Twintig jaar geleden besloten zes Nederlandse telecomproviders de stichting Nationale Beheersorganisatie Internet Providers op te richten. De providers zagen reden om de koppen bij elkaar te steken vanwege artikel 13 van de Telecommunicatiewet. Dat artikel stelt hen verplicht te voldoen aan vorderingen van opsporingsinstanties voor het aftappen van informatie en daarvoor ook de nodige technische voorzieningen te treffen. De NBIP neemt hen die zorg uit handen, maar doet twintig jaar later veel meer. Zo is de organisatie misschien nog wel bekender van de NaWas, een dienst waarmee providers zich snel tegen ddos-aanvallen kunnen verweren. Directeur van de NBIP is Octavia de Weerdt en Tweakers vroeg haar naar verleden en toekomst van de tapdienst, de NaWas en de overige projecten van de stichting.
De NBIP viert dit jaar haar twintigjarige jubileum. Waarom besloten providers samen een stichting op te zetten?
"De providers kregen een wettelijke tapverplichting, maar wisten niet goed hoe ze die taps moesten uitvoeren. Ze hadden een gezamenlijk probleem en gingen kijken hoe ze dat samen konden oplossen. Duidelijk was dat er een uitvoerende instantie moest komen en dat ze moesten investeren in hardware, software en kennis. Het idee was om dat gezamenlijk te doen en er alleen gebruik van te maken als het nodig is. Het was een as-a-service avant la lettre. Vorderingen komen formeel binnen bij de providers en feitelijk zijn zij de ontvangers die dat moeten uitvoeren, maar ze zijn twintig jaar geleden zo slim geweest om dat helemaal uit te besteden. Sindsdien zijn wij de uitvoerende en beoordelende instantie, al is het per provider verschillend. Sommigen doen de beoordeling van vorderingen zelf en laten de tap door ons doen. We hebben de apparatuur en rijden bijvoorbeeld ook fysiek uit met apparatuur die we dan ergens in een datacenter aansluiten. Ik ben zelf overigens in 2017 begonnen bij de NBIP. Daarvoor heb ik jarenlang een hostingbedrijf gehad."'We hebben de apparatuur en rijden bijvoorbeeld ook fysiek uit'
Hoe gingen providers voor 2001 om met tapverzoeken?
"De verplichting om tappen mogelijk te maken was er toen simpelweg niet en technische mogelijkheden om apparatuur en netwerken aftapbaar te maken, hadden ze ook niet. Dat hebben ze moeten organiseren. Nu hebben we iets dat vergelijkbaar is met de Europese verordening om het verspreiden van online terroristische content tegen te gaan (hostingdiensten zijn verplicht om maatregelen nemen om dit tegen te gaan, red.) Eerder speelde zoiets met het in werking treden van de Wiv 2017. Door nieuwe wetgeving ontstaan verplichtingen en om daaraan te voldoen, is organisatie vereist."
/i/2004618394.png?f=imagenormal)
2001 is in internetjaren prehistorie. Wat is het grootste verschil wat omgang met tapvorderingen betreft tussen vroeger en nu?
"Wetten lopen altijd achter op technologie; dat is een gegeven. Waar we nu mee te maken hebben, is dat de data zich op veel meer plekken bevindt. Data is niet meer dat wat door een telefoonlijntje gaat. Waar zit de data? De gegevens zitten in virtuele machines, voip is erbij gekomen. Soms wordt gevraagd om een hele machine te kunnen inlezen. Met die technologische ontwikkeling hebben we vooral te maken gehad in de afgelopen jaren."
En wat is de belangrijkste ontwikkeling voor de toekomst?
