Als de begeerte het wint van de ratio


Iedereen weet dat snoep een dikmaker is, maar soms moet die zak gewoon leeg. Ook de huidige regering kiest graag voor ongezond - en is er dan ook nog eens trots op. Ze doet er verstandig aan te investeren in de toekomst, maar maatregelen die direct uitbetalen zijn vaak zoveel aantrekkelijker.

De meeste software is complex en mensenwerk. Een recept voor fouten. Sommige fouten zorgen voor een crash van de software, andere zorgen voor kwetsbaarheden in de beveiliging. Het eerste is natuurlijk vervelend, zeker als het zorgt voor verlies van gegevens. Maar dat tweede is zo mogelijk nog
vervelender want opeens kunnen kwaadwillenden bij jouw informatie. Je verliest de controle over je eigen apparaten. En zolang die kwetsbaarheid aanwezig is, loopt iedereen die die software gebruikt dat risico.

Belangrijk dus dat kwetsbaarheden zo snel mogelijk gerepareerd worden. Vinders van zo'n kwetsbaarheid kunnen twee dingen doen. Het mooiste zou zijn als ze het probleem melden bij de softwareontwikkelaar zodat de kwetsbaarheid opgelost kan worden. Maar de vinder kan ook de kwetsbaarheid
verkopen aan de hoogste bieder. Die kan dan de kwetsbaarheid, in jargon een zero day genoemd, misbruiken. Dat is winst voor de kwaadwillende, maar verlies voor de rest van de maatschappij.

Voor de Nederlandse overheid is die afweging een eenvoudige, zou je zeggen. Het ligt voor hand dat zij er voor kiest de kwetsbaarheid bij de softwareontwikkelaar te melden. Immers, die kan de kwetsbaarheid verhelpen en daarvan profiteert elke gebruiker van die software. Dat draagt bij aan
veilige digitale infrastructuur en het vertrouwen van gebruikers. Daarvan profiteert onze hele maatschappij.

Maar die afweging wordt misschien anders gemaakt als de politie mag inbreken op een computer. En dat is wat de regering graag wil, zo herhaalde ze onlangs weer in de laatste zinnen van een persbericht. Als de politie dan een kwetsbaarheid tegenkomt, gaat ze die dan melden bij de
softwareontwikkelaar? Of vindt ze het dan niet handiger om die kwetsbaarheid nog een paar maanden te verzwijgen? Misschien dat het misbruik ervan een vastgelopen onderzoek weer vlot kan trekken. Maar in tussentijd loopt wel de hele maatschappij een risico.

Tot nu toe heeft de minister van Veiligheid en Justitie zich nog niet uitgelaten over de perverse prikkel die zijn voorgestelde bevoegdheid creeert. Maar dat het geen theoretisch probleem is blijkt wel uit het interview met een hoge baas van de Amerikaanse dienst FBI. De dienst worstelt met
het dilemma en houdt soms kwetsbaarheden wel degelijk een tijdje geheim:

Hess acknowledged that the bureau uses zero-days -- the first time an official has done so. She said the trade-off is one the bureau wrestles with. "What is the greater good -- to be able to identify a person who is threatening public safety?" Or to alert software makers to bugs that, if
unpatched, could leave consumers vulnerable?

"How do we balance that?" she said. "That is a constant challenge for us."

Tot nu heeft onze regering dit duivels dilemma stelselmatig genegeerd. Optimisten als we zijn gaan we er vanuit de minister in de toelichting op zijn wetsvoorstel hier alsnog op ingaat. Maar als blijkt dat zo'n fundamenteel probleem van de voorgestelde bevoegdheid geen aandacht heeft gekregen,
heeft de minister zich direct gediskwalificeerd.