D66 pleit voor strengere regels voor hacks overheid via zero days

Stay tuned, abonneer!

D66-Kamerlid Kees Verhoeven wil dat er strengere regels komen voor het gebruik van bepaalde wapens voor hacken door de politie, geheime diensten en het leger. Het gaat specifiek om tools die zero days – kwetsbaarheden in software die nog niet bekend zijn – kunnen misbruiken. Dat meldt de NOS

Zero day-fouten zijn gewild onder hackers, omdat ze nog niet bekend zijn en de makers van de software dus nog niets gedaan hebben om ze te dichten. Daardoor kunnen ze misbruikt worden om binnen te komen op goed beveiligde computers. Overheidshackers gebruiken dit soort lekken ook graag. Maar omdat de lekken niet gedicht worden, lopen burgers ook risico op een aanval.

Verhoeven wil daarom dat een onafhankelijke commissie meekijkt als dit soort kwetsbaarheden gebruikt worden. Hij diende daar vandaag een initiatiefwet voor in. De commissie moet uit een aantal relevante organisaties bestaan, bijvoorbeeld het Nationaal Cyber Security Centrum en de Autoriteit Persoonsgegevens. De commissie moet afwegen of een kwetsbaarheid gebruikt mag worden als de politie een verdachte wil hacken.

De fouten moeten volgens Verhoeven bovendien uiteindelijk altijd gemeld worden bij de software-fabrikanten. Daarnaast wil hij dat er geen commerciële kant-en-klare hacktools waarvan niet bekend is hoe ze werken, gebruikt mogen worden door overheidsdiensten.

Huidige regels

Op dit moment zijn er al wel regels over het gebruik van de kwetsbaarheden. De AIVD heeft nu een interne commissie die afweegt hoe er met zero days om moet worden gegaan. Maar een wetgeving is er nog niet.

De AIVD zegt tegenover de NOS per situatie af te wegen welke middelen er in worden gezet. Het kan het geval zijn dat een kwetsbaarheid niet bij de maker gemeld wordt, omdat het de nationale veiligheid in gevaar kan brengen.

Het voorstel van Verhoeven wordt door het ministerie van Defensie bestudeerd.