Internetveiligheid: hoe zit het met de zorgplicht van de provider?

Enkele jaren geleden vlamde de discussie over de eventuele zorgplicht van de internet provider op. De risico’s van het internet zoals spam, virussen, phishing etc. tekenden zich steeds duidelijker af. De vraag speelde of providers wettelijk verplicht zouden moeten worden gesteld om consumenten en organisaties op dergelijke risico’s te wijzen.

Na eerst gepleit te hebben voor een pakket aan maatregelen, waaronder het verplicht aanbieden van antivirus pakketten door providers, concludeerde de OPTA later dat zelfregulering en een keurmerk voldoende zijn. Dit omdat de meeste providers de voorgestelde maatregelen sowieso al uitvoerden.

Internetveiligheid wordt steeds belangrijker

Inmiddels is deze discussie vrij rustig geworden. Is dat omdat de discussie ten einde is? We kunnen het ons nauwelijks voorstellen. Vooral niet als we kijken naar de gevaren en bedreigingen op het internet die alsmaar toenemen. DDoS aanvallers en hackers ontwikkelen steeds geavanceerdere technieken.

Of het bewustzijn rondom de gevaren van het internet even snel toeneemt is nog maar de vraag. Regelmatig ervaren we helaas aanzienlijke naïviteit, als het bijvoorbeeld gaat om file sharing. Zo maken bedrijven gebruik van particuliere cloudoplossingen (zoals WeTransfer) voor het delen van bestanden, terwijl dergelijke tools – vanuit beveiligingsoptiek – enkel geschikt zijn voor particuliere doeleinden (zoals het delen van foto’s met familieleden).

Security as a service

Het is ook niet eenvoudig, want als u veilig online wilt opereren, moet u van veel zaken op de hoogte zijn. Dit vraagt om medewerkers die zich hier totaal op kunnen focussen; iets wat vaak niet haalbaar is voor veel organisaties. Het is daarmee niet terecht om te veronderstellen dat bedrijven voldoende inzicht hebben in de materie en voldoende kennis bezitten om de juiste vragen te kunnen stellen.

En daar wordt de rol van de provider dus steeds groter. Een provider moet die kennis namelijk wel in huis hebben en heeft daar ook veel meer middelen voor. Door deze ontwikkeling is het dienstenpakket van de provider veranderd: er wordt niet alleen voor software of hardware gezorgd, maar ook voor veiligheid: Security as a Service.

Risicoprofielen

Een onderdeel van Security as a Service is dat een provider helpt om scherp te krijgen wat een organisatie nodig heeft op het gebied van beveiliging. Deze behoeften zijn per organisatie namelijk totaal verschillend. Zo is een uurdowntime voor de ene organisatie acceptabel en voor de ander uit den boze. Daarnaast gebruikt de ene organisatie de applicaties vooral intern en de ander voor het uitwisselen van klantgegevens met externe partijen.

Met andere woorden: de gevolgen van een hack of DDoS aanval zijn voor de ene organisatie veel ingrijpender dan voor de andere. Via een bewuste afweging, komt u tot de juiste oplossing. Echter wordt een dergelijke afweging nog te weinig gemaakt.

De taak van de provider

Wij vinden dat wanneer een provider en een opdrachtgever een dienstverleningsrelatie aangaan, de provider een bepaalde zorgplicht heeft. Dit houdt in dat wij klanten wijzen op allerlei soorten risico’s, ook als dat zaken zijn die klanten liever niet horen.

Dit zien we echter niet als een plicht, maar meer als een manier van werken waar we achter staan.


Dit artikel verscheen 7 juli op de blog van WideXS en is met toestemming van de auteur op ISP Today gepubliceerd.

Over Paul Muller

Paul Muller is marketing director bij WideXS. Hij is zijn gehele carrière actief in de ICT in de breedste zin van het woord, los van een kortstondige onderbreking alweer meer dan 13 jaar werkzaam bij hosting en andere internet gerelateerde bedrijven.