"We krijgen te maken met voorgestelde Europese regelgeving zoals die rond e-Evidence. Straks kunnen onze deelnemers wellicht worden bevraagd door entiteiten uit elk ander Europees land. Wat ga je daarmee doen? Dat gaat echt wat toevoegen wat complexiteit en schaalgrootte betreft. De NBIP is ontstaan op Nederlands niveau, maar we moeten straks gesprekspartner worden op Europese schaal. We beoordelen immers ook; we hebben een loketfunctie. Komt het volgens de regels binnen, komt het overeen met wat er besproken is, kunnen we het aannemen of afwijzen? Dat hele proces kan straks op Europees niveau plaatsvinden."
/i/2004618406.png?f=imagenormal)
Als vorderingen van instanties uit alle lidstaten kunnen komen, lijkt dat tot een flinke toename van het aantal tapvorderingen te kunnen leiden. Hoe kijken jullie daartegenaan?
"De meningen daarover zijn verdeeld, maar wij denken wel dat je een toename zult zien als dit ingaat. Wij pleiten er ook altijd voor om alles goed te regelen voordat je hiermee begint, maar helaas loopt het niet altijd zo. De technische protocollen voor de uitwisseling van de data zijn er in principe wel (zoals de Inter LEMF Handover Interface, red.) maar toch is iedereen zoekende hoe ze hieraan invulling gaan geven. Grotere providers zijn zelfvoorzienend hierin, maar kleinere partijen hebben een NBIP nodig om dit te stroomlijnen."
Hoe bereiden jullie je hierop voor dan?
"Voorbereiden is lastig, omdat we het moeilijk kunnen inschatten. Tapdiensten zijn extern gestuurd. We kunnen niet raden wat er op ons afkomt. Daarom was onze oprichting ook zo slim; je kunt als provider ieder afzonderlijk investeren in apparatuur, maar je weet van tevoren niet in hoeverre je het nodig hebt. Wij hanteren een procedure van 'vraaggestuurd-plus'. We kijken naar de afgelopen jaren: wat is er gebeurd? Dan zien we een toename. De verwachting is dat dit alleen maar meer wordt. We anticiperen op een geleidelijk groeiproces.
/i/2004607604.png?f=imagenormal)
Als Europa hiermee te maken krijgt, wordt het dan niet tijd voor een Europese variant van de NBIP?
"Ik denk het wel. In Nederland zijn de afspraken helder wat rechten en plichten van providers betreft. Dat is niet in alle landen gelijk. Technisch hoeft er geen struikelblok te zijn, want zoals gezegd bestaat er een Europees protocol waarop men kan aansluiten. Dat is best vergevorderd, maar ja, voordat iedereen het gaat gebruiken…"
Spelen jullie ook een bemiddelende rol? Ik denk dan bijvoorbeeld aan het geschil tussen Voys en de overheid, omdat Voys weigerde klantdata aan het Centraal Informatiepunt Onderzoek Telecommunicatie toe te voegen.
"De meeste vorderingen zijn heel helder. Bij uitzonderingen geven we een advies of vragen we om een advies. Het gaat dan meestal om interpretaties. Het is dan uiteindelijk aan de provider zelf om een keuze te maken of hij er gehoor aan gaat geven of niet. Wij maken die keuze niet. Andersom hebben we een open relatie met het Openbaar Ministerie. Uiteindelijk moeten we het samen doen."
'Het is niet zo dat ik bijna tweehonderd providers hoef te vragen wat we moeten doen'
Dat Openbaar Ministerie wil toegang tot versleutelde data, althans, dat wil het onderzoeken. Ook op Europees niveau speelt dit. Zien jullie ook een rol voor jullie zelf weggelegd in die discussie? Wat is jullie standpunt?
"Onze insteek is primair: wat kom je tegen in de uitvoering? Over dit specifieke onderwerp hebben we de Stimuleer Encryptie-oproep van begin dit jaar ondertekend om hier niet aan te morren."
Komen jullie tot dit standpunt na overleg met de providers?
