D66: strengere regels voor overheidsgebruik softwarelekken
Terughacken

D66: strengere regels voor overheidsgebruik softwarelekken

20-12-2018 08:27 Laatste update: 16:32
Author profile picture

Floris Poort

Redacteur

D66 pleit voor strengere regels voor het gebruik van zogenoemde zero-day-lekken door overheidshackers.

De overheid mag volgens onder meer de wet Computercriminaliteit III gebruik maken van nog niet bekende lekken in software. In geval van ernstige misdaden mag de overheid zulke zogenoemde zero-day-lekken eerst gebruiken om criminelen op te pakken, om ze daarna pas bij softwarebedrijven te melden.

Maar rond het gebruik van zero-day-lekken zijn geen duidelijke regels, en dergelijke lekken kunnen voor politie en AIVD waardevol genoeg zijn om ze langer te willen gebruiken. Dat wil D66-Kamerlid Kees Verhoeven veranderen. Hij pleit donderdag met een initiatiefwet in de Tweede Kamer voor een onafhankelijke commissie, meldt de NOS.

Zo'n commissie moet meekijken als de overheid lekken gebruikt en beoordelen of het te verantwoorden is die lekken bewust nog niet te melden. "Nu beslissen ze daar zelf over, buiten het zicht van het parlement en de bevolking", zegt Verhoeven. "We willen voorkomen dat dit soort bugs te pas en te onpas worden ingezet."

'Lekken verplicht melden'

Verhoeven wil de commissie opstellen uit relevante organisaties, zoals het ministerie van Justitie en Veiligheid, het Nationaal Cyber Security Centrum en de Autoriteit Persoonsgegevens. "[De commissie] kan dan afwegen hoelang de kwetsbaarheid mag worden gebruikt om in te breken. Dat kan per keer verschillen", zegt Verhoeven. "Je moet dit heel goed afwegen: het belang van opsporing tegen de economische schade en privacy van internetgebruikers."

Ook wil Verhoeven dat overheden de lekken uiteindelijk altijd moeten melden bij softwaremakers. Anders zouden normale gebruikers bewust kwetsbaar worden gehouden, iets waar hackers of buitenlandse inlichtingendiensten weer misbruik van kunnen maken.

Bovendien wil Verhoeven dat overheidsdiensten geen commerciële hacktools gebruiken, ontwikkeld door bedrijven die zelf zero-day-lekken bezitten en die vaak voor veel geld beschikbaar stellen. "Je weet niet wat voor trucs die bedrijven uithalen om te kunnen inbreken", aldus Verheven. "Dat mag niet meer tot de mogelijkheden behoren."

Eerste land ter wereld met zo'n wet

De AIVD zegt tegenover de NOS dat het zelf intern altijd per situatie afweegt welke middelen het inzet. Als de nationale veiligheid in gevaar is, kan de AIVD besluiten om een lek niet te melden bij de softwaremaker. Het ministerie van Defensie, dat namens de MIVD hackoperaties uitvoert, zegt het voorstel te bestuderen.

Toch vindt Verhoeven het belangrijk dat er een overkoepelende wet of een controlerende instantie komt, om misbruik te voorkomen. Als de wet er komt, is Nederland volgens Verhoeven het eerste land ter wereld waar het gebruik van zero-day-bugs door overheidsdiensten in de wet is opgenomen.