Onbekende kwetsbaarheden als disruptive technology

Overheden zouden onbekende kwetsbaarheden niet mogen misbruiken, de risico\'s voor onze maatschappij zijn veel te groot. De Eerste Kamer stemt binnenkort over het hackvoorstel, een wet die precies dat misbruik door de Nederlandse politie mogelijk maakt.

Disruptive technologyVeel van de technologie van tegenwoordig heet disruptive te zijn. Meestal wordt daarmee bedoeld dat nieuwe technologie de winnaars en verliezers van een hele branch ondersteboven kan halen. Maar digitale aanvallen in de afgelopen weken lieten zien dat technologie ook met gemak onze complete maatschappij overhoop kan schoppen. In mei werden door het WannaCry-virus bijvoorbeeld ziekenhuizen ontregeld, ook al is het virus bedoeld om slachtoffers geld afhandig te maken. Het primaire doel van het virus van vorige week, NotPetya, was specifiek \`ontregelen\`.

Wie twijfelt over de waarde van zo\'n ontregelopdracht hoeft alleen maar naar de problemen van Maersk in de Rotterdamse haven te kijken. Elke dag dat er geen containers verscheept worden, kost tientallen miljoenen euro\'s . En het is ook niet ondenkbaar dat kwaadwillenden misbruik maken van de ontstane chaos: een drugskartel is wellicht blij nu Maersk de administratie van de containers opeens met pen en papier bijhoudt en tegelijkertijd haast maakt met het inlopen van de achterstand.

In geen geval was het wat het in potentie had kunnen zijn. Van de chaos in de Rotterdamse haven merkt de gemiddelde burger niet meteen veel. Dat is anders als de storing langer aanhoudt en de gevolgen ook verderop in de keten zichtbaat zijn of als zo\'n virus de bevoorrading van de supermarkten in alle grote steden direct raakt.

Digitale aanvallen in de afgelopen weken lieten zien dat technologie ook met gemak onze complete maatschappij overhoop kan schoppen.

Misbruik onbekende kwetsbaarheden maakt ons onveiligerBeide virussen zijn gebaseerd op kwetsbaarheden die al langere tijd bekend waren bij de Amerikaanse geheime dienst NSA - en mogelijk ook anderen. Zelfs als de NSA haar geheimen goed kan beschermen, maakt ze met dat geheim houden de wereld onveilig. Want zolang de kwetsbaarheid niet gerepareerd wordt, lopen de gebruikers van de kwetsbare software het risico dat iemand de kwetsbaarheid ook ontdekt en dan misbruikt. Immers, het vinden van een kwetsbaarheid is geen voorrecht voor geheime diensten. En omdat zulke onbekende kwetsbaarheden waardevol zijn, is er een zwarte markt waar ze verhandeld worden.

Niet dat de NSA haar geheimen goed kon beschermen overigens. De beide virussen, WannaCry en NotPetya zijn namelijk beide gebaseerd op onbekende kwetsbaarheden uit een gelekte toolkit van de NSA. Je zou dus ook kunnen denken: als de NSA al niet in staat is om haar geheimen geheim te houden, waarom zou de Nederlandse politie dat dan wel kunnen? Die wil immers ook onbekende kwetsbaarheden kunnen misbruiken. Het budget van de Amerikaanse geheime dienst is een paar ordes van grootte groter dan dat van onze politie. Dat geldt ook voor haar kennis en capaciteit. Toch is een grote set aan hacking tools van de dienst op straat komen te liggen, net als die van de collega-spionnen van de CIA.

En juist omdat zulke kwetsbaarheden zo ontzettend waardevol zijn, is het vrijwel onmogelijk om ze geheim te houden. De kwetsbaarheden kunnen immers goed gebruikt worden door rivaliserende geheime diensten, zijn als onderdeel van zo\'n gelekte toolkit een mooi middel om een geheime dienst te kakken te zetten en zijn ook gewenst in de kringen van kwaadwillenden.

Om onze maatschappij zo veilig mogelijk te maken, moet ook onze overheid elke onbekende kwetsbaarheid die zij tegenkomt direct melden.

Nederland moet inzetten op een veilige infrastructuurNog vorige week hebben we goed gezien wat het misbruik van zulke onbekende kwetsbaarheden kan betekenen: tientallen miljoenen euro\'s schade in de Rotterdamse haven, problemen bij TNT Post en de uitschakeling van delen van de website van de politie. Deze keer heeft de gewone burger er nog niet veel van gemerkt. Dat gaat een volgende keer anders zijn, bijvoorbeeld omdat zo\'n virus het betalingsverkeer of onze verkiezingen treft. De impact is dan enorm.

Daarom moet Nederland niet mee doen met het misbruik van onbekende kwetsbaarheden. Nederland moet slimmer zijn en het voortouw nemen in de verantwoorde omgang met onze digitale infrastructuur. Dat betekent dat de Nederlandse overheid elke onbekende kwetsbaarheid die zij tegenkomt direct op verantwoorde wijze moeten melden aan de makers van de kwetsbare software. Alleen dan kan die software gerepareerd worden. Dat houdt onze maatschappij pas echt veilig. En zelf geen software kopen waarin zulke onbekende kwetsbaarheden zijn verwerkt. En ja, dat staat haaks op het huidige beleid van het kabinet.

De Eerste Kamer moet de minister van Veiligheid en Justitie dwingen toe te zeggen dat de politie geen gebruik maakt van zogenaamde zero days. Als de minister weigert, dan rest de Eerste Kamer niets anders dan het wetsvoorstel naar de prullenbak te verplaatsen.

Gerelateerde berichten:

• Fysieke sluizen en gemalen vragen om digitale dijken (07/06/18 11:22)
• Fysieke sluizen en gemalen vragen om digitale dijken (07/06/18 11:22)
• Hackvoorstel wordt morgen (eindelijk) besproken in de Eerste Kamer (18/06/18 14:08)
• Hackvoorstel wordt morgen (eindelijk) besproken in de Eerste Kamer (18/06/18 14:08)
• Kabinet maakt ons digitaal kwetsbaar in plaats van veiliger (08/11/16 13:33)

Reacties:

Er zijn nog geen reacties op dit bericht.