Samenwerking rode draad tijdens NBIP NEXT 2023

Op 21 november 2023 vond voor de tweede keer NBIP NEXT plaats, het jaarlijkse event van NBIP waar deelnemers, stakeholders en belangstellenden bij elkaar komen om met en van elkaar te leren. Hieronder lees je een verslag van de bijeenkomst.

Actuele ontwikkelingen

Octavia de Weerdt, directeur van NBIP, leidde de middag in door kort stil te staan bij 2023 en actuele ontwikkelingen binnen NBIP. Centraal stond daarbij de samenwerking met deelnemers en partners in de sector en bij de overheid.

Het belang en de waarde van samenwerking worden ook in het buitenland steeds meer onderkend. Zo is de NaWas al een tijd beschikbaar in de Benelux, Groot-Brittannië, Duitsland, Oostenrijk, Zwitserland, Italië en de Nordics. De NaWas is in Duitsland op de voorkeurslijst van het Bundesamt fur Sicherheit in der Informationstechnik (BSI) geplaatst. Het BSI is het equivalent van het Nederlandse Nationaal Cyber Security Centrum (NCSC). NaWas is in Duitsland nu als enige non-profit DDoS-mitigatie oplossing beschikbaar en staat op de lijst van “Qualifizierter DDoS-Mitigation-Dienstleister”.

Dienstleister NaWas
Dienstleister NaWas

Een andere reden waarom samenwerking steeds belangrijker wordt, is het feit dat vanuit de EU steeds meer wet- en regelgeving komt waardoor het noodzakelijk wordt om te handelen. Je moet als dienstenaanbieder gaan aantonen dat je compliant bent aan die wet- en regelgeving. Dit is deels bedoeld om de toenemende intensiteit van abuse een halt toe te roepen. Met name hosters krijgen te maken met aanvullende inspanningsverplichtingen en, afhankelijk van de omvang van het bedrijf, aanvullende maatregelen om abuse te voorkomen

Clean Networks

Om dit effectief te kunnen doen is het van belang om te weten of er abuse in het netwerk voor komt en hoe dit gemitigeerd kan worden. NBIP beheert met dat doel het Clean Networks Platform, waarvoor in 2018-2019 de eerste proof of concept werd gelanceerd. Via dit Platform krijgen deelnemers meldingen over abuse in hun netwerk en handelingsperspectief, geprioriteerd op basis van urgentie en impact. Organisaties die zijn aangesloten op het Platform onderschrijven een code of conduct en worden houder van een certificaat waarmee zij aantonen dat zij zich actief inspannen om kwetsbaarheden en onrechtmatige activiteiten binnen hun netwerk op te sporen en te bestrijden. Zij hebben dankzij het Platform een concrete oplossing voor compliancy vraagstukken en kunnen zich in hun markt presenteren als ‘good hoster’. Nu het Platform haar nut bewezen heeft in Nederland, is het de bedoeling om het ook Europees uit te rollen.

Tweede Point-of-Presence NaWas in Denemarken

Een belangrijke mijlpaal was de opening van een tweede point-of-presence van de NaWas in Denemarken, zo vertelde Simon Kuhn, Head of Engineering van de NaWas. Dit biedt voordelen voor alle deelnemers aan de NaWas. Zo is de capaciteit vergroot en is de NaWas veerkrachtiger. Het is daardoor mogelijk om nog meer deelnemers aan te sluiten, wat er uiteindelijk voor zorgt dat de kosten voor alle deelnemers behapbaar blijven. Het is door deze uitbreiding daarnaast mogelijk om de NaWas verder door te ontwikkelen zodat gelijke tred wordt gehouden met het dreigingslandschap. Daarnaast zitten er enkele aanvullende diensten in de pijplijn, zoals DDoS Detectie as a Service en een Web Application Firewall (WAF). Zodra hier nieuws over is, zullen we dat onder meer via deze website melden.

