Reuters: Amerika en Nederland werken cybersecurity tegen
Reuters meldde deze week dat de Amerikaanse overheid voor digitale oorlogsvoering op grote schaal gaten in software – exploits – inkoopt en dat dit grote gevolgen heeft voor de veiligheid van het land en haar onderdanen. Daar kan Nederland van leren, want door het hackvoorstel geldt hier een vergelijkbaar gevaar.
De kern van het probleem
Spionage tools en cyber-wapens maken gebruik van kwetsbaarheden in software programma’s, zogenoemde ‘exploits’. Met een exploit kan je inbreken in een computer of smartphone. Die exploits zijn een stuk minder bruikbaar voor oorlogsvoering, intelligence of opsporing als ze bekend zijn – want dan wordt het gat immers gedicht. Daarom houden overheden ze graag onder de pet.
Offensief = risico
Volgens Howard Schmidt en Richard Clarke, voormalige adviseurs op het gebied van cybersecurity van de Amerikaanse president, heeft dat gevaarlijke gevolgen. Bedrijven en burgers worden hierdoor immers minder goed beschermd. Want als de overheid exploits voor hen geheim houdt, blijven grote gaten in de software van iedereen bestaan.
Bovendien is het een beetje naïef om te denken dat jij als enige in de wereld kennis hebt van een bepaalde exploit, zegt Schmidt. Als je als overheid ervoor kiest om een exploit geheim te houden, dan moet je er ook op rekenen dat die exploit door anderen wordt gebruikt om jou aan te vallen.
Michael Hayden, voormalig hoofd van de Amerikaanse afluisterdienst NSA, sluit zich hierbij aan. Hij vraagt zich dan ook af of in Amerika de balans tussen offensieve en defensieve capaciteiten niet naar de verkeerde kant is doorgeslagen.
Defensief = betere cybersecurity
In Nederland zitten we met een soortgelijk probleem, want échte cybersecurity-maatregelen zijn hier afwezig. In plaats daarvan komt Opstelten met voorstellen die het Nederland juist ónveiliger maken, zoals zijn hackvoorstel – een offensieve maatregel. Exemplarisch, want juist in dat geval zal de Nederlandse overheid (nog meer) interesse krijgen in de handel van exploits…
Een lesje cybersecurity zoals hierboven zou Opstelten dus niet misstaan.