Van direct en keihard afsluiten van besmette computers is geen sprake. "Dat moet ieder voor zich weten", vertelt woordvoerder Niels Huijbregts van Xs4all. "Volgens het nu getekende convenant moeten de isp's er wel voor zorgen dat besmette pc's worden afgesloten of op een apart subnet geplaatst." Hij bevestigt dat dit dus niet gelijkstaat aan het offline halen van besmette computers.

In quarantaine

"Bij Xs4all doen we dat al. Afhankelijk van wat er aan de hand is, kunnen we voor een besmette klant poorten afsluiten. Bijvoorbeeld poorten waarlangs het command&control-verkeer van een botnetbeheerder loopt, of de poort waarlangs spamverzendingen worden gedaan."

Ook heeft de isp een proxy waarlangs besmette klanten omgeleid kunnen worden. "Die heeft een beperkte bandbreedte en we kunnen zien of er daarlangs veel malwareverkeer loopt." Hij benadrukt dat Xs4all niet standaard dat verkeer monitort. Het is nog niet bekend hoe de isp's dan gaan zorgen voor - of aandringen op - opschonen van besmette pc's bij hun klanten.

Handmatig melden

De veertien isp's in dit samenwerkingsverband informeren elkaar als ze botnetten waarnemen waarvan dan onderdelen zich bevinden in het ip-bereik van een andere isp. Huijbregts legt uit dat dit niet via automatische waarschuwingssystemen gebeurt, maar door zelf contact met elkaar op te nemen. "Het is handmatig, ja."

Dit gebeurt pas met ingang van 1 januari 2010. Huijbregts ziet dat niet als laat. Hij legt uit dat er wel wat aanpassingen moeten gebeuren. De bedoeling is alle aangesloten isp's dergelijke quarantainemogelijkheden invoeren. "Vrijwel alle isp's in Nederland hebben zelf software ontwikkeld, dat is dus maatwerk. Bovendien koop je quarantainesystemen niet even off-the-shelf." Daarnaast zetten de isp's procedures op voor de onderlinge meldingen.

Opta aangehaakt

Govcert, de security-dienst van de Nederlandse overheid, is vooralsnog niet hierbij betrokken, bevestigt woordvoerster Ella Broos. Zij benadrukt dat de organisatie dit initiatief wel toejuicht. "We wisten er wel van, maar dit is echt een schoolvoorbeeld van marktwerking. Waar Govcert altijd al voor pleit."

Telecomwaakhond Opta is wel betrokken, maar is zelf later aangehaakt. "Dit is vanuit de isp's zelf", vertelt Opta-woordvoerster Cynthia Heijne aan Webwereld. Dit is vrij opmerkelijk aangezien de telecomwaakhond begin vorig jaar juist harde eisen stelde in het kader van de zorgplicht. Maar het toen geëiste veiligheidskeurmerk voor providers is er nooit gekomen. De oorzaak daarvoor was gebrek aan animo onder de isp's, vertelt Heijne nu. Dat is dus toch niet het geval voor de botnetbestrijding.

Per 1 januari

Ook zij vindt de ingangsdatum van 1 januari 2010 niet vreemd: "Dit zijn natuurlijk op bepaalde vlakken wel concurrenten van elkaar." De kwestie van vertrouwen speelt een grote rol, naast weten wie ze bij elkaar moeten hebben voor de informering, legt zij uit.

Huijbregts vertelt dat deze samenwerking als vanzelf is ontstaan. "Het idee is lange tijd geleden op een borrel geopperd." Hij zegt dat er überhaupt al veel contact is tussen de Nederlandse internetproviders, maar dat dit echt een formele samenwerking is.

90% gedekt

De 14 samenwerkende isp's bestrijken volgens zowel de Opta als Govcert zo'n 90 procent van de Nederlandse markt. Volgens de Opta zijn er in totaal 36 isp's actief. Dat is voor de consumentenmarkt, waar dit initiatief op is gericht. Vandaar ook dat hostingbedrijven niet zijn meegenenomen in deze botnetbestrijding. "Dit is voor de onwetende consument", zegt Opta-woordvoerster Heijne.

Van de 36 isp's zijn nu aangesloten: Alice, Concepts ICT, Het Net, InterNLnet, KPN, Luna NL, Online, Solcon, Tele2, Telfort, UPC, Xenosite, XS4ALL en Ziggo. "Oorspronkelijk waren dat er 7", vertelt Heijne.

Geen dwang

De Opta heeft alle isp's, ook die van een en dezelfde eigenaar, een brief gestuurd waarin wordt gewezen op dit initiatief en aangedrongen wordt op medewerking. Formeel heeft de telecomwaakhond geen dwangmiddel om dat af te dwingen.

Update: Opta-woordvoerster Heijne vult aan: "Deze samenwerking van de isp's is wel degelijk een vervolg op de botnetaanpak waar Opta zich vorig jaar hard voor heeft gemaakt. We zijn heel blij dat de isp's dit voortvarend hebben aangepakt omdat we geen middelen hebben om dergelijke samenwerking af te dwingen."