Kabinet maakt ons digitaal kwetsbaar in plaats van veiliger
- 08 november 2016
Het Nederlandse kabinet is in ieder geval over een ding helder: onbekende kwetsbaarheden in software mogen door de overheid achter de hand gehouden worden voor gebruik door de geheime diensten en de politie.
Het belang van digitale veiligheid
Deze notitie was langverwacht: de behandeling van het hackvoorstel is tijdelijk stilgelegd tot deze notitie af was. En terecht. Een groot deel van het hackvoorstel gaat over onze digitale veiligheid: we zijn gebaat bij een zo optimaal mogelijk digitale bescherming. De overheid moet daar vol op inzetten. Dat betekent dat gevonden kwetsbaarheden snel opgelost moeten worden. Dan zijn we veel minder vatbaar voor cybercriminelen, voor ransomware en identiteitsdiefstal. Daarnaast is het goed voor de economie: bedrijven worden hier ook door geraakt – een betere beveiliging voor bedrijven betekent minder economische schade. Veilige IT-systemen zorgen er ook voor dat de overheid gemakkelijker haar staatsgeheimen kan beschermen.
Het risico van onbekende kwetsbaarheden
Onbekende kwetsbaarheden kunnen een groot gevaar vormen voor onze digitale veiligheid. Dit zijn kwetsbaarheden die nog niet bekend zijn bij de maker van de software. Maar dat wil niet zeggen dat ze helemaal onbekend zijn, want ze zijn natuurlijk wel bekend bij de vinder. Maar zolang zulke kwetsbaarheden niet bekend zijn bij de maker van de software kan die laatste de kwetsbaarheid ook niet verhelpen. De gebruiker van die software is dan onnodig onveilig
En een bijkomend probleem: die kwetsbaarheid kan door iedereen met kennis gebruikt worden. Of misbruikt. Het is een illusie om te denken dat de wetenschap over zo’n kwetsbaarheid maar bij een enkele partij beschikbaar is. Dat betekent dat als de Nederlandse politie kennis over een onbekende kwetsbaarheid heeft, het zo kan zijn dat ook andere overheden en criminelen die kwetsbaarheden gebruiken. Als de Nederlandse politie haar kennis van zo’n onbekende kwetsbaarheid achter de hand houdt is zij dus medeverantwoordelijkheid voor de situatie waarin onschuldige burgers slachtoffer worden van criminelen die die kwetsbaarheid misbruiken.
Visie kabinet bestaat uit rookgordijnen
Het kabinet onderkent het belang van een goede digitale veiligheid. Maar, zegt het kabinet er gelijk bij, de geheime diensten en de politie moeten wel gebruik kunnen maken van onbekende kwetsbaarheden om apparaten te kunnen hacken. Dat betekent dus dat het kabinet het risico van een onveiligere digitale samenleving op de koop toeneemt. Wel zegt het kabinet dat er een goede afweging plaats moet vinden voor die kwetsbaarheden gebruikt mogen worden. Het kabinet werpt daarbij een aantal rookgordijnen op.
Ten eerste gaat de notitie vooral over onbekende kwetsbaarheden die door de politie of geheime diensten worden gevonden. Maar dat is natuurlijk maar een heel klein deel van het verhaal. Het is veel aannemelijker dat die onbekende kwetsbaarheden worden aangekocht, worden verkregen van (buitenlandse) overheidsdiensten of zitten in de overheidsmalware die de overheid aankoopt van bedrijven als HackingTeam. En daar gaat de notitie dan weer niet over.
Ten tweede gaat de notitie ook voornamelijk over onbekende kwetsbaarheden die gebruikt worden om op afstand te hacken. De notitie spreekt over de hackende geheime diensten en het hackvoorstel, waarmee de politie op afstand zou mogen hacken. Dat zegt niets over het hacken van inbeslaggenomen apparaten, zoals het NFI bijvoorbeeld doet.
Ten derde is de afweging of kwetsbaarheden gebruikt mogen worden buitengewoon mistig geformuleerd. Er wordt gesteld dat het gebruiken (en dus het niet melden) van de onbekende kwetsbaarheid een uitzondering is. Maar, die uitzonderingen zijn wel buitengewoon vaag. Zowel voor de geheime diensten als voor de politie. “Het uitstellen van het delen van informatie over aangetroffen onbekende kwetsbaarheden in wijdverbreide en regulier gebruikte hardware of software ligt niet in de rede”, maar dat is daarmee ook niet uitgesloten. Ook afwegingen waar de politie rekening mee moet houden als ze die kwetsbaarheden in wil zetten zijn vaag, maar ook nog eens slechts voorbeelden. Dat betekent dat het voor de burger (maar ook Tweede Kamerlid) onmogelijk is om precies in te schatten wanneer onze overheid onbekende kwetsbaarheden kan gebruiken.
Ten vierde wordt aangegeven dat er veel toezicht op het gebruik van die kwetsbaarheden zal zijn. Bij de geheime diensten zal toezichthouder CTIVD een rol spelen en voor de politie geldt dat het Openbaar Ministerie (OM) die afweging zal maken. Het probleem is natuurlijk dat de CTIVD altijd achteraf kijkt en dus niet betrokken is bij de vraag of een zwakheid gemeld mag worden. En voor het OM geldt dat zij een belang hebben bij de opsporing – en zullen dus een andere grondhouding hebben ten aanzien van de inzet van dit soort kwetsbaarheden dan een partij die niet belast is met de opsporing van strafbare feiten.
Kabinet wil digitale veiligheid opofferen
Er blijven dus twee dingen hangen na het lezen van de notitie: Het kabinet wil dat onbekende kwetsbaarheden gebruikt mogen worden, maar hoe, wanneer en onder welke voorwaarden blijft vaag. Daar schiet onze digitale infrastructuur dus niets mee op. Sterker nog: het feit dat het kabinet die onbekende kwetsbaarheden wil gebruiken laat zien dat het kabinet bereid is om digitale veiligheid op te offeren.
Wij vinden dat het kabinet juist alles er aan moet doen om onze digitale systemen zo veilig als mogelijk te maken. Dat het kabinet dat soms ook goed doet is duidelijk: zij stelde eerder dit jaar helder dat encryptie te belangrijk is om te verzwakken. Een soortgelijk standpunt zou hier ook passen: alle onbekende kwetsbaarheden worden direct gemeld bij de fabrikant en de politie mag veel, maar niet computers hacken via het internet.