Zero-days die inlichtingendiensten mogen gebruiken moeten duidelijk worden vastgelegd. Dat zeggen VVD en D66 vorige week in een voorstel.
De partijen vinden dat er een toetsingskader moet komen waarin vast komt te liggen wanneer en hoe deze nog onbekende kwetsbaarheden die in software worden ontdekt, mogen worden gebruikt. Vervolgens moet dit ook helder en in te zien zijn voor leden van de Tweede Kamer.
Meerderheid
Of het voorstel een meerderheid haalt is nog niet duidelijk. Er zijn duidelijke voor- en tegenstanders. Met name het feit dat inlichtingendiensten met de kwetsbaarheden in staat zijn om ongezien apparaten binnen te komen, roept veel discussie op.
Want zolang een zero-day onbekend is bij software-ontwikkelaars en de fabrikant, kan het lek ook niet worden gedicht. En omdat kwaadwillenden hiervan ook misbruik kunnen maken, lopen de gebruikers een groter risico om slachtoffer te worden van inbraak of misbruik.
Daarom ook stellen tegenstanders van het plan dat dergelijke lekken meteen moeten worden gemeld aan de ontwikkelaars.
Controleerbaar
Volgens Kees Verhoeven van D66 staat in het voorstel dat helemaal afsluiten niet de bedoeling is, maar wel controleerbaar maken.
Beide partijen pleiten verder ook een apart toetsingskader voor gebruik van gestolen data door inlichtingendiensten. Als voorbeeld gebruiken ze het geval dat een inlichtingendienst persoonsgegevens koopt op het dark web om die vervolgens te gebruiken in een onderzoek.
Sleepwet
Het voorstel past bij de invoering van de zogeheten ‘sleepwet’, waarover op 21 maart een referendum plaatsvindt. Het past verder in de Wet Computercriminaliteit III, die momenteel bij de Eerste Kamer ligt. Deze wet geeft autoriteiten, net als de huidige ‘sleepwet’ verregaande bevoegdheden geven bij de opsporing en rechtstreeks hinderen van cybercriminelen.
Dit jaar wordt ook een officieel geldende HTTP-foutcode voor sites actief die bijvoorbeeld vanwege censuur op zwart zijn gezet.
De overheid krijgt voor het eerst het recht om actief in te grijpen bij cyberaanvallen. Op die manier kunnen malafide online handelaren makkelijker strafrechtelijk vervolgd worden. In het wetsvoorstel Computercriminaliteit III mogen politie en justitie servers binnendringen voor het ontoegankelijk maken van gegevens.
De bankensector, veelvuldig geplaagd door DDOS-aanvallen, kan van overheidswege door de nieuwe wet bijvoorbeeld extra hulp krijgen. Als de rechter-commissaris daarvoor toestemming geeft, mogen op deze manier buitgemaakte gegevens ook worden gekopieerd en communicatie afgetapt. Observeren mag na toestemming ook.
