Big Brother Awards 2016: Wat staat je te wachten?

Kabinet maakt ons digitaal kwetsbaar in plaats van veiliger

Gemeente Rotterdam, Klaas Dijkhoff en Verbond van Verzekeraars kandidaten Big Brother Awards Expertprijs
DOSSIER / Hackwet voor de politie

Het Nederlandse kabinet is in ieder geval over een ding helder: onbekende kwetsbaarheden in software mogen door de overheid achter de hand gehouden worden voor gebruik door de geheime diensten en de politie.

Het belang van digitale veiligheid
Deze notitie was langverwacht: de behandeling van het hackvoorstel is tijdelijk stilgelegd tot deze notitie af was. En terecht. Een groot deel van het hackvoorstel gaat over onze digitale veiligheid: we zijn gebaat bij een zo optimaal mogelijk digitale bescherming. De overheid moet daar vol op inzetten. Dat betekent dat gevonden kwetsbaarheden snel opgelost moeten worden. Dan zijn we veel minder vatbaar voor cybercriminelen, voor ransomware en identiteitsdiefstal. Daarnaast is het goed voor de economie: bedrijven worden hier ook door geraakt – een betere beveiliging voor bedrijven betekent minder economische schade. Veilige IT-systemen zorgen er ook voor dat de overheid gemakkelijker haar staatsgeheimen kan beschermen.

Het risico van onbekende kwetsbaarheden
Onbekende kwetsbaarheden kunnen een groot gevaar vormen voor onze digitale veiligheid. Dit zijn kwetsbaarheden die nog niet bekend zijn bij de maker van de software. Maar dat wil niet zeggen dat ze helemaal onbekend zijn, want ze zijn natuurlijk wel bekend bij de vinder. Maar zolang zulke kwetsbaarheden niet bekend zijn bij de maker van de software kan die laatste de kwetsbaarheid ook niet verhelpen. De gebruiker van die software is dan onnodig onveilig

En een bijkomend probleem: die kwetsbaarheid kan door iedereen met kennis gebruikt worden. Of misbruikt. Het is een illusie om te denken dat de wetenschap over zo’n kwetsbaarheid maar bij een enkele partij beschikbaar is. Dat betekent dat als de Nederlandse politie kennis over een onbekende kwetsbaarheid heeft, het zo kan zijn dat ook andere overheden en criminelen die kwetsbaarheden gebruiken. Als de Nederlandse politie haar kennis van zo’n onbekende kwetsbaarheid achter de hand houdt is zij dus medeverantwoordelijkheid voor de situatie waarin onschuldige burgers slachtoffer worden van criminelen die die kwetsbaarheid misbruiken.

Visie kabinet bestaat uit rookgordijnen
Het kabinet onderkent het belang van een goede digitale veiligheid. Maar, zegt het kabinet er gelijk bij, de geheime diensten en de politie moeten wel gebruik kunnen maken van onbekende kwetsbaarheden om apparaten te kunnen hacken. Dat betekent dus dat het kabinet het risico van een onveiligere digitale samenleving op de koop toeneemt. Wel zegt het kabinet dat er een goede afweging plaats moet vinden voor die kwetsbaarheden gebruikt mogen worden. Het kabinet werpt daarbij een aantal rookgordijnen op.

Ten eerste gaat de notitie vooral over onbekende kwetsbaarheden die door de politie of geheime diensten worden gevonden. Maar dat is natuurlijk maar een heel klein deel van het verhaal. Het is veel aannemelijker dat die onbekende kwetsbaarheden worden aangekocht, worden verkregen van (buitenlandse) overheidsdiensten of zitten in de overheidsmalware die de overheid aankoopt van bedrijven als HackingTeam. En daar gaat de notitie dan weer niet over.

Ten tweede gaat de notitie ook voornamelijk over onbekende kwetsbaarheden die gebruikt worden om op afstand te hacken. De notitie spreekt over de hackende geheime diensten en het hackvoorstel, waarmee de politie op afstand zou mogen hacken. Dat zegt niets over het hacken van inbeslaggenomen apparaten, zoals het NFI bijvoorbeeld doet.

Ten derde is de afweging of kwetsbaarheden gebruikt mogen worden buitengewoon mistig geformuleerd. Er wordt gesteld dat het gebruiken (en dus het niet melden) van de onbekende kwetsbaarheid een uitzondering is. Maar, die uitzonderingen zijn wel buitengewoon vaag. Zowel voor de geheime diensten als voor de politie. “Het uitstellen van het delen van informatie over aangetroffen onbekende kwetsbaarheden in wijdverbreide en regulier gebruikte hardware of software ligt niet in de rede”, maar dat is daarmee ook niet uitgesloten. Ook afwegingen waar de politie rekening mee moet houden als ze die kwetsbaarheden in wil zetten zijn vaag, maar ook nog eens slechts voorbeelden. Dat betekent dat het voor de burger (maar ook Tweede Kamerlid) onmogelijk is om precies in te schatten wanneer onze overheid onbekende kwetsbaarheden kan gebruiken.

