Minister gaat DNS-providers en datacenters aanmerken als vitale infrastructuur

ananitit / Pixabay

Grote datacenters en DNS-providers worden in Nederland in de toekomst aangemerkt als vitale infrastructuur, las ik bij Tweakers. Dat betekent dat er strengere veiligheidseisen voor gaan gelden en dat ze betere bescherming krijgen. Dit gaat niet om SIDN – zie zijn al vitaal – maar om de partijen die domeinnamen technisch beheren, of op grote schaal hosting- en aanverwante diensten leveren. Maar wat is “vitaal” dan en waarom is het juridisch van belang?

Sinds oktober 2018 hebben we de Wet beveiliging netwerk- en informatiesystemen, een uitwerking van de Europese Richtlijn voor netwerk- en informatiebeveiliging (NIB). Doel van die laatste was een Europees minimum te stellen voor beveiliging van informatie-infrastructuur. De Richtlijn regelt ook samenwerking binnen lidstaten en het nemen van maatregelen om beveiligingsrisico’s te beheersen en gevolgen van incidenten te voorkomen en minimaliseren en ernstige incidenten te melden.

In Nederland bevat de Wbni onder meer een zorgplicht voor aanbieders van essentiële diensten en digitaledienstverleners. En dat is een belangrijke term, want je valt onder deze wet als je essentiële of vitale diensten aanbiedt. Beide termen zijn niet gedefinieerd, maar dat hoeft ook niet want je valt er alleen onder als je op een lijst gezet bent.

Het Besluit beveiliging netwerk- en informatiesystemen bevat de lijst van de essentiëledienstaanbieders, met niet verrassend de landelijke netbeheerders van elektriciteit en gas om meteen twee voorbeelden te noemen. Voor internet relevant: de “bij besluit van Onze Minister van Economische Zaken en Klimaat aangewezen aanbieders van internetknooppunten, bedoeld in bijlage II van de NIB-richtlijn”, wat in de Regeling aanwijzing aanbieders essentiële diensten EZK is gebeurd:

  • Een aanbieder van een internetknooppunt als bedoeld in artikel 4, onder 13, van Richtlijn (EU) 2016/1148 waarop meer dan 300 autonome systemen zijn aangesloten [een AS is een apart stukje internettransport, dus als een aanbieder die routeert tussen 300 of meer AS stukgaat is dat Heel Erg]
  • Een beheerder van een register voor topleveldomeinnamen die bij de Internet Assigned Number Authority (IANA) is geregistreerd en die meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft [dit is dus met name SIDN, AE]
  • Een beheerder van een register voor topleveldomeinnamen die bij de IANA is geregistreerd, meer dan 1.000.000 geregistreerde domeinnamen in beheer heeft en ten behoeve van die domeinnamen DNS-diensten verleent als bedoeld in artikel 4, onder 14 en 15, van Richtlijn (EU) 2016/1148 [in technospeak: authoritative zijn voor die domeinnamen]
De minister is nu van plan deze regeling te herzien, zo schrijft zij aan de Kamer. Die 1 miljoen van de derde bullet gaat omlaag naar 400.000, zodat een forse hap van de grote hostingbedrijven (zie pagina 33 van dit onderzoeksrapport) onder de regels gaat vallen. De minister legt uit:
Voor deze aanbieders gaan dan de zorg- en meldplicht uit de Wbni gelden. Dat betekent dat zij ernstige incidenten moeten melden bij zowel het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid als bij de toezichthouder (meldplicht) en dat zij passende maatregelen moeten treffen ter beveiliging van hun netwerk- en informatiesystemen (zorgplicht). Het Agentschap Telecom zal toezicht houden op de naleving hiervan. Ook kunnen aanbieders terecht bij het NCSC voor advies en ondersteuning bij digitale dreigingen en incidenten.
Hetzelfde zal gaan gelden voor grote datacenters. De brief omschrijft deze op zeer creatieve wijze als “stroomcapaciteit hebben van meer dan 50 megawatt”, het criterium uit de Wet ongewenste zeggenschap telecommunicatie (Wozt).  En ja 50 MW is veel.

Arnoud

OM wil makkelijker gegevens van resellers Nederlandse hosters hebben

geralt / Pixabay

Het Openbaar Ministerie wil dat het makkelijker wordt om klantgegevens en andere informatie op te vragen van bedrijven die serverruimte in Nederland doorverhuren. Dat las ik bij Security.nl. Men citeert hightechcrime-officier Esther Baars in OM-bedrijfsblad Opportuun die signaleert dat cybercriminelen vaak servers van Nederlandse datacentra gebruiken met tussenkomst van een reseller. Optreden daartegen vereist een rechtshulpverzoek, terwijl de data gewoon hier in Nederland staat. “Dat is werkelijk idioot”.

