Memorie van toelichting (initiatiefvoorstel) : Memorie van toelichting zoals gewijzigd naar aanleiding van het Advies van de Afdeling advisering van de Raad van State inzake het voorstel van wet van het lid Verhoeven houdende een regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geautomatiseerde werken door de overheid (Wet Zerodays Afwegingsproces)
35 257 Voorstel van wet van het lid Verhoeven houdende een regeling voor een afwegingsproces voor het gebruik van kwetsbaarheden in geautomatiseerde werken door de overheid (Wet Zerodays Afwegingsproces)
Nr. 6 MEMORIE VAN TOELICHTING ZOALS GEWIJZIGD NAAR AANLEIDING VAN HET ADVIES VAN DE AFDELING
ADVISERING VAN DE RAAD VAN STATE
I. ALGEMEEN DEEL
1. Inleiding
Programmeren is mensenwerk. Dat betekent dat softwarecode vrijwel altijd fouten bevat.
Zerodays, of onbekende kwetsbaarheden, zijn fouten in software die nog onbekend zijn
bij de maker van de software (de maker heeft 0 dagen gehad om het gat te dichten).
Deze zerodays kunnen gebruikt worden om de werking van de betreffende software te
manipuleren, oftewel te hacken. Daarvoor is een zogeheten «exploit» nodig; een stuk
software dat gemaakt is om gebruik te maken van de zeroday om het apparaat of software
te kunnen «binnendringen». Onder andere overheden, maar ook criminelen, terroristen
of andere kwaadwillenden gebruiken dergelijke «zeroday exploits» om te kunnen hacken.
Als overheden zerodays vinden of aankopen ontstaat er een dilemma. Moet de zeroday
publiek gemaakt worden zodat het gat in de software gedicht kan worden en het betreffende
product of apparaat veilig gemaakt kan worden tegen hacks? Of moet de overheid de
zeroday openhouden om zelf te gebruiken om te hacken? Het laten dichten kan in het
belang zijn van de cyberveiligheid van de vitale infrastructuur, in het economisch
belang van Nederland of in het privacy belang van Nederlanders. Een beslissing om
een zeroday open te houden en te gebruiken om te hacken kan bepaalde belangen van
nationale veiligheid of opsporing dienen.
Op dit moment zijn de AIVD en MIVD gebonden aan een afwegingskader om ervoor te zorgen
dat er zorgvuldige afwegingen gemaakt worden. Dit afwegingskader is ingericht met
als uitgangspunt «melden, tenzij», ook wel een «bias towards disclosure» genoemd.
Hierbij wordt gekeken naar het risico van de kwetsbaarheid voor de Nederlandse samenleving,
de toegevoegde waarde van de kwetsbaarheid voor het inlichtingen werk en eventuele
wettelijke beperkingen zoals bronbescherming of het afschermen van de modus operatie
van de diensten.
Terwijl de AIVD en MIVD wel gehouden zijn aan dit afwegingskader, hoeven het Ministerie
van Defensie, Politie, Marechaussee en de FIOD zich niet aan dit kader te houden,
terwijl ook zij de bevoegdheid hebben om te hacken via zerodays. Dit brengt grote
risico’s met zich mee. Een zeroday die de politie openhoudt om verdachten op te sporen
kan bijvoorbeeld de belangen van de AIVD schaden. Of een zeroday die Defensie wil
gebruiken kan onze vitale infrastructuur in gevaar brengen.
Daarom wil initiatiefnemer een wettelijk geborgd afwegingskader voor alle zerodays
die de overheid ontdekt, aankoopt of anderszins in bezit krijgt. Zo kan er een goede,
objectieve afweging plaatsvinden tussen de verschillende belangen die gemoeid zijn
bij het geheimhouden of laten dichten van zerodays. Hiertoe wordt een nieuw orgaan
opgericht onder het Nationaal Cyber Security Centrum, waarin de verschillende belangen
op het gebied van opsporing en inlichtingen, privacy, economie, vitale infrastructuur
en cybersecurity vertegenwoordigd zijn. Daarnaast krijgen partijen uit de vitale infrastructuur
een advies gevende rol om ervoor te zorgen dat beslissingen over zerodays met voldoende
informatie over de vitale infrastructuur genomen worden. Tot slot wordt in de wet
een aantal overwegingen opgenomen die meegenomen moeten worden om tot een goede beslissing
te komen. Dit zijn overwegingen met betrekking tot de operationele voordelen op het
gebied van opsporing of inlichtingen van gebruik van de zeroday, overwegingen met
betrekking tot de negatieve gevolgen op het gebied van cybersecurity van het gebruik
van de zeroday, overwegingen aangaande alternatieve belangen rondom gebruik van de
zeroday, zoals privacy, economie of andere veiligheidsbelangen en technische overwegingen
aangaande het gebruik van de zeroday.
2. Achtergrond en aanleiding van het wetsvoorstel
2.1 Wat zijn zerodays?
Zerodays zijn fouten in software die nog onbekend zijn bij de maker van die software.
Als een zeroday ontdekt wordt heeft de maker van de software letterlijk 0 dagen gehad
om de fout te dichten. Dit soort softwarefouten ontstaan vanzelf als programmeurs
fouten maken bij het schrijven van code. Programmeren is immers mensenwerk en veel
software bestaat uit miljoenen regels code. Dan zijn fouten niet te voorkomen. Het
gemiddeld aantal fouten ligt tussen de 0.5 en de 25 fouten per 1.000 regels code.1 In Open Source Software (OSS) ligt dat gemiddeld iets lager dan in Close Source
Software.2 Het is daarom aannemelijk dat in vrijwel alle software die we gebruiken dergelijke
fouten zitten. Zodra een zeroday gemeld wordt aan de maker van de software of publiek
bekend wordt dan spreekt men van een bekende kwetsbaarheid, waarna de maker van de
software de mogelijkheid heeft om de kwetsbaarheid te dichten en hacks te voorkomen.
De AIVD en MIVD gebruiken in het afwegingskader dat zij gebruiken de volgende definitie:
«Een onbekende kwetsbaarheid is een kwetsbaarheid in een geautomatiseerd werk die kan
worden gebruikt om dat geautomatiseerde werk binnen te dringen en waarvan het aannemelijk
is of verondersteld kan worden dat die niet bekend bij de producent of leverancier.»3
2.2 Risico’s Zerodays en het belang van digitalisering
Zerodays maken gebruikers van het apparaat of de software waar de softwarefout zich
in bevind kwetsbaar voor hackaanvallen, totdat er een «patch» beschikbaar is die het
«gat» dicht. Apparaten waarop die software draait kunnen bijvoorbeeld gemanipuleerd
worden of er kan data gelekt worden. Neem bijvoorbeeld een fout in de software van
een slimme thermostaat. Die kan een hacker in staat stellen om de temperatuur op afstand
te manipuleren, of gegevens te downloaden over het gebruik van de thermostaat en daarmee
te bepalen of iemand thuis is. Dat is nuttige informatie voor inbrekers. Ook kan het
apparaat gebruikt worden om DDoS-aanvallen mee te plegen, bijvoorbeeld om het bankverkeer
stil te leggen.
Het belang van digitalisering neemt steeds verder toe. We gebruiken steeds vaker digitale
technologieën in ons dagelijks leven, de overheid digitaliseert steeds meer en bedrijven
en bedrijfsprocessen worden steeds meer digitaal. Hetzelfde geldt voor onze vitale
infrastructuur, zoals energienetwerken, waterkeringen, sluizen en communicatienetwerken.
De Wetenschappelijke Raad voor Regeringsbeleid zegt over digitalisering:
«Het internet is niet meer weg te denken uit ons dagelijks leven. Het is vervlochten
met ons sociale leven, consumptie, werk en relatie met de overheid, en in toenemende
ook met steeds meer objecten die we dagelijks gebruiken, van de slimme meter tot de
auto waarin we rijden en de ophaalbrug die we onderweg tegenkomen.»4
Ook het Rathenau Instituut ziet deze ontwikkeling:
«Het verschil tussen online en offline vervaagt. Zonder te weten wat het precies betekent,
leven we daardoor steeds meer in een digitale samenleving. Digitale technologieën
veranderen de manier waarop docenten lesgeven, hoe dokters en patiënten met elkaar
praten, waar politici over debatteren en hoe mensen nieuws delen. Achter de schermen
werken algoritmen en kunstmatige intelligentie op manieren die we vaak niet eens herkennen.
Onze samenleving wordt op deze manier compleet anders ingericht.»5
De Nederlandse Digitaliseringsstrategie van het kabinet benadrukt ook de economische
kansen die digitalisering biedt6: «Digitalisering transformeert onze economie en maatschappij in een razendsnel tempo.
Dit is een wereldwijde ontwikkeling, waarbij digitale technologieën op steeds meer
plekken worden ingezet. Het gaat bijvoorbeeld om big data analyse, kunstmatige intelligentie,
blockchain, 3D printen, cloudstorage en -computing en het internet der dingen. Digitalisering
is de belangrijkste bron van groei, innovatie en nieuwe bedrijvigheid. En digitalisering
is noodzakelijk als we de maatschappelijke uitdagingen van onze tijd willen oplossen,
zoals de stijgende zorgkosten, de groeiende filedruk of het zorgen voor voldoende,
gezond en duurzaam geproduceerd voedsel.
Digitalisering transformeert ook ons dagelijks leven. We kunnen online winkelen, zaken
doen met de overheid, op afstand werken, internetbankieren en onze belastingaangifte
doen. Internetplatforms, zoals Google, Bol.com, Booking.com en Marktplaats, bieden
grote voordelen zoals betere toegang tot kennis, makkelijkere en snellere communicatie,
en nieuwe mogelijkheden voor ondernemers en consumenten om producten en diensten aan
te bieden in Nederland en daarbuiten.
Nederland heeft een goede uitgangspositie om de economische en maatschappelijke kansen
van digitalisering te verzilveren. We hebben een digitale infrastructuur van wereldklasse.
Wifi en bluetooth zijn uitvindingen van Nederlandse bodem. De AMS-IX, een van de belangrijkste
internetknooppunten ter wereld, bevindt zich in ons land. Nederland heeft internationaal
gezien een hoog opgeleide beroepsbevolking en consumenten lopen hier vaak voorop in
het omarmen van nieuwe digitale toepassingen. Ook hebben we in Nederland toonaangevende
bedrijven als Booking.com, TomTom, Adyen, NXP, Coolblue en WeTransfer.»
Ook de Cybersecurity Raad benadrukt het grote belang van digitalisering voor Nederland7:
«Nederland heeft zich ontwikkeld tot één van de meest ICT-intensieve economieën van
Europa, dankzij onze uitstekende digitale infrastructuur. Denk aan het Amsterdam Internet
Exchange (AMS-IX), het grootste internetknooppunt ter wereld, en onze razendsnelle,
breedbandige telecomnetwerken. Dat brengt ons veel goeds. Zo is Nederland een aantrekkelijk
vestigingsland voor ICT-bedrijven en multinationals. E-commerce genereert nieuwe economische
activiteiten en werkgelegenheid. Slimme digitale toepassingen dragen bij aan innovatie
en vooruitgang in tal van sectoren. Burgers communiceren steeds vaker digitaal met
de overheid en krijgen steeds meer slimme meters en apparatuur in huis.
De afgelopen 25 jaar zorgde digitale bedrijvigheid voor ruim een derde van alle economische
groei. Ruim 5 procent van ons BNP wordt inmiddels verdiend met ICT. De digitale economie
vormt inmiddels een derde mainport, naast Schiphol en de Rotterdamse haven. Een mainport
die bovendien sneller groeit dan andere economische sectoren.
Digitalisering biedt dus enorme kansen voor de samenleving en economie van de 21e
eeuw.
Maar dan is het wel zaak te zorgen dat de digitale wereld veilig en vertrouwd blijft.
