Tweede Kamer twijfelt of politie ongehinderd beveiligingslekken moet kunnen kopen
In het kort
- Inlichtingendiensten gebruiken soms onbekende beveiligingslekken om bijvoorbeeld criminelen te kunnen hacken.
- Maar dezelfde onbekende lekken kunnen ook grote maatschappelijke gevolgen hebben.
- Dinsdag stemt te de Tweede Kamer of inlichtingendiensten zich aan extra regels moeten gaan houden.
Politie en Defensie mogen binnenkort misschien niet meer onbekende beveiligingslekken blijven gebruiken om bijvoorbeeld criminelen te hacken. De Tweede Kamer stemt dinsdag of overheidsdiensten verplicht moeten gaan toetsen op ongewenste neveneffecten. Een beveiligingslek kan ook anderen in gevaar brengen.
Overheden maken nu geregeld gebruik van zogenoemde zero days. Dat zijn programmeerfoutjes en andere lekken in software die nog niet bekend zijn bij de softwarebouwer, en waarvoor dus ook geen update bestaat die het lek dicht. IT-specialisten van politie en defensie gebruiken dergelijke programmeerfoutjes van tijd tot tijd om een computer binnen te dringen. Zo kunnen ze bijvoorbeeld informatie over een ophanden zijnde terroristische aanslag verzamelen of de gangen van een crimineel bekijken.
Kerncentrale plat
Brede afweging
Informatie op straat
Groot lek in Windows
Ralph Moonen, chief technical officer van het cyberveiligheidsbedrijf Secura, vindt dat de overheid überhaupt geen zero days zou moeten gebruiken. Volgens de cyberdeskundige is het ook op andere manieren mogelijk om gericht te hacken, zonder dat ook anderen daardoor gevaar lopen.
Pas geleden ontdekte zijn bedrijf een groot beveiligingslek in Windows. Door een foutje was het op bedrijfsnetwerken tot voor kort mogelijk om via een trucje toegang te krijgen tot de server die controleert of ingevulde wachtwoorden op een bedrijfsnetwerk juist zijn.
Beveiligingslek voor veel geld verkopen? 'Geen probleem', zegt minister Grapperhaus
Tijdens het debat over het gebruik van beveiligingslekken door inlichtingendiensten eind september kwam ook een ander onderwerp ter sprake. 'Mogen burgers die een kwetsbaarheid ontdekken die eigenlijk verkopen?', vroeg Kathalijne Buitenweg van GroenLinks zich af.
Het antwoord van minister Ferd Grapperhaus (Justitie en Veiligheid) even later was een helder 'ja'. Volgens de minister is het voor een digitale samenleving belangrijk dat kennis over kwetsbaarheden kan worden opgedaan en daar hoort ook bij dat dergelijke kennis verkocht kan worden. Bedrijven die software exporteren die zulke kwetsbaarheden benut, zijn wel aan exportcontrole onderhevig, voegde hij daar aan toe.
Buitenweg vindt dat antwoord onbegrijpelijk en maakt een vergelijking: 'Stel dat ik weet dat bij Truusje altijd de achterdeur openstaat en dat ik die informatie aan iemand ga verkopen. Dan denk ik niet dat dat mag.'
Maar Grapperhaus blijft bij zijn punt: 'Het opdoen van kennis over kwetsbaarheden — ik heb het al eerder gezegd — is niet verboden in Nederland. Dat is het uitgangspunt.'