Overheden zouden onbekende kwetsbaarheden niet mogen misbruiken, de risico's voor onze maatschappij zijn veel te groot. De Eerste Kamer stemt binnenkort over het hackvoorstel, een wet die precies dat misbruik door de Nederlandse politie mogelijk maakt.

Disruptive technology

Veel van de technologie van tegenwoordig heet disruptive te zijn. Meestal wordt daarmee bedoeld dat nieuwe technologie de winnaars en verliezers van een hele branch ondersteboven kan halen. Maar digitale aanvallen in de afgelopen weken lieten zien dat technologie ook met gemak onze complete maatschappij overhoop kan schoppen. In mei werden door het WannaCry-virus bijvoorbeeld ziekenhuizen ontregeld, ook al is het virus bedoeld om slachtoffers geld afhandig te maken. Het primaire doel van het virus van vorige week, NotPetya, was specifiek "ontregelen".

Wie twijfelt over de waarde van zo'n ontregelopdracht hoeft alleen maar naar de problemen van Maersk in de Rotterdamse haven te kijken. Elke dag dat er geen containers verscheept worden, kost tientallen miljoenen euro'sDe schade bij de containerterminal is voor een doorvoerland als Nederland extra pijnlijk . En het is ook niet ondenkbaar dat kwaadwillenden misbruik maken van de ontstane chaos: een drugskartel is wellicht blij nu Maersk de administratie van de containers opeens met pen en papierHoewel een deel van de systemen weer is opgestart, worden laadlijsten nog altijd met de hand verwerkt. bijhoudt en tegelijkertijd haast maakt met het inlopen van de achterstand.

In geen geval was het wat het in potentie had kunnen zijn. Van de chaos in de Rotterdamse haven merkt de gemiddelde burger niet meteen veel. Dat is anders als de storing langer aanhoudt en de gevolgen ook verderop in de keten zichtbaat zijn of als zo'n virus de bevoorrading van de supermarkten in alle grote steden direct raakt.

Misbruik onbekende kwetsbaarheden maakt ons onveiliger

Beide virussen zijn gebaseerd op kwetsbaarheden die al langere tijd bekend waren bij de Amerikaanse geheime dienst NSA - en mogelijk ook anderen. Zelfs als de NSA haar geheimen goed kan beschermen, maakt ze met dat geheim houden de wereld onveilig. Want zolang de kwetsbaarheid niet gerepareerd wordt, lopen de gebruikers van de kwetsbare software het risico dat iemand de kwetsbaarheid ook ontdekt en dan misbruikt. Immers, het vinden van een kwetsbaarheid is geen voorrecht voor geheime diensten. En omdat zulke onbekende kwetsbaarheden waardevol zijn, is er een zwarte markt waar ze verhandeld worden.

Niet dat de NSA haar geheimen goed kon beschermen overigens. De beide virussen, WannaCry en NotPetya zijn namelijk beide gebaseerd op onbekende kwetsbaarheden uit een gelekte toolkit van de NSA. Je zou dus ook kunnen denken: als de NSA al niet in staat is om haar geheimen geheim te houden, waarom zou de Nederlandse politie dat dan wel kunnen? Die wil immers ook onbekende kwetsbaarheden kunnen misbruikenHet hackvoorstel wordt nu behandeld in de Eerste Kamer. Het budget van de Amerikaanse geheime dienst is een paar ordes van grootte groter dan dat van onze politie. Dat geldt ook voor haar kennis en capaciteit. Toch is een grote set aan hacking tools van de dienst op straat komen te liggen, net als die van de collega-spionnen van de CIAWikiLeaks publiceert gelekte documenten van hacktools van de CIA..

En juist omdat zulke kwetsbaarheden zo ontzettend waardevol zijn, is het vrijwel onmogelijk om ze geheim te houden. De kwetsbaarheden kunnen immers goed gebruikt worden door rivaliserende geheime diensten, zijn als onderdeel van zo'n gelekte toolkit een mooi middel om een geheime dienst te kakken te zetten en zijn ook gewenst in de kringen van kwaadwillenden.

Nederland moet inzetten op een veilige infrastructuur

Nog vorige week hebben we goed gezien wat het misbruik van zulke onbekende kwetsbaarheden kan betekenen: tientallen miljoenen euro's schade in de Rotterdamse haven, problemen bij TNT Post en de uitschakeling van delen van de website van de politie. Deze keer heeft de gewone burger er nog niet veel van gemerkt. Dat gaat een volgende keer anders zijn, bijvoorbeeld omdat zo'n virus het betalingsverkeer of onze verkiezingen treft. De impact is dan enorm.

Daarom moet Nederland niet mee doen met het misbruik van onbekende kwetsbaarheden. Nederland moet slimmer zijn en het voortouw nemen in de verantwoorde omgang met onze digitale infrastructuur. Dat betekent dat de Nederlandse overheid elke onbekende kwetsbaarheid die zij tegenkomt direct op verantwoorde wijze moeten melden aan de makers van de kwetsbare software. Alleen dan kan die software gerepareerd worden. Dat houdt onze maatschappij pas echt veilig. En zelf geen software kopen waarinCellebrite levert software waarmee de politie, met zero days, mobiele telefoons uitleest. zulke onbekende kwetsbaarheden zijn verwerkt. En ja, dat staat haaks op het huidige beleidHet kabinet aan de Tweede Kamer: we willen zero days kunnen misbruiken van het kabinet.

De Eerste Kamer moet de minister van Veiligheid en Justitie dwingen toe te zeggen dat de politie geen gebruik maakt van zogenaamde zero days. Als de minister weigert, dan rest de Eerste Kamer niets anders dan het wetsvoorstel naar de prullenbak te verplaatsen.