Of het nu gaat om innovatie, de bescherming van bedrijfsgevoelige informatie, privacy
of onze nationale veiligheid: cybersecurity is een basisvoorwaarde voor een welvarende
en veilige samenleving in de 21e eeuw. Net zoals we ons land beschermen tegen overstromingen,
zullen we ook in de digitale wereld onze dijkbewaking op orde moeten brengen. Alleen
zo houden we digitaal droge voeten en kunnen we alle kansen die digitalisering ons
land biedt, volop benutten.»
Het beeld dat deze organisaties schetsen is duidelijk. Digitalisering is van groot
belang voor onze samenleving, onze economie en onze vrijheden. Bovendien zal dat belang
in de toekomst alleen maar toenemen. We gebruiken digitale technologieën steeds vaker
in onze vitale infrastructuur, in de zorg, op het werk, in onze vrije tijd en op het
gebied van mobiliteit. De nieuwe «kampioenen» van het bedrijfsleven zijn veelal digitale
bedrijven als Adyen, Elastic, Booking en Wetransfer. Het wordt tijd dat ook de overheid
het belang van digitalisering goed op waarde schat.
2.3 Groeiend belang cybersecurity
Gelijk met het belang van digitalisering groeit ook het belang van cybersecurity in
onze samenleving. Voor mensen is het belangrijk dat producten en apparaten veilig
zijn. Onveilige apparaten zorgen er nu bijvoorbeeld voor dat persoonlijke gegevens
van mensen lekken of dat kinderen benaderd en gechanteerd worden door pedofielen.
Voor bedrijven groeit het belang van het beveiligen van bedrijfsgeheimen. We zien
namelijk steeds vaker cyberaanvallen uit andere landen bedoeld om technologie te stelen.
Tegelijkertijd zien we steeds meer cyberaanvallen op vitale infrastructuur, zoals
energienetwerken, communicatienetwerken, democratische instituties, banken en zorginstellingen.
Ook binnen de vitale sectoren zijn processen steeds meer gedigitaliseerd en dus kwetsbaar
voor cyberaanvallen. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) zegt in
het meest recente jaarverslag steeds vaker activiteiten te signaleren die erop zijn
gericht digitale sabotage van vitale infrastructuur mogelijk te maken. Ook volgens
het Nationaal Cyber Security Centrum (NCSC) neemt deze dreiging toe; de aanvallen
zijn bovendien steeds geavanceerder en complexer. Het NCSC ziet sabotage en verstoring
door statelijke actoren als de grootste dreiging voor de nationale veiligheid.
De Cybersecurity Raad benadrukt de grote maatschappelijke kosten die gemoeid gaan
met slechte cyberveiligheid: «... cyberdreigingen nemen fors toe. Kwetsbaarheden in ICT-systemen, zoals een tekortschietende
beveiliging of verouderde software, vormen de achilleshiel van onze digitale veiligheid.
Cybercrime vormt in Nederland nu al een schadepost van 10 miljard euro. Het Cyber
Security Beeld Nederland 2016 (CSBN 2016) schetst een zorgelijk beeld van de veiligheidssituatie
in het digitale domein. De dreigingen zijn gericht op diefstal van geld en kostbaar
intellectueel kapitaal. Ook het verstoren en saboteren van diensten en processen bij
overheden en cruciale maatschappelijke organisaties komt voor. Grootschalige maatschappelijke
ontwrichting kan het gevolg zijn, bijvoorbeeld als energiecentrales, transportsystemen
of waterkeringen aangevallen worden.»8
Maar ook de veiligheid van onze vitale infrastructuur is in het geding. De Algemene
Rekenkamer zegt in een rapport over de cyberveiligheid van onze vitale waterwerken:
«Vitale waterwerken maken voor het aansturen van processen gebruik van automatiseringssystemen
die veelal stammen uit de jaren ’80 en ’90 van de 20e eeuw. Toen was het woord cybersecurity
nog geen gemeengoed. Deze systemen functioneerden oorspronkelijk stand alone (losstaand)
maar zijn in de loop der jaren gekoppeld aan grotere computernetwerken, bijvoorbeeld
om bediening op afstand mogelijk te maken. Daardoor is de kwetsbaarheid ervan voor
cyberdreigingen toegenomen.»9
Uit het Cybersecuritybeeld 2018 blijkt dat volgens de NCTV en het NCSC sabotage en
verstoring door staten de grootste dreiging vormt voor de nationale veiligheid. «Staten voeren vanuit geopolitieke motieven steeds meer digitale aanvallen uit op andere
landen, organisaties of individuen. Zij hebben als doel verwerving van strategische
informatie via spionage, beïnvloeding van de publieke opinie of democratische processen
en verstoring of zelfs sabotage van vitale systemen. Digitale aanvallen door staten
zijn het afgelopen jaar concreet waargenomen. Opvallend is dat eenvoudige aanvalstechnieken
succesvol worden ingezet en dat de Nederlandse ICT-infrastructuur wordt misbruikt
om aanvallen op andere landen uit te voeren. Grote incidenten laten zien dat actoren
het risico van nevenschade niet voorzien of mogelijk zelfs accepteren. In het buitenland
heeft nevenschade geleid tot maatschappelijke verstoring, in Nederland tot economische
schade. Door de afhankelijkheid van (buitenlandse) partijen groeit de kwetsbaarheid
voor spionage, verstoring en sabotage. Buitenlandse partijen kunnen in specifieke
landen wettelijk verplicht worden mee te werken aan het ondersteunen van operaties
zoals spionage of voorbereidingen voor sabotage.»10
In het meest recente cybersecuritybeeld blijkt zelfs dat maatschappelijke ontwrichting
op de loer ligt. Het NCTV zegt: «Vrijwel alle vitale processen en diensten zijn volledig afhankelijk van ICT. Door
het bijna volledig verdwijnen van analoge alternatieven en de afwezigheid van terugvalopties
is de afhankelijkheid van gedigitaliseerde processen en systemen zo groot geworden
dat aantasting hiervan kan leiden tot maatschappij-ontwrichtende schade. Vitale processen
zijn in hoge mate afhankelijk van elektriciteitsvoorziening en datacommunicatie. Uitval
en verstoring hiervan hebben zeer snel, binnen enkele uren, impact op een aantal vitale
processen. Vanwege de omvang van de dreiging en het achterblijven van de weerbaarheid,
ontstaan risico’s voor de nationale veiligheid.»
Ook de AIVD wijst op de kwetsbaarheden van digitale systemen in het jaarverslag 2018:
«activiteiten van andere landen waarmee zij op heimelijke wijze informatie verzamelen
in en over Nederland en daarmee onze belangen schaden, noemen wij spionage. Spionage
kan digitaal plaatsvinden, bijvoorbeeld door het inbreken in een systeem, of fysiek
via personen. Het kan gaan om belangrijke politieke inlichtingen, bijvoorbeeld ten
aanzien van besluitvormingsprocessen en standpunten van de regering. Ook kan een ander
land proberen via spionage (bedrijfs)geheimen te stelen om daarmee de eigen economie
een impuls te geven.
Uit onze onderzoeken is verder gebleken dat digitale spionage steeds complexer wordt.
Statelijke actoren maken in toenemende mate gebruik van vaker gebruikte methoden en
technieken, waardoor het vaststellen van de herkomst van een aanval (attributie) wordt
bemoeilijkt. Daarnaast gebruiken statelijke actoren in toenemende mate internetserviceproviders
en managed service providers als springplank om binnen te dringen bij een doelwit.
Deze dienstverleners hebben uit hoofde van hun dienstverlening vaak diepgravende,
omvangrijke en structurele toegang tot informatie van organisaties of personen. Zulke
methoden bemoeilijken detectie, analyse en attributie van digitale aanvallen.
Staten kunnen ook een dreiging vormen voor de onafhankelijkheid en zelfstandigheid
van Nederland doordat zij digitale sabotage van vitale infrastructuur mogelijk maken.
Dit doen zij door zich toegang te verschaffen en zich vervolgens in te nestelen in
ICT-systemen van vitale processen. De AIVD heeft gezien dat hiertoe pogingen zijn
gedaan.»11
Uit deze rapporten komt een duidelijk beeld naar voren: hoe meer onze samenleving
digitaliseert hoe belangrijker goede cybersecurity wordt. Mensen, bedrijven, vitale
infrastructuur en overheden gebruiken allemaal steeds meer digitale technologie. Dat
biedt veel kansen, maar vergt ook meer aandacht voor de veiligheid van die digitale
technologie. Uit publicaties van de meest toonaangevende instanties in Nederland op
het gebied van cyberveiligheid blijkt de potentiële maatschappelijke en economische
schade van slechte cyberveiligheid. Ondanks de vele hackaanvallen, datalekken en rapporten
die waarschuwen voor de grote gevolgen van slechte cyberveiligheid wordt het belang
ervan nog onvoldoende erkend.
2.4 Hackaanvallen in de praktijk
Dat het belang van cybersecurity is toegenomen door de digitalisering van onze samenleving
is geen theoretische constatering. De afgelopen jaren zijn er tal van cyberaanvallen
geweest die dit belang concreet hebben aangetoond. De AIVD zegt in haar jaarverslag
2017 dat zij «digitale spionage [hebben] vastgesteld bij diverse Europese multinationals en onderzoeksinstellingen
in de energie-, hightech-, en chemische sector. Hieronder bevinden zich diverse organisaties
die intensieve samenwerkingsrelaties hebben met Nederland of vestigingen hebben in
Nederland. Bij deze digitale inbraken zijn terabytes aan vertrouwelijke gegevens gestolen
die een substantiële economische waarde vertegenwoordigen. Dergelijke hardnekkige
digitale aanvallen vormen een bedreiging van het economisch verdienvermogen van Nederland.»
De bekendste cyberaanvallen van de afgelopen jaren zijn waarschijnlijk Wannacry en
NotPetya. Wannacry heeft waarschijnlijk tussen de 4 en 8 miljard dollar schade veroorzaakt
en NotPetya zelfs tot 10 miljard dollar. Wannacry was een ransomware aanval in mei
2017. Deze cryptoworm gebruikte een kwetsbaarheid in Microsoft Windows (EternalBlue)
om systemen binnen te dringen. Deze kwetsbaarheid was bekend geworden doordat een
hackersgroep genaamd Shadow Brokers een server van de NSA had gehackt en de daarop
gevonden hacktools openbaar had gemaakt. De EternalBlue kwetsbaarheid was een zeroday
die door de NSA geheim was gehouden zodat het gebruikt kon worden door de NSA om hackaanvallen
te plegen.
De Wannacry aanval bereikte meer dan 200.000 computers in meer dan 150 landen. Een
van de grootste slachtoffers van de Brits «National Health Service». De ransomware
besmette computers, MRI scanners, bloedopslag systemen en andere apparatuur, waardoor zelfs kankerpatiënten tijdelijk niet
geholpen konden worden. Ook legde de aanval fabrieken van Nissan en Renault stil en
werd het treinverkeer in Duitsland ontregeld.
NotPetya had In Nederland een nog grotere impact. De cyberaanval trof onder andere
de Rotterdamse haven, een van de Nederlandse economische mainports. Twee grote container
terminals werden platgelegd door NotPetya, dat waarschijnlijk door Rusland is gemaakt.
Waarschijnlijk heeft dit tientallen miljoenen schade veroorzaakt.
Een van de grootste slachtoffers van de cyberaanval was Maersk, het Deense logistiek
bedrijf. NotPetya legde de complete digitale infrastructuur van Maersk plat. Twee
weken lang kon het bedrijf computersystemen niet gebruiken om containers te verschepen.
Bij havens over de hele wereld ontstonden kilometer lange files van vrachtwagens met
containers die Maersk niet kon verwerken. Medewerkers begonnen bestellingen met de
hand, via WhatsApp, met persoonlijke Gmail accounts en met excelsheets bij te houden.