Ten vierde wordt aangegeven dat er veel toezicht op het gebruik van die kwetsbaarheden zal zijn. Bij de geheime diensten zal toezichthouder CTIVD een rol spelen en voor de politie geldt dat het Openbaar Ministerie (OM) die afweging zal maken. Het probleem is natuurlijk dat de CTIVD altijd achteraf kijkt en dus niet betrokken is bij de vraag of een zwakheid gemeld mag worden. En voor het OM geldt dat zij een belang hebben bij de opsporing – en zullen dus een andere grondhouding hebben ten aanzien van de inzet van dit soort kwetsbaarheden dan een partij die niet belast is met de opsporing van strafbare feiten.

Kabinet wil digitale veiligheid opofferen
Er blijven dus twee dingen hangen na het lezen van de notitie: Het kabinet wil dat onbekende kwetsbaarheden gebruikt mogen worden, maar hoe, wanneer en onder welke voorwaarden blijft vaag. Daar schiet onze digitale infrastructuur dus niets mee op. Sterker nog: het feit dat het kabinet die onbekende kwetsbaarheden wil gebruiken laat zien dat het kabinet bereid is om digitale veiligheid op te offeren.

Wij vinden dat het kabinet juist alles er aan moet doen om onze digitale systemen zo veilig als mogelijk te maken. Dat het kabinet dat soms ook goed doet is duidelijk: zij stelde eerder dit jaar helder dat encryptie te belangrijk is om te verzwakken. Een soortgelijk standpunt zou hier ook passen: alle onbekende kwetsbaarheden worden direct gemeld bij de fabrikant en de politie mag veel, maar niet computers hacken via het internet.

  1. Huub-Henk

    Veilige IT systemen? Hoe ziet zoiets er uit?
    Veilige systemen bij de overheid? Dat is nog veel zeldzamer want ambtenaren zijn dan de zwakke schakels, en dat zijn er VEEEEEL!

    Een ICT afdeling kan een systeem technisch redelijk veilig afleveren, maar de deskindigheid van de eindgebruikers laat meestal te wensen over. Vooral in organisaties waar mensen werkzaam zijn die geen benul hebben van de techniek die ze gebruiken.

    Voorbeeld: Hillary Clinton laat de Filipijnse huishoudster staatsgeheimen afdrukken. Die huishoudster heeft blijkbaar een beter verantwoordelijkheids gevoel dan Hillary, want via de huishoudster is namelijk niets gelekt!

    Dit voorbeeld laat zien dat een relatief laag geplaatste ambtenaar nog veel minder verantwoordelijkheids gevoel zal hebben dan een ambtenaar die President wil worden van de VS.

    Conclusie: ambtenaren zijn per definitie een gevaar voor onze privacy.
    Geef ze niets in handen waar ze niet mee om kunnen gaan, want ze begrijpen helaas niet hoe ze er mee om moeten gaan.

    Alle respect, voor ambtenaren maar computers zouden ze bij de overheid moeten verbieden.

    En dan is het privacy gevaar ook opeens beheersbaar. Alleen data die ze werkelijk nodig hebben op papier in een map in een afgesloten ruimte en er kan dan maar 1 ambenaar op dat vel papier kijken op het moment dat de data werkelijk nodig is.

  2. Huub-Henk

    Hier nog zo een aanfluiting:

    http://www.nu.nl/algemeen/4347919/tweede-kamer-akkoord-met-wetsvoorstel-kentekenregistratie.html

    Alle kentekens bewaren. ALLE, niet alleen van de overtreders, ze maken dus foto’s van ALLE kentekens. Dat is de eerste fout.

    En nu bewaren ze ALLE kentekens 2 dagen en dat schoeven ze doodleuk op naar 4 WEKEN. Dus ook alle mensen die zich netjes aan de snelheid houden en helemaal niets verkeerd hebben gedaan blijven 4 weken in de database zitten.

    Maar daar kan een van jullie misschien met wat nettere woorden een artikeltje aan wijden?

    Wie doet er mee gaan we allemaal foto’s maken van mensen die om 5 uur de garage uitrijden van een overheids gebouw als met doel het registreren van potentiele corrupte ambtenaren.

    Moet je eens kijken hoe snel dat ze dan gaan eisen om alle foto’s te wissen.. Die foto’s bestaan dan geen 24 uur.

    Eerste rangs burgers hebben meer recht op privacy? Ik hoop van niet.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.