"Het is niet zo dat ik bijna tweehonderd providers hoef te vragen wat we moeten doen. Onze richtlijnen zijn bekend, ook naar onze achterban. We zijn transparant in wat we doen. We hebben ook een raad van deelnemers die we bevragen over de manier waarop we opereren en of we binnen de koers blijven. Aan de andere kant zijn we een stichting en als zodanig redelijk zelfstandig. We zijn geen branchevereniging. We spreken vanuit onze expertise, ook als we bedreigingen zien. In het verleden spraken we indien we gevraagd werden. De laatste jaren is dat wat veranderd en dragen we, vanuit onze expertise, opgebouwde kennis en positie, wat meer onze standpunten uit."
De wasstraat voor ddos-aanvallen
Sinds 2014 bieden jullie de Nationale Wasstraat of NaWas aan, een dienst waarmee providers zich tegen ddos-aanvallen kunnen weren. Sindsdien is de NaWas flink gegroeid als dienst en is deze denk ik inmiddels bekender dan de NBIP. Wordt het geen tijd dat de NaWas op eigen benen gaat staan?
"Dat vooruitzicht laten we best voorbijkomen. Dat we ons afvragen: komt er een moment waarop we dat moeten of kunnen doen? Het bestuur heeft daar ook voorzieningen voor getroffen. De NaWas is een aparte stichting. Dat heeft het bestuur zo ingericht met in het achterhoofd dat de NaWas zelfstandig moet kunnen opereren mocht dat moment aanbreken. De NaWas is opgericht vanuit dezelfde problematiek als de tapverplichting. In 2014 waren er veel ddos-aanvallen op banken en providers kregen het een beetje benauwd. Als we dit willen oplossen, is dat duur. Je hebt er veel spullen voor nodig, maar je weet niet in hoeverre je het nodig zult hebben. Zelfde basisprincipe: kun je dan niet beter gezamenlijk inkopen en er alleen gebruik van maken als je het nodig hebt. Dan is het zo efficiënt mogelijk."
'Nu is het moment om te kijken of je een scrubbingcenter een Europese identiteit kunt geven'
Maar over die zelfstandige rol van de NaWas…
"Ja, als we vooruitkijken, is het tijd om naar Europa te kijken. We verkopen al aan Europese deelnemers, maar ik denk dat het nu een goed moment is om te kijken of je een scrubbingcenter een Europese identiteit kunt geven. We zeggen nu: 'made in NL', maar misschien wordt het 'made in EU'. We kijken gericht naar connectiviteit in Europa. We kunnen in Italië aansluiten, Frankrijk, Spanje, Oostenrijk en Oost-Europa. Zo bouwen we dat netwerk op. We kijken dus naar onze rol in een Europees ecosysteem en dat is zo'n moment waarop je denkt, moet de NaWas niet op zichzelf opereren?"
Zijn er in andere landen initiatieven die vergelijkbaar zijn met de NaWas?
"Nee, die zijn er niet."
Dus de NBIP wil het principe van de NaWas op Europees niveau toepassen.
"Ja. Je zou de neiging hebben om het als een commercieel product aan te bieden. Het is een dienst zoals elke andere IT-dienst. Alleen we hebben ontdekt dat het principe van gezamenlijk doen en het zo bijdragen aan de algehele veiligheid van internet, werkt. Een scrubbingcenter zoals de NaWas kun je als een enkele partij niet aanbieden. Voor ons moet het kostendekkend zijn en we moeten genoeg reserves hebben om het te kunnen uitbreiden. We hoeven echter geen winst te maken; we hoeven niets aan iemand uit te keren. We merken dat samenwerken met providers en hostingpartijen een enorme tractie oplevert, ook in Europa. Zo is internet ook ontstaan."
Ddos-aanvallen nemen flink toe in kracht en complexiteit. Ik neem aan dat de kosten dan ook toenemen?
"Ja, ons kostenplaatje is ook behoorlijk gegroeid in de afgelopen jaren. In onze eerste overeenkomst uit 2014 stond een disclaimer dat we niets konden garanderen als het boven de 10Gbit/s zou worden. We hebben nu een operationele capaciteit van 500Gbit/s. Dat komt door herinvesteren. In feite hebben we nu ook twee wasstraten en we verwachten verder te groeien met een gedistribueerd model. Dat kan in Europa."
