Capture the red flags

Trainingsdag Schone Hosting

“Het wifi-netwerk is volgens mij al gehackt, of hoort dat erbij?” grapt iemand van het cyberteam van de politie Amsterdam. Het inleidende filmpje van de interactieve game Capture the red flags, die vandaag z’n première beleeft, is zojuist al na een paar seconden vastgelopen, maar komt daarna gelukkig snel weer op gang.

Een wekker gaat af. Een man kleedt zich aan, nuttigt een ontbijtje, gaat naar kantoor, zet zijn computer aan en opent zijn mailbox. De werkdag van de hostingmedewerker is begonnen. Als compliance officer bewaakt hij de integriteit van de organisatie. Hij is verantwoordelijk voor de naleving van de geldende wet- en regelgeving en ziet er op toe dat er gewerkt wordt volgens de door zijn organisatie opgestelde normen en regels.

Dan schakelt het filmpje abrupt over naar de tweede hoofdpersoon van het verhaal. Anders dan de hostingmedewerker wordt de opsporingsambtenaar met piketdienst niet gewekt door zijn wekker, maar door zijn telefoon. Midden in de nacht graait hij het toestel van zijn nachtkastje.

De beelden die volgen zijn afkomstig uit een buitenlands ziekenhuis waar totale paniek lijkt te heersen. Het ziekenhuis is getroffen door een grote ransomwareaanval die alles platlegt. Op een monitor veranderen de pieken van een hartslag geleidelijk in een vlakke streep. Er klinkt een langgerekte piep. Gevolgd door vraag één: Wat kun je als hostingprovider doen om potentiële criminele klanten af te schrikken?

Een gezamenlijk doel

Verspreid over verschillende ruimtes van datacenter BIT, gevestigd op een inwisselbaar bedrijventerrein aan de rand van Ede, buigen zes teams zich over hun laptops. Alle teams zijn samengesteld uit OM’ers, politiemensen en medewerkers van hostingbedrijven die zijn aangesloten bij de Nederlandse brancheorganisatie Dutch Cloud Community (DCC). Samen vormen zij een divers gezelschap met een gezamenlijk doel: een schoon internet, vrij van illegale content en andere criminele activiteiten.

Het datacenter waar de trainingsdag Schone Hosting vandaag plaatsvindt is omringd door hoge hekken en talloze camera’s. Maar daardoor laten cybercriminelen zich doorgaans geen strobreed in de weg leggen. Nederlandse servers behoren internationaal tot de meest gewilde servers ter wereld, zowel voor goed- als voor kwaadwillenden. En het verschil tussen die twee is voor hostingbedrijven, commerciële partijen die serverruimte (ruimte op internet) verkopen, helaas niet altijd evident. Althans, niet tot het moment waarop politie en justitie in het kader van een strafrechtelijk onderzoek met een vordering bij hen op de stoep staan. Om potentiële criminele klanten en verontrustende signalen eerder te leren herkennen, maar ook om meer wederzijds begrip te kweken tussen hostingmedewerkers en opsporingsambtenaren, werd door het Openbaar Ministerie het spel Capture the red flags bedacht en ontworpen.

Bullet proof hosting

Nederland telt een paar duizend hostingbedrijven, variërend van een handvol servers op een zolderkamer, tot datacenters die duizenden vierkante meters beslaan. Het overgrote merendeel daarvan bestaat uit legitieme bedrijven. Bedrijven die er zo veel mogelijk aan doen om hun servers ‘schoon’ te houden. Maar ook het andere uiterste, bullet proof hosting genoemd, komt helaas voor.

“Bullet proof hosters zijn bedrijven die moedwillig criminele klanten werven en als verdienmodel het faciliteren van hun illegale activiteiten hebben,” vertelt Josien Pauwelussen, van wie het idee voor de game afkomstig is. Als officier van justitie, gespecialiseerd in High Tech Crime, werkt ze bij het Landelijk Parket Rotterdam. “Dat soort hosters adverteert vaak heel doelgericht op bepaalde online fora met beloftes dat ze uitsluitend gebruik maken van Nederlandse servers, want het Nederlandse internet is snel en betrouwbaar, dat ze geen klantgegevens controleren, dat ze cryptovaluta als betaling accepteren, en meer van dat soort dubieuze toezeggingen.”

