Providers ontwijken beveiligingsplicht
Internetaanbieders kunnen meer doen om hun abonnees veiliger te laten surfen, zegt professor Henrik Kaspersen van het Law Institute in Amsterdam. Ze moeten ook meer doen, eist de Consumentenbond. Maar de aanbieders zelf voelen daar niets voor - op één witte raaf na.
Vorige week werd bekend dat er in 2004 in Nederland 1,2 miljoen breedbandinternetaansluitingen bij kwamen. Voor 2005 wordt een zelfde groei voorzien, met nog eens 1,2 miljoen aansluitingen op internet via ADSL of de tv-kabel.
Juist deze groei van breedband doet de onveiligheid van internet toenemen. Dat zei deze week ook Symantec nog eens in zijn halfjaarlijkse Internet Security Threat Report: vooral het aantal Trojaanse paarden en de spyware die via lekken in Windows via breedbandverbindingen op pc's wordt geloodst is groot.
Beveiliging is in wezen een simpel abc'tje: updaten (van Windows), een virusfilter bij de provider en/of een virusscanner op de pc draaien en een firewall installeren. Een spamfilter bij de provider instellen en/of eentje op de postbus op de pc zetten is voor veiligheid op zich niet noodzakelijk, maar wel een handige aanvulling.
Hoeveel van de 2,4 miljoen personen die breedband (laten) installeren in 2004 en 2005 zijn op de hoogte van de vereisten en kunnen deze ook uitvoeren? Als ze een dvd-recorder kopen, moeten ze die kunnen instellen. Als ze met een auto op pad gaan, moeten ze een band kunnen verwisselen. En moet de weduwe in Appelscha zich kunnen bezighouden met 'downloaden' van een virusscanner' en het 'updaten van een firewall'?
De Consumentenbond vindt van niet. Er zijn al nauwelijks fatsoenlijke Nederlandse termen voor, laat staan dat de technische kennis volstaat. "Providers zijn heel goed in staat om hun abonnees een minimumniveau van beveiliging standaard aan te bieden, binnen het abonnement. Maar ze vertikken het om daarover afspraken te maken. Dan zeggen we: leg het ze maar op."
Dat zei deze week Alwin Sixma, campagneleider voor internet bij de Consumentenbond in Den Haag tijdens een bijeenkomst in Amsterdam van alle betrokkenen - 'stakeholders' heten die tegenwoordig - bij van voorlichtingsclub voor beveiliging SurfopSafe.
Sixma richtte zijn appel aan het ministerie van Economische Zaken, die in de persoon van Guus Broesterhuizen, directeur van de directie Ontwikkeling & Toepassing, de boot afhield. Hij vindt dat een taak van de markt. Een derde spreker, professor Henrik Kaspersen van de Vrije Universiteit, ook chef van het Computer/Law Institute aldaar, vindt dat providers juridisch gezien weinig in de weg staat om standaardmaatregelen te nemen om ongeoorloofd verkeer tegen te houden.
"Providers hebben steeds gezegd geen boodschap aan de boodschap te hebben, ze willen het vrije verkeer niet belemmeren. Maar in de spamzaak met Abfab heeft Xs4all zich voor de Hoge Raad met succes beroepen op het eigendomsrecht van zijn computers. Op grond van die uitspraak zijn aanbieders gerechtigd om ver te gaan om hun systemen en die van hun abonnees te beschermen."
In een artikel uit 2004 zeggen Kaspersen en collega Lodder het als volgt: "Maar is het deelnemen aan een openbare communicatievoorziening op basis van een gemeenschappelijk protocol tegenover andere deelnemers en gebruikers wel zo vrijblijvend? Wij zouden menen van niet."
Bovendien is het centraal regelen van beveiliging technisch gezien logisch: alle ellende die gebruikers op hun pc ontvangen, passeert eerst de poorten van de provider. Die kan grootschalig beveiligen en daarmee een groot deel van de ellende die nu miljoenen treft, voorkomen.
Alle aanbieders en gebruikers van internet zijn ook bovendien afhankelijk van elkaars beveiliging: een besmetting van een pc maakt deze vaak tot zombie-computer voor aanvallen op anderen, of kopieert bijvoorbeeld virussen voor iedereen in het adresboek van Ouloook e-mail.
De overheid stelt eisen aan de veiligheid van auto's en bepaalt verkeersregels. Volgens de Consumentenbond is dit een equivalent. Sixma: "Zie het net als de eis voor gordels in de auto. De leverancier moet voorzien in een basisveiligheidsniveau."
Wat betreft de daarmee samenhangende aansprakelijkheid zegt de woordvoerster van de bond: "Dat hoeft geen absolute aansprakelijkheid te zijn voor veiligheid, maar meer zoals beveiligingsbedrijven een aansprakelijkheid hebben dat ze het uiterste doen wat in hun vermogen ligt, en slotenmakers hebben een aansprakelijkheid maar niet voor iedere inbraak die plaatsvindt. Het gaat om een soort van inspanningsverplichting die in de Algemene Voorwaarden van providers opgenomen zou moeten worden."
Maar Broesterhuizen van Economische Zaken ziet er, zeker gezien het huidige liberale klimaat in de politiek, niets in: "Wat is basisveiligheid? Dat verandert steeds met de stand van de technologie. Bovendien kun je hier wel eisen stellen, maar internet is grensoverschrijdend."
