Dijkhoff: digitale lekken zo snel mogelijk dichten


Wat moet je doen als je een kwetsbaarheid in een computersysteem hebt gevonden? De regering gaf begin deze zomer een antwoord waarmee je alle kanten op kon. Nu zegt de staatssecretaris van Veiligheid en Justitie: om onze digitale infrastructuur en communicatie optimaal te beschermen moeten
kwetsbaarheden zo snel mogelijk gedicht worden. Helder. Glashelder.

Voor een optimale bescherming van onze digitale infrastructuur en communicatie is het essentieel dat gevonden kwetsbaarheden zo snel mogelijk op verantwoorde wijze openbaar en gedicht worden. De overheid zou dus zich ver moeten houden van zogenaamde `zero days': kwetsbaarheden die geheim
worden gehouden zodat die later door de politie of geheime diensten gebruikt kunnen worden om in te breken op computersystemen.

In het verleden is het kabinet niet altijd helder geweest over het beleid dat zij op dat punt hanteerde. Zo schreef de minister van Binnenlandse Zaken een paar maanden geleden aan de Tweede Kamer:

"Indien [geheime diensten] stuiten op significante kwetsbaarheden [...], dan zullen belangendragers geinformeerd worden. [...] Er kunnen echter wettelijke bepalingen (...) of operationele redenen zijn, die openbaarmaking van kwetsbaarheden (tijdelijk) in de weg staan."

Maar wat die operationele redenen precies omvatten, is nooit duidelijk geworden. Bedoelde de minister daarmee dat onze geheime diensten soms kwetsbaarheden niet openbaar maken, omdat die zo'n kwetsbaarheid eerst voor eigen gebruik willen uitbuiten?

Gelukkig lijkt de staatssecretaris van Veiligheid en Justitie het wel met ons eens te zijn. Op vragen uit de Tweede Kamer over de kwetsbaarheden in onze digitale infrastructuur antwoord Dijkhoff:

"Ik deel de mening dat cybersecurity het meest gebaat is bij het dichten van ontdekte kwetsbaarheden. Ter versterking van de digitale veiligheid van Nederland en het beperken van de criminaliteit stimuleert de Nederlandse overheid het melden van kwetsbaarheden, onder meer met het beleid voor
responsible disclosure. Dit beleid stimuleert het op verantwoorde wijze en actief openbaar maken van kwetsbaarheden door overheid, bedrijfsleven, beveiligingsonderzoekers en ethische hackers en het samen werken aan het verhelpen van deze kwetsbaarheden."

Dat zijn heldere woorden van staatssecretaris Dijkhoff, glashelder. Daarbij noemt de staatssecretaris expliciet ook de overheid als partij die kwetsbaarheden `op verantwoorde wijze en actief openbaar' maakt.

Dat schept vertrouwen. Toch knaagt het nog altijd: wat zouden die operationele redenen zijn die Plasterk noemde en die openbaarmaking van kwetsbaarheden in de weg zouden kunnen staan . Wat denk jij?