Weinig wettelijke verplichtingen

“Op die manier doen ze er alles aan om hun klanten te beschermen tegen identificatie, en dus ook tegen eventuele opsporing en vervolging,” vult Sander de Gruijl aan, die als senior coördinerend beleidsadviseur High Tech Investigations werkzaam is bij hetzelfde parket als officier Pauwelussen. “Het probleem is dat de huidige wetgeving die ruimte ook biedt. Hoewel onze samenleving tegenwoordig grotendeels afhankelijk is van ons internet, en dus van hosting-providers, bevat de wet nog altijd weinig verplichtingen voor hen om verantwoordelijkheid te nemen in de strijd tegen illegale content en illegale activiteiten op hun servers. Zo bestaat er bijvoorbeeld geen wettelijke, proactieve mogelijkheid voor het scannen van hun servers op strafbaar materiaal en ook de manier waarop betalingen moeten plaatsvinden en klantverificatie, een zogenoemd actief Know Your Customer-beleid, komen niet in de wet voor. Dat, in combinatie met de kwaliteit van onze digitale infrastructuur, die tot het snelste en meest betrouwbare van heel Europa behoort, heeft er de afgelopen decennia toe geleid dat dit soort bullet proof hosters zich graag in ons land vestigt. Met als gevolg dat acht van de tien cyberaanvallen die wereldwijd plaatsvinden via Nederlandse servers gaan, en dat we, na Amerika, de mondiale nummer twee zijn in het hosten van kinderporno.”

Pauwelussen: “Als je daar over nadenkt is dat heel gek. Kijk bijvoorbeeld naar het bankwezen. Banken krijgen steeds meer wettelijke verantwoordelijkheden als het gaat om het tegengaan van witwassen, het melden van ongebruikelijke transacties en noem het allemaal maar op. Van de banken wordt als poortwachter verwacht dat ze zelf heel veel controleren, zowel vooraf als achteraf. Bij de hostingbranche is dat nog helemaal niet het geval.”

Digital Services Act

De Gruijl: “De komst van de Digital Services Act gaat daar wel deels verandering in brengen. Die nieuwe Europese regelgeving wordt vanaf februari 2024 van kracht voor hosting providers en bevat een aantal nieuwe verantwoordelijkheden voor deze bedrijven, al zijn de meeste daarvan nog steeds reactief, en niet proactief. Zoals bijvoorbeeld de verplichting tijdig te voldoen aan notice-and-take-down-verzoeken (het verzoek om illegale content te verwijderen, red.) en daar een passende procedure voor te hebben ingericht. Wel worden hostingbedrijven meer gestimuleerd om op hun servers proactief te gaan scannen op illegale content. Dat kunnen ze met de huidige wetgeving ook, maar treffen ze inderdaad illegale content aan, dan kunnen zij daar nu nog medeverantwoordelijk voor worden gehouden. Omdat ze het hadden kunnen weten. Die wetgeving ontmoedigt hostingbedrijven dus om proactief op zoek te gaan naar illegale content of activiteit. In de Digital Services Act is dat goed geregeld. Ook is er een toezichthouder aangewezen, de Autoriteit Consument & Markt, die kan optreden wanneer bedrijven zich niet houden aan de Digital Services Act. Dat is een partij waarmee wij als OM in de toekomst nauw zullen gaan samenwerken.”

Vals paspoort

Ondertussen zijn de deelnemers van Capture the red flags een eind gevorderd in het spel. In de rol van compliance officer van de denkbeeldige hostingprovider Stroom Opwaarts hebben ze de accountgegevens vrijgespeeld van ene Yuro Nodyuv, een klant van het bedrijf wiens identificatie in het voortraject nogal wat haken en ogen kende. Zo leverde hij in eerste instantie een kopie van een vals paspoort aan (vraag 3: welke dingen kloppen er niet?). Normaal gesproken springen dan alle seinen onverbiddelijk op rood, maar omdat de heer Nodyuv daarna wel een geldig paspoort overlegde, werd hij, onder druk van de sales afdeling, alsnog als klant van Stroom Opwaarts geaccepteerd.

