Informatieplichten over beveiliging voor providers

opta-logo.jpgInternetproviders en met name aanbieders van mobiel internet dienen volgens telecomwaakhond OPTA hun klanten beter te informeren over de gevaren op het web, meldde Nu.nl eergisteren. De OPTA, die ook toezicht uitoefent over internetaanbieders, heeft beleidsregels uitgegeven over de informatieplichten van internetaanbieders. Op grond van art. 11.3 Telecommunicatiewet is de OPTA bevoegd deze regels op te leggen en met boetes naleving af te dwingen.

De OPTA noemt in de beleidsregels (die als niet-kopieerbare PDF aangeboden worden, argh!) informatie over deze onderwerpen als minimum:

  • Het binnenkrijgen van spam, phishing-mails, spyware en andere malware.
  • <li>Het ongewenst door anderen laten gebruiken van een (draadloze) internetverbinding of van de eigen computer.</li>
    
    <li>Het bereikbaar zijn(!) van ongewenste websites.</li>
    
    <li>Het laten kapen van de eigen computer zodat daarmee spam, phishingmails of malware verstuurd kan worden (door deelname aan een botnet).</li>
    

De informatie moet duidelijk, ondubbelzinnig, actueel en relevant zijn. Een tekst als “Om veilig te internetten zou u een virusscanner moeten installeren” is bijvoorbeeld onvoldoende volgens de OPTA, omdat je daarmee mensen niet informeert over de risico’s als je die niet installeert. “Onveilig” is niet duidelijk genoeg.

Providers moeten een aparte pagina op hun website maken waarin ze deze informatie opnemen. Deze moet met één klik vanaf de homepage of landing page te bereiken zijn waar men het abonnement kan afsluiten.

De OPTA is al sinds 2007 bezig met het formuleren van passende regels. Dat gaf nog aardig wat ophef onder de ISP-community. Het zou bemoeizucht van de OPTA zijn of zelfs “gezochte werkgelegenheid“. Dit omdat “de maatregelen zodanig standaard zijn, dat ze allang door elke welopererende ISP in Nederland genomen zijn”, aldus Simon Hania van (destijds) XS4All.

Wat vinden jullie van deze regels? Heeft het nut om ISP’s te verplichten hierover informatie te verschaffen? Of wat zou men beter kunnen doen?

Je kunt je bijvoorbeeld afvragen of het nu juist de ISP’s moeten zijn die deze informatie gaan verspreiden. Zelf zou ik verder meer zien in verplichte maatregelen om deze beveiligingsrisico’s tegen te gaan. Internetrechtexpert Gerrit-Jan Zwenne (Leiden, Bird & Bird) zegt bijvoorbeeld terecht:

Ook als ik wordt geinformeerd over de risico’s van spam en botnets, blijf ik daarvan last hebben. Om echt iets te doen aan internetveiligheid moet meer gebeuren. Ik maak mij sterk dat OPTA heel wel in staat is om aanbieders te verplichten botnets op te sporen en te verwijderen. En als het moet zou OPTA dat ook zelf kunnen doen.

Denk aan scanners die bergen uitgaande spam of phishingmails detecteren en dan de betreffende poort sluiten of het internetverkeer van die computer beperken. Volgens mij werkt dat beter dan een folder met “pas op met het openen van bijlagen bij e-mail”.

Arnoud

14 reacties

  1. Maar… denken ze nu echt dat het ook maar iets oplevert, als ISP’s, voor zover dat nog niet zo is, daar een of meer pagina’s over online zetten?

    Dat lezen diezelfde mensen die hun computer regelmatig vol met virussen hebben zitten toch niet, ben ik bang.

  2. Helemaal mee eens Arnoud; de gemiddelde Windowmachine is nauwelijks te beveiligen en zeker niet door iemand die weinig kennis van zaken heeft. Voorlichten zal dan ook weinig helpen. Ik ben voorstander van het idee om gebruikers te blokkeren wanneer het blijkt dat ze een of ander virus hebben (waaruit botnets bestaan). Ik realiseer me wel dat dat een privacyprobleem oplevert dat eerst opgelost moet worden.

  3. Ik snap het niet, waarom wordt deze verplichting bij ISP’s neergelegd?

    Je mag enkel de weg op met een auto mits die auto veilig is verklaard door een expert en je in het bezit bent van een certificaat dat aangeeft dat je weet waar je mee bezig bent (beter bekend als rijbewijs). Wij gaan toch ook niet zeggen dat auto’s ongekeurd de weg op mogen, met een bestuurder die geen rijbewijs nodig heeft, om vervolgens de wegbeheerder te verplichten gebruikers van de weg te gaan voorlichten over gevaren, en wat daar aan gedaan kan worden?

    Voor de meest onzinnige dingen hebben we postbus51-spotjes, waarom hiervoor niet?

  4. @Freeaqingme, Je haalt me deels de woorden uit de mond. Waarom zou de overheid niet rechtstreeks via Postbus 51 kunnen voorlichten als het volgens hen zo belangrijk en effectief is om dat te doen?

    De vraag blijft natuurlijk of louter voorlichting wel helpt omdat je nog steeds een grote kans loopt dat degenen die het betreft het toch niet horen / lezen.

    Op dit moment is het al mogelijk dat een abuse afdeling van een ISP zijn eigen klanten afsluit die bijvoorbeeld besmet zijn met een virus of worm en die daardoor overlast veroorzaken. Bij het afsluiten (suspenden) van dergelijke klanten wordt vaak een beroep gedaan op de algemene voorwaarden, er wordt na zo’n afsluiting dan ook vaak van de klant gevraagd weer aan deze voorwaarden te gaan voldoen door zijn PC op te (laten) schonen.

