VVD en D66 willen controle gebruik kwetsbaarheden door inlichtingendiensten

Politieke partijen VVD en D66 willen duidelijker vastleggen wanneer zogeheten zero-days door inlichtingendiensten gebruikt mogen worden.

Daar pleiten beide partijen donderdagmidag voor in een vergadering over de inlichtingen- en veiligheidsdiensten.

Zero-days zijn kwetsbaarheden in software die nog niet bekend zijn bij fabrikanten. Hierdoor heeft de software-ontwikkelaar de kwetsbaarheid nog niet kunnen dichten. Inlichtingendiensten in het bezit van zero-days kunnen de kwetsbaarheden gebruiken om apparaten binnen te dringen.

VVD en D66 willen dat in een toetsingskader wordt vastgelegd hoe en wanneer zero-days gebruikt mogen worden. Dit kader moet inzichtelijk zijn voor de Tweede Kamer, aldus de partijen. Het is onduidelijk of het voorstel een meerderheid zal hebben. Zowel VVD als D66 zitten in de rergeringscoalitie.

Zolang een zero-day niet bij de software-ontwikkelaar wordt gemeld en de fabrikant niet op de hoogte is van de kwetsbaarheid, kan die het lek niet dichten. Kwaadwillenden kunnen de kwetsbaarheid ook misbruiken, waardoor iedere gebruiker van de betreffende software slachtoffer kan worden.

Tegenstanders van het gebruik van zero-days stellen dat inlichtingendiensten de software-ontwikkelaar direct op de hoogte moeten stellen van de kwetsbaarheid, omdat gebruikers anders onnodig risico lopen. Het melden van het lek heeft wel als gevolg dat de kwetsbaarheid op termijn ook voor inlichtingendiensten wordt afgesloten.

"De inlichtingendiensten moeten hun werk optimaal kunnen doen", stelt Kees Verhoeven (D66). "We willen de weg voor het gebruiken van zero-days dus niet volledig afsluiten, maar wel controleerbaar maken."

Zero-days

Op het moment zou niet zijn vastgelegd wanneer inlichtingendiensten een zero-day gebruiken. Daarnaast wordt niet centraal verslag gedaan van wanneer de keuze wordt gemaakt om een kwetsbaarheid in de software te gebruiken.

VVD en D66 willen ook een toetsingskader voor het gebruik van gestolen data. Soms kopen inlichtingendiensten persoonsgegevens op het dark web voor gebruik in een onderzoek.

Aftapwet

Het voorstel komt minder dan een week voor het referendum over de omstreden Wet op de Inlichtingen- en Veiligheidsdiensten, die ook wel de aftapwet en sleepwet wordt genoemd. Deze wet geeft inlichtingendiensten AIVD en MIVD meer bevoegdheid om mensen af te tappen en te hacken.

De Tweede Kamer stemde eind 2016 in met de Wet Computercriminaliteit III, waarin wordt vastgelegd hoe politie verdachten mag hacken. Een amendement hierin verplicht de politie om een zero-day binnen vier weken bekend te maken bij softwaremakers. De wet ligt nu bij de Eerste Kamer en is nog niet aangenomen.

Lees meer over:
Tip de redactie