Uiteindelijk kon Maersk zijn backups herstellen doordat een server in Ghana tijdens
de aanval uit was gevallen door een stroomaanval en daardoor niet was besmet. Een
van de medewerkers van het bedrijf is naar het land gevlogen en met de backup op een
fysieke harde schijf terug gevlogen naar het crisiscentrum in Engeland. Uiteindelijk
moest het bedrijf de complete digitale infrastructuur opnieuw opbouwen, waaronder
4000 servers en 45,000 computers. De aanval kostte het Deense bedrijf tussen de 250
en 300 miljoen dollar.
De meeste bekende cyberaanval door een statelijke actor was de Stuxnet aanval. Deze
digitale aanval, waarschijnlijk uitgevoerd door Israël en de Verenigde Staten, maakte
gebruik van verschillende zerodays en had als doel het verstoren van het Iraanse atoomprogramma.
De Stuxnet-worm beïnvloedde de werking van zogeheten SCADA-systemen die aanwezig waren
in nucleaire centrales van Iran en zorgde ervoor dat ongeveer een vijfde van Irans
nucleaire centrifuges zichzelf vernietigden.
Meer recent werd bekend dat het Amerikaanse Cyber Commando Iraanse raketsystemen onklaar
had gemaakt.12 Details ontbreken, maar het toont wel aan dat offensieve cybercapaciteiten steeds
meer een «regulier» onderdeel uitmaken van krijgsmachten.
Daarnaast zien we ook steeds vaker dat statelijke actoren ingekochte kant en klare
hacksoftware gebruiken voor inlichtingendoelen. Het meest bekende voorbeeld is het
gebruik door Saoedi-Arabië van hacksoftware van het Israëlische bedrijf NSO Group
om de vermoorde Saudische journalist Khashoggi te volgen.13 Maar dezelfde software wordt ook gebruikt door Mexico en de Verenigde Arabische Emiraten
om journalisten en dissidenten te volgen.14 Ook hacksoftware van Europese bedrijven als HackingTeam en Gamma International wordt
gebruikt door repressieve regimes in Sudan, Ethiopië, Bahrein, Egypte en Kazachstan.
Naast deze cyberaanvallen zijn er veel meer voorbeelden van hackaanvallen met grote
maatschappelijke gevolgen:
• In 1998 slaagde een tiener erin om de communicatie tussen inkomende vliegtuigen en
de luchtverkeersleiding in Worcester, Massachusetts af te snijden.
• In 2001 kreeg een criminele hacker toegang tot een rioolwaterzuiveringsinstallatie
in Maroochy Shire, Queensland, Australië en liet miljoenen liters rioolwater lekken,
met enorme schade aan de plaatselijke natuur en potentiële gezondheidsrisico’s voor
inwoners tot gevolg.
• Tussen 2005 en 2007 was er sprake van een golf van cyberaanvallen vlakbij Rio de Janeiro.
Dat leidde er onder andere toe dat meer dan 3 miljoen mensen en bedrijven zonder stroom
zaten, met grote economische schade tot gevolg.
• In 2009 berichtte de Wall Street Journal dat staatshackers van China, Rusland en andere
landen Amerikaanse energienetwerken waren binnengedrongen. Vooralsnog zijn de aanvallen
vooral gericht op het in kaart brengen van de energienetwerken en op het inbouwen
van mogelijkheden om in oorlogstijd de netwerken plat te kunnen leggen.
• In 2011 slaagden hackers erin een waterzuiveringsinstallatie in South Houston, Texas
te hacken en een pomp te beschadigen door het snel achter elkaar aan en uit te schakelen.
• In 2013 zei de Amerikaanse overheid dat China achter een serie cyberaanvallen zat
die gericht was op het achterhalen van informatie over de nieuwe F-35 straaljager
en andere technologische kennis over een nieuwe raketsysteem, de F/A 18 straaljager,
de V-22 Ospreys helikopter en nieuwe marineschepen.
• In 2015 werd bekend dat Chinese hackers toegang hadden verkregen tot systemen van
ASML en mogelijk technologische kennis hebben gestolen. Achteraf bleek dat de hackers
via een zeroday toegang hadden gekregen tot een VPN-verbinding die gebruikt werd door
een dochterbedrijf van ASML.
• In 2017 berichtte het bekende technologie tijdschrift Wired dat Rusland Ukraine gebruikt
als een «cyber test lab». De aanvallen die Rusland in Ukraine uitvoert zouden een
soort blauwdruk zijn voor wat Rusland wereldwijd aan cyberaanvallen zou kunnen uitvoeren.
Een leger van hackers zou systematisch vrijwel elke sector in het land aanvallen.
Van energienetwerken tot banken en van mediabedrijven tot openbaar vervoer. Informatie
wordt gestolen, computers platgelegd en systemen gemanipuleerd.
De dreiging van hackaanvallen is geen theoretisch probleem. Er zijn tal van voorbeelden
van hackaanvallen die grote gevolgen hadden voor onze economie, onze vrijheid en onze
veiligheid. Dergelijke aanvallen zullen in de toekomst alleen maar toenemen als gevolg
van onze steeds verder digitaliserende samenleving. De enige manier om dit te voorkomen
is om het belang van cyberveiligheid te erkennen en concrete stappen te nemen om onze
cyberveiligheid te vergroten. Initiatiefnemer is van mening dat deze initiatiefwet
daaraan een concrete en belangrijke bijdrage kan leveren.
2.5 Actoren
Een breed scala aan actoren zoekt actief naar, en/of gebruikt, zerodays. Statelijke
actoren, criminelen, terroristische groeperingen, bedrijven, ethisch hackers, wetenschappelijk
onderzoekers enzovoort. Sommigen zoeken naar zerodays om ervoor te zorgen dat ze gedicht
worden, zoals ethisch hackers, onderzoekers en bedrijven. Anderen hebben als doel
zerodays te gebruiken om te hacken. Zo gebruiken statelijke actoren steeds vaker digitale
middelen om nationale belangen na te streven. Of het nou gaat om het stelen van technologische
informatie, het verdedigen van nationale veiligheidsbelangen of offensieve cybercapaciteiten.
Statelijke actoren gebruiken zerodays voor het vergaren van informatie voor opsporings-
of inlichtingendoeleinden of om computersystemen en de apparaten die door die systemen
aangestuurd worden te verstoren. Een goed voorbeeld van het laatste is de Stuxnet
aanval, waarmee nucleaire centrifuges gesaboteerd werden. Of meer recent werd bekend
dat Amerikaanse staatshackers Iraanse raketsystemen onklaar zouden hebben gemaakt.
Een ander voorbeeld van het gebruik van zerodays door inlichtingendiensten zijn de
Snowden-onthullingen. Snowden maakte bekend dat Amerikaanse inlichtingendiensten op
grote schaal hacktools gebruikten om mensen af te kunnen luisteren. Deze hacktools
maakten veelal gebruik van zerodays om apparaten binnen te dringen.
Ook criminelen maken veelvuldig gebruik van cyberaanvallen, vooral om geld buit te
maken. De pakkans is immers klein en de winsten groot. Traditionele criminele organisaties
als de Italiaanse Maffia, de Japanse Yakuza en andere georganiseerde misdaadorganisaties
hebben de afgelopen decennia ook een cybercrime-tak opgezet. Vaak gaat het om afpersing
via ransomware, het verspreiden van kinderporno of creditcardfraude. Er zijn zelfs
criminelen die «cybercrime as a service» aanbieden. Criminelen kopen hier kant en
klare software om ransomware te verspreiden of om DDoS-aanvallen uit te voeren.
Bovenstaande actoren zijn op zoek naar zerodays om ze te gebruiken om te hacken. Daarnaast
zijn er ook actoren op zoeken naar zerodays om ze kunnen dichten en zo software, apparaten
en uiteindelijk de mensen die ze gebruiken veiliger te maken. Ethische hackers en
wetenschappelijke onderzoekers zijn de meest belangrijke voorbeelden van actoren die
streven naar het vinden en dichten van zerodays. Overheden en bedrijven hebben bovendien
beleid ontwikkeld om ethisch hackers en onderzoekers te ondersteunen. Zo heeft Nederland
een zogeheten Responsible Disclosure richtlijn15 ontwikkeld en hebben veel bedrijven en overheden «bug-bounty»-programma’s om ethisch
hackers te belonen en te stimuleren. Er zijn zelfs bedrijven die hierop inspelen en
ethische hackers en bedrijven en overheden met bug-bounty programma’s met elkaar in
contact brengen, zoals de Groningse Startup HackerOne.
2.6 Nut en Noodzaak
2.6.1 Waarom is een afwegingskader nodig?
De gevolgen van hackaanvallen worden steeds groter. Onze samenleving digitaliseert
steeds verder en we sluiten steeds meer aan op het internet. Tegenwoordig zijn niet
alleen PCs, laptops en mobiele telefoons aangesloten op het internet, maar ook onderdelen
van onze vitale infrastructuur, hele fabrieken, systemen in het openbaar vervoer,
medische apparaten en energienetwerken. Het aantal apparaten groeit naar verwachting
snel van 9 miljard in 2017 naar 55 miljard in 2025.16 Nederland is dankzij de digitale mainport, het snelle internet en de digitaal vaardige
bevolking koploper in digitalisering.
Dat biedt tal van kansen. Bijvoorbeeld op het gebied van economische groei, betere
dienstverlening, meer gemak, betere zorg en veiligere communicatie. Het is belangrijk
om deze kansen goed op waarde te schatten omdat het geheimhouden van zerodays negatieve
gevolgen kan hebben voor deze belangen. Opengehouden zerodays kunnen namelijk ook
door andere actoren gevonden en gebruikt worden, met mogelijke schade als gevolg op
het gebied van economie, (cyber)veiligheid en vrijheid. Meer digitalisering betekent
namelijk ook meer kwetsbaarheid voor hackaanvallen en dus moet er meer aandacht zijn
voor cybersecurity. Het openhouden van zerodays heeft per definitie een negatief effect
op de cybersecurity van onze samenleving.
Neem een aanval als Wannacry. De kwetsbaarheid die werd gebruikt tijdens deze cyberaanval
was oorspronkelijk een zeroday die door de NSA geheim werd gehouden om zelf te kunnen
hacken. De NSA werd echter zelf gehacked door de hackgroep ShadowBrokers, die vervolgens
de kennis over de zeroday publiceerde. Vervolgens konden criminelen en statelijke
actoren die kennis gebruiken om hun eigen cyberaanvallen te lanceren, zoals de Wannacry
aanval. Deze aanval is volgens onderzoekers waarschijnlijk door Noord Korea geïnitieerd.
Het gevolg was miljarden aan economische schade, ziekenhuizen in het VK konden kankerpatiënten
niet behandelen en meerdere fabrieken in Europa lagen plat.
Internationaal zijn er meerdere voorbeelden van de enorme maatschappelijke en economische
schade die het openhouden van zerodays met zich mee kan brengen. De genoemde voorbeelden
zijn bovendien slechts van zerodays die eerst geheimgehouden zijn door overheden om
te kunnen hacken en onbedoeld publiek bekend zijn geworden. Het is zeer aannemelijk
dat overheden momenteel kennis over zerodays geheimhouden, terwijl statelijke actoren,
criminelen, terroristen of andere kwaadwillende actoren diezelfde zeroday gebruiken
voor minder goede bedoelingen.
Dit soort voorbeelden tonen de kwetsbaarheid van de steeds verdergaande digitalisering
van onze samenleving en de noodzaak van een goed afwegingskader voor het gebruik van
zerodays door overheden. Daarmee kunnen dit soort situaties in de toekomst worden
voorkomen. Met een goed afwegingskader kunnen namelijk betere beslissingen genomen
worden over het openhouden, dan wel het laten dichten, van zerodays.
