Het zal niemand ontgaan zijn: een paar weken geleden stond dankzij Wannacry systeembeheerders en computergebruikers het huilen nader dan het lachen.  Reden voor de politie om nogmaals te hameren op een snelle invoering van het hackvoorstel.  Dat knaagt. Op 20 juni zullen wij in de hoorzitting over de hackende politie vertellen waarom.

Complexiteit Wannacry

In Wannacry komen veel beveiligingsproblemen samen. Zoals we al eerder schrevenLees hier onze analyse van de problemen achter Wannacry waren veel systemen onvoldoende beveiligd. Deels door eigen nalatigheid, deels omdat het updaten van systemen door een complexe infrastructuur simpelweg niet zo eenvoudig is. En er ligt natuurlijk een rol voor de overheid. Het ministerie van Veiligheid en Justitie kwam dus ook met een reactie. Eerst in het vragenuur, maar nu ook met een briefV&J over Wannacry.

Kamerbrief over Wannacry

In die brief schetst de Klaassecretaris grofweg drie instrumenten die de problemen moeten oplossen. Ten eerste wordt het belang van publiek-private samenwerking aangestipt. De overheid en het bedrijfsleven moeten samenwerken om beveiligingslekken te dichten en beveiligingsproblemen in de kiem te smoren. Ten tweede wordt het belang van internationale opsporing benadrukt. Cybercriminaliteit is een internationaal fenomeen en moet dus ook internationaal worden opgelost. Een goede samenwerking is daarvoor noodzakelijk. Tot slot wordt aangegeven dat de digitale weerbaarheid van bedrijven, door middel van meldplichten, versterkt moet worden en dat de politie moet beschikken over voldoende opsporingsmogelijkheden. Opnieuw wordt er verwezen naar de noodzaak van het hackvoorstel.

De Kamerbrief is onvolledig

Maar in deze brief missen we toch een belangrijk onderdeel. Een van de fundamenten waarop Wannacry is gebouwd is het misbruiken van kwetsbaarheden die door de Amerikaanse geheime dienst waren verzameld en achtergehouden. Die hebben daar, zo zeggen bronnenHet NRC schrijft over Wannacry en de NSA, jarenlang met veel succes van geprofiteerd.

Standpunt gebruik kwetsbaarheden

Ook de Nederlandse geheime dienst en de Nederlandse politie willen zulke kwetsbaarheden kunnen achterhouden en inzetten. Dat blijkt uit het standpunt dat de Nederlandse regeringNederlands standpunt over kwetsbaarheden: dubbelzinnig meerdere malen heeft ingenomen over het gebruik van bekende en onbekende kwetsbaarheden. Op dat standpunt is terecht veel kritiek gekomen. Met Wannacry in het achterhoofd is het wat ons betreft noodzakelijk om het standpunt over het achterhouden van onbekende kwetsbaarheden te heroverwegen.

In de aanval of in de verdediging: kwetsbaarheden achter houden of melden

In dit standpunt wreekt zich namelijk het verschil tussen een defensieve of offensieve blik op onze digitale infrastructuur. Vanuit de gedachte dat de Nederlandse staat alles moet doen wat in zijn macht ligt om de internetgebruiker veilig te houden is het een gegeven dat kwetsbaarheden zo snel mogelijk gedicht worden. En dat onbekende kwetsbaarheden die in de handen van de Nederlandse overheid komen dus zo snel mogelijk gemeld wordt aan de bedrijven die die kwetsbaarheden kunnen dichten.

De offensieve kant daarentegen wil die kwetsbaarheden achter kunnen houden om criminelen op te kunnen pakken. Maar daarmee wordt voor lief genomen dat het achterhouden van die kwetsbaarheden grote risico’s met zich mee kan brengen. Het hackvoorstel, volgens de politie nodig om Wannacry te voorkomen, heeft een oorzaak van Wannacry nodig als uitgangspunt. En dat is gek. De complexiteit van het veilig houden van onze digitale infrastructuur is al moeilijk genoeg zonder dat de overheid daar zelf een dubbelzinnige rol in speelt. Het standpunt van de Nederlandse regering houdt die dubbelzinnige rol in stand. En dat is onwenselijk.

Nederlandse beleid kwetsbaarheden onvolledig

Daarbij speelt dat het Nederlandse beleid gewoon niet goed genoeg is. Niet alleen rammelt het meldingsbeleid, ook geldt het alleen voor onbekende kwetsbaarheden die door de politie zelf gevonden zijn. In de praktijk, zo zegt V&J zelf, zullen juist vaak softwarepakketten gekocht en gebruikt worden waarmee wordt gehackt. En in die gevallen weet de politie niet of er onbekende kwetsbaarheden gebruikt worden en hoeft er dus niet gemeld te worden. Als dat de praktijk wordt, dan is het uitgangspunt dat gemeld moet worden een papieren realiteit. Dat is natuurlijk de omgekeerde wereld.

Het uitgangspunt is melden. Dan moet dat ook echt gebeuren. Het maakt dan niet uit of het gaat om onbekende kwetsbaarheden die via softwarepakketten worden ingekocht of zelf gevonden worden. De politie mag zich daarbij niet verschuilen achter geheimzinnigheid of onwil van een bedrijf.

Hoorzitting Eerste Kamer

Het hackvoorstel wordt nu in de Eerste Kamer behandeld. Op 20 juni is er van 09.00 uur tot 12.15 uur een hoorzitting georganiseerd waar tal van experts hun visie op het hackvoorstel kunnen geven. Wij zullen daar ook zijn. Onze bijdrage kun je hieronder downloaden en de hoorzitting terugkijken.