Baars legt uit waar de kern van het probleem zit:

Vaak gebruiken [cybercriminelen] servers van datacentra in Nederland. Zo’n datacenter verhuurt een server aan een tussenpersoon, een ‘reseller’. Dat mag gewoon. En die reseller verhuurt dan die serverruimte in Nederland weer door aan zijn eigen klanten. Dat maakt het voor ons ingewikkeld om verdachte klanten op te sporen.
Dus zeg maar, het Nederlandse bedrijf verhuurt een opslagbox aan een ondernemer, die daar vervolgens mooie opslagkasten in zet en buitenlandse klanten elk in diens eigen kast wat laat opslaan. Het probleem is dan: waar in de gewone wereld de politie gewoon die kast mag openmaken, moet de cyberpolitie per kast nagaan wat de identiteit van de reseller of de eindklant is om vervolgens in dat land een rechtshulpverzoek te doen – in “Rusland, de Seychellen, de Verenigde Arabische Emiraten, of een ander land waarmee wij geen, of een trage rechtshulprelatie hebben.”

Het punt is natuurlijk, bij zo’n gewone kast in een opslagbox kun je een slotenmaker meenemen en het ding openmaken, of je neemt hem (de kast, niet de slotenmaker) mee naar het bureau om daar rustig na te gaan wat er in zit. Bij een digitale kast, de vps van de klant van een reseller, is dat een stuk complexer:

[Dan] is het niet onmogelijk om een kopie te maken, maar kan dat kopiëren schade veroorzaken voor onbekende klanten die die server ook gebruiken maar niks met de criminaliteit te maken hebben. … [O]nze wet is zo ingericht dat we dan eigenlijk rechtshulpverzoeken moeten doen om die gegevens te krijgen. Dat is werkelijk idioot, want het is gewoon data die in Nederland staat en de plaats delict is dus gewoon Nederland.
Ik denk dat het issue is dat om zo’n kopie te maken je de server even uit moet zetten (‘bevriezen’), maar een typische resellermachine – de opslagbox met de kasten – kan vele tientallen klantensystemen tegelijk hebben. Dan gaan die dus allemaal even uit, en als eentje daarvan dan toevallig de betalingsdiensten van Alibaba in Nederland doet dan wordt het een ongezellige middag.

Ja, ik kan me ook niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men noemt dus dat zal ergens op gebaseerd zijn. Maar goed ook als het gaat om gewoon een doorsnee gamingdienst of betaald forum, je dupeert een onschuldige ondernemer enkel omdat die bij dezelfde reseller wat afneemt als een crimineel.

De reseller kan gericht servers afsluiten of kopieën helpen maken, maar die is daar zelden toe bereid zonder bevel van de lokale overheid, vandaar die route van het rechtshulpverzoek. En dat gaat inderdaad vaak traag, als men in zo’n land al bereid is om überhaupt iets te doen tegen een reseller wiens klanten in dat land geen directe rottigheid uithalen.

Wat dan wel?

De reseller [weet precies] waar wij moeten zijn. Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.
Komen de kasten weer: de verhuurder van de opslagbox moet een reservesleutel van de box en liefst ook van elke kast hebben. Zo kan gericht de juiste kast meegenomen worden. Het is technisch niet héél moeilijk om dit zo in te richten, de reseller (de huurder) kan vrij eenvoudig aan de hoster (de verhuurder) welke vps van welke klant is en dan desbevolen een kopie daarvan af te geven aan het OM.

Een lastige is, hoe dwing je resellers om dit te doen. Je komt dan al snel bij administratieve procedures uit, zoals dat de hoster moet kunnen meekijken in het VPS controlepaneel maar dan zonder de overige, commercieel zeer interessante, gegevens over de klanten. Of dat de hoster een beperkte set informatie krijgt maar wel moet kunnen nagaan dat dat overeenkomt met de werkelijke configuratie. Het kan allemaal maar praktisch is anders.

Arnoud

Is Googles Eemshavens datacenter nou privacytechnisch spannend?

datacenterGoogle gaat in de Eemshaven in Groningen een enorm datacenter bouwen., las ik bij NRCQ. Het datacenter zal zo’n 150 banen in Nederland opleveren en vertegenwoordigt een investering van minstens 600 miljoen euro. Waarop iedereen dacht: ja maar wacht eens, valt dat datacentrum niet onder Amerikaanse (privacy- en andere) jurisdictie? Althans, als ik mijn inbox mag geloven.