Een paar vragen later, nu in de rol van opsporingsambtenaar, komen de deelnemers erachter dat de ransomwareaanval op het ziekenhuis via een server van Stroom Opwaarts lijkt te verlopen. Buitenlandse autoriteiten verzoeken de Nederlandse politie om zo snel mogelijk de patiëntgegevens van het betreffende ziekenhuis veilig te stellen (vraag 11: wat is je eerste stap?). Vervolgens blijkt dat er een buitenlandse reseller in het spel is, een partij die serverruimte opkoopt met als doel die door te verkopen aan derden. De reseller is gevestigd in het denkbeeldige land Abuzië, en de website van het bedrijf voorspelt weinig goede intenties (vraag 13: welke drie rode vlaggen zie je?). Ondertussen zit ook de compliance officer van Stroom Opwaarts niet stil. Hoe heeft dit kunnen gebeuren? Hij besluit verder onderzoek te verrichten (vraag 16: welke informatie is relevant voor dit onderzoek?).   

Challenge

De denkbeeldige hostingprovider Stroom Opwaarts in het scenario van Capture the red flags is een legitiem bedrijf, zoals veruit de meeste Nederlandse hostingbedrijven dat zijn. Zij nemen zelf de verantwoordelijkheid voor de data die zij hosten, wat betekent dat ze onder meer een gedegen Know Your Customer-beleid voeren, aan klantverificatie doen, geen cryptovaluta als eerste betaling accepteren (maar alleen bankbetalingen die te controleren zijn) en zijn aangesloten bij de brancheorganisatie DCC. Toch gaat het ook bij die bedrijven geregeld mis.

Pauwelussen: “Juist op die goedwillende bedrijven is dit spel gericht. Ook bij veel legitieme hostingpartijen, bedrijven die er alles, of toch heel veel aan doen om kwaadwillende klanten te weren, staan we helaas best vaak op de stoep met een vordering omdat er een verdenking is van criminele activiteiten via hun servers. Mijn ervaring is dat die bedrijven over het algemeen heel goed meewerken met politie en justitie. Ook wanneer we op vrijdagavond laat bij ze op de stoep staan met een vordering, zonder dat we daar, in verband met het lopende onderzoek, veel tekst en uitleg bij kunnen geven. Dan vragen we soms best een hoop van ze, zonder dat we kunnen uitleggen waarom. Dat voelt voor beide partijen vaak heel vervelend. Bij overleggen die ik voerde met mensen van de politie en de DCC kreeg ik dat ook regelmatig te horen, dat er een sterke behoefte was aan meer inzicht in elkaars positie, en in de mogelijkheden en onmogelijkheden die daarbij horen.”

Toen Pauwelussen later, bij het volgen van de leergang Ondermijning van de SSR, de opdracht kreeg een challenge te bedenken om een zaaksoverstijgend probleem mee te tackelen, het liefst op het gebied van publiek-private samenwerking, was het idee voor een online rollenspel met als thema ‘bad hosting’ dan ook snel geboren. Voor het bedenken van het scenario legde ze haar oor te luisteren bij OM-collega’s, cyberspecialisten van de politie, en mensen uit de hostingbranche. Daarnaast putte ze uit haar eigen ervaringen als officier van justitie en uit de ervaringen die ze opdeed bij een hostingbedrijf waar ze voor de leergang stage liep. Het script schreef ze samen met politiecollega Nico van Wijk. Voor het bouwen van de game huurde ze een professional in.

Unaniem positief

Na twee uur is de tijd om en het spel ten einde. In de kantine van het datacenter verzamelen de deelnemers zich voor de prijsuitreiking en de afsluitende borrel. De reacties op het spel zijn vrijwel unaniem positief.

Pauwelussen: “Wat ik veelzeggend vond, was dat mensen van verschillende partijen na afloop echt met elkaar in gesprek raakten over het spel en niet, zoals wel vaker, na tien minuten al over hun vakantie of iets dergelijks stonden te praten. Er werden echt heel goede discussies gevoerd en ideeën uitgewisseld.”

“Tijdens het spel konden wij live meekijken met de antwoorden die werden gegeven,” vult haar collega De Gruijl aan. “Daar zagen we soms ook antwoorden en opties voorbijkomen vanuit de hostingbranche waar wij binnen het OM nog niet aan hebben gedacht. Dan zie je gelijk de toegevoegde waarde van het spel, maar ook van nauwe samenwerking met de hostingbranche in het algemeen. We gaan dit spel in de toekomst zeker vaker inzetten. Het beleidscluster High Tech Investigations van het Landelijk Parket zal dat in het vervolg op zich nemen.”