Jullie maken nu gebruik van onder andere de AMS-IX en NL-ix voor de NaWas, maar dan zou je het dus ook via andere Europese internetexchanges kunnen laten lopen?
"Ja, en daar zijn we in feite al mee gestart. Dat doen we op basis van de vraag. We hebben al een aansluiting op TOP-IX in Turijn, en bij LINX, de London Internet Exchange. Voor LINX hebben we ook flink geïnvesteerd in de technologie voor de aansluiting. De volgende stappen kunnen Frankrijk en Duitsland zijn. Als er morgen een Franse of Duitse provider komt die vraagt om op de wasstraat te komen, kunnen wij in die connectiviteit voorzien en zeggen: sluit maar aan. We zitten bij de internetexchanges omdat daar de connectiviteit zit en daar zitten ook de partijen, de providers die er interesse in hebben. De volgende stap is dat je gedistribueerd plaatselijk mitigeert, want momenteel wordt de intelligente mitigatie nog in Amsterdam gedaan. In onze visie doe je straks de bulk van het verkeer in de edges en alleen het noodzakelijke centraal. We testen ook met transits, die dan plaatselijk mitigeren voordat het bij ons komt, net zoals je met je auto in de wasstraat eerst het grove vuil eraf wast en als laatste de restjes wegpoetst."
Volgens jullie worden aanvallen ook complexer. Welke ontwikkelingen zijn er bij het intelligenter maken van de ddos-bestrijding?
"We zijn bijvoorbeeld betrokken bij het DDOS-clearinghouse, samen met de Universiteit Twente, SURF en SIDN. Een paar jaar geleden bedachten we al: wat nou als we een soort patroonherkenning hebben voor ddos-aanvallen? Want hoe sneller je het herkent, hoe sneller je het kunt wassen. Dan word je zelfs proactief en kun je iets zien voordat het verstorend wordt. We willen ertoe komen dat de deelnemers van de brede Anti-DDoS-Coalitie heel actief de informatie over die vingerafdrukken met elkaar gaan delen. Er loopt ook een Europese pilot: Concordia. Wij zijn dan opnieuw uitvoerend, zodat het niet bij projecten blijft. Er moet ook echt een product uitkomen.
Anti-abusenetwerk
Jullie hebben daarnaast een onderzoeksproject rond abuse, voor het detecteren en het oplossen van misbruik en kwetsbaarheden in netwerken. Dat is weer iets heel anders. Moet abusebestrijding de derde tak van de NBIP worden, naast de tapdienst en NaWas?
"Dat project komt voort uit wat eerst bij ons trusted flagger heette. Er is behoefte aan een vertrouwde partij die dit soort informatie op de juiste wijze ontvangt, maar ook weer teruggeeft, met een flag die aangeeft: "Dit is goed, dit is niet goed, dit moet je ermee doen."
Over wat voor informatie hebben we het dan?
"We hebben het dan over abuse in brede zin. In de praktijk gaat het om kwetsbaarheden en exploits die zich in netwerken bevinden. Er zijn natuurlijk partijen die daarop scannen en die informatie hebben, maar als je je als provider op zo'n dienst abonneert, krijg je een stortvloed aan meldingen en weet je nog steeds niet precies wat je ermee moet. Opnieuw geldt dat je dit probleem beter gezamenlijk kunt aanpakken om het betaalbaar te houden."
"Op deze wijze hebben we het anti-abuseplatform opgezet, dat we hebben omgedoopt in Clean Network Platform. De bedoeling daarvan is dat bedrijven zich daarop kunnen abonneren en daarbij kunnen aangeven dat ze alleen de abuse-informatie krijgen die op hen van toepassing is. We willen heel gericht informatie over kwetsbaarheden en exploits in de netwerken aan providers sturen met de boodschap 'doe hier wat aan'. We geloven dat het in staat stellen van providers om in actie te komen, een enorm hefboomeffect heeft. Net als bij de NaWas: we hebben daar 115 unieke leden, maar we bestrijken een miljoen .nl-domeinen. Als je op AS-niveau dingen doet, heeft dat impact."