2.6.2 Verschillende belangen
Het openlaten en gebruiken van zerodays om te hacken leidt tot een dilemma. Het openlaten
van een zeroday kan een bepaald inlichtingen of opsporingsbelang dienen. Deze belangen
zijn uitgebreid omschreven in de wet computercriminaliteit 3 (CC3), de wet op de inlichtingen
en veiligheidsdiensten (WIV) en de Defensie cyberstrategie. In essentie komen deze
belangen neer op de waarde van het inwinnen van informatie over verdachten en het
inwinnen van informatie die voor inlichtingendiensten van belang is voor de nationale
veiligheid door middel van het binnendringen van apparaten. Het belang van defensie
gaat verder dan het inwinnen van informatie en kan ook het beïnvloeden of platleggen
van de werking van apparaten omvatten, zoals het platleggen van een radarinstallatie
of een (deel van een) elektriciteitsnetwerk.
In de memorie van toelichting van de Wet Computercriminaliteit 3 wordt het belang
volgt omschreven: «Het doel van de bevoegdheid van onderzoek in een geautomatiseerd werk is om toegang
te verkrijgen tot de gegevens die in een geautomatiseerd werk zijn of worden verwerkt
ten behoeve van de opsporing van ernstige vormen van computercriminaliteit of andere
ernstige misdrijven.»17
De memorie van toelichting van de Wet op de Inlichtingen en Veiligheidsdiensten zegt
het volgende hierover: «De bevoegdheid van de diensten tot het kunnen binnendringen in een geautomatiseerd
werk en het kunnen overnemen van gegevens, zoals deze thans in artikel 24 van de Wiv
2002 is geregeld, is in de afgelopen jaren van groot belang gebleken. Met het oog
op het huidige dreigingsbeeld en het gegeven dat wij leven in een digitale wereld,
is het voor diensten noodzakelijk om deze bijzondere bevoegdheid te kunnen uitoefenen.
Het gebruik van digitale apparatuur zoals pc’s, smartphones, laptops, tablets, maar
ook de opslag in de cloud, is onmiskenbaar in alle facetten van het maatschappelijk
leven (bij burgers, bedrijven en overheden) doorgedrongen en heeft daar een niet meer
weg te denken positie verworven. Voeg daarbij de ontwikkeling van de Internet of Things
(waarbij apparaten, zoals koelkasten, auto’s, horloges e.d. in toenemende mate worden
gecomputeriseerd), waardoor onmiskenbaar blijkt hoe groot de impact van de digitalisering
op de samenleving is. Bij targets van de diensten is toegang tot de smartphone of
tablet tegenwoordig vaak relevanter dan bijvoorbeeld het binnentreden in een woning
of het inzetten van een telefoontap. Bij onderzoek naar cyberaanvallen gericht op
de Nederlandse infrastructuur of specifiek op de vitale sectoren is het belang om
hetzelfde gereedschap te hebben als de digitale aanvaller. Zonder dit gereedschap,
zijn de diensten niet staat om deze aanvallen (tijdig) te onderkennen.»
Tegelijkertijd kan het openlaten van een zeroday andere belangen schaden. Zo kan de
cyberveiligheid van de vitale infrastructuur negatief beïnvloed worden door het openlaten
van een zeroday in systemen die in de vitale infrastructuur gebruikt worden, bijvoorbeeld
in onze vitale waterinfrastructuur of energienetwerken. Onveilige consumentenapparaten
kunnen bovendien gebruikt worden door criminelen om (vaak jonge) mensen af te persen.
Er zijn tal van voorbeelden van jonge meisjes die door pedofielen zijn afgeperst om
naaktfoto’s en andere beelden te delen naar zij hun onveilige webcams hadden gehackt.
Ook zijn er tal van voorbeelden van hackaanvallen die zorgapparatuur onklaar maken
en daarmee adequate zorgverlening belemmeren, waarmee de fysieke gezondheid van mensen
aangetast kan worden.
Daarnaast kan het openlaten van een zeroday negatieve economische gevolgen hebben,
zoals we bij de Wannacry en NotPetya aanvallen hebben gezien. Deze aanvallen veroorzaakten
vele honderden miljoenen euro’s aan schade. Ook hebben kleine bedrijven en zzp’ers
steeds vaker te maken met hackaanvallen als ransomware die in sommige gevallen zelfs
tot faillissement en persoonlijke drama’s kunnen leiden. Een door een overheid opengelaten
zeroday in de software van apparaten van een Nederland bedrijf kan bovendien de reputatie
van het bedrijf aantasten en daarmee de economische belangen van Nederland raken.
Tot slot kunnen door de overheid opengelaten zerodays de individuele vrijheid van
individuen en de rechten van de mens aantasten. Onveilige apparaten of verbindingen
kunnen gevoelige data lekken, zoals privéinformatie, zorgdata en andere gevoelige
gegevens. Onveilige apparaten tasten het vertrouwen van mensen in technologie aan,
waardoor zij zich minder vrij voelen. Ook kan het leiden tot een gevoel van surveillance
waardoor mensen hun gedrag aanpassen.
2.6.3 Afwegingskader voor de hele overheid
In 2017 constateerde de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten
(CTIVD) het volgende: «Tekortkomingen bestaan ook in de omgang met onbekende kwetsbaarheden, zogenaamde «zerodays».
De werkwijze en de relevante afwegingen voor het al dan niet melden daarvan zijn intern
niet uitgewerkt en vastgelegd. Bovendien vindt van de gemaakte afwegingen geen centrale
verslaglegging plaats. Hierdoor is interne controle en extern toezicht op de gemaakte
afwegingen niet goed mogelijk. Deze werkwijze is onzorgvuldig.»18
De CTIVD constateerde kortom dat er een afwegingskader nodig is voor de omgang met
zerodays. In mei 2018 is uiteindelijk beleid vastgelegd voor de AIVD en MIVD waarin
uiteen wordt gezet hoe de diensten om moeten gaan met ontdekte zerodays. De kern van
het beleid wordt gevormd door het uitgangspunt: «melden, tenzij ...». De diensten
hebben immers een veiligheidsbevorderende taak om de veiligheid van informatie en
systemen te verbeteren. De diensten kunnen echter een uitzondering op de regel maken
als zij van mening zijn dat het niet melden van de zeroday in het belang is van de
nationale veiligheid.
Het beleid zegt het volgende over het afwegingsproces: «Aan de hand van het afwegingskader wordt gekeken naar de wettelijke bepalingen, operationele
overwegingen en belangen die door het melden kunnen worden behartigd. Dit afwegingskader
is niet absoluut. De antwoorden op de vragen worden per casus gewogen. Ook wordt er
periodiek (in ieder geval jaarlijks) gekeken of de niet gemelde kwetsbaarheid alsnog
kan worden gemeld.»19 Het Amerikaanse afwegingsproces voor zerodays (het zogeheten VEP proces) is als model
gebruikt als het gaat om de criteria en vragen die worden gehanteerd bij de afweging
een zeroday al dan niet te melden.
Om de beste beslissingen te nemen wat betreft het openlaten, dan wel melden of openbaar
maken van zerodays moeten deze belangen goed tegen elkaar afgewogen worden. Het Nederlands
belang is niet gediend bij het openlaten van zerodays die slechts een beperkte operationele
waarde hebben voor politie of AIVD, maar die wel een grote negatieve impact hebben
op onze economie, op de cyberveiligheid van onze vitale infrastructuur of de vrijheid
van mensen. Tegelijkertijd is onze nationale veiligheid niet gediend bij het verplicht
moeten melden van zerodays in software dat vooral door criminelen of buitenlandse
mogendheden wordt gebruikt. Een goede afweging, op basis van zoveel mogelijk informatie
en met een degelijke weging van verschillende belangen is daarom van groot belang
voor onze cyberveiligheid.
Daar hoort een afwegingskader bij dat voor de hele overheid geldt en niet alleen voor
de AIVD en MIVD. Momenteel bestaat er geen formeel vastgelegd afwegingskader voor
de Politie, Marechaussee, FIOD en Defensie. In het geval van de politie, Marechaussee
en FIOD is slechts vastgelegd dat de Rechter-Commissaris de beslissing moet maken
omtrent het al dan niet openhouden van de zeroday, maar een concreet afwegingskader
is niet opgesteld. Voor Defensie geldt dat de inzet van offensieve hackmiddelen geschied
via politiek mandaat, maar ook voor Defensie geldt dat er geen afwegingskader is opgesteld.
Bij het geven van een politiek mandaat wordt bovendien niet op voorhand duidelijk
welke middelen zullen worden ingezet en hoe de afweging tot goedkeuring van deze middelen
is verlopen. Hetzelfde geldt voor de verantwoording achteraf. Terwijl de beslissingen
die deze organisaties nemen met betrekking tot het al dan niet melden van zerodays
de werkwijze van onze inlichtingen- en veiligheidsdiensten, economische belangen,
(cyber)veiligheids- en vrijheidsbelangen of zelfs de veiligheid van onze vitale infrastructuur
kunnen schaden.
Een wettelijk vastgelegd afwegingskader zorgt er kortom voor dat:
A) De verschillende veiligheidsbelangen van de Politie, Marechaussee, Defensie, FIOD
en AIVD en MIVD elkaar niet onnodig schade berokkenen, en
B) Dat alle relevante belangen (economie, cyberveiligheid, vrijheid, etc.) meegewogen
worden in de afweging om een zeroday al dan niet te melden.
Dit afwegingskader moet leiden tot betere afwegingen over het al dan niet melden van
zerodays, wat beter is voor onze nationale veiligheid, onze cyberveiligheid, onze
economie, onze privacy en de veiligheid van onze vitale infrastructuur.
Bovendien kan Nederland, door het opstellen van een wettelijk geborgd afwegingskader,
bijdragen aan het vormgeven van een internationale norm van goede belangenafweging
voor het openhouden en gebruiken van zerodays. Dit kan ook wereldwijd leiden tot meer
cyberveiligheid en een betere borging van belangen die geschaad (kunnen) worden door
het openlaten van zerodays. Dit is voor een land als Nederland dat sterk gedigitaliseerd
is van groot belang.
2.6.4 Voorbeelden van afwegingsprocessen in andere landen en belangwekkende rapporten
Voor zover bekend hebben alleen de Verenigde Staten en het Verenigd Koninkrijk momenteel
een afwegingskader voor zerodays dat geldt voor de gehele overheid.20 Dit zijn in ieder geval de enige landen die documentatie hebben gepubliceerd over
hun afwegingsproces. Daarnaast bespreken we een belangwekkend rapport van de Stiftung Neue Verantwortung genaamd «Governmental Vulnerability Assessment and Management» waarin belangrijke
inzichten zijn geformuleerd over de vormgeving van een afwegingsproces voor zerodays.
2.6.4.1 Verenigde Staten
In 2015/2016 is een aantal documenten over het afwegingsproces, oftewel het: «Vulnerability
Equities Process» (VEP), in de Verenigde Staten openbaar gemaakt. Als reden voor het
opstellen van het VEP wordt het volgende gezegd over het vinden van zerodays door
overheden: «[this] may present competing equities for offensive and defensive mission interests». Daarom stelt het document dat: «actions taken in response to knowledge of a specific vulnerability must be coordinated
to ensure the needs of each of these «equities» are addressed». Kortom: het vinden en openhouden van zerodays leidt tot spanning tussen offensieve
en defensieve belangen en alle verschillende belangen moeten goed afgewogen worden.
Het doel van het Amerikaanse VEP is «het prioriteren van het publieke belang op het gebied van cybersecurity en het beschermen
van de vitale kern internet infrastructuur, informatie systemen, vitale infrastructuur
systemen en de Amerikaanse economie door middel van het openbaar maken van (onbekende)
kwetsbaarheden die gevonden worden door de Amerikaanse overheid, tenzij er een aantoonbaar,
doorslaggevend belang is bij het gebruik van de kwetsbaarheid voor wettige inlichtingen,
wetshandhaving of nationale veiligheidsdoeleinden.»
