Bruce Schneier: Zorgplicht ISP’s is noodzakelijk

Zorgplicht voor ISP's is de omgekeerde wereld. Vergelijk het met auto's: iedereen dient met een APK goedgekeurde auto en een rijbewijs rond te rijden. APK garandeerd dat de auto veilig is en een rijbewijs dat de gebruiker bekwaam is om het apparaat te gebruiken (oke, dat werkt niet altijd 100%, maar daarvoor schrijft oom agent dan weer boetes uit).

Voor computers zou het net zo moeten zijn: de gebruiker moet een diploma hebben dat hij bekwaam is om het het apparaat te werken (en dan bedoel ik een echt diploma, waaruit blijkt dat je weet wat een virusscanner is, weet wat spyware is en niet zo'n nutteloos papiertje als het huidige Europees computer-rijbewijs waarbij je een brief in Word kunt tikken) en misschien moeten we ook een soort APK voor computers invoeren. Bij dat laatste zou de ISP dan een rol kunnen spelen als APK-keurmeester.

Een ISP verantwoordelijk maken voor een computer waar hij niet het beheer over heeft en waar onbekwame gebruikers achter zitten is natuurlijk belachelijk!

Ik denk dat je het wel erg krom bekijkt en alleen uit het perspectief van iemand die zich ergert aan onkundige mensen met PC's.

Auto's die niet veilig zijn zorgen voor gevaar, mensen kunnen overlijden in een tragisch ongeluk omdat jouw remmen niet werkte.

Ik zie nog niemand overlijden omdat jij een virus op je PC hebt, enkel dat ik een extra spam mailtje binnen krijg.

Ik denk daarom juist wel dat het een goed idee is, providers kunnen beginnen met een hoop standaard poorten te blokkeren.

Nu zal jij als "Power-User" gelijk zeggen, maar dat wil ik NIET!! Nee, dat snap ik, maar 99% van de internet gebruikers is geen "Power-User", die heeft geen idee van SMTP, HTTP of wat dan ook.

Dan vind ik dat de provider daar de bescherming moet nemen.

Misschien kan er nog iets komen dat je ontheffing kan aanvragen na het ondertekenen van een contract waarin jij verklaard zelf zorg te dragen er voor, zo niet, dan mag je provider je een boete opleggen of je afsluiten voor bijvoorbeeld 48 uur.

Ik vind dan echter wel dat zakelijke xDSL lijnen ontzien moeten worden, hier zitten vaak toch mensen met meer verstand achter, die willen VPN's leggen, lokaal Exchange/Postfix draaien etc, etc.

Het klopt uiteraard dat providers geen beheer over de pc's van eindgebruikers hebben, en eisen stellen bij het online komen (pre admission control) gaat heel erg ver voor consumenten.

Maar op het netwerk zelf kan ook al veel gemeten worden om te zien of een PC wellicht besmet is: honeypots, flow-analyse, mailscanning op centrale mailservers. Op basis hiervan is quarantainestelling zeker een optie (post admission control). Daarbij wordt het verkeer van de klant omgeleid naar een server die alle opgevraagde webpagina's vervangt door een uitleg van het probleem, en een stappenplan voor een oplossing. Sites van microsoft update, antivirusproducten, etc blijven gewoon beschikbaar.

Dit concept wordt al toegepast bij o.a. XS4all (met een eigen systeem), Internlnet en Demon (voor de verkoop) en bij de helft van de nederlandse universiteiten (die eigenlijk ook vaak als ISP optreden richting studenten en medewerkers).

Zeker als gebruikers de optie krijgen om zichzelf weer uit quarantaine te halen nadat het probleem is opgelost, is dit een zeer gebruiksvriendelijk systeem, waarbij ISPs een flinke stap in de richting van zorgplicht kunnen zetten, zonder dat de 'goeden' onder de 'slechten' hoeven te lijden.

@Casper:
Op zich zie ik geen probleem in een dergelijke constructie zolang je 24/7 zelfstandig de blokkering op kunt heffen. Daarnaast zouden ze dan de update pagina's van alle besturingssystemen beschikbaar moeten maken (ontbreekt er 1 dan zou het al niet meer goed werken mijn inziens). Tevens zouden klanten vooraf pro-actief geinformeerd moeten worden en een helpdesk hebben ze nodig die de noodzakelijke kennis heeft en niet alleen Windows kent. Het opleggen van extra kosten zou waar mogelijk voorkomen moeten worden.