Beheer

Security
Grapperhaus: Verbod op verkoop zerodays onwenselijk

Grapperhaus: Verbod op handel in zerodays onwenselijk

Er is wel een bepaalde mate van regulering, een verbod gaat te ver.

Ferdinand Grapperhaus © Rijksoverheid
24 september 2020

Er is wel een bepaalde mate van regulering, een verbod gaat te ver.

Minister Ferd Grapperhaus van Justitie en Veiligheid ziet niets in een verbod op het verkopen van informatie over kwetsbaarheden en in het bijzonder zerodays. Dat zei de minister gisteravond in een debat. Volgens Grapperhaus is het juridisch beperken van het onderzoek naar kwetsbaarheden in software niet wenselijk. Er is wel een bepaalde mate van regulering in deze markt, aldus de minister.

De Tweede Kamer besprak gisteravond het initiatiefwetsvoorstel Wet Zerodays Afwegingsproces van Kees Verhoeven. Tijdens het debat beantwoordde minister Grapperhaus een aantal vragen over de omgang van zerodays door de overheid. Een van de vragen ging over de verhandeling van informatie over kwetsbaarheden, in het bijzonder zerodays. Volgens de minister kan kennis over kwetsbaarheden bijdragen aan de veiligheid van internet en onze gedigitaliseerde samenleving. Hij vindt daarom het niet wenselijk om het opdoen van kennis en het verkopen van die kennis te verbieden.

Deze laatste stelling zorgde voor verontwaardiging bij Tweede Kamerlid Kathelijne Buitenweg (GroenLinks) en Tweede Kamerlid Ronald van Raak (SP). Volgens hen is er geen voordeel te behalen bij het verhandelen van kennis over kwetsbaarheden. “Ik zie niet wat een kwetsbaarheid voor goeds kan doen. Het idee van die zerodays is dat het een onveiligheid met zich mee brengt”, aldus Buitenweg. Van Raak: “Een kwetsbaarheid in zo’n systeem is bedoeld om iets verkeerd mee te doen. Per definitie iets wat niet mag. Dat mag je dan verhandelen volgens de minister. Dat kan toch niet.”

Maar Grapperhaus bleef bij zijn standpunt. “Ik heb net gezegd dat het juridisch beperken van onderzoek kwetsbaarheden niet wenselijk is. Omdat je kennis wilt opdoen wat veilig is en wat niet veilig is. Ik zie de morele verontwaardiging ook niet zo. We willen juist weten of er software in onze maatschappij is waar kwetsbaarheden in zitten.” En even later: “We hebben in Nederland geen verbod op het opdoen van kennis over kwetsbaarheden en het daarmee aan de gang gaan. Als u vindt dat kunt u daar het initiatief toe nemen. Het is niet aan mij om dat te doen.”

Geen strakke regulering

Volgens de minister is ‘het een markt waar je niet een strakke regulering op moet zetten’. “Er zijn al een aantal dingen die vanuit het ministerie van Economische Zaken en Klimaat worden ondernomen om waar dat kan de handel over kennis in zerodays bij te sturen en, op de punten waar dat niet moet, in te perken.” De minister noemde het voorbeeld van exportcontrole van intrusionsoftware.

Het initiatiefwetsvoorstel van Verhoeven regelt centraal en wettelijk de omgang met onbekende kwetsbaarheden door inlichtingen- en veiligheidsdiensten, opsporingsdiensten en het Ministerie van Defensie. In het wetsvoorstel wordt een uniform afwegingskader voor de omgang met kwetsbaarheden neergezet waarbij een gezamenlijke besluitvormingsprocedure wordt gevolgd met een afwegingscommissie en een adviescommissie en een gezamenlijke toezichthouder.

Lees meer over
Lees meer over Beheer OP AG Intelligence
1
Reacties
Erwin1 29 september 2020 12:23

Weer een voorbeeld dat de politiek vaak wel de klok hoort luiden maar niet weet waar de klepel hangt. Bug Bounties (en daarmee gerelateerd, het disclosen van (Zero-day) kwetsbaarheden aan de respectieve ontwikkelaars van software werkt eigenlijk alleen maar doordat deze producenten een geldbedrag in het verschiet stellen, als zo'n kwetsbaarheid gemeld wordt. Nu is een Bug Bounty niet echt het verkopen van een kwetsbaarheid, maar uiteindelijk is het ' betalen voor een lek'. Het verbieden van zulke ' verkoop' zal niet helpen om bug bounties en kwetsbaarheid disclosure te stimuleren. Het was beter geweest om het verkopen van zero days met het oogpunt deze te misbruiken voor criminele doeleinden verboden te stellen. Dat geeft het handvat om criminelen aan te pakken, maar laat de goeder trouwe bug hunter ongemoeid.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.