D66-kamerlid Kees Verhoeven lanceerde onlangs een initiatiefwet om een afwegingsproces toe te voegen aan de inzet van zeroday-lekken voor Nederlandse overheden die hacken. Deze Wet Zeroday Afwegingsproces lijkt misschien een positieve ontwikkeling, maar in mijn ogen wordt een aantal fundamentele denkfouten nu tot wet verheven.
De positieve kant – gesteld dat deze wet wordt aangenomen – is het uitgangspunt dat zwakheden in software gemeld worden aan de leverancier. Het lek mag alleen geheim blijven als het te gebruiken is voor het hacken ten dienste van de staatsveiligheid, om de economische belangen van de staat te beschermen, strafbare feiten op te sporen, om de betrekkingen met andere landen te dienen of wanneer er sprake is van inbreuk op de persoonlijke levenssfeer.
Eigenlijk codificeert Verhoeven hiermee de status quo. Als we lekken kunnen gebruiken om te hacken dan doen we dat ook. Alleen speelt er bij digitale oorlogsvoering een aantal problemen. Lekken die niet gemeld en verholpen worden, verzwakken de veiligheid van alle systemen over de hele wereld. Het wapen is een middel voor betere veiligheid maar gaat ook ten koste van veiligheid. Tegen zerodays is verdedigen lastig. Het is natuurlijk naïef om te denken dat zerodays alleen in Nederland worden ontdekt. Er zijn meerdere voorbeelden dat zwakheden op verschillende plaatsen worden ontdekt. Het wapen kan bijvoorbeeld nuttig zijn voor een inlichtingendienst, maar ondertussen krijgen ook andere landen er de beschikking over en steeds vaker zien we ook criminelen met dit soort lekken aan de slag gaan. Wij kunnen dan wel verantwoord met de wapens omgaan, maar dat betekent niet dat anderen dat ook doen.
Er zijn talloze voorbeelden van gijzelsoftware die hele bedrijfstakken platleggen en grote maatschappelijke ontwrichting veroorzaken. Wannacry en Not-Petya liggen nog vers in ons geheugen. De schade liep in de miljarden en zelfs een containerterminal moest dicht. Bovendien waren dat niet eens zerodays, maar inmiddels bekende lekken. We zijn met de huidige stand van beveiliging zeer kwetsbaar. Dit soort wapens hebben digitaal gesproken een nucleair effect. Met het juiste lek kun je een heel land lamleggen.
Het minder zwak maken van de samenleving was dan ook de logische stap geweest. Dat betekent zwakheden melden bij leveranciers en de manieren van uitbuiten publiek maken. Zo kunnen beveiligingsbedrijven hun detectie- en preventieoplossingen verbeteren, wat leidt tot een veiliger samenleving. Dat Verhoeven een uitzonderingspositie voor de vitale sector wil maken, is een denkfout. De vitale sector zit op internet, wat een ecosysteem is. Deze bijzondere positie zal de vitale sector slechts in beperkte situaties beter beschermen.
Natuurlijk kun je stellen dat zerodays niet te bestrijden zijn. Als dat zo is, zijn we toe aan een internationale toezichthouder die de inzet van de digitale atoombom aan banden legt en monitort. Dan zijn we toe aan een internationaal verdrag. Tot die tijd hebben we te maken met een nieuwe situatie. Als we bij de overheid een lek of een probleem melden, maken we dan ons land veiliger of leveren we een bijdrage aan die digitale atoombom? Misschien moet we nog even heel goed nadenken voordat we met deze wetgeving verdergaan.
