HOE KWETSBAAR ZIJN NEDERLANDSE PROVIDERS?
De Engelse provider Cloud Nine ging onlangs failliet als gevolg van een hackersaanval. Ook Nederlandse providers hebben steeds meer last van hackers, maar kunnen zich er moeilijk tegen verzekeren. Preventie lijkt vooralsnog het beste alternatief.
Eind januari werden diverse Britse providers het slachtoffer van digitale bombardementen. Donhost ging enkele uren plat en de Britse tak van Tiscali moest zelfs enkele dagen de diensten staken. Cloud Nine, een van de oudste internetaanbieders van Groot-Brittannië, moest er helemaal mee stoppen. Het herstellen van de aangerichte schade zou veel te lang gaan duren.
De schade was aangericht door hackers, die Cloud Nine maandenlang systematisch hadden bestookt met digitale bombardementen. Ze kraakten de firewall en stelden vervolgens verschillende servers en routers buiten bedrijf. Dat zou niet alleen schadeclaims van klanten tot gevolg hebben, maar ook inkomstenderving vanwege afhakende adverteerders. De provider was hier niet voldoende tegen verzekerd en besloot de stekker er definitief uit te trekken.
Cloud Nine is inmiddels overgenomen door Zetnet, eveneens een oude Britse provider. Cloud Nine had circa 2500 zakelijke en particuliere klanten.
Bedrijfsaansprakelijkheid
Zijn Nederlandse internetaanbieders beter verzekerd? Hans Leemans, directeur van de Branchevereniging van Nederlandse Internet Providers (NLIP): 'Dat is zeker een knelpunt. Geen enkele ISP is het gelukt om een aangepaste bedrijfsaansprakelijheidsverzekering af te sluiten. Al meer dan vijf jaar geleden hebben we met verzekeringsmaatschappijen gepraat, maar geen daarvan kon ons een passend product bieden. Ze achtten onze bedrijfsrisico's te groot.'
Nationale Nederlanden en Centraal Beheer Achmea bevestigen desgevraagd het beeld van Leemans. Beide maatschappijen zeggen geen bedrijven tegen hackers te kunnen verzekeren. Centraal Beheer Achmea had er anderhalf jaar geleden wel serieus naar gekeken, maar wilde er uiteindelijk toch niet aan, aldus een woordvoerder.
Kunnen providers zich dus niet adequaat verzekeren? Hennie Zoontjes, woordvoerder van het Verbond van Verzekeraars vindt het wel meevallen: 'Zo'n verzekering is zeker mogelijk. Maar veel hackers werken over de grenzen, dus dan kun je voor hackersschade beter aankloppen bij internationale verzekeraars. Een maatschappij als zoals Lloyd's doet wel degelijk zaken met providers. Maar gezien de grote risico's die providers lopen moet je er natuurlijk wel extra voor betalen.'
Jeroen Schouten, bedrijfsjurist van Xs4all, legt uit dat providers met één verzekering nog niet klaar zijn: 'Xs4all heeft een standaard bedrijfsaansprakelijkheidsverzekering, dus niet specifiek voor providers. Maar je moet twee begrippen uit elkaar houden. Bedrijfsaansprakelijkheid is alleen aan de orde als anderen schade hebben door jouw schuld. Verliezen of omzetdalingen veroorzaakt door hackers vallen eerder onder de noemer continuďteitsschade.'
Leveringsvoorwaarden
Niet alleen voor Britse providers vormen hackersaanvallen een ware plaag, ook in Nederland neemt het aantal sterk toe. Volgens een onderzoek van beveiligingsbedrijf Riptech is dat aantal in het tweede halfjaar van 2001 met bijna 80% toegenomen. Precieze cijfers kan Leemans niet noemen, 'maar ik neem aan dat de toename in Nederland goed vergelijkbaar is met de cijfers van Riptech.'
Xs4all-woordvoerder Sjoera Nas signaleert eveneens een toename: 'Bij ons vinden er nu al zo'n 1 tot 1,5 miljoen security events per maand plaats. Gelukkig gaat het meestal maar om simpele poortscans. Verder veroorzaakt ook het Code Red-virus veel ruis.'
Volgens Nas komt de toename voor een deel door de groei van breedbandinternet: 'Tegenwoordig zijn veel meer mensen online. Ze vragen direct een ADSL-lijn aan en zijn daardoor ook veel langer online. Maar ze zijn zich vaak onvoldoende bewust van de risico's en zijn daardoor een gemakkelijk doelwit voor hackers.'