Eh, nee. Als je in Nederland iets bouwt, dan valt dat iets onder Nederlands recht. Of het nu een datacentrum is, een chemische fabriek of een ambassade. Want nee, een ambassade is géén grondgebied van de gast maar gewoon van het gastland (bij ons Nederland dus). Het Verdrag van Wenen bepaalt dat diplomaten en diplomatieke vertegenwoordigingen immuniteit of onschendbaarheid genieten in de landen waar ze te gast zijn (artikel 22) en dat niemand een ambassade mag betreden zonder toestemming van de ambassadeur.

Verder maakt het specifiek voor de privacy totaal niet uit of het datacentrum onder Nederlands of Amerikaans recht zou vallen. De privacywet kijkt niet naar waar de data staat, maar om wiens data het gaat. En is dat data van Nederlanders, dan geldt daarop de Nederlandse privacywet (die afgeleid is van de Europese).

De privacywet bepaalt dat persoonsgegevens niet mogen worden verwerkt in landen waar geen adequaat beschermingsniveau geldt voor zulke gegevens. De VS is het schoolvoorbeeld van zo’n land – ze hebben daar niet eens een wet die iets zegt over persoonsgegevens.

Google mag dus best hier een datacentrum neerzetten en daar gegevens van Nederlanders in opslaan. Ze moet er alleen voor zorgen dat die gegevens binnen Nederland, althans binnen Europa, blijven en met name dat Amerikaanse overheden daar niet bij kunnen.

En dat wordt nog een lastige voor het Amerikaanse bedrijf, tenzij concurrent Microsoft haar hoger beroep wint over het moeten afgeven van data uit haar dochterondernemingsdatacentrum in Iederland. Of Google moet het datacentrum alleen gebruiken voor niet-persoonsgegevens. Maar dat lijkt me sterk.

Arnoud

AMS-IX zet toch omstreden stap van Amerikaanse uitbreiding door

cloud-flag-usaOMGWTFPATRIOTACT. Een meerderheid van leden van de AMS-IX heeft zich achter de omstreden uitbreiding van het internetknooppunt naar de Verenigde Staten geschaard, meldde Tweakers zaterdag. Die uitbreiding leverde flink wat zorgen bij de leden op, maar kennelijk net niet genoeg om voldoende tegenstemmen te krijgen. Maar beloofd is dat het opzetten van het Amerikaanse internetknooppunt Patriotactrisicoloos zou gebeuren.

De uitbreiding is financieel interessant voor AMS-IX, omdat veel van de huidige Amerikaanse internetknooppunten duur en commercieel zijn. AMS-IX is een vereniging zonder winstoogmerk en kan daar dus best een stuk marktaandeel veroveren.

Alleen ja die gekke Amerikanen en hun USA PATRIOT ACT hè. Heb je een server of rechtspersoon in de VS, dan val je onder Amerikaanse rechtsmacht en dan kan de FBI dus via die antiterrorismewet komen snuffelen in je dataverkeer. En dat moet je toelaten – inclusief na verluidt snuffelbevelen in servers van je Europese datacenter. En in theorie is het dus denkbaar dat de Amerikaanse AMS-IX rechtspersoon dan te horen krijgt dat ze een livetap in de Amsterdamse AMS-IX moeten gaan zetten, op straffe van vakantie voor onbepaalde tijd in Guantanamo Bay.

Maar of dat ook wérkelijk zo gaat, is nog nooit getest bij de rechter. Dat is ook moeilijk want zulke bevelen worden onder geheimhouding (gag order) gegeven, en achteraf klokkenluiden vanuit Guantanamo Bay is best wel lastig. Maar misschien gebeurt het ook wel niet. (En misschien heb ik wel een FBI-bevel om dit zo te zeggen.)

Er zijn wel constructies denkbaar om dit tegen te gaan. Je kunt bijvoorbeeld werken met twee onafhankelijke stichtingen die alleen samenwerken maar technisch en organisatorisch gezien geen toegang tot elkaars datacenters hebben. (Nog even afgezien van de vraag of het niet op zou vallen dat een Amsterdams datacenter ineens bergen data naar Ford Meade, MY gaat versturen.) Maar het zal nog wel enig gepuzzel vergen.

Eerder kwam de AMS-IX al in opspraak over vermeend aftappen. Bezoekende Kamerleden konden echter geen NSA- of AIVD-aftapstekkers ontdekken.

Arnoud