Kinderporno, hacks, online aanvallen: waarom servers in Nederland zo geschikt zijn voor wereldwijde cybercriminaliteit
Wereldwijd spelen Nederlandse computerservers een spilfunctie in het herbergen van kinderporno, gestolen data en computervirussen. De politiek moet bedrijven die deze criminaliteit faciliteren veel harder aanpakken, vindt het Openbaar Ministerie.
Volgens de Britse Internet Watch Foundation is Nederland aanvoerder van de lijst locaties waar de meeste kinderporno wordt bewaard en gehost, zo'n 30 procent van het totaal. Ook cyberaanvallen worden via dit soort Nederlandse servers uitgevoerd. En de hack van de kaasleverancier van Albert Heijn in 2021 ging via een Nederlands datacentrum.
707 miljoen euro schade
De schade van de criminaliteit die via dit soort servers plaatsvindt, werd in 2023 becijferd op zo'n 707 miljoen euro. Dat er zoveel illegale content te vinden is op Nederlandse servers komt door ons relatief snelle en goedkope internet, zegt officier van justitie Wieteke Koorn. Ze noemt het een koppositie die we echt niet meer moeten willen hebben.
Nederland is het grootste internetknooppunt ter wereld. "De Amsterdam Internet Exchange ligt fysiek hier en dat maakt het ook heel aantrekkelijk om servers neer te zetten", legt ze uit. Die servers staan in zogenoemde datacenters, bedrijfsruimtes die volstaan met serverkasten.
Ken-je-klant-beleid
Belangrijk om te benadrukken is dat het merendeel van de sector het prima doet, zegt Koorn. Zij weten aan wie ze serverruimte verhuren en wat hun klanten op de servers bewaren. Ze hebben een 'know-your-customer'-beleid, oftewel het ken-je-klant-principe, en gaan aan de slag met meldingen over illegale praktijken.
Daarnaast zijn er de 'bad hosters', slechte verhuurders. "De mensen die wel servers verhuren, maar zich eigenlijk niet zo interesseren of zich onvoldoende inspannen, om te kijken wat er nou precies op die server staat." En een nog kleinere 'taartpunt' uit het geheel zijn de 'bulletproof hosters', waar kan de overheid heel moeilijk bij kan komen. "Die zijn heel goed beschermd."
Anonimiteit als handelswaar
Anonimiteit is de handelswaar van bad hosters en bulletproof hosters. Klanten kunnen onder een valse naam ruimte huren en betalen met cryptomunten, waardoor niet te traceren is wie er eigenlijk achter zit. Extra problematisch is dat huurders bij bulletproof hosters hun ruimte nog eens doorverhuren aan landen over de hele wereld. Opsporing is dan heel moeilijk.
Dit soort slechte hostingbedrijven vind je alleen via het darkweb. De bedrijven garanderen in de advertenties 100 procent anonimiteit. "Daar adverteren ze mee, en ze krijgen ook gewoon reviews", zeg Koorn. "We zien dat die hostingbedrijven alleen maar worden gebruikt door criminelen".
Verantwoordelijkheid
Het is een grote sector, legt Koorn uit. "Als je kijkt naar internet en de hele zakelijke dienstverlening daar omheen, is dat voor Nederland een omzet van ongeveer 110 miljard euro per jaar." We verdienen er geld aan. "Maar dat betekent ook dat we een verantwoordelijkheid hebben."
Er zijn regels waar de sector zich aan moet houden. Sinds dit jaar is er de Digital Service Act. "Die verplicht online platformen, waaronder dus ook hostingdrijven, om hun bedrijfsvoering op orde te hebben." Ze moeten een 'abuse knop' hebben, waarmee je direct melding kan doen van misstanden. De Autoriteit Consument & Markt (ACM) kan boetes opleggen als die regels niet worden gevolgd.
Controle
Datacentra zelf zeggen niet alles te kunnen controleren wat er op hun servers gebeurt, simpelweg omdat het te veel is. Kroon stelt dat dit geautomatiseerd gewoon kan. "Er zijn gewoon algoritmes voor die ook kunnen kijken wat voor type data er overheen komt."
Tuurlijk kun je niet alles zien. "We kunnen ook niet voorkomen dat iemand bij de Gamma een hamer koopt om iemand zijn hersens in te slaan, dat kunnen we gewoon niet", zegt ze. "Maar je kunt wel een aantal criteria organiseren in je bedrijf waardoor je kan zeggen, ik heb er alles aan gedaan om het te voorkomen."
Kabinet neemt sector onder de loep
Onlangs vroeg het Openbaar Ministerie samen met de driehoek in Amsterdam (burgemeester, politie en justitie) in een brandbrief opnieuw aandacht voor de problemen met bad hosters. Ze willen een verbod op betalingen in cryptovaluta en een verplicht ken-je-klant-beleid, waarmee bedrijven moeten registreren wie ze in huis hebben.
Vlak voor het zomerreces maakte het ministerie van Justitie bekend een onderzoek te gaat uitvoeren naar de sector. Onder andere de verhouding van bulletproof en bad hosters wordt onder de loep genomen, en in hoeverre een bedrijf zicht kan hebben op illegale praktijken van een hostingbedrijf.
Wettelijk verbieden
Het kabinet onderzoekt daarmee of het ken-je-klant-beleid uitgebreid kan worden in de wet. Ook door cryptobetalingen te verbieden, licht officier van justitie Koorn verder toe: "Door te zorgen dat een eerste betaling via een reguliere banktransactie moet plaatsvinden, kan verificatie plaatsvinden van de identiteit en gegevens van de klant."
Het volledig anoniem afnemen van hostingdiensten is dan niet meer mogelijk. Het kabinet hoopt zo ook het doorverkopen van serverruimte moeilijker te maken. Het is niet bekend wanneer het onderzoek van het kabinet is afgerond.