De overheid wil soms onbekende kwetsbaarheden geheim kunnen houden. Die wil ze kunnen gebruiken om in te breken op computers van criminelen of terroristen. Dat staat haaks op het idee dat voor een veilige digitale infrastructuur, kwetsbaarheden zo snel mogelijk opgelost moet worden. D66’s voorstel om die afweging te reguleren, moet wat ons betreft veel scherper.

Een veilige omgeving

In onze maatschappij zijn we ontzettend afhankelijk van onze digitale infrastructuur. Een kwetsbaarheid in die infrastructuur kan vervelende gevolgen hebben. De berichtjes waarvan jij denkt dat alleen de ontvanger ze kan lezen, liggen dan op en bloot op straat. Of de bevoorrading van supermarkten ligt dagenlang op zijn gat. Daarom wil iedereen graag dat kwetsbaarheden worden opgelost. Dat kan alleen als de maker van de kwetsbare software zo snel mogelijk op de hoogte wordt gebracht na de vondst van een nieuwe kwetsbaarheid.

Kwetsbaarheden geheim houden

Dat staat soms haaks op de behoefte van geheime en opsporingsdiensten. Zij willen de kennis over een kwetsbaarheid geheim kunnen houden zodat de kwetsbaarheid juist niet meteen opgelost kan worden. De diensten kunnen dan hun kennis op een later moment gebruiken om op de kwetsbare computers van criminelen of terroristen in te breken. Het probleem: niet alleen de computer van die kwaadwillenden blijft kwetsbaar, maar de computer van alle gebruikers lopen hiermee het risico dat er kan worden ingebroken.

Afwegingskader

En dus is de vraag: hoe moet de overheid die afweging maken? Hoe zorgen we ervoor dat de overheid, in haar poging om ons veiliger te maken, ons niet juist onveiliger maakt? Wanneer mag de overheid de kennis over een kwetsbaarheid geheim houden? D66 deed eerder dit jaar een voorstelDossier #35257 bij de Tweede Kamer voor het kaderen van die afwegingen. Dat vinden we een goed idee: áls de overheid al onbekende kwetsbaarheid geheim kan houden, laten we dan vooral en vooraf goed nadenken over de manier waarop die afweging gemaakt moet worden.

Hoe maken we de afweging?

Wat ons betreft is het voorstel van D66 bij lange na niet scherp genoeg. Om maar een paar dingen te noemen: we vinden i) dat afwegingen over álle onbekende kwetsbaarheden onder de reikwijdte van het kader moeten vallen, ii) dat op voorhand glashelder moet zijn welke belangen zwaar genoeg kunnen wegen om een onbekende kwetsbaarheid niet te melden en iii) dat de feitelijke beslissing niet gebaseerd kan worden op een stemming van het “afwegingsorgaan”. Kortom, in het voorstel is nog niet elke regel doordenkt van de bias to disclosure.

Eén aspect komt overigens nauwelijks aan bod in ons advies: hoe moeten we zo'n afweging maken als de onbekende kwetsbaarheid deel uitmaakt van een apparaatjeDe Nederlandse politie gebruikt "black boxes" van het Israelische bedrijf Cellebrite dat, bijvoorbeeld, door de politie gebruikt wordt voor het uitlezen van in beslag genomen telefoons. De politie gebruikt dan wel een onbekende kwetsbaarheid, maar kent de details van die kwetsbaarheid niet. Als je daar scherpe ideeën over hebt die je met ons wilt delen, stuur me dan een e-mail!

En dan nog dit...

En dan nog dit. Het is ook goed om je te realiseren dat het eindpunt van dit voorstel, “het melden van onbekende kwetsbaarheden”, op zichzelf nog geen kwetsbaarheid dicht. Het probleem moet dan nog worden opgelost en alle apparaten moeten worden geüpdateDat proces van updaten kan écht heel veel beter. Het is dus naast het melden ook, of misschien wel vooral, belangrijk om in te zetten op het verbeteren van het hele proces van het uitrollen van beveiligingsupdates. Het is namelijk on-be-grij-pe-lijk hoeveel kansen we daar laten liggen.