Consultatie van OPTA naar de “zorgplicht” van ISP’s

OPTA heeft een consultatieronde onder marktpartijen gehouden om zo tot een verdere invulling te komen van artikel 11.3 van de Telecomwet. Dit artikel schrijft op een zeer breed te interpreteren manier voor dat ISP’s verantwoordelijk zijn voor de veiligheid van en bescherming van de persoonlijke levenssfeer van abonnees. Daarnaast de risico’s die er overblijven moeten melden aan de abonnees en ook zijn ISP’s verplicht veiligheidsincidenten te melden aan hun abonnees. ISP’s hebben een zogenaamde “zorgplicht”.

OPTA heeft onderzoeksbureau Stratix opdracht gegeven om 5 marktpartijen te interviewen om hun ideeën over artikel 11.3 Tw te krijgen. De volgende marktpartijen zijn geïnterviewd:

1. NLnet Labs, Olaf Kolkman en Jaap Akkerhuis
2. SURFnet, Jacques Schuurman
3. CAIW, Hans van der Giessen
4. Xs4all, Scott McIntyre en Simon Hania
5. InterNLnet, Paul Theunissen

Aan hen zijn de volgende hoofdvragen voorgelegd:

1. Wat zijn de dreigingen nu?
2. Wat zijn de dreigingen die opkomen?
3. Wat wordt daar nu aan gedaan?
4. Wat kan er aan gedaan worden?

De geïnterviewden zien als dreiging:

• Spam (incl. blogspam)
• Virussen en wormen (mail, web, etc)
• Zombie-PC’s / botnets
• Phishing / Trojan sites
• Malware
• Denial-of-Service aanvallen
• Combinaties van deze dreigingen

De geïnterviewden zien als maatregelen die ISP’s kunnen nemen tegen deze dreigingen:

• Het niet naar andere netten routeren van verkeer vanaf IP-adresssen die niet tot de eigen reeksen behoren.
• Het niet routeren van inkomend verkeer van IP-blokken die niet officieel zijn uitgegeven
• Aanbieden van virus- en Spamfilters voor inkomende en eventueel uitgaande e-mail
• Blokkeren van de meest voor inbraken op PC’s misbruikte poortnummers
• Eindgebruikers adviseren om (personal) firewalls te installeren of activeren

De geïnterviewden geven ook duidelijk aan dat ISP’s maar beperkt invloed hebben op het applicatiegebruik en klikgedrag van hun abonnees. Ze geven daarom aan dat de meeste mogelijkheden om bedreigingen te beïnvloeden bij de veiligheid van de eigen systemen en diensten. Internet beveiliging en veiligheid vereist naar het idee van de geïnterviewden van alle toepasselijke partijen (ISP’s, eindgebruikers en software/hardware fabrikanten) dat ze zich bewust zijn van de risico’s en met maatregelen reageren op bekende bedreigingen.

Op de vraag wat de geïnterviewden vinden dat de rol van de OPTA zou moeten zijn, was er één geïnterviewde van mening dat de ISP’s enkel voor de beveiliging van de eigen systemen zorg dienen te dragen en bij veiligheidsincidenten daarover dienen te communiceren met hun abonnees. De algemene teneur was wel dat vrijwel alle geïnterviewden niet inzien waarom handhaving van dit wetsartikel urgent is. Allen vinden het onderwerpen zeer belangrijk, maar zijn terughoudend over het opleggen van verplichte maatregelen aan de bedrijfstak als geheel.

Verder is een interessant onderdeel uit het onderzoeksrapport het feit dat er door verschillende geïnterviewden een rol wordt gezien voor SIDN, XS4ALL zegt:

OPTA / SIDN relatie. Er is op dit punt mogelijk geen directe relatie, echter veel van de Spam en “.nl” problemen die optreden op het terrein van security/safety online zijn daadwerkelijk te beheersen door SIDN, echter Xs4all ervaart dat SIDN op dit moment EXTREEM zwak handelt op deze bedreigingen. “Ze zijn traag, niet co-operatief en niet “up-to-date” m.b.t. de potentiële rol die een Registrar kan vervullen met betrekking tot Internet beveiliging en veiligheid. Mogelijkerwijs kan OPTA op dit punt meer betekenen door hen aan te moedigen?”

Dat is op zich een interessante stelling, al moet daar natuurlijk ook bij moeten worden gezegd dat SIDN het afgelopen jaar door een diep dal is gegaan en daar nu weer uit aan het klimmen is. Eerst moet de basis in orde zijn, voordat je aan andere (bij)zaken gaat werken. Verder krijg ik dat soort signalen wel vaker. Daarom kan ik de opstelling van XS4ALL wel begrijpen.

Ook NLnet Labs heeft een curieuze opmerking over SIDN en specifiek het registratieproces.

In de vorige paragraaf is ‘domaintasting’ genoemd als praktijk in het ‘.com-domein’. Een aantal marktpartijen lobbyen bij SIDN om ook elektronische orderverwerking in Nederland in te voeren. Nu zorgt de eis om papieren contracten met klanten te hebben nog voor een rem. Dan gaat echter ook hier de Colportagewet voor elektronische levering (tot 14 dagen op zicht met recht op retour) gelden. Het .nl-domein is nu het grootste TopLevelDomain dat nog geen elektronische orderverwerking kent. Men vermoedt dat de partijen die lobbyen het oog hebben laten vallen op ‘domaintasting’. OPTA zou zich sterk kunnen maken voor aanpassing van de wetgeving, zodat deze juridische sluiproute kan worden afgesloten.

Hoe komen ze er bij NLnet Labs bij dat je aan ‘domaintasting’ kan doen met behulp van de colportagewet, wanneer deze zuiver elektronisch tot stand komen. Allereerst is de bedenktermijn maar 7 werkdagen. Ten tweede is deze optie alleen voor consumenten en niet voor bedrijven. Domeinnamen worden op basis van de specificaties van de registrant ‘samengesteld’ en daarmee zijn deze uitgezonderd van de bedenktermijn.

Ik heb dit betoog in een eerdere kwestie voorgelegd aan Steven Ras van ICTRecht die het onderschrijft. Er is dus helemaal geen juridische sluiproute, het feit dat er wordt gelobbyed om volledige elektronische orderverwerking is juist om de administratieve lasten de registrars te minimaliseren en niet om misbruik te kunnen maken van domaintasting. Ik vind het verhaal dan naast de naar mijn idee juridische incorrectheid, zeer merkwaardig klinken.

De brief van OPTA en het onderzoeksrapport zijn hier te vinden.