Op 24-12-2018 om 16:24 schreef Rejo Zenger:
Hey Jurrian,
Ik heb een paar korte vragen.
In onderstaande overzichten wordt naar incidenten gekeken waar het ip-adres op dat moment geregistreerd stond in Nederland; voor het ASN wordt de gene [...]
Naar welk overzicht verwijs je hier precies? Bedoelde je de overzichten in de lopende tekst, of bedoelde je nog iets van een bijlage die ik heb gemist?
Ik bedoel inderdaad de lopende tekst. Misschien was het handiger geweest dit anders te verwoorden.
Als we naar het aantal incidenten per ASN kijken, zal het niemand verbazen dat de eerste plaats vergeven wordt aan een bulletproof hoster. Ook op de zesde plaats treffen we zo’n partij aan. Opvallend genoeg bestaat de rest van de top 10 alleen uit hostingproviders (shared hosting, VPS en colocatie). De eerste accessprovider treffen we pas op de elfde plaats.
Hieruit zouden we voorzichtig de conclusie kunnen trekken dat besmette PC’s bij argeloze thuisgebruikers niet meer het grootste gevaar zijn, maar dat slecht beveiligde servers (zowel virtueel als fysiek) een grotere bedreiging op vormen. Hoewel ik totaal geen kennis en ervaring met statistieken heb, lijkt het me lastig om zulke conclusies te trekken. Immers, zulke conclusies kun je alleen trekken als je ook kijkt naar andere randvoorwaarden, zoals het volume van het adres space in elk van de branches en dergelijke. Toch? Ik ben met je eens dat je het het aantal ip-adressen per type provider mee moet nemen om een goed beeld te krijgen. Echter zijn de verhoudingen die ik zie dusdanig groot (factor 500 tot 1000) dat ik die conclusie wel durf te trekken. zijn opgelost, krijgen hostingklanten vaak 24 tot 48 uur de tijd op het probleem op te lossen voor er geblokkeerd wordt, terwijl in deze periode het abuse doorgaat. Ook in het kader van de GDPR / AVG lijkt het mij verstandiger sneller tot blokkade over te gaan als derden controle hebben over systemen met gegevens. Kun je dat nader toelichten? Ik denk namelijk dat je wel gelijk hebt als het gaat om de bescherming van persoonsgegevens, maar niet als het gaat om, zeg maar, "AVG-proof" te zijn.
Als een server misbruikt wordt, of dit nu door een complexe rootkit of door een 'eenvoudig' lek in een CMS is, biedt derden de mogelijkheid toegang te krijgen tot persoonsgegevens. Dit kan simpelweg het aanleggen van een lijst van e-mailadressen van het contactformulier zijn of een overzicht van alle gebruikers (naam + emailadres) tot inzage in het volledige klantenbestand. Sommige providers geven klanten 24 tot 48 uur de tijd om zelf het probleem op te lossen ("er draaien heel belangrijke systemen voor onze klant op deze server, die kunnen we niet zomaar uit de lucht halen"), maar dat betekend dus ook dat het potentiële datalek 24 tot 48 uur lang open blijft staan. Nu ben ik geen expert op het gebied van de AVG, maar volgens mij wordt er in deze wet (vrij vertaald) ook gezegd dat je er zo veel mogelijk aan doet om persoonsgegevens te beschermen. De boel 24 tot 48 uur open laten staan lijkt mij niet "zoveel mogelijk aan doen". Ik zou deze periode flink verkorten of beginnen met de boel volledig dichtzetten/loskoppelen van internet en pas weer openen als er zekerheid is dat een dienst veilig is (bv. de poorten voor mail weer openzetten terwijl de webserver onbereikbaar blijft tot het lek in de website gedicht is). Groet, Jurrian