De VVD vindt het niet uit te leggen dat buitenlandse cybercriminelen makkelijk hun gang kunnen gaan om via Nederlandse servers ernstige criminele activiteiten te plegen. De Tweede Kamerfractie wil van het kabinet weten hoeveel schade zij daarmee hebben aangericht. Tevens moet de overheid aangeven op welke manier ze probeert te voorkomen dat malafide bedrijven serverruimte van Nederlandse hostingbedrijven kunnen kopen.
Dat blijkt uit schriftelijke vragen van Queeny Rajkowski (VVD) aan Dilan Yeşilgöz-Zegerius, de minister van Justitie en Veiligheid.
Nederlandse servers gebruikt voor ransomware-aanvallen
Aanleiding voor de schriftelijk vragen is een onderzoek van anti-spamorganisatie Spamhaus. Daaruit bleek dat buitenlandse hostingbedrijven cybercriminelen helpen om criminele activiteiten van de grond te krijgen vanuit Nederland. Ze huren serverruimte in Nederland om bijvoorbeeld kinderpornografisch materiaal te hosten of spam te versturen. Volgens Carel Bitter van Spamhaus moet de impact daarvan niet worden onderschat. “Het gaat hier niet om winkeldiefstallen, maar om de gewapende overvallen van de cybercrime”, vertelt hij aan Pointer.
Op verzoek van het journalistieke onderzoeksplatform onderzocht Spamhaus buitenlandse bedrijven die serverruimte van hostingbedrijven doorverhuren en bekend zijn bij de politie. Bij een gedeelte van deze resellers was het voor de organisatie goed te zien dat er om serieuze cybercriminaliteit gaat. Het zijn de zogeheten rotte appels in de mand die hun diensten aanbieden aan hackers en cybercriminelen om onder meer ransomware-aanvallen uit te voeren.
Pointer benadrukt dat het voor de politie erg lastig is om resellers te vervolgen. Om te beginnen bevinden ze zich vaak in het buitenland. Daarnaast is het lastig om te bewijzen dat deze bedrijven bewust criminelen activiteiten faciliteren. Een Europese verordening bepaalt namelijk dat hostingbedrijven niet aansprakelijk zijn voor wat er op hun servers gebeurt. Via een brief vroeg de politie afgelopen november aan de Nederlandse hostingsector om niet langer zaken te doen met tientallen bekende malafide resellers.
VVD wil dat de politie actie onderneemt
Voor Rajkowski van de VVD was het bericht aanleiding om schriftelijke vragen te stellen aan minister Yeşilgöz-Zegerius van Justitie en Veiligheid. In de eerste plaats wil ze weten waar de bedrijven vandaan komen die serverruimte van hostingbedrijven doorverhuren en welke maatregelen tegen deze partijen zijn ondernomen. “Welke acties hebben hostingbedrijven uitgevoerd nadat de politie deze waarschuwing heeft verstuurd? Heeft de politie contact gehouden met de hostingbedrijven om te checken of hostingbedrijven wat met deze waarschuwing hebben gedaan?”, zo wil de VVD’er weten.
Spamhaus heeft in de afgelopen maanden tientallen criminele activiteiten waargenomen die door buitenlandse cybercriminelen zijn uitgevoerd vanaf Nederlandse servers. Rajkowski wil weten of deze gevallen bekend zijn bij de politie en wat ze daarmee heeft gedaan. Verder informeert ze naar het type criminele activiteiten en vraagt ze of de minister een inschatting kan maken van de schade die de buitenlandse criminelen hiermee hebben toegebracht.
Vorig jaar plaatste de politie een bericht op een veelgebruikt hackersforum. Daarin waarschuwde ze hackers en cybercriminelen om geen gebruik te maken van de Nederlandse IT-infrastructuur om cyberaanvallen of andere criminele activiteiten uit te voeren. “Everyone makes mistakes. We are waiting for yours”, zo schreef de politie.
Hostingbedrijven aansprakelijk stellen
De politica wil van minister Yeşilgöz-Zegerius horen op welke manier hostingbedrijven samenwerken met de politie om illegale praktijken vanaf Nederlandse servers te voorkomen. Rajkowski oppert het idee om deze samenwerking te intensiveren. Het Kamerlid vraagt zich af of het, direct dan wel indirect, mogelijk is om hostingbedrijven aansprakelijk te stellen voor het verhuren van serverruimte aan malafide bedrijven.
“Bent u het ermee eens dat het niet uit te leggen is dat via Nederlandse servers buitenlandse criminelen makkelijk hun gang kunnen gaan om vervolgens ernstige criminele activiteiten te plegen?”, zo wil de VVD’er weten. Ze vraagt aan de minister op welke manier zij ervoor kan zorgen dat malafide bedrijven minder kans krijgen om serverruimte van Nederlandse hostingbedrijven te kopen.
Update (29 maart 2022): minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius heeft de vragen van Queeny Rajkowski beantwoord. In haar reactie stelt de bewindspersoon dat het voor de politie en het Openbaar Ministerie lastig is om Nederlandse hostingbedrijven te vervolgen voor het gedrag van hun klanten. In de Europese regelgeving is het zodanig geregeld dat zij niet aansprakelijk gesteld mogen worden voor eventuele criminele activiteiten van hun klanten. Ook het Nederlandse wetboek van Strafrecht stelt hier paal en perk aan.
Beleidsmakers werken momenteel op Europees niveau aan een verordening om misbruik van hostingservers door resellers aan banden te leggen. Hostingbedrijven zijn dan onder meer verplicht om en toegankelijk notificatie-mechanisme in het leven te roepen. Hostingproviders die na een melding niet of te laat ingrijpen, kunnen dan mogelijk wel aansprakelijk gesteld worden voor illegale content van hun klanten.