Aanbieders terughoudend
Bovendien, aldus Broesterhuizen van EZ, voorziet de markt voldoende in aanbod van anti-virus en andere producten. Rashid Niamat, ervaren internetjurist van KPN Internet, voorheen Planet Media Group, beaamde dit tijdens de SurfopSafe-bijeenkomst: "Iedere provider biedt toch beveiligingssoftware en filters aan? En we geven zeer uitgebreide voorlichting."
De woordvoerster van KPN bevestigt dit standpunt: "Het accent ligt op goede voorlichting en een goed aanbod van beveiligingsproducten. Het is verder de individuele verantwoordelijkheid van de abonnee om de pc goed te beveiligen. Als we standaard virus- en spamfilters dichtzetten, dan biedt dat een schijnveiligheid. We weten ook dat abonnees dat liever zelf regelen."
KPN Internet levert met Planet, Het Net en Xs4all als internetaanbieder bijna een kwart van de breedbandaansluitingen in Nederland (3,2 miljoen eind 2004). Wanadoo is de grootste individuele aanbieder met een kleine 15 procent. Ook deze aanbieder voelt niets voor standaardbeveiliging in het abonnement:
"We doen er werkelijk alles aan met voorlichting om de abonnee te wijzen op beveiliging. Verder is het een individuele keuzevrijheid. Te moeilijk? We denken van niet, want sinds kort bieden we de software echt heel laagdrempelig aan. Een paar keer klikken en het is geregeld. Dat moet ook, want we weten dat we ook tante Truus bedienen. Om die reden bieden we ook nieuwe abonnees een instructie aan in vijf delen met uitgebreide aandacht voor beveiliging."
's Lands derde breedbandaanbieder, @Home van Essent Kabelcom, beaamt die visie: "We hebben wel standaard een virusfilter in het netwerk aan staan en abonnees kunnen sinds een paar weken gratis beveiliging downloaden, vanaf 2006 betalen ze pas. Het is een kwestie van even aanklikken, niet moeilijk en voor iedere abonnee te doen. En we lichten natuurlijk uitgebreid voor."
Voor Tiscali hetzelfde laken een pak, zei het dat beveiliging niet gratis is dit jaar: "De consument heeft de vrijheid om de producten en diensten voor veiligheid te kopen of niet. Als we dat standaard zouden leveren, komen we misschien in conflict met bestaande software die ze draaien. Ze hebben nu de keuze om het zelf, misschien goedkoper te regelen. Dat is niet zo als we standaard leveren en het standaard in rekening brengen."
Geringe meerprijs
En als dit u bekend voorkomt, dan klopt dat. De standpunten zijn niet gewijzigd ten opzichte van ruim een jaar geleden toen Netkwesties over beveiliging en internetaanbieders schreef.
Voor de genoemde providers is de veiligheid nog steeds extra handel. Wanadoo biedt beveiliging tegen betaling aan, Planet Internet biedt haar beveiligingsproducten gratis aan voor de veel betalende abonnees en tegen betaling bij de goedkope abonnementen. Zusterbedrijf Het Net biedt goedkoper abonnementen aan en laat dus standaard betalen voor beveiliging. Xs4all biedt gratis veiligheid, maar abonnees moeten er zelf in voorzien. @Home biedt zijn beveiliging sinds een paar weken gratis aan tot eind 2005, daarna kost het 1,95 euro per maand - net zo veel als bij de meeste genoemde aanbieders, dat wil zeggen een kleine 24 euro per jaar. De beveiliging door Tiscali (niet goed toegankelijk met Firefox-browsers) is het duurst met 5 euro per maand voor een pakket met virusfilter, firewall, anti-spam en contentfilter voor kinderen en vaders.
Maar er is één uitzondering: Versatel, voorheen Zon, biedt de virus- en spamfiltering nog steeds gratis aan, en voorziet er centraal in het netwerk in. Directeur internet van Versatel, Gert Post: "Alleen een firewall standaard leveren zou een probleem geven, al kun je dat in het modem instellen. Voor de rest kost het centraal standaard filteren ons weinig geld. Het levert ook geld op door problemen die je voorkomt en door de netwerkbelasting die je in een vroeg stadium vermindert. En uiteraard doe je klanten er een groot plezier mee. Die willen wat veiligheid betreft geen keuzevrijheid - onzin, ze willen veilig internetten."
Xs4all heeft ook een virusfilter centraal standaard aan staan, maar geen spamfilter want spam behoort volgens de provider tot overlast niet tot onveiligheid. Maar waarom verzetten andere Versatel-concurrenten dan Xs4all - en wellicht hier en daar nog een kleine provider - zich dan tegen de eis van de Consumentenbond? Gert Post aarzelt even, maar zegt dan onomwonden:
"Dat het niet kan, is onzin. Dat bewijzen wij. Ook de kosten kunnen het probleem niet zijn, want onder de streep valt het reuze mee om het standaard te leveren. Het echte verhaal is natuurlijk dat ze aan beveiliging geld kunnen verdienen. Bij ons betaalt de abonnee er standaard voor, meer omgerekend veel minder dan bij providers die het apart tegen betaling aanbieden..."
[Peter Olsthoorn, 25 maart 2005]
|
