Partijen in de Tweede Kamer zijn verdeeld over hoe de overheid met zerodaylekken in hard- en software moet omgaan, zo blijkt uit een debat dat deze week werd gevoerd. Het debat ging over een initiatiefwetsvoorstel van D66-Kamerlid Kees Verhoeven. Dat voorstel moet een afwegingsproces creëren voor de omgang met zerodaylekken, kwetsbaarheden waarvan de ontwikkelaar niet op de hoogte is.
Wat is een Zero Day
Er zijn verschillende definities van een zero-daykwetsbaarheid. Meestal gaat het om een lek in de software die nog niet bij het moederbedrijf bekend is, maar wel bij hackers of anderen die er misbruik van willen maken. Sommigen gebruiken de term ook om te verwijzen naar een kwetsbaarheid die wel publiek bekend is, maar nog niet gedicht. Zero-daykwetsbaarheden kunnen soms jarenlang verborgen zijn. Zo dichtten de makers van comprimeerprogramma WinRAR begin dit jaar nog een lek dat inmiddels negentien jaar oud is. Meer informatie over zerodays?
Nieuw orgaan
Zo wordt er een orgaan opgericht dat voor de hele overheid beslissingen moet nemen hoe er met deze kwetsbaarheden wordt omgegaan. Dit orgaan bestaat uit onder andere de AIVD, MIVD, Politie, Openbaar Ministerie, NCSC, Autoriteit Persoonsgegevens, FIOD en de ministeries van Defensie, Infrastructuur en Economische Zaken, en kan diensten verplichten om zerodaylekken te melden, ook al is de betreffende dienst het daar niet mee eens.
Zerodaylekken melden of openhouden
De inlichtingendiensten hebben al intern beleid opgesteld dat beschrijft hoe er met zerodaylekken moet worden omgegaan. Het uitgangspunt van dit beleid is dat de kwetsbaarheden bij de leverancier worden gemeld, tenzij er beweegredenen zijn om dit niet te doen. Bij de politie neemt de rechter-commissaris de beslissing of een zeroday opengehouden mag worden, terwijl bij Defensie het proces helemaal afwezig is.
"Volgens mij is in ieder geval belangrijk om hier te constateren dat de huidige manier waarop de hele overheid omgaat met zerodays, niet goed is. De inlichtingendiensten zijn redelijk op weg, maar ook daar kan het beter. Bij politie en Defensie is het gewoon niet goed geregeld", zo liet D66-Kamerlid Van Meenen tijdens het debat weten.
GroenLinks-Kamerlid Buitenweg noemde zerodaylekken potentieel enorme risico's die tot grote maatschappelijke ontwrichting kunnen leiden als ze door de verkeerde partij worden gebruikt. "Wat GroenLinks betreft moet de keuze om een zeroday niet te openbaren echt alleen in uitzonderlijke gevallen worden gemaakt", aldus Buitenweg.
CDA en VVD lieten bij monde van VVD-Kamerlid Middendorp weten dat zerodays in principe gemeld moeten worden, maar dat het voor de nationale veiligheid nodig kan zijn om dit niet te doen. "De vraag wat er moet gebeuren als er een nieuwe zero-daykwetsbaarheid ontdekt wordt, is dus een zeer terechte van de initiatiefnemer. Voor de VVD staat bij het beantwoorden van die vraag voorop dat als dat vanuit nationale veiligheid nodig is, de opsporingsdiensten, AIVD en MIVD binnen hun mandaat moeten kunnen blijven hacken", liet Middendorp weten.
Ook hekelden CDA en VVD de omvang van het op te richten orgaan dat de zerodaylekken moet afwegen. De inlichtingendiensten werken vaak met gecompartimenteerde informatie, die volgens Middendorp niet afgewogen kan worden in een breed afwegingsorgaan, tenzij daar heel grote investeringen voor worden gedaan om risico's voor de geheimhouding te voorkomen.
Het afwegingsorgaan
Als laatste hadden de twee partijen kritiek dat het afwegingsorgaan een inlichtingendienst kan verplichten om een zeroday te melden, terwijl deze dienst het daar niet mee eens is. "Dat mag volgens de VVD-fractie niet de uitkomst zijn. Is de initiatiefnemer het met mij eens dat inlichtingendiensten binnen hun mandaat efficiënt moeten kunnen blijven handelen om cyberdreigingen tegen te gaan en te voorkomen?", stelde Middendorp aan Verhoeven de vraag.
Afsluitend kwam SP-Kamerlid Van Raak aan het woord. Hij stelde de vraag of zerodaylekken wel moeten worden toegestaan. "Als wij weten dat ergens een kwetsbaarheid zit die gebruikt kan worden voor spionage, voor hacken, voor afluisteren, wat is dan de taak van de overheid? In principe zou ik zeggen: die gaten dichten. Want ik weet zeker dat als wij die kwetsbaarheid kunnen gebruiken om te spioneren, anderen dat ook kunnen. Als wij dat kunnen, dan kan de NSA dat nog beter en kunnen de Chinezen dat nog beter. En misschien kan de maffia dat dan ook nog wel beter. Dus waarom laten wij dat soort kwetsbaarheden eigenlijk bestaan?", merkte het Kamerlid op.
Van Raak ging echter snel over op kwetsbaarheden die bewust zijn toegevoegd. "Er zitten heel veel kwetsbaarheden in software, en die zitten er niet allemaal per ongeluk in, maar het is ook expres gedaan", stelde het SP-Kamerlid. Het gaat dan onder andere om de 'hacksoftware' die door overheidsdiensten wordt ingekocht. "Als onze AIVD, de MIVD, de politie, het leger, de FIOD, als iedereen die hackspullen koopt in China, in de Verenigde Staten, in Israël, hoe groot is dan de kans dat daar kwetsbaarheden in zitten zodat er gespioneerd wordt?", stelde Van Raak de vraag, die minister Ollongren van Binnenlandse Zaken om een reactie vroeg en tegelijkertijd de suggestie deed om dergelijke software voortaan zelf te gaan ontwikkelen.
Het debat wordt op een ander moment voortgezet, waarbij Verhoeven en verschillende ministers hun reactie zullen geven. Afgelopen maandag liet de Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD) nog weten dat het toezicht wil gaan houden op de zerodaylekken waarover de AIVD en MIVD beschikken en dat hiervoor geen apart orgaan moeten worden opgericht.
Bron: tweedekamer / Schrijver: security