. Pakt men de gedoogde gatenkaas aan. Ik vrees van niet. Verwacht er dan ook maar niet te veel van.
Wel wat adviseren, maar geen handhaving. Men kan protocolverbeteringen niet eens goed doorvoeren, omdat men het risico loopt dat elders miljoenen hun internetaansluiting verliezen.
Alles wordt aan de markt overgelaten, parkeren met voortzetting van advertentie en tracking-inkomsten, neerhalen, sinkholen.
Trouwens de soort van 'untouchable' toezichthouder, die elk bonnetje aan de belasting moet overleggen en dus ongevoelig is voor de verlokkingen van cybercrime & co, vormt ook maar een klein select groepje en zij moet ook elke dag zien hun schoenen thuis te brengen.
Er zal dus m.i. weinig aan de bestaande situatie veranderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