Om het VEP uit te voeren is een zogeheten «Equities Review Board» (ERB) opgericht,
oftewel een orgaan dat een afweging moet maken tussen verschillende belangen. Het
secretariaat wordt gevormd door het «National Security Agency» (NSA). Het ERB komt
elke maand samen en bestaat uit tal van overheidsinstanties, namelijk:
• Office of Management and Budget
• Office of the Director of National Intelligence (to include Intelligence Community-Security
• Coordination Center (IC-SCC))
• Department of the Treasury
• Department of State
• Department of Justice (to include the Federal Bureau of Investigation and the National
Cyber
• Investigative Joint Task Force (NCIJTF))
• Department of Homeland Security (to include the National Cybersecurity Communications
and
• Integration Center (NCCIC) and the United States Secret Service (USSS))
• Department of Energy
• Department of Defense (including the National Security Agency (NSA) (including Information
• Assurance and Signals Intelligence elements)), United States Cyber Command, and DoD
Cyber
• Crime Center (DC3)
• Department of Commerce
• Central Intelligence Agency
Bij de afweging om een zeroday geheim te houden of openbaar te maken wordt in ieder
geval een aantal categorieën overwegingen meegenomen, namelijk:
• «Defensive Equity Considerations»
• «Intelligence, Law enforcement, and Operational Equity Considerations»
• «Commercial Equity Considerations»
• «International Partnership Equity Considerations»
2.6.4.2 Verenigd Koninkrijk
Eind 2018 heeft ook het Verenigde Koninkrijk informatie gepubliceerd over het «Equities
Process» met betrekking tot zerodays. Ook in het VK is het uitgangspunt dat het openbaar
maken of melden van zerodays in het nationaal belang is. De inrichting van het proces
verschilt echter met de manier waarop het proces in de VS is ingericht. Naast een
«Equities Board», is er een ook een «Equities Technical Panel» en een «Equities Oversight
Committee». Naast een orgaan dat afwegingen maakt over het al dan niet geheimhouden
van zerodays is er dus ook een technisch orgaan dat een eerste schifting maakt en
een commissie dat toezicht houdt op het goed verlopen van het proces.
Het «Equities Board» wordt in het VK voorgezeten door een hoge ambtenaar, vaak afkomstig
uit het Engelse National CyberSecurity Centre (NCSC) en bestaat tevens uit vertegenwoordigers
van verschillende ministeries en overheidsinstanties. Bij het Engelse afwegingsproces
worden soortgelijke overwegingen gebruikt als in het Amerikaanse VEP; aanvullend wordt
ook het gebruik van de zogeheten «Common Vulnerability Scoring System» genoemd als
standaard om de «zwaarte» van zerodays een bepaalde waarde te geven.
2.6.4.3 Rapport: Governmental Vulnerability Assessment and Management
In augustus 2018 publiceerde de denktank Stiftung Neue Verantwortung (SNV) samen met de Transatlantic Cyber Forum een rapport genaamd: Governmental Vulnerability
Assessment and Management.21 Het rapport beschrijft het belang van goede afwegingsprocessen voor zerodays en zet
een kader neer voor de mogelijke inrichting van dergelijke afwegingsprocessen.
Het rapport stelt een aantal uitgangspunten op voor afwegingsprocessen voor zerodays:
• Elke overheid die zerodays wil gebruiken voor wetshandhaving, inlichtingendiensten
of militaire operaties moet een open en transparant afwegingskader opstellen.
• Het proces moet wettelijke verankerd worden, met een evaluatie gericht op effectiviteit
en proportionaliteit binnen vijf jaar.
• Het afwegingsproces voor zerodays moet worden toegepast op alle zerodays die door
de overheden zijn verworven, inclusief hacktools en -diensten die gebruik maken van
zerodays.
• Kwetsbaarheden worden nooit permanent bewaard.
• Het principe dat openbaarmaking van kwetsbaarheden in het beste belang is van handel,
burgerlijke vrijheden, openbare veiligheid en IT veiligheid moet voorop staan.
• Een overheid die kwetsbaarheden wil behouden, moet een kritieke behoefte aantonen
die opweegt tegen de beveiligingsvoordelen van openbaarmaking van de zeroday en een
plan opstellen om schade te minimaliseren, inclusief adequate beveiligingen om te
zorgen voor een veilige bewaring van zerodays door deze op de juiste manier te beschermen
Tegen ongeautoriseerde toegang gedurende de periode voorafgaand aan de bekendmaking.
Deze beveiliging moet een mechanisme bevatten om de openbaarmaking te versnellen in
het licht van een gebeurtenis die aangeeft dat het bestaan van de zeroday bekend is
bij derden.
• Regeringen die een dergelijk proces hebben uitgevoerd, moeten ernaar streven dit als
een internationale norm te promoten via relevante internationale coördinatiemechanismen
en samenwerkingsnetwerken.
• Onderzoek naar «collision rates» moet financieel worden gesteund door de overheid
om het behouden en gebruiken van zerodays te rechtvaardigen, zonder tegelijkertijd
de burgerlijke vrijheden, de handel, openbare veiligheid en IT-beveiliging in het
geding te breng.
• Een beter begrip van acquisitie van zerodays (bijvoorbeeld transparantievereisten
voor kwetsbaarheidsmarkten en handel) en openbaarmaking (bijvoorbeeld de implementatie
van gecoördineerde openbaarmaking van kwetsbaarheden) moet worden ontwikkeld.
Daarnaast bevat het rapport adviezen met betrekking tot de reikwijdte, de organisatorische
opzet, eventuele uitzonderingen, mitigatie maatregelen en overwegingen die belangrijk
zijn voor de inrichting van zeroday afwegingskaders. Een aantal adviezen uit het rapport
is relevant om te melden.
Allereerst over de reikwijdte. Het rapport stelt dat het afwegingskader voor alle
zerodays zou moeten gelden en dat overheden geen geheimhoudingsverklaringen zouden
mogen tekenen om te voorkomen dat zerodays door het afwegingsproces beoordeeld worden.
Dit zou ook moeten gelden voor de zerodays waarvan ingekochte hacktools gebruik maken.
Het toelaten van dit soort geheimhoudingsverklaringen en het aankopen van hacktools
zou het afwegingsproces omzeilen en is uiteindelijk slecht voor de cyberveiligheid
en daarmee het nationaal belang van Nederland. Ook benadrukt de denktank dat zerodays
die door ethische hackers, onderzoekers of anderen gemeld worden aan de overheid direct
aan de maker van de software gemeld moeten worden of openbaar gemaakt moeten worden.
Dit is cruciaal voor het vertrouwen in de overheid om deze functie als «neutrale derde»
te kunnen vervullen.
Ook op het gebied van de organisatorische opzet heeft de Stiftung Neue Verantwortung een aantal belangrijke aanbevelingen. Allereerst stelt de denktank dat er een centraal
orgaan, een secretariaat, moet zijn waar de verschillende overheidsinstanties samen
komen om afwegingen te maken en de verschillende belangen tegen elkaar af te wegen.
Elke overheidsinstantie die betrokken wordt in het afwegingskader moet een «Point
of Contact» (POC) aanwijzen die concreet zitting neemt in het afwegingsorgaan. Dit
afwegingsorgaan is, zoals eerder beschreven, in de Verenigde Staten onder het NSA
gehangen, maar het SNV geeft de aanbeveling om dit orgaan onder te brengen bij een
overheidsinstantie die beter aansluit bij het kernprincipe van het afwegingskader,
namelijk dat er een «bias towards disclosure» moet zijn. Bijvoorbeeld bij een instantie
dat zich bezig houdt met cybersecurity. Verder adviseert de SNV om het principe «bias
towards disclosure» vast te leggen in de stemverhoudingen, namelijk dat een zeroday
openbaar gemaakt of gemeld wordt als een robuuste minderheid (15% of meer) van de
POCs dat adviseert.
Met betrekking tot de afweging zelf stelt het SNV dat in ieder geval de volgende overwegingen
meegenomen moeten worden:
• Het verspreidingsniveau van de zeroday;
• Waarschijnlijkheid van patch-voorziening;
• Waarschijnlijkheid van acceptatie van patches;
• Mogelijke mitigatiemaatregelen;
• Herkomst van de software;
• De mate van gebruik van het betreffende product;
• Waarschijnlijkheid van detectie;
• Ernst van de kwetsbaarheid;
• De kans dat andere actoren dezelfde zeroday vinden (Collision rate);
• De operationele waarde van de zeroday.
2.7 Moet de overheid überhaupt de bevoegdheid hebben om te hacken?
Sommigen zijn van mening dat de overheid überhaupt niet de bevoegdheid zou moeten
hebben om te hacken, of alleen via bekende kwetsbaarheden. Initiatiefnemer is van
mening dat dit standpunt, hoe begrijpelijk ook, te rigide is. De argumentatie achter
dit standpunt is vergelijkbaar met die van de initiatiefnemer, namelijk dat het belang
van cybersecurity, mede doordat zoveel onderdelen van onze samenleving digitaal zijn
geworden (zorg, vitale infrastructuur, communicatie, bedrijfsprocessen, etc.), zo
groot is geworden dat het openlaten van zerodays een niet toelaatbaar risico is geworden.
Initiatiefnemer is het eens dat, door de toegenomen digitalisering van onze samenleving
en daarmee het gegroeide belang van cybersecurity, we zorgvuldiger om moeten gaan
met het openlaten van zerodays. Dat is de reden waarom initiatiefnemer pleit voor
een wettelijke geborgd afwegingskader met een «bias towards disclosure». Dat wil zeggen
dat belangen als economie, privacy en cyberveiligheid van mensen zwaar moeten wegen
in afwegingen om zerodays open te houden.
Dit zal in de meeste gevallen ertoe moeten leiden dat zerodays gemeld en gedicht worden.
Tegelijkertijd moeten politie, inlichtingendiensten en defensie de mogelijkheid houden
om te hacken via zerodays. Zeker als zij stuiten op zerodays in software die vooral
door criminelen gebruikt wordt of software dat alleen zit in militaire systemen van
niet-bevriende landen, dan moeten zij de mogelijkheid hebben om dergelijke zerodays
open te houden voor offensieve doeleinden. Dit betekent echter niet dat de overheid
ook consumentenauto’s moet kunnen hacken. Het veiligheidsrisico dat gepaard gaat met
het openhouden van dergelijke zerodays is simpelweg te groot. Andere actoren kunnen
immers dezelfde zeroday vinden en gebruiken om auto’s te hacken en daarmee de fysieke
veiligheid van miljoenen gezinnen op het spel zetten.
Initiatiefnemer is van mening dat een goede belangenafweging een betere manier is
om recht te doen aan de analyse dat cyberveiligheid steeds belangrijker wordt als
gevolg van de vergaande digitalisering dan een zwart/wit stelling dat een overheid
überhaupt geen zerodays zou mogen gebruiken om te hacken. Dit laat namelijk geen ruimte
voor de noodzakelijke nuance dat opsporings- en inlichtingendiensten effectief moeten
kunnen opereren in een digitale wereld, zonder daarmee belangen op het gebied van
economie, veiligheid en vrijheid onevenredig hard te raken. Uitgangspunt daarbij is
dat de (cyber)veiligheid van onze samenleving voorop staat, maar dat in bepaalde afgekaderde
uitzonderingen opsporings- en inlichtingendiensten de mogelijkheid moeten hebben om
zerodays te gebruiken om inlichtingen te verzamelen of verdachten op te sporen.
3. Hoofdlijnen van het wetsvoorstel
3.1 Uitgangspunten
Initiatiefnemer is van mening dat het Nederlandse Zeroday AfwegingsProces (ZAP) gebaseerd
moet zijn op een aantal uitgangspunten:
• Alle door de overheid verworven (gevonden of gekochte) zerodays moeten onderworpen
worden aan het ZAP en openbaar gemaakt kunnen worden of aan de maker van de software
gemeld kunnen worden.
