De aanpak van internet- en hostingproviders die willens en wetens cybercriminelen ondersteunen, of onvoldoende doen om dit tegen te gaan, verloopt traag. Er zijn allerlei plannen om te voorkomen dat cybercriminelen de Nederlandse infrastructuur misbruiken, maar vooralsnog is de opbrengst mager. ‘Bulletproof’-resellers, ofwel aanbieders van hostingdiensten die cybercriminelen garanderen dat ze uit de handen van politie en justitie blijven, kunnen vaak ongestoord hun gang gaan.
Dat blijkt uit een Kamerbrief waarin minster Yeşilgöz van Justitie en Veiligheid de Tweede Kamer informeert over de resultaten van een zogenoemde reseller-actie van de politie. Die deelde eind 2022 een lijst met 38 namen van malafide partijen en riep internet- en hosting-aanbieders op de dienstverlening aan deze klanten direct te staken. Het doel is om netwerken te schonen van criminele organisaties die Nederlandse servers en netwerken misbruiken voor malafide zaken.
Opvallend: geen van de aangeschreven internet- en hostingbedrijven deelt hoeveel malafide resellers er in hun klantenbestand zaten. ‘Het betreft bedrijfsgevoelige informatie die zij niet specifiek wensen te delen’, schrijft de minister.
Wel heeft ze van brancheorganisatie Dutch Cloud Community gehoord dat ‘enkele’ hostingproviders actie hebben ondernomen naar aanleiding van de brief en namenlijst. Ook zijn er gesprekken tussen de politie en de Dutch Cloud Community over mogelijkheden om signalen van malafide wederverkopers ‘structureler’ met hostingproviders te delen.
Aanpak
In 2021 waarschuwde de politie ook al voor bulletproof-hosters van Russische komaf die via de Nederlandse digitale infrastructuur 'zaken doen'. Op verzoek van de internetsector kwam de politie in 2022 met een lijst met namen van malifide resellers.
In de brief van de minister staan vooral ‘oplossingsrichtingen’ die verkend worden. Het gaat bijvoorbeeld om het delen van informatie over criminele handelingen tussen het ministerie en de hostingsector. Dat gebeurt binnen het project Cleannetworks. Daarin delen de Stichting Nationale Beheersorganisatie Internet Providers en het ministerie informatie waardoor internet- en hostingproviders zich beter kunnen beveiligen tegen dreigingen. Het project krijgt geld van het ministerie en een securityfonds van de EU.
Ook de strafrechtelijke aanpak wordt onderzocht. In 2022 heeft het gerechtshof in Den Haag bepaald dat dienstverleners onder omstandigheden niet zijn uitgesloten van strafrechtelijke aansprakelijkheid, ook niet als zij geen bevel tot het ontoegankelijk maken van gegevens hebben ontvangen. ‘Deze uitspraak biedt mogelijkheden voor vervolging van hostingproviders die criminelen actief helpen', stelt de minister van justitie. 'Aanpassing van het Wetboek van Strafrecht is daarom op dit moment niet voorzien’, schrijft ze.
Gedragscode
Ook wil de rijksoverheid zelf het goede voorbeeld geven door alleen internet- en hostingdiensten in te kopen bij ‘verantwoorde leveranciers’. Het volgt bij inkoop ervan de Gedragscode Abusebestrijding. Aanbieders verklaren daarmee dat ze misbruik van hun infrastructuur proberen te voorkomen en daartoe voldoende maatregelen nemen. Ook wordt samen met Cleannetworks een keurmerk ontwikkeld dat de keuze voor verantwoorde leveranciers moet ondersteunen.
De bewindsvrouw schrijft ook dat partijen die domeinnaamregistratiediensten aanbieden, verplicht zijn om accurate domeinnaamregistratiegegevens bij te houden, zoals het e-mailadres en telefoonnummer van de afnemer. Maar ze houdt een slag om de arm. ‘Indien deze domeinnaamgegevens worden bijgehouden, kunnen de politie en het Openbaar Ministerie deze in het kader van een opsporingsonderzoek vorderen.’
Tot slot wijst de minister op de eigen verantwoordelijkheden van internet- en hosting-aanbieders: Naast de stappen die het OM en de politie zetten, is het tegengaan van het faciliteren van criminaliteit door hostingproviders een aandachtspunt voor de sector zelf, aldus Yeşilgöz.
