SURFnet, de organisatie die onderwijsinstellingen internet aanbiedt, gaat gedragscodes rondom anti-botnetacties ontwikkelen. De organisatie krijgt regelmatig met botnets te maken en heeft in het verleden meerdere keren een ondersteunende rol gehad bij het ontmantelen van botnets.

Ook is SURFnet onderdeel van de Abuse Information Exchange, dat gisteren AbuseHUB lanceerde. Dit is een nieuw systeem waarmee providers botnets gaan aanpakken. Volgens de organisatie is het belangrijk om gedragscodes te ontwikkelen over hoe en of SURFnet betrokken kan zijn bij toekomstige acties die tegen botnets zijn gericht. Bij anti-botnetacties kan worden gedacht aan een breed scala van activiteiten, variërend van observatie via infiltratie en manipulatie tot het overnemen, neerhalen en ontmantelen van een botnet.

Persoonsgegevens

Botnets verzamelen vaak allerlei gegevens van en over gebruikers, zoals naam, adres, geboortedatum, telefoonnummer, gebruikersnamen en wachtwoorden en rekeningnummers. Daarnaast is het door de gebruiker gebruikte IP-adres, of IP-adressen, beschikbaar bij de Command & Control-server van het botnet. Het betreft hier persoonsgegevens zoals gedefinieerd in de Wet bescherming persoonsgegevens (Wbp). De Wbp is derhalve van toepassing op de verwerking van botnetdata.

Het bestrijden van botnets neemt dan ook verschillende vragen met zich mee, zoals welke juridische ruimte er bestaat voor een private actor als SURFnet om anti-botnetacties uit te voeren. Naast het privacyrecht speelt het strafrecht daarbij een belangrijke rol, omdat anti-botnetacties vaak zullen bestaan uit handelingen die mogelijk als computercriminaliteit te kwalificeren zijn, zoals aftappen van gegevens of computervredebreuk.

Expert opinion

Twee Hoogleraren van het Tilburg Institute of Law (TILT) werd gevraagd om een expert opinion over de strafrechtelijke aspecten en mogelijk privacy-inbreuken van anti-botnetacties door SURFnet en bij SURFnet aangesloten instellingen te schrijven. Aan de hand van deze twee expert opions zal SURFnet gedragscodes opstellen waarin staat beschreven hoe er met de bestrijding van botnets wordt omgegaan.

Iets waar ook Hoogleraar Ronald Leenes in zijn opinion voor pleit. Hij stelt daarnaast dat SURFnet en aangesloten instellingen bij de verwerking van de botnetdata zorg moeten dragen dat alleen de strikt noodzakelijke informatie wordt verwerkt en dat daar waar mogelijk pseudonimisering en anonimisering van gegevens plaatsvindt.