Een maand of wat geleden maakte OPTA bekend zich actief te gaan bezig houden met het beperken van internetdreigingen, zoals phishing, spam, botnets en zombies enzovoorts. Om het dreigingsbeeld in kaart te brengen heeft de telecomtoezichthouder het onafhankelijke onderzoeksbureau STRATIX een rapport laten opstellen.
Naar aanleiding daarvan heeft de Nederlandse Vereniging voor IT & Recht (nvvir.nl) een zgn. FLITS-bijeenkomst georganiseerd, waarin ik ook een bescheiden rolletje had. In de bijeenkomst werd duidelijk dat de rol van de OPTA zeer beperkt is bij handhaving van de zorgplicht van providers. Van belang is dat consumenten worden voorgelicht en geinformeerd over de verschillende internetdreigingen. Uiteindelijk is niet de hardware of software, maar de wetware (mens) de zwakste schakel, aldus Huijbregts (XS4ALL). Hoewel er alom waardering was voor het door OPTA genomen initiatief onderzoek te verrichten naar internetdreigingen en de zorgplicht van art. 11.3 Tw, waren de ongeveer 40 voornamelijk IT en telecomrecht juristen het eens dat de rol van OPTA op dit vlak verder betrekkelijk gering is.
Het volledige persbericht over de FLITS is onder andere te vinden op de ict-recht weblog van Steven Ras . Een enkele, voor OPTA zeer kritische reactie is ook daar te vinden.
Uit de samenvatting van het STRATIX-rapport:
Concept-dreigingsbeeld
Een analyse van de interviews leidt tot het volgende concept-dreigingsbeeld op hoofdlijnen:
De belangrijkste dreigingen voor de persoonlijke levenssfeer worden nu veroorzaakt door de besmetting van apparatuur bij Internet gebruikers met ‘malware’ waarmee hun PC’s door hen veelal onopgemerkt worden overgenomen. Deze zogenaamde ‘Zombie-PC’s’ worden ingezet in ‘botnets’ om bijv. Spam te verspreiden of Distributed Denial of Service attacks uit te voeren. Bij dit instrumentele gebruik wordt niet zozeer de persoonlijke levenssfeer van de eigenaar bedreigd maar die van andere gebruikers. Wanneer de indringer een zeer breedbandige (glasvezel-) aansluiting detecteert worden ze soms zelfs als stiekeme file-hoster van illegale content (video,
muziek, gekraakte software) gebruikt.
Een bijzondere nu opkomende variant van ‘malware’ is zogenaamde ‘crimeware’, waarbij het de inbreker te doen is om ongemerkt identiteitsgegevens te verzamelen, o.a. door gebruikersnamen en passwords te loggen (Key-logging) en stiekem screendumps te maken van activiteiten op sites voor elektronisch bankieren. Dit raakt duidelijk wel de persoonlijke levenssfeer. De aangekondigde overheidsplannen voor een ‘Digitale Kluis’, waarin zeer waardevolle en privacy gevoelige identiteitsinformatie wordt opgeslagen, maakt deze inbreuk in de persoonlijke levenssfeer in de toekomst extra bedreigend. Het concentreren van zeer veel cruciale gegevens op één plaats voor alle Nederlanders maakt dit voor een identiteitsdief een belangrijk uniform doelwit.
De belangrijkste verspreidingsmethoden voor ‘malware’ en ‘crimeware’ zijn via e-mail
verspreide virussen en geïnfecteerde webpaginas of screensavers waar door middel
nieuwsberichten naar verwezen wordt, die de software om de PC over te nemen, installeren. Nieuw op Internet aangesloten PC’s met het Windows XP besturingssysteem worden al binnen een paar minuten door ‘portsweeps’ (veelal uitgevoerd door overgenomen PC’s) gevonden en besmet, vaak nog voordat de eerste ‘security update’ is geïnstalleerd.
Spam speelt dus nog steeds een aanzienlijke rol, is het niet voor het verspreiden van virussen zelf, dan is het wel voor het rondsturen van hyperlinks naar geïnfecteerde websites. Er wordt hierbij primair ingespeeld op de onoplettendheid van veel gebruikers bij het ‘klikken’ op allerlei links, vooral als die vertrouwd overkomen. ‘Phishing’ is daarbij een vergaande wijze van inspelen op die onoplettendheid, waarbij nepsites van vertrouwde partijen worden voorgeschoteld en er zo gepoogd wordt identiteitsgegevens te verzamelen en/of stiekem malware te installeren.
Statistische gegevens over dreigingen uit internationale bronnen bevestigen het beeld uit de interviews. Daarbij valt op dat in Nederland opgestelde servers in de Top-10 doelwitten staan van Denial of Service aanvallen. Omgerekend naar aanvallen per dag per inwoner komt Nederland zelfs kort achter de VS en het VK uit en ver voor andere landen.
Nieuwe bedreigingen zien de ISP’s vooral voortkomen uit inbraken in accounts voor betaalde diensten zoals VoIP en downloaden/streamen van audio/visuele media. De drijfveer achter de bedreigingen is in toenemende mate crimineel van aard en direct gericht op geld uit accounts te verzamelen of aan elektronische accounts gekoppelde tegoeden toe te eigenen. Met de groei in populariteit van nieuwe toepassingen, zoals het lezen van weblogs, beluisteren van muziek en bekijken van video’s, wordt ook gepoogd deze applicaties te gebruiken voor de verspreiding van ‘malware’ en deceptie van de eindgebruiker.