| Ingediend | 24 februari 2022 |
|---|---|
| Beantwoord | 21 april 2022 (na 56 dagen) |
| Indieners | Queeny Rajkowski (VVD), Ruben Brekelmans (VVD) |
| Beantwoord door | Wopke Hoekstra (viceminister-president , minister buitenlandse zaken) (CDA), Dilan Yeşilgöz-Zegerius (minister justitie en veiligheid) (VVD) |
| Onderwerpen | criminaliteit openbare orde en veiligheid staatsveiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2022Z03644.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20212022-2502.html |
Ja.
Het is bekend dat Nederlandse servers en infrastructuur misbruikt worden door criminelen voor het plegen van strafbare feiten, zoals DDoS- en ransomware-aanvallen. Dit is onwenselijk. Nederland heeft in vergelijking met andere EU-landen een relatief grote hosting sector. Dit heeft te maken met de uitstekende digitale infrastructuur waarover Nederland beschikt: het internet is betrouwbaar en snel. Zowel nationaal als internationaal maken personen, bedrijven en organisaties gebruik van de Nederlandse infrastructuur. Naast legitieme klanten, kunnen criminelen en andere kwaadwillenden misbruik maken van de Nederlandse hostingsector. De hostingprovider is zich hier niet altijd van bewust. Daarnaast bestaan er zogenaamde «bulletproof» hosters, die hun klanten willens en wetens faciliteren bij hun strafbare gedrag. Verder ziet Nederland het zorgvuldigheidsbeginsel als een verplichting binnen het internationaal recht. Zie hiervoor verder de kamerbrief Tegenmaatregelen ransomware-aanvallen van de Minister van Buitenlandse Zaken.2
Dergelijke digitale aanvallen worden uitgevoerd vanuit command-and-control servers. Deze staan wereldwijd in datacenters, waaronder ook in Nederland. Voor datacenters is het vrijwel onmogelijk om te controleren welke servers voor dergelijke malafide doeleinden worden ingezet. Voor elke aanval zou specifiek technisch onderzoek nodig zijn om te achterhalen via welke servers een aanval is uitgevoerd. Dergelijk technisch onderzoek is niet bij elke aanval mogelijk, vanwege de capaciteit die dit kost en gezien het aantal (pogingen tot) aanvallen.
Wie precies de servers heeft gehuurd voor de genoemde activiteiten is niet bekend. Het screenen van klanten door hostingproviders is geen wettelijke verplichting. Het gaat hier om private bedrijven, waarop in Nederland contractvrijheid van toepassing is. Zij mogen in beginsel zelf bepalen wie hun klanten zijn. Door de hostingsector is samen met het Ministerie van EZK een gedragscode opgesteld, om misbruik van hun servers tegen te gaan. Op EU-niveau heeft Nederland in het kader van de gesprekken over de Digital Services Act (DSA) gepleit voor het hierin opnemen van regels voor hostingproviders om crimineel misbruik te bemoeilijken, waaronder het vergaren van informatie over klanten. Hiervoor was onvoldoende steun.
Zoals bij vraag 4 is aangegeven, zijn hosters niet wettelijk verplicht om hun klanten te screenen. De politie heeft geen wettelijke bevoegdheden om klanten van hostingproviders te screenen. Daarnaast is het screenen van klanten een toezichtstaak die niet bij de politie thuis hoort. Bij vermoedens van illegale activiteiten op een server kan bij een hostingprovider een verzoek worden gedaan voor een vrijwillige notice-and-takedown. Indien de hoster daar geen gehoor aan geeft, kan de officier van justitie ter beëindiging van een strafbaar feit of ter voorkoming van nieuwe strafbare feiten een dienstverlener bevelen gegevens ontoegankelijk te maken (artikel 125p Wetboek van Strafvordering (Sv)) sturen naar een hostingprovider. Wanneer cybercriminelen gebruik maken van servers gehuurd bij buitenlandse resellers kan het doen van vorderingen worden bemoeilijkt, en daarmee het opsporingsonderzoek en het beëindigen van strafbare feiten.
Indien de politie weet heeft van strafbare feiten die via Nederlandse servers gepleegd worden, kan een opsporingsonderzoek worden gestart. Dit zal zich in beginsel richten op de plegers van strafbare feiten, zoals de daders van een ransomware-aanval. Het opsporingsonderzoek kan zich ook richten op de hostingprovider of de reseller, mits zij worden verdacht van een strafbaar feit.
Het is onwenselijk dat kwaadwillenden Nederlandse servers misbruiken voor bijvoorbeeld het plegen van cyberaanvallen. De hostingsector heeft de gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is onder meer opgenomen dat hosters hun klanten kennen. Het blijft echter mogelijk dat klanten van hostingproviders deze serverruimte weer doorverhuren. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact. Daarnaast is in 2020 het Anti Abuse Netwerk (AAN) opgericht. Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur.
Recentelijk heeft de politie een lijst opgesteld met resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de Dutch Cloud Community (DCC). Zie hiervoor ook de beantwoording van de Kamervragen van het lid Rajkowski.4 Naar aanleiding van deze beantwoording heeft DCC laten weten dat een aantal leden met bepaalde klanten geen zaken meer doet.5
Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatiemechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
Het is zeer onwenselijk dat Nederlandse infrastructuur wordt misbruikt voor het plegen van cyberaanvallen. Dit geldt ook in het geval van kwaadwillende cyberoperaties tegen Oekraïne. Zoals eerder is aangegeven zijn hostingbedrijven niet wettelijk verplicht om hun klanten te controleren. Het controleren van hostingbedrijven is bovendien geen taak van de politie. Bij het tegengaan van misbruik van Nederlandse netwerken blijft het belangrijk dat de samenwerking wordt gezocht tussen de hostingsector en de politie.
Hierbij deel ik u, mede namens de Minister van Buitenlandse Zaken, mede dat de schriftelijke vragen van de leden Rajkowski en Brekelmans (beiden VVD), van uw Kamer aan de Minister van Justitie en Veiligheid over berichten omtrent cyberaanvallen op Oekraïne en Nederlandse servers (ingezonden 24 februari 2022) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.