Opinie

De overheid moet stoppen met gebruik van zero-day-software

Dat criminelen vooral online worden opgespoord mag niet ten koste gaan van de algemene internetveiligheid, schrijft .
„We moeten ons realiseren dat de Nederlandse overheid, door het gebruiken van zero-days – één van de belangrijkste ingrediënten van de Pegasus software – medeverantwoordelijk is.”
„We moeten ons realiseren dat de Nederlandse overheid, door het gebruiken van zero-days – één van de belangrijkste ingrediënten van de Pegasus software – medeverantwoordelijk is.” Foto d3sign

Met behulp van spionagesoftware Pegasus, ontwikkeld door het Israëlische bedrijf NSO Group, houden autoritaire regimes journalisten, activisten en advocaten in de gaten. Toen dit bekend werd, was vanuit alle hoeken van de samenleving morele verontwaardiging te horen – en terecht. Maar we moeten ons realiseren dat de Nederlandse overheid, door het gebruiken van zero-days – één van de belangrijkste ingrediënten van de Pegasus software – medeverantwoordelijk is.

Zero-day kwetsbaarheden zijn bij de maker nog onbekende kwetsbaarheden in een nieuw stuk software. Deze kwetsbaarheden, zoals bijvoorbeeld in iOS of Android, gebruikt Pegasus om bij mobiele telefoons binnen te komen. Dat is voor de overheid handig bij het vangen van boeven, maar nadelig voor miljarden onschuldige internetgebruikers die dezelfde kwetsbaarheid in hun software hebben zitten. Want niet alleen boeven gebruiken iOS en Android. Een zero-day kwetsbaarheid treft iedereen.

Binnen de securitywereld is iedereen het er daarom over eens dat het voor een veilig internet het beste is als iedereen die een zero-day vindt, deze direct meldt bij de maker van de software. Het eventuele voordeel dat te behalen is door een paar criminelen te pakken, weegt namelijk niet op tegen het nadeel van miljarden onschuldige internetgebruikers die dezelfde kwetsbaarheid in hun software hebben zitten. Dat betekent een veiliger internet, maar moeilijker boeven vangen.

Sinds een paar jaar mag de Nederlandse overheid, uiteraard alleen om zware criminelen te hacken, gebruikmaken van hacksoftware. Deze software koopt zij in. Of ze zakendoet met de NSO Group is niet bekend, maar anders zeker wel met haar concurrenten. Hiermee betaalt de Nederlandse overheid bedrijven om actief te zoeken naar zero-days, om deze vervolgens níét te melden aan de makers. In het regeerakkoord staat weliswaar dat er geen zaken gedaan mag worden met bedrijven die aan dubieuze regimes leveren, maar dat is matig te controleren; NSO Group had ook integriteitsmaatregelen.

Onschuldige mensen

Tijdens de behandeling van de wet over hacksoftware (Wet Computercriminaliteit III) is er wel bij dit probleem stilgestaan, maar de gekozen oplossing is onbevredigend. Er is in de wet geregeld dat een zero-day gemeld moet worden aan de maker van de software, en dat dit alleen na rechterlijke goedkeuring kan worden uitgesteld. Op zich een redelijk compromis, maar het werkt alleen voor zero-days die de overheid zelf vindt. Als zij een kant-en-klaar spionagesoftwarepakket koopt, is onbekend welke kwetsbaarheden dat pakket benut.

Lees ook dit interview met de Hongaarse onderzoeksjournalist Szabolcs Panyi: ‘Ik kan precies zien wanneer ik ‘gepegasust’ ben’

Kees Verhoeven (D66) diende een motie in die het probleem zou verhelpen: geen hacksoftware inkopen die gebruikmaakt van zero-days. Een grote meerderheid van de Tweede Kamer verwierp de motie.

Het kan dus best zijn dat de Nederlandse overheid haar hackbevoegdheid zelf correct gebruikt, maar door hacksoftware in te kopen, financiert zij bedrijven die hun businessmodel ervan hebben gemaakt om de veiligheid van het gehele internet te verzwakken. Nederland zou daarom dus geen hacksoftware op basis van zero-days meer moeten gebruiken.

In een tijd waarin criminelen juist langs elektronische weg moeten worden opgespoord is dat geen populair standpunt, maar het is wel noodzakelijk. Het Pegasusschandaal is immers precies waarvoor gevreesd werd bij de invoering van de hackbevoegdheid: onschuldige mensen worden gehackt met kwetsbaarheden die bij de overheid reeds bekend waren, maar die voor het gemak van het boevenvangen niet gedicht zijn.