DHPA Cybercrime- en Security-debat: ‘Sector is aan zet. Wie neemt de leiding?’

Op 18 juni 2013 werd in Utrecht de derde DHPA Techday georganiseerd, met als thema ‘Battling the Cloud’. Er waren tussen de 300 en 400 techneuten uit de internetsector aanwezig. In het programma een rondetafeldebat tussen experts uit de sector of ‘Cybercrime & Security’, onder leiding van Arnoud Engelfriet. Wij vroegen de deelnemers hoe zij het debat hebben ervaren en wat ze er van hebben opgestoken.

Aan het debat deden Ludo Baauw (Intermax), Peter Zinn (KLPD High Tech Crime Unit), Niels Bakker (AMS-IX), Frans ter Borg (Quanza) en Roel van Rijsewijk (Deloitte) mee. Ook het publiek uit de zaal kon participeren in het debat.

Wie moet eerste in de lijn zijn?
“Het was een heel uitdagend debat,” vertelt Engelfriet. “Het is een heel moeilijke vraag, wie welke rol moet hebben in de bestrijding van cybercrime. We waren het er allemaal wel over eens – inclusief de politie zelf – dat de politie niet de leiding moet nemen. Maar wie dan wel de eerste lijn moet zijn, daar kwamen we niet uit. De meeste partijen opereren natuurlijk als tussenschakel of doorgeefluik, en het voelt niet logisch dat zij dan ineens aansprakelijk moeten zijn voor criminaliteit of schade.”

Cybercrime in wetten wordt niks
Baauw vond het opvallend dat Peter Zinn sterk benadrukte dat ze alleen maar doen wat binnen de wet is toegestaan. “En daar gaan we dan maar even vanuit, want dat is in tegenspraak met het feit dat er meer dan 2,3 miljoen keer per jaar een CIOT-bevraging wordt gedaan en dat wij in Nederland meer tappen dan in welk land dan ook. Hebben de wetgevers – lees politici in de 2e en 1e Kamer – wel door welke verstrekkende gevolgen hun wetten hebben? Volgens mij niet – vergelijk de symboolpolitiek rondom cookie-wetgeving, daar was het ook chaos. Laat nooit de overheid proberen om cybercrime in de greep te krijgen door wetten, dat wordt echt helemaal niks.”

Genuanceerd
Het heeft Zinn prettig verrast dat de aanwezigen, zowel in het debat als in de zaal, goed nadenken over security en er een genuanceerde mening over hebben.

Netneutraal
Voor Bakker was het belangrijk om uit te dragen dat neutraliteit één van de pijlers is van het AMS-IX model, zoals dit door de leden is vastgelegd. “Onder het publiek zag ik daar ook een groot draagvlak voor terug. Deze neutraliteit staat geen tussenkomst van ons en derden toe in overeenkomsten tussen de bij AMS-IX aangesloten partijen en het verkeer dat zij onderling uitwisselen. Daarnaast maakt het AMS-IX model de aangesloten partijen mogelijk om ongewenst gedrag van peering partners te kunnen straffen door hen te ‘de-peeren’. Bovendien kunnen ze als laatste redmiddel AMS-IX verzoeken om in te grijpen wanneer een partij ongewenste internetverkeer stuurt. AMS-IX kan dan die partij daarop aanspreken en indien nodig (tijdelijk) afsluiten.”

Layer 2-platform
“In mijn slotboodschap, die inhaakte op een vraag van een bezoeker, benadrukte ik dat AMS-IX een layer 2-platform is,” vertelt Bakker. “Hierop kunnen aangesloten partijen vrijwillig verkeer met elkaar uitwisselen, zonder verdere inmenging van of meekijken door derden.”

Zoekt politie wel op juiste plek?
Volgens Baauw is het de vraag of de overheid en de politie niet veel meer praktisch moeten samenwerken met providers. “Bijvoorbeeld in de vorm van een gecombineerde Abuse-iX. Dit aangezien de politie zelf geen ‘honeypots’ mag inzetten, maar providers heel veel zien op hun netwerken wat mogelijk interessant is voor de politie. De verzoeken om taps en informatie komen nu soms maanden nadat het feit al is gepasseerd, dus zoeken ze wel op de juiste plek?”

Spelregels wetboek
“Het is belangrijk te beseffen dat de politie een klein, maar niet onbelangrijk deel is van een cybersecurity-aanpak,” legt Zinn uit. “En dat we ons daarbij aan de spelregels uit het wetboek van strafvordering hebben te houden.”

Aan de bak
Engelfriet denkt dat zelfregulering de enige optie is als je niet wilt dat de overheid rare wetten gaat maken. “De reclamebranche had dat lang geleden al door en kwam met de Nederlandse Reclame Code. Evenzo de journalistiek met de Raad. In de SMS-branche is dit jammerlijk mislukt (SMS gedragscode) en daar zie je nu stévige wettelijke regels en hoge boetes. Dat moeten we niet willen in de hosting/ISP-branche, dus iemand zal het voortouw moeten nemen.” Engelfriet geeft aan dat vanuit de DHPA enkele goede stappen worden genomen. “Maar natuurlijk is de markt veel groter dan DHPA. Dat maakt het tot een héle lastige uitdaging, maar wel eentje waar we over aan de bak moeten.”

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.