'We willen heel gericht informatie over kwetsbaarheden en exploits aan providers sturen'
Wanneer moet het Clean Network Platform van start gaan?
"Providers kunnen zich al aansluiten. We werken nu aan een soort keurmerk voor providers die zich aansluiten en actief handelen op abusemeldingen. Dat biedt dan zekere garanties en onderscheidt hen van providers die dat niet doen. Ze kunnen daarmee aantonen dat ze hun hygiënemaatregelen op orde hebben. Denk hierbij ook aan de bad hoster - good hoster-discussie, We willen in dit kwartaal starten met dat keurmerk. Onze ambitie is om dat breder in te zetten dan alleen de NBIP-deelnemers, want iedereen heeft daar baat bij."
Jullie verlangen dus ook een soort terugkoppeling, waarbij providers aangeven dat ze bepaalde stappen hebben gezet. Welke eisen stellen jullie?
"Iedereen kan zich aansluiten om informatie te ontvangen, maar om in aanmerking te komen voor het keurmerk, moeten providers de gedragscode die de sector heeft opgesteld, onderschrijven. Dan krijgen ze het eerste plusje in het proces om een keurmerk te krijgen. Gedurende twee jaar daarna, moeten ze kunnen aantonen dat ze actief meewerken om kwetsbaarheden te verminderen, dat er verbetering zichtbaar is. Daar hangt dus ook een meetmethode aan vast. De nulmeting is dan de instap en de ondertekening van de gedragscode. Daarna krijgen ze twee jaar de tijd om te verbeteren. Dan krijgen ze een tweede plus of ster, of hoe je het wilt noemen. We geloven dat je daarmee kunt aantonen dat de Nederlandse netwerken steeds schoner worden."
/i/2004609818.png?f=imagenormal)
Dat klinkt allemaal heel ambitieus. Jullie kunnen dus meer tapvorderingen uit heel Europa tegemoetzien, de NaWas moet de ddos-scrubber van Europa worden en er komt een platform om de Nederlandse netwerken vrij te maken van abuse. Met hoeveel medewerkers moeten jullie dat voor elkaar krijgen?
"We hebben bij operations tien mensen; dat zijn niet allemaal fulltimers. Daarnaast zijn er nog het bestuur en een middenlaag, waaronder ik en een accountmanager, en er is een financiële administratie. Die basis is nodig om goed de regie te kunnen voeren, maar die moet wel groeien in de komende jaren."
Aan welke groei denk je dan?
"Het is nog te vroeg om dat te zeggen. We doen natuurlijk ook heel veel gezamenlijk met de deelnemers. We hebben bijvoorbeeld een technische commissie om te bespreken wat de volgende stap met de NaWas wordt. We doen het niet allemaal zelf en vragen soms aan providers om bij te dragen en ons een beetje van hun tijd te geven, maar als ik het allemaal zo vertel, doen we best veel ja. We hebben genoeg te doen in de komende twintig jaar."
:strip_icc():strip_exif()/i/2004805998.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2003894988.jpeg?f=fpa_thumb)
/i/2005034312.png?f=fpa)
/i/2004838090.png?f=fpa)
:strip_exif()/i/1059519197.gif?f=fpa)
/u/212961/Alfred%2520Max%2520Headroom.png?f=community){kind=small}
:strip_icc():strip_exif()/u/403106/3868954827-1_60x60.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/157390/crop5decc9d996782_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/303210/favritegotevj9.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/397182/doge.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/330445/crop5df3d5724530e_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/291410/crop66a0f4f85bf75_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/3496/ford_power_klein.jpg?f=community){kind=small}