De Week

Dijkhoff: digitale lekken zo snel mogelijk dichten

Massale weerstand tegen massaal sleepnet
DOSSIER / Versleuteling

Wat moet je doen als je een kwetsbaarheid in een computersysteem hebt gevonden? De regering gaf begin deze zomer een antwoord waarmee je alle kanten op kon. Nu zegt de staatssecretaris van Veiligheid en Justitie: om onze digitale infrastructuur en communicatie optimaal te beschermen moeten kwetsbaarheden zo snel mogelijk gedicht worden. Helder. Glashelder.

Voor een optimale bescherming van onze digitale infrastructuur en communicatie is het essentieel dat gevonden kwetsbaarheden zo snel mogelijk op verantwoorde wijze openbaar en gedicht worden. De overheid zou dus zich ver moeten houden van zogenaamde ‘zero days’: kwetsbaarheden die geheim worden gehouden zodat die later door de politie of geheime diensten gebruikt kunnen worden om in te breken op computersystemen.

In het verleden is het kabinet niet altijd helder geweest over het beleid dat zij op dat punt hanteerde. Zo schreef de minister van Binnenlandse Zaken een paar maanden geleden aan de Tweede Kamer:

“Indien [geheime diensten] stuiten op significante kwetsbaarheden […], dan zullen belangendragers geïnformeerd worden. […] Er kunnen echter wettelijke bepalingen (…) of operationele redenen zijn, die openbaarmaking van kwetsbaarheden (tijdelijk) in de weg staan.”

Maar wat die operationele redenen precies omvatten, is nooit duidelijk geworden. Bedoelde de minister daarmee dat onze geheime diensten soms kwetsbaarheden niet openbaar maken, omdat die zo’n kwetsbaarheid eerst voor eigen gebruik willen uitbuiten?

Gelukkig lijkt de staatssecretaris van Veiligheid en Justitie het wel met ons eens te zijn. Op vragen uit de Tweede Kamer over de kwetsbaarheden in onze digitale infrastructuur antwoordt Dijkhoff:

“Ik deel de mening dat cybersecurity het meest gebaat is bij het dichten van ontdekte kwetsbaarheden. Ter versterking van de digitale veiligheid van Nederland en het beperken van de criminaliteit stimuleert de Nederlandse overheid het melden van kwetsbaarheden, onder meer met het beleid voor responsible disclosure. Dit beleid stimuleert het op verantwoorde wijze en actief openbaar maken van kwetsbaarheden door overheid, bedrijfsleven, beveiligingsonderzoekers en ethische hackers en het samen werken aan het verhelpen van deze kwetsbaarheden.”

Dat zijn heldere woorden van staatssecretaris Dijkhoff, glashelder. Daarbij noemt de staatssecretaris expliciet ook de overheid als partij die kwetsbaarheden ‘op verantwoorde wijze en actief openbaar’ maakt.

Dat schept vertrouwen. Toch knaagt het nog altijd: wat zouden die operationele redenen zijn die Plasterk noemde en die openbaarmaking van kwetsbaarheden in de weg zouden kunnen staan . Wat denk jij?

  1. Martin

    Wat is ‘op verantwoorde wijze’? Dat kan ik ook uitleggen als ‘het is pas verantwoord als de overheid er zelf voldoende profijt van gehad heeft’.

    • Rejo Zenger

      Je hebt natuurlijk helemaal gelijk dat je ook die zinsnede op een andere manier zou kunnen uitleggen. Scherp! Toch denk ik dat met de eerste geciteerde zin (“Ik deel de mening dat cybersecurity het meest gebaat is bij het dichten van ontdekte kwetsbaarheden.”) het uitgangspunt helder is.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.