Providers moeten “passende technische en organisatorische maatregelen” treffen voor de bescherming van persoonsgegevens en privacy van gebruikers, en de beveiliging van hun netwerken. De OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, ziet toe op naleving van deze zorgplicht.
Wat zijn nu “passende” maatregelen? Dat wilde de OPTA ook graag weten, en ze hebben dan ook een onderzoek laten uitvoeren door het bedrijf Stratix over de bestaande en toekomstige dreigingen voor consumenten op Internet. Meer over het onderzoek bij ISPam.nl.
Op basis van dit onderzoek heeft de OPTA een “voorlopig standpunt” ingenomen. En nu is het de vraag aan iedereen die interesse heeft wat ze hier van vinden.
Uit het onderzoek komen de volgende dreigingen naar voren:
- Dreigingen betreffende ongeautoriseerde toegang:
- Tot verbindingen
- Tot gegevens
- Dreigingen betreffende misbruik van:
- Adressering (DNS)
- Routering
- Dreigingen betreffende de aard of de status van bepaalde informatie (zoals spam, spyware en phishing).
- Dreigingen die samenhangen met onvoldoende informatie over de risico’s van internetgebruik.
Er werden -gelukkig- ook een hoop oplossingen voorgesteld, die de OPTA indeelt in drie categorieen: basismaatregelen (die zijn duidelijk passend), best practices (daar moet over gepraat worden) en te hoog gegrepen maatregelen (die zijn, ehm, te hoog gegrepen en dus niet passend).
Bij de basismaatregelen moet je denken aan het filteren of blokkeren van netwerkverkeer dat niet hoort voor te komen, zoals data verstuurd vanaf een lokaal netwerk dat afkomstig lijkt te zijn uit een heel ander netwerk. Dat kan normaal niet voorkomen, dus dat moet wel een hackpoging zijn.
Ook het aanbieden van virusscanners en het geven van voorlichting over dreigingen en tegenmaatregelen, zoals hoe je een firewall of virusscanner moet installeren, horen tot de basismaatregelen.
Spam filteren ligt iets lastiger, want niet alle klanten willen dat hun provider dat voor ze doet. Daarom krijgt dit de status van best practice en niet van basismaatregelen. Hetzelfde geldt voor het blokkeren van poorten waarlangs Trojaanse paarden een PC kunnen infecteren. Dat kan immers soms legitiem netwerkgebruik storen.
Maar waarom het benaderen van een klant wiens PC als zombie wordt ingezet geen basismaatregel is, begrijp ik niet.
Er waren nog veel meer suggesties gedaan, bijvoorbeeld ter beveiliging van DNS, maar daar was kennelijk nogal wat onenigheid over, want die worden weggezet onder het kopje “te hoog gegrepen”.
Wie na het lezen van het rapport suggesties heeft, kan ze vóór 16 mei mailen naar de OPTA (e-mail adres in het rapport).
Tip via Planet – Opta wil zorgplicht internetaanbieders aanscherpen.
Arnoud
Eén reactie