Is een .be domeinnaam veilig genoeg
When business meets politics…
Als bedrijfsleider van een internet hosting bedrijf ben ik elke dag bezig met zaken zoals .be-domeinnamen. Ik zit trouwens ook als bestuurslid bij de vzw ISPA en in het agentencommittée van DNS.be. Zo ben ik dus langs heel wat kanten betrokken bij het belang van goed werkende .be-domeinnamen.
Daarom sprak ik een tijd geleden mijn vriend Peter Dedecker aan, die sinds 13 juni verkozen is als N-VA volksvertegenwoordiger. Peter is van opleiding ingenieur en ICT’er, en dus ook politicus, en wist mijn bezorgdheid snel te begrijpen.
Ons Belgisch registratiesysteem werkt goed: efficiënt én zonder veel kosten. Super toch?
Enig nadeel: net daardoor waren onze .be-domeinen heel geliefd bij spammers en phisers. Voor weinig geld volledig automatisch een domeinnaam registreren die dan ook nog eens zonder papierwinkel direct operationeel is: zalig toch als je snel een miljoen emails de deur wil uitjagen op een onbestaand adres of beter gezegd een even bestaand adres zodat de spamfilters het herkennen als een echt domein.
Een .be-domeinnaam begon dan ook internationaal een slechte weerklank te vinden en tijd om aan de alarmbel te rinkelen; ook bij de bevoegde minister want via het BIPT heeft de overheid ook een vinger aan de pols bij DNS.be.
Peter stelde daarom de volgende vraag aan de minister:
Mijnheer de voorzitter, mijnheer de minister, ik heb een vraag over het Belgische
.be-domein, beheerd door de vzw dns.be. Die vzw doet dat heel goed. Door een doorgedreven graad van
automatisering en een hoge performantie kon men de kosten voor het beheer sterk drukken. De organisatie
laat haar klanten mee genieten van deze lage kosten voor de registratie van een .be domeinnaam.
Dit is uitermate voordelig voor de consument, maar dit alles heeft echter ook een nadeel. Door de lage
prijzen, de snelle procedures en het gebrek aan voorwaarden voor registratie alsook identiteitscontrole, is het
.be-domein heel aantrekkelijk geworden voor spammers, phishers en andere mensen met minder goede
bedoelingen. Zij registeren en gebruiken .be-domeinen als tijdelijk domein, tot ze genoeg ongure zaken
hebben uitgevoerd of de grond onder hun voeten te heet wordt.
Door deze praktijken staat het .be-domein internationaal gekend als spam- en phishingdomein. Zo prijkte ons
land en haar topleveldomein in de Global Phishing Survey van de APWG van mei 2010 op een niet
benijdenswaardige vierde plaats, voorafgegaan door Thailand, Korea en Ierland en gevolgd door Roemenië
en Maleisië.
Hierdoor aanzien spam- en andere filters berichten afkomstig van een .be-domeinnaam sneller als
ongewenst of zelfs gevaarlijk. U begrijpt dat dit geen goede zaak is voor onze bedrijven of andere bezitters
van een .be-domeinnaam.
Mijnheer de minister, bent u op de hoogte van deze problematiek? Welke oorzaken ziet u nog naast de lage
prijs, snelle procedures en een vlotte toegang? Welke oplossingen ziet u hiervoor en welke?
Legt de Belgische overheid voorwaarden op waaraan moet worden voldaan zodat een burger of een bedrijf
een .be-domein kan aankopen, beheerd door dns.be? Of legt de overheid aan dns.be expliciet op dat er geen
voorwaarden inzake toegang of identiteitscontrole mogen worden opgelegd?
Zijn er in de beheersovereenkomst met dns.be afspraken gemaakt met betrekking tot een zekere
kwaliteitswaarborg of kwaliteitsmetingen voor het .be topleveldomein inzake spam en phishing rankings?
Het antwoord van minister Vincent Van Quickenborne :
Mijnheer de voorzitter, collega, ik ben in de eerste plaats verheugd dat
u toegeeft dat de organisatie van dns.be dat op een goede manier doet: zeer efficiënt en aan voordelige
prijzen. Het is een model voor vele andere landen.
Het rapport waar u naar verwijst dateert van mei 2010, maar ondertussen is er een recenter rapport dat
gepubliceerd is in oktober 2010. Daaruit blijkt dat het .be-domein betere scores krijgt en niet meer
opgenomen is in de top 10 van de slechtst presterende landen. Het rapport waarover ik het heb is het meest
recente rapport van APWG.
Het oude rapport van mei vermeldt de oorzaak van de slechte positie toen, namelijk de activiteiten van de
zogenaamde ‘Avalanche-group’. Dat is een criminele groepering die via allerhande technieken het internet
probeert te exploiteren voor malafide praktijken. De meest geautomatiseerden hadden het meeste last van
deze praktijken.
Uit het meest recente rapport van oktober blijkt dat er geen specifieke problemen meer zijn inzake phishing,
en dat komt omdat onder meer DNS midden 2010 zelf specifieke procedures heeft ingevoerd om dat soort
praktijken tegen te gaan. Uit het feit dat de activiteiten van de Avalanche-group niet meer worden
waargenomen in het .be-domein, blijkt dat het werkt.
Wat betreft uw vierde vraag, is het in eerste instantie DNS zelf die de regels voor het registratiebeleid
vastlegt. Deze gegevens zijn, net zoals de meeste TLD’ s in de wereld, heel open. Samengevat komt dit neer
op het first come first served-principe en respect voor de rechten van derden. Ervaring uit het verleden heeft
aangetoond dat het opleggen van beperkende toegangsvoorwaarden averechts werkt en heeft geleid tot veel
rompslomp, hoge tarieven en frustraties. Het zou er bovendien enkel toe leiden dat burgers minder vaak voor
het domein zouden kiezen. Op lange termijn zou dit ongunstig zijn voor de groei van het internet.
Er is geen beheersovereenkomst afgesloten tussen de Belgische overheid en dns.be. Oorspronkelijk werd
het beheer waargenomen door het departement computerwetenschappen van de KULeuven. In 2000 werd
de opdracht toevertrouwd aan een hiervoor specifiek gecreëerde vzw, namelijk dns.be. De overdracht werd
begeleid en onderschreven door BIPT, de Belgische telecomregulator. Bij de oprichting van de vzw werden
eveneens vertegenwoordigers van BIPT en van de FOD Economie aan de raad van bestuur toegevoegd. Op
die manier zorgen we mee voor inspraak in het beheer van het domein.
Algemeen staat het bekend als een efficiënte organisatie. De raad van bestuur heeft onlangs beslist om in
2011 nog meer toe te zien op de kwaliteit en de veiligheid van het domein en ik vertrouw er dan ook op dat
de scores in de rapporten voor het .be-domein in de toekomst in de zelfde lijn zullen liggen van het meest
recente rapport.
Ten slotte, in het raam van de omzetting naar het Belgisch recht van het telecompakket is voorzien dat het
BIPT regelmatig een kopie krijgt. Op die manier zal de regulator in geval van resten en ernstige problemen
de controle desgevallend en in uiterste nood over de domeinnamen kunnen overnemen.
Peter