Kwetsbaarheden

Wat staat er in de nieuwe wet?

De AIVD en MIVD mogen volgens de nieuwe wet niet alleen apparaten van een doelwit hacken maar ook de apparaten van derden. ‘Derden’ zijn alle andere personen en organisaties die geen doelwit van de diensten zijn maar een ‘technisch gerelateerde partij’. Dat zijn dus alle partijen waarbij de geheime diensten via een technische link bij het doelwit kunnen uitkomen. Het gaat daarbij niet alleen om partijen die bijvoorbeeld netwerken aansluiten of technische diensten leveren, maar ook om familieleden, vrienden of andere personen die bijvoorbeeld op hetzelfde netwerk aangesloten zijn als een doelwit.

Voordat de diensten mogen hacken, hebben ze toestemming nodig van de minister van Binnenlandse Zaken (AIVD) of Defensie (MIVD) en dient de nieuwe toetsingscommissie (TIB) de toestemming van de minister vooraf goed te keuren, tenzij het een spoedgeval betreft. De minister kan toestemming geven voor een periode van drie maanden, maar kan dat ook steeds weer verlengen.

Voor het hacken van apparaten maken de geheime diensten gebruik van kwetsbaarheden in hardware en software. Regelmatig zijn deze kwetsbaarheden nog niet bij de leverancier van de hardware of software bekend. De leverancier of andere partijen hebben dan nog niet de kans gehad om de kwetsbaarheid te repareren via een update, patch of nieuwe versie. Dit worden ‘onbekende kwetsbaarheden’ (zero-day vulnerabilities) genoemd.

De wet zelf bepaalt niets over het gebruik van onbekende kwetsbaarheden. Volgens de toelichting bij de wet mogen de geheime diensten deze wel verzamelen en gebruiken en zijn ze niet wettelijk verplicht deze direct te melden bij de betrokken partijen en/of het Nationaal Cyber Security Centrum (NCSC). Volgens de toelichting kunnen er “wettelijke argumenten (zoals het beschermen van bronnen of actueel kennisniveau) of operationele redenen zijn” om kennis over onbekende kwetsbaarheden achter te houden.

Onlangs oordeelde de toezichthouder op de geheime diensten (CTIVD) dat er bij de geheime diensten tekortkomingen bestaan in de omgang met onbekende kwetsbaarheden. De werkwijze en relevante afwegingen voor het al dan niet melden bleken niet te zijn uitgewerkt en vastgelegd. Ook constateerde de toezichthouder dat de verslaglegging onvoldoende was. Dit maakte interne controle en extern toezicht niet goed mogelijk. Het vorige kabinet heeft toegezegd maatregelen te nemen om deze tekortkomingen in de toekomst te voorkomen. Het is nog niet bekend of deze maatregelen genomen zijn en waaruit deze maatregelen bestaan.

Onbekende kwetsbaarheden kunnen tot heel veel maatschappelijke en persoonlijke schade leiden. De kwetsbaarheid in een mobiele telefoon van een terreurverdachte is ook een kwetsbaarheid in de mobiele telefoon van elke andere gebruiker. Deze kwetsbaarheden kunnen bovendien niet alleen door de Nederlandse geheime diensten maar óók door buitenlandse diensten, criminelen en andere kwaadwillenden misbruikt worden. Dat al die partijen geïnteresseerd zijn in onbekende kwetsbaarheden blijkt uit de flinke bedragen die hiervoor betaald worden op de zwarte markt.

Het is dan ook van groot belang dat alle ontdekte kwetsbaarheden zo snel mogelijk gerepareerd worden. Het achterhouden van kwetsbaarheden maakt dit onmogelijk en maakt onze digitale infrastructuur onveiliger. Waartoe dit achterhouden van kwetsbaarheden kan leiden, werd het afgelopen jaar wel duidelijk. De wereldwijde gevolgen van de twee virussen WannaCry en NotPetya geven een idee hoe snel het fout kan gaan. Beide virussen waren gebaseerd op onbekende kwetsbaarheden die al geruime tijd bekend waren bij de Amerikaanse geheime dienst NSA. Maar door het geheim houden van deze onbekende kwetsbaarheden, liepen alle gebruikers van deze kwetsbare software het risico dat iemand met kwade intenties deze kwetsbaarheid ook zou ontdekken en misbruiken. Dat is dus ook gebeurd en zou een goede wake up call moeten zijn.

Bronnen