• Het proces is ingericht met een «bias towards disclosure». Het (cyber)veiligheidsbelang
staat voorop, het openhouden van zerodays om te hacken is een uitzondering. Of zoals
het huidige afwegingskader voor de AIVD en MIVD zegt: «melden, tenzij…».
• Tegelijkertijd is de realiteit dat de overheid afhankelijk is van door bedrijven ontwikkelde
hacksoftware. De zerodays die door deze hacksoftware gebruikt worden om apparaten
of software binnen te dringen kunnen niet gemeld worden. De aankoop van hacksoftware
moet dus zoveel mogelijk vermeden worden (nee, tenzij). Daarom wordt de inkoop van
hacksoftware aan eisen onderworpen en moet het goedgekeurd worden door het afwegingsorgaan.
• Zerodays worden nooit permanent bewaard; er moet altijd een periodieke heroverweging
plaatsvinden.
• Alle relevante belangen bij het openhouden, dan wel melden, van zerodays (opsporing,
inlichtingen, economie, privacy, cyberveiligheid, etc.) worden vertegenwoordigd in
het afwegingsorgaan.
• Het ZAP wordt een wettelijke geborgd proces.
• Er is onafhankelijk toezicht op het ZAP en er wordt jaarlijks gerapporteerd over gemaakte
beslissingen.
3.1.1 Alle zerodays worden onderworpen aan het ZAP
Voor een goed functionerend ZAP is het belangrijk dat alle door de overheid verworven
zerodays het afwegingsproces doorlopen. De overheid kan zerodays «verwerven» door
zelf zerodays te vinden, door zerodays aan te kopen of doordat derden – vaak ethisch
hackers – zerodays melden aan de overheid.
Als zerodays niet onderworpen worden aan het afwegingsproces vindt er geen, of een
te beperkte, afweging plaats tussen aan de ene kant het operationeel belang en aan
de andere kant de mogelijke schadelijke gevolgen van het openlaten van de zeroday
op het gebied van economie, (cyber)veiligheid of burgerrechten. De CTIVD wees in rapport
53 tevens op deze problematiek.
Bovendien bestaat het risico dat de overheid zichzelf in de voet schiet. Belangen
van de ene overheidsorganisatie (bijvoorbeeld de politie) kunnen de belangen van andere
overheidsorganisaties, zoals de AIVD en MIVD, ondermijnen. Op dat moment vindt er
namelijk geen afweging plaats tussen het belang van het openhouden van een zeroday
en het belang van het dichten van een zeroday. Zo is het mogelijk dat een zeroday
die opengehouden wordt vanwege de opsporingsbelangen van de politie belangen van de
AIVD of MIVD op het gebied van nationale veiligheid, economie of vitale infrastructuur
schaadt.
Voor alle zerodays die de overheid zelf vindt of aankoopt geldt dat er een afweging
gemaakt moet worden door het afwegingsorgaan. Voor ingekochte zerodays betekent dat
dat voorafgaand aan de inkoop naar alle waarschijnlijkheid geen adequate afweging
te maken is omdat technische details ontbreken waardoor het afwegingsorgaan na inkoop
van dergelijke zerodays een afweging moet maken over het al dan niet geheimhouden
van de zeroday. Zerodays die door derden aan de overheid worden gemeld met de intentie
of verwachting dat de kwetsbaarheid wordt gedicht, bijvoorbeeld aan het NCSC of via
Responsible Disclosure procedures, worden altijd aan de maker van de software gemeld.
3.1.2 Het proces is ingericht met een «bias towards disclosure»
Nederland is een van de meest gedigitaliseerde landen ter wereld. We hebben het grootste
internet knooppunt ter wereld, we behoren tot de top 10 landen met het snelste internet
en Nederland heeft het op 1 na hoogste percentage internetgebruikers (82,9%). We hebben
veel grote bedrijven en startups die actief zijn in de «digitale economie», zoals
ASML, Philips, Adyen en Elastic, en Nederlanders gebruiken snel nieuwe internet diensten.
Tot slot heeft Nederland bovendien veel internationale instituties, waardoor het een
aantrekkelijk doelwit is voor statelijke actoren.
Bovendien sluiten we steeds meer aan op het internet. Niet alleen computers, tablets
en smartphones zijn aangesloten op het internet, maar ook hele fabrieken, openbaar
vervoerssystemen, watermanagement systemen, sluizen, elektriciteitsnetwerken, zorgapparaten,
webcams, enzovoorts. Dat biedt kansen, maar vergroot ook het risico op verstoring
of manipulatie van deze apparaten. Wat er kan gebeuren hebben we gezien bij cyberaanvallen
als Wannacry, Stuxnet en NotPetya. Tientallen miljoenen schade in de haven van Rotterdam,
openbaar vervoer dat platgelegd wordt, zorginstellingen die kankerpatiënten niet kunnen
helpen, storingen in elektriciteitsnetwerken met dodelijke gevolgen, mensen en bedrijven
die geen betalingen meer kunnen doen.
Zeker voor een klein land als Nederland, dat heel erg afhankelijk is van handel en
internationale samenwerking is het belangrijk om de risico’s van de vergaande digitalisering
van onze samenleving op waarde te schatten. Dat betekent dat Nederland veel aandacht
moet besteden aan goede cybersecurity. Dit wetsvoorstel is een belangrijk onderdeel
in een bredere cybersecurity agenda met aandacht op het gebied van bewustwording van
cyberhygiëne en het menselijke aspect van cybersecurity, het delen van informatie
(via het NCSC) en het stimuleren van veiligere apparaten.
Initiatiefnemer is van mening dat, door de vergaande digitalisering van de Nederlandse
economie en samenleving en de risico’s en kwetsbaarheden op het gebied van cyberveiligheid
die daarmee gepaard gaan, het in het belang is van Nederland om het Zeroday AfwegingsProces
in te richten met een «bias towards disclosure», oftewel een voorkeur voor het openbaar
maken van zerodays of het melden van zerodays bij de maker van de software. Zo kunnen
potentieel gevaarlijke zerodays gedicht worden en kunnen criminelen en statelijke
actoren deze zerodays niet meer gebruiken voor cyberaanvallen op Nederlandse doelwitten.
Dat vergroot uiteindelijk de cyberveiligheid van Nederland. Dit betekent concreet
dat een zeroday openbaar wordt gemaakt of gemeld wordt aan de maker van de software
als een meerderheid van de POC’s in het afwegingsorgaan pleit voor bekendmaking.
De afwegingskaders in de VS en het VK zijn tevens ingericht met een «bias towards
disclosure», daardoor sluit dit principe ook aan op de internationale praktijk van
afwegingskaders van zerodays. Bovendien is het huidige afwegingskader van de inlichtingendiensten
ingericht vanuit het uitgangspunt «melden, tenzij». Bovendien geldt voor Nederland
dat wij nog kwetsbaarder zijn dan de VS en het VK voor cyberaanvallen en daardoor
nog voorzichtiger moeten zijn met het openhouden van zerodays. Initiatiefnemer is
van mening dat het in het belang is van een klein land als Nederland als wereldwijd
de standaard wordt dat overheden zerodays in principe melden of openbaar maken in
plaats van openhouden. Nederland kan met dit wetsvoorstel een rol spelen om die standaard te zetten.
3.1.3 Ook hacksoftware moet door het afwegingskader
Bij het inkopen van hacking tools die gebruik maken van zerodays ontstaat een ander
dilemma. Bedrijven die hacking tools aanbieden schrijven kant-en-klare software (exploits)
om apparaten of software binnen te dringen, vaak in de vorm van een makkelijk te gebruiken
programma’s die iedereen kan gebruiken. De koper van de hacking tool gebruikt dus
feitelijk de zeroday om te kunnen hacken, maar krijgt geen specifieke kennis over
de zeroday of is gehouden aan een geheimhoudingsverklaring. Kennis over de zeroday
is immers het verdienmodel van het bedrijf. Veel van de informatie die nodig is om
een goede afweging te maken over de zeroday is daarom niet voorhanden en het resultaat
van het afwegingsproces kan nooit het openbaar maken van de zeroday zijn. Toch is
het wenselijk om eisen te stellen aan de inkoop van hacksoftware waarvan aannemelijk
is dat het gebruik maakt van een zeroday22 en om de afweging ook via het afwegingsorgaan te laten verlopen.
De hacksoftware-markt heeft namelijk een aantal zeer onwenselijke aspecten. Allereerst
kopen dit soort bedrijven zerodays, inclusief kant en klare exploits, van (black hat)
hackers. Deze hackers worden hierdoor gestimuleerd om gevonden zerodays niet aan de
maker van de software (Apple, Google, Microsoft, etc.) te melden en daarmee mensen
veilig te houden, maar aan dit soort bedrijven die het verwerken in hun hacksoftware. Dit kan namelijk gaan om bedragen van boven de miljoen euro per zeroday,
meer dan bedrijven als Google en Apple bieden om zerodays te melden. Zo stimuleren
deze bedrijven, en indirect ook overheden die klant zijn van deze bedrijven, een markt
die als gevolg heeft dat mensen onveiliger zijn; evenals onze economie en onze samenleving.
Daarnaast leveren dit soort bedrijven vaak aan schimmige regimes die de hacksoftware
inzetten tegen dissidenten, mensenrechtenactivisten en journalisten. Soms met mensenrechtenschendingen
tot gevolg. Zakendoen met dit soort bedrijven is wat de initiatiefnemer betreft uitgesloten.
Ook in het Regeerakkoord is afgesproken dat de AIVD leveranciers screent en dat geen
hacksoftware gekocht wordt van bedrijven die zakendoen met «dubieuze regimes», oftewel
regimes waartegen vanuit de EU of de VN repressieve sancties bestaan.
Tot slot is het op de lange termijn onwenselijk om voor onze offensieve cybercapaciteiten
afhankelijk te zijn van dergelijke private aanbieders die aan tal van statelijke actoren
dezelfde hacksoftware verkopen. Andere staten kunnen dezelfde hacksoftware inkopen
en daarmee belangrijke kennis vergaren over onze offensieve capaciteiten. Landen kunnen
de hacksoftware «reverse engineeren» en defensieve maatregelen treffen of in hun aankoopbeleid
rekening houden met de mogelijkheden van commercieel beschikbare hacksoftware.
Deze negatieve aspecten moeten meegewogen worden bij een beslissing als overheid om
dergelijke hacksoftware in te kopen. Initiatiefnemer meent dat het uitgangspunt moet
zijn dat de Nederlandse overheid in principe geen hacksoftware koopt, tenzij er geen
andere mogelijkheid is om zwaarwegende offensieve belangen te verdedigen. Het geniet
de voorkeur dat de overheid zelf mogelijkheden ontwikkelt om offensieve cyberactiviteiten
te kunnen ontplooien in plaats van afhankelijk te zijn van de inkoop van hacksoftware.
Tegelijkertijd beseft initiatiefnemer zich dat de Nederlandse overheid op dit moment
afhankelijk is van dergelijke hacksoftware en een verbod op het gebruik een te grote
inbreuk zou doen op de offensieve cybercapaciteiten van Nederland. Toch is het belangrijk
dat de Nederlandse overheid deze markt zo weinig mogelijk stimuleert en een aantal
eisen stelt aan de inkoop van hacksoftware. Maar bovenal dat het principe «nee, tenzij…»
ten opzichte van de inkoop van hacksoftware ingebed wordt in het overheidsbeleid.
Ook de inkoop van hacksoftware moet daarom door het afwegingsorgaan goedgekeurd worden.