Lopen Nederlanders providers ook echt gevaar door deze toename? Leemans acht een faillissement door een hackersaanval 'een theoretisch risico'. Hij licht toe: 'Bij ons zijn providers in hun leveringsvoorwaarden erg terughoudend in het geven van garanties. Op zich is het wel jammer dat niemand een stap extra wil zetten naar de klant toe, maar ze zijn daardoor ook veel moeilijker aansprakelijk te stellen bij hackersincidenten.'
Nas beaamt de terughoudendheid in leveringsvoorwaarden: 'In artikel 5 van onze voorwaarden staat dat Xs4all niet aansprakelijk is, tenzij er sprake is van grove schuld of opzet. Bij een gecoördineerde hackersaanval is duidelijk sprake van overmacht.'
Planet Internet heeft eveneens slechts een algemene bedrijfsaansprakelijkheidsverzekering. De algemene voorwaarden gaan nog verder dan die van Xs4all: 'Planet Internet is nimmer aansprakelijk voor schade die Gebruiker lijdt door tekortkomingen van Planet Internet bij de uitvoering van de Overeenkomst.'
Publiciteit
Dat beveiliging een gevoelig onderwerp is voor providers, blijkt uit het feit dat de meeste andere aanbieders hierover geen mededelingen wilden doen. Een woordvoerder van InterNLnet: 'Onderdeel van ons veiligheidsbeleid is dat wij geen openbare uitspraken doen over security issues.' Vuurwerk en Cistron reageerden helemaal niet.
Ook kleine providers die Netkwesties opbelde, bleken erg voorzichtig in hun uitlatingen over hackersrisico's. Een directeur van een provider in het midden des lands, die verder anoniem wenste te blijven, wilde wel het volgende zeggen: 'Wij hebben onze beveiliging, zeker gezien het lage bedrag dat we voor hosting vragen, vrij netjes op orde. Maar bij deze uitspraak moet ik wel even afkloppen. Je weet maar nooit wanneer een hacker op de stoep staat.'
Zijn kleine providers kwetsbaarder dan de grote jongens? 'Dat valt wel mee', zo meent hij. 'Je wordt vooral kwetsbaarder naarmate je interessanter wordt. Drie jaar geleden hadden we een klant die plotseling zijn site ging promoten op televisie. De volgende dag was de site gelijk gehackt.'
De directeur vergelijkt de beveiliging van hostingproviders met die van musea: 'Zodra je een dure Van Gogh gaat ophangen, weet je dat je extra beveiligingsmaatregelen moet nemen. Zo'n schilderij trekt nu eenmaal heel veel boeven. Wij vinden daarom dat klanten altijd hun hostingpartij moeten betrekken in hun reclamecampagnes. Tenslotte zetten we samen deze dienst in de markt.'
Preventie
Had Cloud Nine zijn ondergang kunnen voorkomen? Leemans vermoedt het wel: 'Dat faillissement is toch een beetje een raar verhaal. Het lijkt erop dat deze provider slechte keuzes had gemaakt in zijn netwerktopologie. Zolang er geen hardware kapot is, is het een kwestie van machines opnieuw opstarten en desnoods software opnieuw installeren. Dat hoeft geen dagen te kosten.'
Nas beperkt zich tot algemene uitspraken: 'Beveiliging is onderdeel van je bedrijfsmodel. Je moet investeren in redundancy door extra capaciteit in te zetten. Servers moeten bij calamiteiten ogenblikkelijk elkaars werk kunnen overnemen. En misschien nog wel het allerbelangrijkste is te investeren in deskundige medewerkers.'
Ook Planet Internet vindt preventie belangrijker dan het afsluiten van verzekeringen op maat. Woordvoerder Ghislaine Werner: 'Al bij het ontwerp van je diensten moet je rekening houden met dit soort incidenten. Toen hebben wij al gekozen voor overcapaciteit en het aanstellen van een security officer.'
Desondanks zijn calamiteiten nooit helemaal uit te sluiten. Nas: 'E-business omvat een keten van bedrijven en daarin vormen providers slechts een schakel. Je kunt er veel aan doen om de risico's in jouw schakel te beheersen, maar je kunt nooit de verantwoordelijkheid voor de hele keten op je nemen.'
[WZ, 8 maart 2002]
