Na het referendum over de sleepnetwet kondigde het kabinet aan dat ze wet gaan aanpassen. Onder meer de bewaartermijn van data wordt verkort en ook andere maatregelen waar ‘Nederland om vroeg’ zullen worden aangepast. Tegelijkertijd kondigde een groep van it-experts aan dat ze willen kijken naar maatregelen om bedrijven te beschermen tegen DDoS-aanvallen. Een nobel gebaar of een manier om de wet te omzeilen?
In een eerder op deze site verschenen artikel werd gesproken over de ambities van de regering om een meer proactieve rol te nemen in het voorkomen van DDoS-aanvallen. Een groep van experts, onder meer van het SIDN, schreef een open brief hierover, en stelde voor om een DDoS-radar op te zetten. Deze radar maakt continue profielen aan – zogenaamde fingerprints – van potentiële en actieve DDoS-bronnen. Deze profielen kunnen dan gedeeld worden met internetproviders en de overheid. Ook spraken de experts over het opzetten van een ‘Nationale Anti-DDoS Service’.
Ik heb hier met veel mensen over gesproken; wat zij hiervan vonden. En toen vertelde iemand mij iets waar ik echt van schrok, omdat ik er op die manier nog niet over na heb gedacht.
Ongericht aftappen
Als deze radar wordt opgezet en al die profielen gemaakt worden om ‘mogelijke aanvallen’ in kaart te brengen, is dat dan niet gewoon een vorm van ongericht ip-adressen aftappen? Juist hetgeen waar veel mensen zo enorm tegen waren in de sleepnetwet en daarom tijdens het referendum tegen stemden?
Stel dat een ip-adres met een DDoS-aanval te maken krijgt, en al het ‘vuile’ internetverkeer wordt omgeleid via die Nationale Anti-DDoS Service zodat het opgeschoond kan worden, kan de overheid dan ook zomaar in al dat verkeer meekijken, zonder bevel of controle? Zelf een internetprovider weet dan niet wat er met het verkeer gebeurd.
En wat als de overheid bepaalde ip-adressen wil controleren, maar dat onder de huidige wet niet mag; hoe eenvoudig zou het dan zijn om een DDoS-aanval op te starten, zodat het verkeer weer via die Nationale Anti-DDoS Service gaat lopen?
Data opslag
Waar de experts nog weinig over vertellen, is wat er met al die aangemaakte profielen gaat gebeuren. Waar ze bijvoorbeeld zouden moeten worden opgeslagen, voor hoe lang en wie daar verantwoordelijk voor is. Je mag er vanuit gaan dat die profielen gemaakt worden voor de lange termijn, toch?
Wat misschien nog wel belangrijker is, waar geen antwoord op gegeven wordt in die open brief, is wat er gaat gebeuren met gecontroleerde ip-adressen die achteraf toch geen gevaar blijken te zijn. En welke instanties allemaal toegang hebben tot die informatie.
Waarom dan een nieuwe wet?
Als deze radar werkelijkheid wordt, laat staan de oprichting van de Nationale Anti-DDoS Service, wat is het doel van een Wet op de Inlichtingen- en Veiligheidsdiensten? Met alle tegenstand die er is, kunnen we het er over eens zijn dat deze wet in ieder geval een aantal maatregelen bevat zodat ons internetverkeer niet zomaar wordt afgetapt. Vooralsnog lijken de voorgestelde radar en Nationale Anti-DDoS Service dat niet te hebben. Moeten we dat dan wel willen?
Niels Raijer, directeur Fusix Networks