Als de inkoop van hacksoftware buiten het kader gehouden zou worden dan zou dat een
incentive kunnen creëren om juist vaker hacksoftware in te kopen en zo buiten de controle
van het afwegingskader om te kunnen werken. De uitkomst van de afweging over het al
dan niet inkopen van hacksoftware kan niet zijn dat de zeroday gemeld wordt aan de
maker van de software, maar alleen of de software wel of niet gekocht wordt. Tegelijkertijd
kan er wel een afweging gemaakt worden over het offensieve belang van de hacksoftware
versus de schade op het gebied van algemene cyberveiligheid door deze markt te stimuleren
en de eventuele beschikbaarheid van alternatieven. Dat is immers het principe van
het afwegingskader: weegt het offensieve belang op tegen de negatieve defensieve gevolgen?
• Het afwegingsorgaan moet handelen vanuit het principe: «nee, tenzij ...»
• Om afhankelijkheid op de lange termijn te voorkomen is het beter om zelf offensieve
cybercapaciteiten te ontwikkelen, dan hacksoftware in te kopen.
• Dit betekent dat de organisatie die hacksoftware wil inkopen in het afwegingsorgaan
moet aantonen dat het offensieve belang zwaarder weegt dan de negatieve (defensieve)
gevolgen, zoals het stimuleren van deze schimmige markt, en dat er geen redelijke
alternatieven zijn. Is de inkoop van hacksoftware onvermijdelijk om bepaalde offensieve
belangen te behartigen?
• Voortaan geldt dat bedrijven waarvan de Nederlandse overheid hacksoftware inkoopt
geen zaken mogen doen met landen die op EU of VN sanctielijsten staan.
3.1.4 Zerodays worden nooit permanent bewaard
De afweging over het al dan niet geheimhouden van zerodays moet onderworpen worden
aan een periodieke heroverweging. Verschillende afwegingsfactoren kunnen door de tijd
heen veranderen. Apparaten die kwetsbaar zijn voor hackaanvallen via een betreffende
zeroday kunnen in maatschappelijk belang toenemen. De kans dat andere actoren de zeroday
ook ontdekken kan na verloop van tijd toenemen. Zo zijn er nog tal van factoren die
kunnen veranderen en daarmee de afweging om een zeroday geheim te houden kunnen veranderen.
Daarom wordt als uitgangspunt opgenomen in de wet dat een besluit om een zeroday geheim
te houden altijd gebonden is aan een heroverwegingstermijn van maximaal een jaar.
Deze termijn is, onder andere, gebaseerd op het feit dat volgens beschikbare studies
de «collission rate» van een zeroday al binnen 1 jaar op een significant niveau ligt.
Er is een kans van 1 op 20 dat een zeroday binnen een jaar door een andere actor gevonden
wordt. Daarnaast is een termijn van een jaar een redelijk termijn om te verwachten
dat er ook op het gebied van andere afwegingsfactoren veranderingen te verwachten
zijn. Bijvoorbeeld toename van het gebruik van de betreffende software waar de zeroday
zich in bevind in onderdelen van de vitale infrastructuur. Maar er kan ook sprake
zijn van een toegenomen economisch of privacy belang.
Daarnaast kan het afwegingsorgaan ertoe besluiten om een kortere heroverwegingstermijn
te hanteren in het geval van zerodays waarvan men op kortere termijn verwacht dat
er zich veranderingen in de afwegingsfactoren zullen voordoen.
3.1.5 Alle relevante belangen bij het openhouden, dan wel melden, van zerodays (opsporing,
inlichtingen, economie, privacy, cyberveiligheid, etc.) worden vertegenwoordigd in
het afwegingsorgaan
Er zijn veel verschillende belangen die geraakt worden door een beslissing om een
zeroday open te houden, dan wel te melden of openbaar te maken. Concreet gaat het
met name om: opsporings- en inlichtingen belangen enerzijds en belangen op het gebied
van economie, (cyber)veiligheid, privacy en vrijheid anderzijds. Deze belangen worden
vertegenwoordigd in het afwegingsorgaan door verschillende delen van de overheid,
zoals het Ministerie van Economische zaken, de Autoriteit Persoonsgegevens en het
Ministerie van Infrastructuur en Waterstaat.
3.1.6 Het ZAP wordt een wettelijke geborgd proces
Om te borgen dat alle overheidsinstanties in Nederland zich aan het afwegingskader
voor zerodays moeten houden is het van belang het proces wettelijk te borgen. Bovendien
zou Nederland het eerste land ter wereld worden met een wettelijk geborgd zeroday
afwegingsproces. Daarmee kan Nederland binnen Europa en internationaal de standaard
zetten voor zeroday afwegingsprocessen. Voor een klein en zeer gedigitaliseerd land
als Nederland is dat van groot belang. De risico’s van het openlaten van zerodays
voor de veiligheid van onze vitale infrastructuur, onze economie en onze privacy zijn
immers groot. Het ontwikkelen van internationale aandacht voor cybersecurity, inclusief
een internationale standaard wat betreft een afwegingskader voor zerodays met een
«bias towards disclosure», is daarmee in het Nederlands belang.
Daarnaast is het wettelijk borgen van een afwegingskader ook van belang om ervoor
te zorgen dat er een zo zorgvuldig mogelijke afweging plaatsvindt waar alle verschillende
overheidsorganen bij betrokken zijn die de bevoegdheid hebben om te hacken of geraakt
kunnen worden door beslissingen om zerodays open te houden. Uit consultaties met verschillende
stakeholders uit het bedrijfsleven, vitale infrastructuur en wetenschap is naar voren
gekomen dat het cruciaal is voor het slagen van een goed afwegingskader voor zerodays
dat de verschillende overheidsorganen die deelnemen aan het afwegingsorgaan ook daadwerkelijk
informatie delen om tot een goede afweging te komen. Daarom is het belangrijk dat
het afwegingskader een wettelijke verplichting wordt, waardoor de verschillende partijen
gedwongen worden om informatie te delen. Daarnaast is het belangrijk dat het «clearance»-niveau
van de POCs in het afwegingsorgaan van het hoogste niveau is zodat er vertrouwen is
dat gedeelde informatie niet lekt of anderszins doorsijpelt binnen de organisaties
die de verschillende POC’s, bijvoorbeeld van het Ministerie van economische zaken
of het Ministerie van infrastructuur en milieu, vertegenwoordigen.
3.1.7 Er is onafhankelijk toezicht op het ZAP en er wordt jaarlijks gerapporteerd
over gemaakte beslissingen
Het openhouden van zerodays heeft een potentieel groot effect op de (online) veiligheid
van mensen, op de economie, op burgerlijke vrijheden en onze vitale infrastructuur.
Initiatiefnemer is daarom van mening dat het van groot belang is dat er goed, onafhankelijk
toezicht wordt gehouden op het Zeroday AfwegingsProces om de goede werking van het
afwegingsproces te borgen.
Daarom wordt de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten
(CTIVD) belast met het toezicht op het goed functioneren van het ZAP. De CTIVD publiceert
jaarlijks informatie over het afwegingskader met in ieder geval:
– Een analyse over het goed functioneren van het kader;
– Het aantal geheimgehouden zerodays en het aantal vrijgegeven zerodays;
– De gemiddelde periode van geheimhouding.
3.1.8 Organisatorische inrichting
Het afwegingsproces zal bestaan uit een afwegingsorgaan waarin verschillende overheidsinstanties
in vertegenwoordigd zijn die verschillende maatschappelijke belangen vertegenwoordigen.
Daarnaast wordt er een advies gevend orgaan ingesteld met vertegenwoordigers van private
partijen uit de vitale infrastructuur dat aanvullende, en voor de afweging relevante,
informatie kan aanleveren over de vitale infrastructuur.
Het afwegingsorgaan wordt ondergebracht bij het Nationaal Cyber Security Centrum (NCSC).
Het NCSC heeft als doel het bevorderen van de cyberveiligheid in Nederland door het
vergroten van de weerbaarheid in het digitale domein. In de praktijk betekent dat
onder andere het delen van informatie over cyberaanvallen tussen verschillende partijen
binnen de vitale infrastructuur. Ook is het NCSC een aanspreekpunt voor ethisch hackers
die kwetsbaarheden vinden en willen melden. Deze positie en ervaring van het NCSC
maakt het bij uitstek een goede plek om het afwegingsorgaan onder te brengen.
De volgende overheidsinstanties zijn vertegenwoordigd in het afwegingsorgaan en wijzen
een «Point of Contact» (PoC) aan die zitting neemt in het afwegingsorgaan:
• Nationaal Cyber Security Centrum (NCSC)
• AIVD/MIVD
• Politie, OM, FIOD & NFI
• Het Ministerie van Defensie
• Het Ministerie van Economische Zaken & Klimaat (EZK)
• Het Ministerie van Infrastructuur & Waterstaat (I&W)
• De Autoriteit Persoonsgegevens (AP).
Daarmee is er een goede balans tussen belangen die gebaad zijn bij het openhouden
van zerodays en belangen die gebaad zijn bij het dichten van zerodays. Allereerst
is het belangrijk dat alle organisaties met hackbevoegdheden (Defensie, inlichtingen-
en veiligheidsdiensten en opsporingsdiensten) aanwezig zijn in het afwegingsorgaan.
Deze onderlinge afstemming is een belangrijk element in de noodzaak van dit initiatiefwetsvoorstel.
Daarnaast vertegenwoordigen de Ministeries van EZK en I&W en de Autoriteit Persoonsgegevens
andere belangrijke belangen op het gebied van economie, cyberveiligheid van de vitale
infrastructuur en privacy die een rol spelen in de afweging. Tot slot is het belangrijk
dat het afwegingsorgaan over voldoende informatie beschikt over de vitale infrastructuur.
In het cybersecuritybeeld 2019 waarschuwt de NCTV voor maatschappelijke ontwrichting
als gevolg van digitale kwetsbaarheid van onze vitale infrastructuur. De NCTV zegt
het volgende hierover om het belang van goede cyberveiligheid te onderstrepen: «Vrijwel
alle vitale processen en diensten zijn volledig afhankelijk van ict. Door het bijna
volledig verdwijnen van analoge alternatieven en de afwezigheid van terugvalopties
is de afhankelijkheid van gedigitaliseerde processen en systemen zo groot geworden
dat aantasting hiervan kan leiden tot maatschappij-ontwrichtende schade. Vitale processen
zijn in hoge mate afhankelijk van elektriciteitsvoorziening en datacommunicatie. Uitval
en verstoring hiervan hebben zeer snel, binnen enkele uren, impact op een aantal vitale
processen. Vanwege de omvang van de dreiging en het achterblijven van de weerbaarheid,
ontstaan risico’s voor de nationale veiligheid.»23 De Rekenkamer heeft daarnaast onderzoek gedaan naar de digitale weerbaarheid van
onze vitale waterinfrastructuur en heeft cruciale tekortkomingen geconstateerd.
Daarom wordt er een adviesorgaan ingesteld, bestaande uit partijen uit de vitale infrastructuur,
dat ervoor moet zorgen dat er voldoende relevante informatie beschikbaar is om zo
goed mogelijke afwegingen te maken over het al dan niet openhouden van een voorliggende
zeroday. Dit adviesorgaan zal geen concrete informatie over voorliggende zerodays
ontvangen, maar kan op aanvraag van het afwegingsorgaan informatie leveren die noodzakelijk
is voor een goed afwegingsproces, zoals de mate waarin bepaalde software of bepaalde
apparaten gebruikt worden in de vitale infrastructuur.
Het afwegingsorgaan kan tot drie verschillende besluiten komen:
1. De zeroday mag, voor een bepaalde termijn, geheim gehouden mag;
2. De zeroday mag, voor een bepaalde termijn, geheim gehouden worden, maar tegelijkertijd
wordt informatie verstrekt aan belangrijke stakeholders, zoals partijen in de vitale
infrastructuur, over mitigerende maatregelen;
3. De zeroday moet gemeld worden aan de maker van de software (of moet openbaar gemaakt
worden).
Het afwegingsorgaan moet per meerderheid beslissen dat de zeroday geheim gehouden
moet worden, in alle andere gevallen moet de zeroday gemeld of openbaar gemaakt worden.
