Het fabric of cyber resilience: een structurele aanpak van online abuse

Er komen steeds meer vormen van onrechtmatige en criminele activiteiten voor op het Internet. Nog niet eens zo lang geleden waren termen als spam of DDoS alleen bekend bij Internet experts. Inmiddels heeft vrijwel elke nederlander gehoord van phishing, ransomware, malware, sextortion en meer. Het bestrijden ervan is een lastige opgave. Zonder een structurele gezamenlijke aanpak van overheid en bedrijfsleven is het dweilen met de kraan open. Het is daarom nodig om in kleine stapjes naar een allesomvattende aanpak te bewegen. We moeten een ‘fabric of cyber resilience’ weven: de digitale sector, het OM, de politie, de verschillende meldpunten voor misbruik, en partijen uit het maatschappelijk middenveld moeten hieraan een bijdragen leveren.

Waarom is zo’n nieuwe aanpak noodzakelijk? Allereerst omdat online abuse, dat is de verzamelnaam die experts gebruiken voor onrechtmatigheid op het Internet, veel gezichten kent. Er komen steeds andere vormen bij. Dat kan niet in één klap bestreden worden. De traditionele aanpak is het signaleren van een probleem, en dan het optuigen van een project om het te bestrijden. Liefst door de overheid. Maar die aanpak is niet erg effectief. Het leidt tot symptoombestrijding, versnippering van aandacht en overlap. Het is veel effectiever om maatregelen te verzinnen met een generiek karakter. Dus niet maatregelen die het fenomeen zelf direct bestrijden, maar maatregelen die de oorzaken aanpakken.

Drie voorbeelden van een generieke aanpak
Het is bijvoorbeeld niet mogelijk om DDoS te bestrijden als je je alleen richt op de veroorzakers. Die zijn niet zo eenvoudig te traceren. En als het al lukt ben je te laat om een aanval te stoppen. Het is veel effectiever om hun “gereedschap” aan te pakken: de botnets. Botnets bestaan uit computers en apparaten die geïnfecteerd zijn met malware en daardoor gebruikt kunnen worden om andere computers aan te vallen. En uit servers, die de aanvalsopdrachten naar de geïnfecteerde computers sturen. Als je ISP’s en hosters snel informeert over geïnfecteerde of lekke computers in hun netwerken, dan bestrijd je meteen alle botnets. En verminder je ook de kans dat de slecht beveiligde computers worden misbruikt voor andere soorten van abuse, zoals phishing, spam, kinderporno en meer. Daarom is de AbuseHUB opgericht, die in eerste instantie ISP’s, maar nu ook hosters informatie kan sturen over kwetsbaarheden in hun netwerken. De AbuseHUB heeft zo al een significante bijdrage geleverd aan de bestrijding van botnets in Nederland. En daarmee wordt weer een volgende stap mogelijk: als Nederlandse computers nauwelijks in Botnets voorkomen, dan kun je,  bij zeer zware DDOS aanvallen, buitenlandse netwerken afschakelen en zo je nationale diensten beschermen.

Een tweede voorbeeld gaat over het proces van detecteren en verwijderen van onrechtmatige informatie. Meldpunten, zoals het MKP (Meldpunt Kinderporno) en Opgelet op Internet (meldpunt voor frauduleuze webwinkels), sturen nu hun meldingen over onrechtmatige informatie elk op een eigen manier, meestal via e-mail, naar providers. Daarnaast stuurt Justitie vorderingen aan hostingbedrijven, als die onrechtmatige informatie van een klant moeten verwijderen. Of als ze informatie willen hebben over een verdachte gebruiker of bedrijf. Dat proces van vorderingen is omslachtig. In veel gevallen moet Justitie zelfs fysiek bij de hoster langs gaan.

Dat kan veel efficiënter, als je de meldingen en vorderingen zou standaardiseren, en het proces automatiseert. Het door de sector ontwikkelde open-source Abuse-IO systeem is ontwikkeld voor dit proces. Het kan worden ingezet bij de meldpunten, bij Justitie en bij de bedrijven die de meldingen en vorderingen ontvangen en verwerken. Veel vormen van onrechtmatigheid kunnen zo sneller offline worden gebracht. En vorderingen kunnen sneller worden afgehandeld. Met minder overhead en kosten voor alle partijen.