    Ik denk niet dat het uitbreiden van de mogelijkheden van de ISP of zelfs het opleggen van verplichtingen tot het blokkeren het antwoord zijn. Ik denk dat het bovenal belangrijk is dat de overheid probeert om niet altijd achter de actualiteit aan te hobbelen en daar waar mogelijk gewoon in te grijpen. Het gaat hier tenslotte om grootschalige computercriminaliteit.

  5. Natuurlijk zou het scannen van uitgaande mails zoden aan de dijk zetten. Maar het is niet aan de overheid om dat op te leggen. Zo iets zo pure censuur zijn en gaat regelrecht in tegen de vrijheid van meningsuiting. Dergelijk beslissingen horen thuis in het domein van de contractuele vrijheid.

    Wat de overheid wel kan opleggen is dat providers de klant van goede informatie voor ziet. Dat een provider het risico dat haar klanten lopen niet onder het tapijt zouden mogen schuiven lijkt mij niet meer dan logisch. Deze informatie zouden ook voor potenciele klanten beschikbaar moeten zijn.

    @Freeaqingme: De vergelijking met auto’s en een rijbewijs gaat niet op. Deze regels zijn er omdat in het verkeer anders jaarlijks veel meer mensen om het leven zouden komen. De digitale snelweg heeft nog nooit slachtoffers gemaakt.

  6. @Alex: kan economische schade en overlast dan geen reden zijn om regels te stellen? Het lijkt me toch niet dat de overheid alleen in mag grijpen vanwege verlies aan mensenlevens.

    Welke meningsuiting komt in gevaar trouwens als mijn PC in isolatie gaat omdat een Trojan vanaf daar mails verstuurt?

  7. Ik mag dan een socialist zijn, maar laten we dit soort dingen alsjeblieft niet aan de overheid of semi-overheid overlaten; het internet is nog steeds een soort onbegrepen jungle voor ze. Internet providers worden sowieso al te vaak als een soort onbetaald politieagent misbruikt.

  8. Hum, preventief scannen door de ISP op potentieel spamgedrag. Klinkt mij net iets teveel in de oren als het aantasten van het (electronische) briefgeheim. Achteraf iemand afsluiten omdat er door derden geklaagd wordt over een spammer/bot gebeurt nu al. Maar preventief lijkt me een stap te ver. Los nog van het feit dat de definitie van spam lastig is. Wanneer is het spam en wanneer is het een goed gelezen electronische nieuwsbrief? Wat wel de oplossing is, weet ik ook niet.

  9. Arnoud(6): Je voorstel is om providers te dwingen om het uitgaand verkeer te scannen en op basis van die bevingen poorten te blokkeren. Ik ben daar terughoudend in omdat ik het gevoel heb dat je dit niet goed doordacht hebt. Dat gevoel wordt gesteund door het feit dat er zo’n scheve vergelijking wordt getrokken. En ik hoor ook geen goede argumenten waarom de overheid dit plan zou moeten op dwingen.

  10. Wat XS4all doet is trigger ip’s gebruiken. Zij hebben een lijst met ip’s die veel door botnets gebruikt worden (de servers waarmee de nodes worden aangestuurd), indien er verbinding gemaakt wordt met zo’n trigger ip, wordt het internet verkeer gescanned voor een periode van 24 uur. Wordt er in die 24 uur activiteit herkend welke duidt op virussen/spam/etc, wordt je in het vlan gezet waarbij al je internetverkeer door een http proxy moet (gelukkig kan je dan wel een tunnel opzetten over een https verbinding, en over die tunnel alsnog al je verkeer sturen :D)

  11. Zo’n gek idee is dit niet: Informeren is wel degelijk van belang. ‘Internetveiligheid’ heeft voor een belangrijk deel te maken met het gedrag van degene die de computer bedient. Veel malware richt zich niet primair op een gat in de technische beveiliging van de computer, maar op het gedrag van de computergebruiker. Precies zoals het paard van Troje zich niet richtte op een zwakke plek in de stadsmuur van Troje, maar op de goedgelovigheid van de bewoners, zo komen trojans op computers terecht doordat de computergebruiker meent een gratis versie van Photoshop te bemachtigen, of naaktfoto’s van een favoriete beroemdheid, of weet ik veel wat voor aantrekkelijk klinkende aanbieding. Gedrag dus.

    Gedragsproblemen oplossen met technische maatregelen, dat werkt maar matig. Je kunt nog zo’n goede virusscanners en firewalls bedenken, uiteindelijk is de mens de baas, niet de software. Ik geloof daarom in mensen wijzen op hun gedrag, ze uitleggen wat het risico is en hoe je dat vermijdt. Informatie verstrekken is dus belangrijk. Niemand zegt overigens dat ‘louter voorlichting’ helpt. Natuurlijk is er meer nodig. Maar dat wil niet zeggen dat voorlichting niet werkt.

    Je kunt erover discussi?ren of OPTA voorlichting verplicht moet stellen. Voor ons had het niet gehoeven, wij hebben die informatie al jaren op onze website staan. Maar dat geldt lang niet voor alle providers. Ik denk daarom dat deze maatregelen helemaal niet zo gek is.

    @ Freeaqingme: hoe weet jij zo precies hoe XS4ALL te werk gaat?

  12. Nadat ik twee keer tot die http proxy verbannen ben omdat een ( @#$@%^@#$ ) windows computer in ons netwerk een trojan bevatte, heb ik twee mensen gesproken die bij xs4all werken of werkten, en die wisten mij dit op die manier uit te leggen. Als ik het fout heb, hoor ik het graag van je 😉

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.