Tapdienst en ontwikkelingen rond LI en LD

NBIP is ooit ontstaan als loket voor ISP’s om tapvorderingen af te handelen. Inmiddels zijn er meer dan 100 deelnemers aan de tapdienst en dat aantal groeit gestaag door. Momenteel wordt de dienst verder geautomatiseerd en wordt aanvullende intelligentie ingebouwd. Ook dit is niet mogelijk zonder partners zoals EVE Compliancy Solutions.

Mark Lastdrager, CEO van EVE, stond tijdens NBIP NEXT stil bij de ontwikkelingen op het gebied van Lawful Interception (LI) en Lawful Disclosure (LD). Waar bij LI live communicatie wordt getapt (welke vorm die ook heeft), wordt bij LD bewaarde informatie gevorderd. In Nederland zijn aanbieders van publieke communicatiediensten verplicht om hier aan mee te werken onder artikel 13 van de Telecommunicatiewet.

Er werd ook stilgestaan bij Mobile Virtual Network Operators (MVNO’s), die steeds vaker hun eigen netwerk draaien en alleen het radio access network bij een Mobile Network Operator inkopen. Dat betekent dat zijn zelf verantwoordelijk zijn voor het nakomen van de verplichtingen die voortvloeien uit artikel 13 van de Telecommunicatiewet, en dus de kennis en middelen moeten hebben om tapvorderingen uit te voeren.

Nieuwe verplichtingen en compliance

We haalden het al even aan, maar er komt veel op providers af als het gaat om wet- en regelgeving. NIS2, eEvidence, verplichtingen rondom abusebestrijding en andere wet- en regelgeving: hosters, ISP’s en aanbieders van openbare communicatiediensten zullen moeten voldoen aan bestaande en nieuwe regelgeving. Dat is in zichzelf geen slechte zaak, want het helpt om risico’s in kaart te brengen en te beheersen en de weerbaarheid van systemen en netwerken te vergroten.

Waar het echter knelt, is dat er heel veel kleine organisaties zijn die met deze regelgeving te maken krijgen, maar die niet de kennis en middelen hebben of kunnen vrijmaken om compliant te zijn. Hier is, zoals onder andere Michiel Steltman van Stichting Digitale Infrastructuur Nederland (DINL) tijdens NBIP NEXT uitlegde, ook rekening mee gehouden bij de totstandkoming van de wetgeving. Maar dat laat onverlet dat er wel degelijk verplichtingen op service providers afkomen waaraan men moet gaan voldoen. Daar waar nodig en mogelijk ligt het voor de hand om ook hier een sectorale aanpak te organiseren.

Verplichtingen en implementatie e-Evidence

Hoe zoiets concreet vorm zou kunnen krijgen, werd toegelicht door Erik Planken, senior beleidsadviseur bij de directie Rechtshandhaving en criminaliteitsbestrijding van het ministerie van Justitie & Veiligheid. Hij ging tijdens zijn presentatie in op de implementatie van de Europese e-Evidence wetgeving.

In een notendop regelt deze wet dat het eenvoudiger wordt om snel toegang te krijgen tot digitaal bewijs tijdens opsporingsonderzoeken. Dit soort bewijs is steeds belangrijker in onderzoeken, maar is in handen van private partijen die over meerdere landen verspreid kunnen zijn. Politie en Justitie mogen alleen binnen de eigen landsgrenzen dit soort bewijs direct vorderen, maar zijn daarvoor in andere landen afhankelijk van rechtshulpverzoeken. Dit kan aardig wat tijd in beslag nemen – buiten Europa soms wel vele maanden. Dat is niet bevorderlijk voor het onderzoek en uiteindelijk dus ook niet voor de rechtshandhaving.

Er is, kortom, behoefte aan een gestandaardiseerde manier om digitaal bewijs binnen Europa op te kunnen vragen, waarbij dit bewijs vlot geleverd kan worden. Met de e-Evidence regelgeving kunnen EU-lidstaten directe en bindende vorderingen doen aan een dienstaanbieder in een andere lidstaat.

