Kabinet sluit gebruik van kwetsbaarheden in software niet uit

Het kabinet sluit niet uit dat de politie kwetsbaarheden in software gebruikt en achterhoudt.

Dat stellen Staatssecretaris van Veiligheid en Justitie Dijkhoff, Minister van Binnenlandse Zaken Plasterk en Minister van Defensie Hennis-Plasschaert in een brief

Volgens de brief heeft het kabinet de taak om de nationale veiligheid te waarborgen en strafbare feiten op te sporen. "Het gebruik van kwetsbaarheden is daarbij één van de technische mogelijkheden om de bevoegheid tot binnendringen uit te voeren." 

"Deze bevoegdheid is alleen onder strenge, bij wet bepaalde voorwaarden toegestaan en is met specifieke waarborgen omkleed", aldus de bewindslieden. Er wordt gekeken naar de noodzaak en omvang van een zaak, voordat er wordt gekozen voor het gebruik van een kwetsbaarheid. 

De politie is op het moment nog niet bevoegd om te hacken, maar zou die bevoegdheid krijgen als de wet Computercriminaliteit III in werking treedt. De wet wordt later dit jaar in de Tweede Kamer besproken.

Melden

Het kabinet stelt in de brief te zijn voor een vrij, open en veilig internet. De overheid zou daarbij worden aangespoord om kwetsbaarheden na ontdekking te melden. Softwaremakers kunnen het betreffende lek hierdoor dichten.

In uitzonderlijke gevallen wil de overheid het melden van beveiligingslekken uitstellen, bijvoorbeeld als de melding zou verklappen dat er een crimineel onderzoek plaatsvindt. 

Het melden van beveiligingslekken bij "wijdverbreide en regulier gebruikte hardware of software" zou niet worden uitgesteld. Volgens een woordvoerder van het ministerie Veiligheid en Justitie wordt de grootte van een lek bij iedere zaak opgewogen tegen de ernst van de zaak door het Openbaar Ministerie. Een lek in Windows zal bijvoorbeeld later worden gemeld als nationale veiligheid op het spel staat, maar niet bij een simpelere misdaad.

Ondermijnen

Belangenorganisatie Bits of Freedom is kritisch over de brief. "Wij vinden het heel erg jammer dat het kabinet hiermee duidelijk maakt de infrastructuur te willen ondermijnen in plaats van te verstevigen", aldus woordvoerder Ton Siedsma.

De brief is volgens Bits of Freedom ook niet volledig over het standpunt rondom kwetsbaarheden. "Hij gaat alleen over kwetsbaarheden die ze zelf vinden, niet wat ze aankopen". De organisatie denkt dat het gros van de gebruikte kwetsbaarheden wordt aangekocht van hackingteams, omdat de Nederlandse politie niet de middelen zou hebben om veel beveiligingslekken te vinden.

De brief stelt dat de verkoop aan "bepaalde partijen" onwenselijk is, maar dat deze verkoop niet verboden is.

D66

Tweedekamerlid Kees Verhoeven (D66) noemt de stelling van het kabinet naief. "Het zijn juist criminelen en terroristen die deze beveiligingsgaten zullen misbruiken om bankgegevens, foto’s van intieme momenten met je vriend of vriendin en andere privé-informatie te stelen."

"Hiermee wordt het internet voor ons allemaal onveiliger. Het is alsof de politie de slotenfabrikant dwingt om alle deuren van al onze huizen open te zetten, voor het geval de politie eens binnen zou willen kijken."

Tip de redactie