De overheid kijkt naar verschillende manieren om malafide resellers van Nederlandse hostingproviders aan te pakken, alsmede hostingbedrijven die willens en wetens criminaliteit faciliteren, zo heeft minister Yesilgöz van Justitie en Veiligheid in een brief aan de Tweede Kamer laten weten. Malafide resellers verhuren de serverruimte van Nederlandse hostingbedrijven door aan andere partijen, waaronder cybercriminelen. Zo kunnen servers van legitieme Nederlandse hosters bijvoorbeeld voor ransomware en het versturen van spam worden gebruikt.

Eind vorig jaar verstuurde de politie een brief naar hostingbedrijven met een overzicht van resellers die volgens de politie diensten aan cybercriminelen leveren. Voor het opstellen van de lijst, die niet openbaar is, werd gebruikgemaakt van open bronnen. “Het delen van de lijst is nadrukkelijk bedoeld als waarschuwing”, aldus de politie. Die adviseerde hostingbedrijven dringend om te controleren of de genoemde resellers in hun klantenbestand voorkomen.

De hostingproviders die de brief ontvingen hebben naar aanleiding van een vragenlijst van de politie niet direct teruggekoppeld hoeveel malafide resellers er in hun klantenbestand waren opgenomen. “Het betreft bedrijfsgevoelige informatie die zij niet specifiek wensen te delen”, aldus minister Yesilgöz. Wel heeft de brancheorganisatie Dutch Cloud Community laten weten dat enkele hostingproviders naar aanleiding van de brief van de politie actie hebben ondernomen richting in de brief genoemde resellers.

Daarnaast zijn er gesprekken tussen de politie en Dutch Cloud Community over mogelijkheden om signalen over malafide resellers structureler met hostingproviders te delen. Het zijn echter niet alleen resellers waarnaar wordt gekeken. “Naast het versturen van de genoemde brief hebben de politie en het Openbaar Ministerie enkele oplossingsrichtingen verkend om het leveren van hostingdiensten voor criminele doeleinden tegen te gaan”, zo laat der minister verder weten.

Het gaat dan om het structureel informeren van hostingproviders over actuele criminele handelingen en kwetsbaarheden. Hierdoor zouden deze providers de activiteiten op hun eigen netwerken kunnen tegengaan en zich beveiligen tegen dreigingen. Daarnaast kan de Rijksoverheid het “goede voorbeeld geven” door alleen nog diensten af te nemen bij “verantwoorde” hostingproviders. Deze providers moeten een gedragscode hebben onderschreven en zijn aangesloten bij het publiek-private Anti Abuse Netwerk.

Strafrechtelijke aanpak

Een derde mogelijk aanpak betreft het aanpassen van wetgeving. “Voor hostingproviders die willens en wetens criminaliteit faciliteren kan een strafrechtelijke aanpak passend zijn”, zo stelt Yesilgöz. Vorig jaar heeft het Gerechtshof in Den Haag bepaald dat dergelijke hostingproviders onder omstandigheden niet zijn uitgesloten van strafrechtelijke aansprakelijkheid, ook niet als zij geen bevel tot het ontoegankelijk maken van gegevens hebben ontvangen.

“Deze uitspraak biedt mogelijkheden voor vervolging van hostingproviders die criminelen actief helpen. Aanpassing van het Wetboek van Strafrecht hiervoor is daarom op dit moment niet voorzien”, voegt de minister toe. Het ministerie van Economische Zaken werkt momenteel aan de uitvoeringswetgeving voor de Digital Services Act. Op dit moment wordt gekeken of naar aanleiding van de uitspraak van het Gerechtshof in Den Haag er in de Memorie van Toelichting bij het wetsvoorstel een verduidelijking nodig is wanneer partijen niet aansprakelijk zijn.