Het derde voorbeeld betreft de door TU Delft ontwikkelde methodiek om relatieve scores toe te kennen aan abuse in netwerken, van onder andere hosters. Het gaat dan om de frequentie, het type en de uptime van bepaalde soorten van abuse en van kwetsbaarheden in systemen. Als iedere hoster of cloud provider die informatie standaard zou ontvangen, dan kunnen ze snel en gericht actie nemen, met een vermindering van abuse in hun netwerken als resultaat.

Bovenstaande voorbeelden zijn deels gerealiseerd, of zijn ambities van het abusebestrijdingsproject “Abuse 2.0” dat ECP uitvoert in opdracht van het Ministerie van Economische zaken.  In dat project zijn veel partijen betrokken, waaronder DINL, de ACM (Autoriteit Consument en Markt), Politie, het OM , het NCSC (Nationaal Cyber Security Centrum) en TU Delft. Dat lijkt ingewikkeld maar het is juist essentieel dat zoveel mogelijk organisaties gaan samenwerken, met als doel het snel uit kunnen wisselen van abuse informatie.

Providers moeten verantwoordelijkheid nemen
Maar uiteindelijk zijn het toch de aanbieders zelf die meer moeten gaan doen aan de bestrijding van abuse in hun netwerken. Regelmatig claimen bedrijven dat abuse in hun netwerk niet voorkomt. Maar de informatie van TU Delft laat zien dat niemand immuun is. Een ontwijkende houding in deze zet de neutrale positie van hosters en cloud bedrijven onder druk. Als er geen voortgang wordt geboekt, ligt wet- en regelgeving al snel op de loer. Daarom is het essentieel dat iedereen actief blijft werken aan het bestrijden van misbruik van hun voorzieningen. Onder andere door zich aan te sluiten bij genoemde detectie netwerken. En door het toepassen van een code of conduct abuse bestrijding, die momenteel door genoemde partijen wordt ontwikkeld. Daarmee wordt het voor afnemers ook duidelijker of hun hosting- of cloud provider wel echt werk maakt van het bestrijden van abuse.

Er zijn nog tal van andere van mogelijkheden voor verbeteringen. Elementair voor al deze mogelijkheden zijn automatisering en snelle uitwisseling van informatie. We moeten samen in blijven zetten op deze structurele oplossingen. Dat is de kerngedachte van het ‘fabric of cyber resilience’: het stapsgewijs en continu uitbreiden van structurele voorzieningen die alle soorten van onrechtmatigheid en abuse in de kern aanpakken.

Met die aanpak wordt de robuustheid van de Nederlandse digitale infrastructuur en de bestendigheid ervan tegen online abuse en cybercrime verbeterd. En blijft de neutrale rol van providers in tact. Door online abuse uit ons land te weren wordt Nederland steeds meer een “safe place to do business”, een aantrekkelijke plek voor bedrijven die hun geld verdienen met online activiteiten.

Daarom moeten providers nu hun verantwoordelijkheid gaan nemen. De tijd dat je hosting- en cloud diensten kon leveren zonder je te bekommeren om veiligheid en abusebestrijding, ligt achter ons. Bedrijven die hun kop in het zand steken, of hier niets aan doen bewijzen de sector en Nederland een slechte dienst. Voor een stevig “fabric voor cyber resilience” zijn alle draadjes hard nodig.

Zoeken
Related
nieuws
Mei-inzet
Met DINL Update doe ik verslag van mijn recente activiteiten en ander nieuws. Daarmee blijf je als achterban op de...
nieuws
Website-inzet-april
Met DINL Update doe ik verslag van mijn recente activiteiten en ander nieuws. Daarmee blijf je als achterban op de...
nieuws
DINL oktober
Met DINL Update doe ik verslag van mijn recente activiteiten en ander nieuws. Daarmee blijf je als achterban op de...