De EU is bezig met het ontwikkelen van een systeem dat beschikbaar gesteld gaat worden aan de EU landen om deze gegevensuitwisseling te faciliteren. NBIP is een van de experts die meedoet aan de gesprekken op Europees niveau over dit systeem. De jarenlange ervaring met de Tapdienst biedt een vruchtbare bodem voor deze gesprekken. Zodra hier meer over bekend is, zullen we hier meer informatie over delen. Vanaf het eerste kwartaal van 2026 moeten bedrijven die onder de wetgeving vallen, hieraan gaan voldoen. Zij moeten vanaf dat moment een vestiging of vertegenwoordiger aanwijzen die vorderingen zal afhandelen.

De rol van de Rijksinspectie Digitale Infrastructuur (RDI)

In Nederland is de RDI (onder meer) belast met het toezicht op telecommunicatie- en IT-netwerken en draagt zorg voor de veiligheid en betrouwbaarheid daarvan. Eén van de zaken waar de RDI op inspecteert, is de naleving van het Besluit beveiliging gegevens telecommunicatie (Bbgt), die is bedoeld om er voor te zorgen dat er geen inzage van LI-gegevens is door onbevoegden.

Het Bbgt stelt daarom eisen aan de beveiliging van de vorderingen en verzoeken vanuit politie of veiligheidsdiensten en de informatie die op basis van de vordering of een verzoek door aanbieders wordt geleverd. Het gaat hierbij bijvoorbeeld om een beveiligingsplan, bewaartermijnen en geheimhouding. Organisaties die te maken hebben met tapverplichtingen, moeten aantoonbaar kunnen maken dat ze processen hiervoor hebben beschreven, dat die worden nageleefd en dat e.e.a. ook technisch volgens de eisen is geregeld. Tijdens een inspectie van de RDI wordt bijvoorbeeld gevraagd naar een beveiligingsplan, logische toegangsbeveiliging en fysieke beveiliging.

Het is nadrukkelijk de insteek van de RDI om gezamenlijk met de sector tot een compliant manier van werken te komen bij iedere organisatie die te maken heeft met tapvorderingen. Maar men ziet ook dat het voor veel kleinere partijen een behoorlijke belasting is om dit goed in te regelen. Het kan voor hen raadzaam zijn om tapvorderingen door een derde partij te laten afhandelen: de Bbgt biedt hier expliciet ruimte voor.

Capture the red flag – het belang van samenwerking bij de bestrijding van onrechtmatigheid

Andrew Silonero, beleidsadviseur High Tech Investigations bij het Openbaar Ministerie (OM), sprak over de problematiek rondom onrechtmatigheid op Nederlandse servers bij hosters. Het gaat bijvoorbeeld om afbeeldingen van seksueel kindermisbruik, illegale content en het gebruik van servers voor ransomware-aanvallen of phishing. De meeste hosters willen dit soort activiteiten helemaal niet faciliteren, maar zij weten niet dat hun netwerk hiervoor misbruikt wordt. Het OM ziet ook dat samenwerking op dit vlak meer lonend kan zijn dat hard optreden, temeer omdat de hoster zelf vaak niet moedwillig cybercriminelen faciliteert.

Daarom heeft het OM in samenwerking met enkele partijen uit de branche een spel ontwikkeld om samenwerking te bevorderen om abuse te bestrijden: capture the red flag. De bedoeling van dit spel is om te oefenen hoe abuse en onrechtmatigheid gesignaleerd en bestreden kunnen worden door samen op te trekken. Dit gebeurt tijdens een interactieve middag in groepjes waarin zowel hostingpartijen als het OM zitten. Zo krijgen deelnemers begrip voor elkaars werkwijze en aanpak en wordt het mogelijk om veel effectiever online narigheid te bestrijden.

Wilt u meer informatie of zich abonneren op onze nieuwsbrief?