Wanneer mag de overheid onbekende kwetsbaarheden geheim houden?

14/10
2019
De overheid wil soms onbekende kwetsbaarheden geheim kunnen houden. Die wil ze kunnen gebruiken om in te breken op computers van criminelen of terroristen. Dat staat haaks op het idee dat voor een veilige digitale infrastructuur, kwetsbaarheden zo snel mogelijk opgelost moet worden. D66’s voorstel om die afweging te reguleren, moet wat ons betreft veel scherper.

Een veilige omgevingIn onze maatschappij zijn we ontzettend afhankelijk van onze digitale infrastructuur. Een kwetsbaarheid in die infrastructuur kan vervelende gevolgen hebben. De berichtjes waarvan jij denkt dat alleen de ontvanger ze kan lezen, liggen dan op en bloot op straat. Of de bevoorrading van supermarkten ligt dagenlang op zijn gat. Daarom wil iedereen graag dat kwetsbaarheden worden opgelost. Dat kan alleen als de maker van de kwetsbare software zo snel mogelijk op de hoogte wordt gebracht na de vondst van een nieuwe kwetsbaarheid.

Kwetsbaarheden geheim houdenDat staat soms haaks op de behoefte van geheime en opsporingsdiensten. Zij willen de kennis over een kwetsbaarheid geheim kunnen houden zodat de kwetsbaarheid juist niet meteen opgelost kan worden. De diensten kunnen dan hun kennis op een later moment gebruiken om op de kwetsbare computers van criminelen of terroristen in te breken. Het probleem: niet alleen de computer van die kwaadwillenden blijft kwetsbaar, maar de computer van alle gebruikers lopen hiermee het risico dat er kan worden ingebroken.

Hoe zorgen we ervoor dat de overheid, in haar poging om ons veiliger te maken, ons niet juist onveiliger maakt?

AfwegingskaderEn dus is de vraag: hoe moet de overheid die afweging maken? Hoe zorgen we ervoor dat de overheid, in haar poging om ons veiliger te maken, ons niet juist onveiliger maakt? Wanneer mag de overheid de kennis over een kwetsbaarheid geheim houden? D66 deed eerder dit jaar een voorstel voor het kaderen van die afwegingen. Dat vinden we een goed idee: áls de overheid al onbekende kwetsbaarheid geheim kan houden, laten we dan vooral en vooraf goed nadenken over de manier waarop die afweging gemaakt moet worden.

Hoe maken we de afweging?Wat ons betreft is het voorstel van D66 bij lange na niet scherp genoeg. Om maar een paar dingen te noemen: we vinden i) dat afwegingen over álle onbekende kwetsbaarheden onder de reikwijdte van het kader moeten vallen, ii) dat op voorhand glashelder moet zijn welke belangen zwaar genoeg kunnen wegen om een onbekende kwetsbaarheid niet te melden en iii) dat de feitelijke beslissing niet gebaseerd kan worden op een stemming van het “afwegingsorgaan”. Kortom, in het voorstel is nog niet elke regel doordenkt van de bias to disclosure.

Ons advies aan D66 over het “zero day afwegingsproces”

Eén aspect komt overigens nauwelijks aan bod in ons advies: hoe moeten deze afweging maken voor onbekende kwetsbaarheden die onderdeel van een apparaatje dat, bijvoorbeeld, door de politie gebruikt wordt voor het uitlezen van in beslag genomen telefoons. De politie gebruikt dan wel een onbekende kwetsbaarheid, maar kent de details van die kwetsbaarheid niet. Als je daar scherpe ideeën over hebt die je met ons wilt delen, stuur me dan een e-mail!

D66\'s voorstel kan scherper omdat nog niet elke regel doordenkt is van de bias to disclosure.

En dan nog dit...En dan nog dit. Het is ook goed om je te realiseren dat het eindpunt van dit voorstel, “het melden van onbekende kwetsbaarheden”, op zichzelf nog geen kwetsbaarheid dicht. Het probleem moet dan nog worden opgelost en alle apparaten moeten worden geüpdate. Het is dus naast het melden ook, of misschien wel vooral, belangrijk om in te zetten op het verbeteren van het hele proces van het uitrollen van beveiligingsupdates. Het is namelijk on-be-grij-pe-lijk hoeveel kansen we daar laten liggen.

Datum: maandag 14 oktober 2019, 11:43
Bron: BitsOfFreedom
Categorie: Internet en ICT

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry