'Strengere regels nodig voor hacks door overheid via zero day-bugs'
Er moeten strengere regels komen voor het gebruik van bepaalde hackwapens door de politie, geheime diensten en het leger. Daarvoor pleit D66-Kamerlid Kees Verhoeven vanmiddag in de Tweede Kamer.
Het gaat om tools die gebruik kunnen maken van zogenoemde zero day-bugs. Dat zijn lekken in de software die nog niet bekend zijn en die kunnen worden gebruikt om computers, telefoons en andere apparaten te kraken.
Omdat die bugs nog onbekend zijn, kunnen hackers ze gebruiken om in te breken op goed beveiligde computers. Die zijn niet bestand tegen misbruik van het lek, omdat hun software er nog niet tegen beschermd is.
Onder andere overheidshackers zijn daarom dol op dit soort lekken. Een belangrijke keerzijde is dat als de lekken niet worden gedicht, ook onschuldige burgers risico lopen op hackaanvallen.
Verhoeven komt daarom met een initiatiefwet. Hij wil dat een onafhankelijke commissie meekijkt als overheden dat soort kwetsbaarheden in software gebruiken om computers te kraken. "Nu beslissen ze daar zelf over, buiten het zicht van het parlement en de bevolking", zegt hij. "We willen voorkomen dat dit soort bugs te pas en te onpas worden ingezet."
Die commissie zou moeten bestaan uit een aantal relevante organisaties, denkt Verhoeven. "Bijvoorbeeld het ministerie, maar ook het Nationaal Cyber Security Centrum en de Autoriteit Persoonsgegevens."
Als bijvoorbeeld de politie een verdachte met een zero day-bug wil hacken, of als de AIVD een terrorist wil achtervolgen, dan zou die commissie zich daarover moeten buigen. "Die kan dan afwegen hoelang de kwetsbaarheid mag worden gebruikt om in te breken. Dat kan per keer verschillen", zegt Verhoeven. "Je moet dit heel goed afwegen: het belang van opsporing tegen de economische schade en privacy van internetgebruikers."
Altijd gemeld
Uiteindelijk zouden de diensten de bugs altijd moeten melden bij de maker van de software, meent Verhoeven. Gebeurt dat niet, dan blijven ook andere gebruikers immers kwetsbaar voor de bugs. Daar zouden andere hackers of inlichtingendiensten van andere landen gebruik van kunnen maken.
Verhoeven wil daarnaast dat de overheidsdiensten geen commerciële kant-en-klare hacktools waarvan de werking onbekend is meer mogen gebruiken. "Je weet niet wat voor trucs die bedrijven uithalen om te kunnen inbreken", zegt hij. "Dat mag niet meer tot de mogelijkheden behoren."
Interne screening
Er zijn op dit moment wel regels voor het gebruik van zero day-bugs: zo heeft de AIVD een interne commissie die afweegt hoe ermee moet worden omgegaan. "Maar er is geen wetgeving voor of een overkoepelende instantie", zegt het Kamerlid.
In een reactie laat de AIVD weten altijd per situatie af te wegen "welke middelen worden ingezet". Daarbij kan het zijn dat een computerbug niet wordt gemeld aan de maker, omdat dat de nationale veiligheid in gevaar kan brengen. Het ministerie van Defensie, dat hackoperaties mag uitvoeren via de MIVD en offensieve hack-operaties, laat weten het voorstel te zullen bestuderen.
Volgens Verhoeven zou Nederland het eerste land ter wereld zijn dat een wet invoert om gebruik van zero day-bugs te reguleren. "In de Verenigde Staten zijn wel regels, maar dat is geen wetgeving", zegt Verhoeven.