Een lezer vroeg me:

Al een tijdje wordt in België het Belgian Anti Phishing Shield (BAPS) gebruikt. Als het Cyber Security Belgium (CCB) oordeelt dat een site een phishingsite is, maken de grote internetproviders een DNS-omleiding zodat je bij een waarschuwingspagina uitkomt. Mag dat eigenlijk wel van de Europese regels of moet dit op basis van voorafgaande toestemming?

Het BAPS is al wat jaartjes actief. Bij het CCB lees ik dat men al in 2022 “ongeveer 25 waarschuwingen naar internetgebruikers per minuut” afgaf. Haar directeur, Miguel De Bruycker, kreeg er zelfs een prijs voor.

Inbreken in internetverkeer moet in Europa binnen de regels van de Open Internet Verordening (2015/531) gerechtvaardigd worden. Hoofdregel hierbij is dat alle internetverkeer gelijk wordt behandeld en je overal bij moet kunnen. Uitzonderingen zijn alleen mogelijk als het gaat om “redelijke verkeersbeheersmaatregelen” of de expliciet genoemde gevallen van

  1. wettelijk verplichte (inclusief door rechters of toezichthouders opgelegde) blokkades of beperkingen
  2. noodzakelijke blokkades om “de integriteit en de veiligheid van het netwerk, van de diensten die via dit netwerk worden aangeboden en van de eindapparatuur van de eindgebruikers te beschermen”
  3. ingrepen om “nakende netwerkcongestie te voorkomen en de effecten van uitzonderlijke of tijdelijke netwerkcongestie te beperken, op voorwaarde dat gelijkwaardige soorten verkeer gelijk worden behandeld”.

Het CCB is geen rechter of toezichthouder, dus (a) gaat niet op. Punt (c) is niet aan de orde, dus moet de maatregel noodzakelijk zijn om eindgebruikers (de mens die in de phish dreigt te trappen) te beschermen.

Uit het beleidsdocument haal ik dat het CCB deze constructie heeft opgetuigd omdat externe partijen zoals Microsoft en Google niet altijd even snel hun lijsten bijwerken als er een Belgische phishingsite wordt gemeld. Extensies zoals SmartScreen helpen dus te weinig.

Dat is een duidelijke motivatie richting noodzaak, want veel phishingtrucs zijn gebouwd om snel resultaat te krijgen. De figuren daarachter weten dat autoriteiten (en de hostingbedrijven waar ze zitten) binnen een paar dagen wel ingrijpen, dus dat is het window waarbinnen men moet opereren. De BAPS maatregel kan binnen bij wijze van een uur genomen zijn.

Natuurlijk kan een site als vals positief op de lijst komen, terwijl geen sprake is van phishing. Maar zo’n vermelding gebeurt dankzij het oudere project BePhish waar het publiek links rapporteert. Dat maakt de kans voor mij klein dat sites valselijk vermeld worden. Ik zie dus niet meteen een reden waarom deze dienst in strijd met Europees recht zou zijn.

Arnoud