Hiermee wordt het principe «bias towards disclosure» ingebakken in het afwegingsproces.
Bij het melden van een zeroday aan de maker van de software wordt zoveel mogelijk
aangesloten bij de huidige praktijk bij het NCSC.
De enige uitzondering op het niet openbaar maken van de zeroday is als de zeroday
gevonden wordt in closed-source software waarvan bekend is dat het niet langer ondersteund
wordt door de maker van de software, dit kan immers nadelig zijn voor de algemene
cyberveiligheid. In dat geval kan besloten worden om de zeroday alleen te melden aan
de maker van de software, mocht de maker in de toekomst toch besluiten om een patch
uit te brengen voor de software.
Wat betreft de afweging over het al dan niet mogen inkopen van hacksoftware kan het
afwegingsorgaan tot dezelfde drie besluiten komen:
1. De hacksoftware mag ingekocht worden;
2. De hacksoftware mag ingekocht worden, maar gebruik ervan, inclusief relevante technische
kennis moet gedeeld worden met belangrijke stakeholders, zoals partijen in de vitale
infrastructuur, over mitigerende maatregelen;
3. De hacksoftware mag niet ingekocht worden.
Voordat een zeroday wordt beoordeeld in het afwegingsorgaan volgt eerst beoordeling
door een technisch orgaan dat een eerste schifting maakt tussen open te maken en geheim
te houden zerodays. Alleen zerodays waarvan het technisch orgaan zegt dat die geheim
gehouden moeten worden gaan door naar het afwegingsorgaan om een belangenafweging
te maken. Hiermee kan werklast tot een minimum gehouden worden en beslist het afwegingsorgaan
alleen over zerodays waar een belangenafweging over gemaakt moet worden.
3.1.9 Afwegingsfactoren
Naast het vastleggen van de governance van het afwegingsproces acht de initiatiefnemer het ook van belang om de factoren
vast te leggen die in ieder geval bij de afweging meegenomen moeten worden. De documentatie
over het afwegingsproces in de VS24 en het VK25 noemt enkele belangrijke afwegingsfactoren, hetzelfde geldt voor het bestaande afwegingskader
van de AIVD en MIVD26 en voor Kamerbrieven over de hackbevoegdheid van de Politie, Marechaussee en FIOD.27
Initiatiefnemer stelt voor om een aantal categorieën van afwegingsfactoren wettelijk
vast te leggen. Verdere uitwerking van de afwegingen, inclusief specifieke informatie
die aangeleverd moet worden, wordt per AMvB nader uitgewerkt. De categorieën van afwegingsfactoren
zijn:
• Overwegingen met betrekking tot de operationele(/offensieve) noodzaak van de zeroday;
• Overwegingen met betrekking tot de negatieve (/defensieve) gevolgen voor de cyberveiligheid
van de zeroday;
• Overwegingen met betrekking tot alternatieve belangen aangaande het gebruik van de
zeroday, zoals economische, maatschappelijke, (cyber)veiligheids- of grondwettelijke
belangen;
• Technische overwegingen aangaande het gebruik van de zeroday.
Binnen deze categorieën van afwegingsfactoren kunnen vragen aan bod komen als:
• Hoe groot is de toegevoegde waarde van het gebruiken van de zeroday voor inlichtingen
of opsporingsbelangen?
• Zijn er alternatieven beschikbaar voor het gebruik van de betreffende zeroday?
• In hoeveel (software) producten/apparaten zit de zeroday? Hoeveel gebruikers kunnen
worden getroffen?
• Hoe groot is de kans dat andere actoren dezelfde zeroday kunnen ontdekken (de collision
rate) en gebruiken?
• Bevindt de zeroday zich in producten/apparaten aanwezig in de vitale infrastructuur?
• Welke economische gevolgen heeft het openlaten van de zeroday? Bevindt de zeroday
zich in apparaten/producten van Nederlandse, dan wel Europese, bedrijven?
• Wat zijn de mogelijke privacy gevolgen van het openlaten van de zeroday?
• Wat is de impact en «zwaarte» van de zeroday? Biedt de zeroday bijvoorbeeld de mogelijkheid
tot externe toegang zonder «user interaction»?
• In wat voor apparaten/producten bevindt de zeroday zich? Betreft het bijvoorbeeld
veelgebruikte consumentensoftware of software dat uitsluitend door criminelen/vijandige
militaire wordt gebruikt?
4. Financiële paragraaf
In het initiatief wetsvoorstel zit een aantal aspecten die een beperkte financiële
consequentie hebben. Allereerst wordt het afwegingsorgaan ondergebracht bij het NCSC,
en moeten de leden van het afwegingsorgaan een Point of Contact aanwijzen. Hiervoor moet binnen deze organisaties budget vrijgemaakt worden. De verwachting
is echter dat dit qua inzet per organisatie een beperkt financieel beslag zal leggen
op deze organisaties. Daarnaast wordt het toezicht ondergebracht bij het CTIVD. Deze
toezichthouder had al de taak om het afwegingskader van de diensten te controleren,
dit toezicht wordt in feite verplaatst naar het afwegingsorgaan en zal naar verwachting
een beperkte invloed hebben op de werklast van de CTIVD.
5. Consultatie en adviezen
Initiatiefnemer heeft een drietal rondetafelsessies georganiseerd met verschillende
stakeholders uit het bedrijfsleven, de wetenschap, de vitale infrastructuur en NGOs.
Het belang van een wettelijk geborgd afwegingskader werd breed gedeeld en gezien als
belangrijk element in een bredere aanpak op het gebied van cybersecurity.
Daarnaast is een aantal thema’s breed aan de orde gekomen tijdens de sessies. Allereerst
de governance. Onder de geconsulteerde personen en organisaties leefde breed de voorkeur om het
afwegingsorgaan onder te brengen bij het NCSC als organisatie dat het bevorderen van
cybersecurity als voornaamste doel heeft. Hieraan is in het initiatiefvoorstel tegemoet
gekomen. Daarnaast werd de noodzaak van goed toezicht op het proces breed gedeeld.
Hieraan is tegemoet gekomen door de CTIVD verantwoordelijk te maken voor het toezicht
op het proces.
Ook is tijdens de gesprekken het dilemma wat betreft de omgang met hacksoftware uitgebreid
besproken. Tijdens de gesprekken werd duidelijk dat het buiten beschouwing laten van
dit dilemma in deze initiatiefwet geen optie was omdat in dat geval er sprake zou
kunnen zijn van een perverse prikkel om juist meer gebruik te maken van hacksoftware.
Daarom is besloten om ook de aankoop van hacksoftware via het afwegingsorgaan te laten
verlopen.
Tot slot hebben meerdere stakeholders hun zorgen geuit dat onderdelen van de overheid
die offensieve cybercapaciteiten ontwikkelen het afwegingsproces zouden proberen te
ontwijken. Dit is een reële zorg die initiatiefnemer deelt en een van de belangrijkste
beweegredenen was om dit afwegingsproces middels een wettelijke verplichting vorm
te geven. Doorgaans neigen overheden zich te houden aan de wet. Daarnaast is gekozen
voor een sterke, bestaande toezichthouder die het goed functioneren van het afwegingsproces
moet controleren.
II. ARTIKELSGEWIJZE TOELICHTING
In dit deel worden de artikelen toegelicht die een nadere uitleg behoeven.
Artikel 1
Dit artikel definieert ten eerste het in dit wetsvoorstel gebruikte begrip van onbekende
kwetsbaarheid. Met een onbekende kwetsbaarheid wordt in dit wetsvoorstel een zeroday
bedoeld. Kenmerkend van een zeroday is dat het moet gaan om een kwetsbaarheid die
nog onbekend is bij de producent of de leverancier van het geautomatiseerde werk waar
de kwetsbaarheid in is aangetroffen. Omdat het in de praktijk lastig kan zijn om met
zekerheid vast te stellen of een zeroday daadwerkelijk nog niet bekend is bij een
producent of leverancier, is er in deze definitie voor gekozen dat het aannemelijk
moet zijn of verondersteld kan worden dat een zeroday nog niet bekend is bij de producent
of leverancier. Om vast te stellen of hier sprake van is kan bijvoorbeeld worden afgegaan
op gedragingen van de producent of leverancier of de aard van de kwetsbaarheid zelf.
Ten tweede definieert dit artikel het gebruikte begrip van afwegingsorgaan.
Artikel 2
Dit artikel regelt dat de Minister van Justitie en Veiligheid een afwegingsorgaan
aanwijst. Dit orgaan heeft tot taak afwegingen te maken omtrent de bekendmaking van
onbekende kwetsbaarheden. De Minister van Justitie en Veiligheid is daarmee politiek
verantwoordelijk voor het afwegingsorgaan.
Artikel 3
In artikel 3, eerste lid, is de hoofdregel neergelegd met betrekking tot de bekendmaking
van een zeroday. In principe moet een zeroday altijd aan de producent of leverancier
van het geautomatiseerde werk waarin de zeroday is ontdekt bekend worden gemaakt.
Het tweede lid regelt vervolgens dat het afwegingsorgaan kan besluiten om een zeroday
niet bekend te maken of alleen aan betrokkenen die vitale infrastructuur beheren.
Hierbij worden een aantal belangen overwogen. Niet is bedoeld dat dit redenen kunnen
zijn om de zeroday geheim te houden- economische belangen of veiligheidsbelangen kunnen
immers juist nopen tot het zo spoedig mogelijk dichten van de bewuste zeroday. Dit
is in het algemeen deel toegelicht. Deze opsomming is voorts niet limitatief, ook
andere belangen die niet genoemd zijn in deze opsomming kunnen worden meegewogen.
Voor het besluit wordt genomen, wordt vanzelfsprekend ambtelijk geadviseerd, maar
het derde lid legt wettelijk vast dat ook vertegenwoordigers van betrokkenen die vitale
infrastructuur beheren hierin adviseren. Er wordt hier bewust gesproken van vertegenwoordigers,
omdat anders de betrokkenen zelf direct de kennis zouden verwerven van de zeroday.
Daar dit echter een expliciet besluit vergt, wordt dit wenselijk geacht. Het is evident
dat het geheel van overwegingen alsmede de kennis van en over de zeroday als zeer
vertrouwelijk wordt gerubriceerd.
Als wordt besloten een zeroday niet bekend te maken aan de producent of leverancier
of aan betrokkenen die vitale infrastructuur beheren, dient uiterlijk na een jaar
een heroverweging plaats te vinden. Dit is geregeld in het vierde lid.
Het vijfde lid geeft ten slotte de grondslag om een en ander conform het algemeen
deel van de toelichting in te richten bij AmvB.
Artikel 4
In het eerste lid wordt geregeld dat de aankoop van een technisch hulpmiddel om binnen
te dringen in een geautomatiseerd werk instemming behoeft indien aannemelijk is dat
dit technisch hulpmiddel is gebaseerd op een zeroday. In het tweede lid wordt een
grondslag gegeven om bij AMvB te regelen waaraan een dergelijke aankoop moet voldoen.
Artikel 5
Dit artikel regelt een voorhang op de AMvB’s die conform deze wet moeten worden vastgesteld.
Artikel 6
Middels dit artikel wordt het toezicht op deze wet toegevoegd aan de taken van CTIVD.
Dit is in het algemeen deel nader toegelicht.
Artikel 7
Een besluit over de bekendmaking van een zeroday of de aankoop van een technisch hulpmiddel
zijn te kwalificeren als besluit in de zin van de Awb. Dit artikel regelt dat geen
bezwaar en beroep mogelijk is bij de bestuursrechter over deze besluiten.
Artikel 8
Dit artikel regelt een evaluatie van deze wet na vijf jaar. Na die termijn is naar
verwachting van de initiatiefnemer een goed beeld te verkrijgen van de werking van
het afwegingskader.
Verhoeven
Ondertekenaars
-
Eerste ondertekenaar
K. Verhoeven, Tweede Kamerlid
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.