Het kabinet is er niet tegen dat de inlichtingendiensten en politie zero day-lekken gebruiken waar nog geen update van de fabrikant voor beschikbaar is. Dat heeft staatssecretaris Dijkhoff van Veiligheid en Justitie in een brief aan de Tweede Kamer bekendgemaakt. Aanleiding voor de brief is onder andere een vraag van D66-Kamerlid Kees Verhoeven, die de mening van het kabinet over onbekende kwetsbaarheden wilde weten.

De AIVD en MIVD hebben de bevoegdheid om beveiligingslekken tegen een doelwit te gebruiken. "Indien de AIVD of de MIVD in het kader van hun wettelijke taakuitvoering stuiten op een kwetsbaarheid die de belangen van gebruikers van het internet kan schaden, zullen deze diensten belangendragers informeren. Veelal zal het de fabrikant van de hardware of software betreffen en/of een specifieke groep gebruikers die een groot risico loopt", aldus Dijkhoff.

De staatssecretaris stelt dat er wettelijke bepalingen of operationele redenen kunnen zijn die het melden van kwetsbaarheden al dan niet tijdelijk in de weg staan. "In dergelijke gevallen wordt het belang van informatieverstrekking afgewogen tegen het belang van geheimhouding en bronbescherming", schrijft Dijkhoff. Als voorbeeld van situaties waarin het belang van het melden van een bij de fabrikant onbekend lek mogelijk niet opweegt tegen andere zwaarwegende belangen zijn volgens de staatssecretaris de inzet in een gewapend conflict, zwaarwegende belangen voor de nationale veiligheid of als de kennis van een kwetsbaarheid onder voorwaarde van geheimhouding met de Nederlandse overheid is gedeeld.

"Geconstateerde kwetsbaarheden hoeven niet noodzakelijkerwijs betrekking te hebben op een groot deel van de gebruikers van het internet. Sommige kwetsbaarheden betreffen zeer specifieke systemen. Als het zwaarwegend belang tijdelijk van aard is, dan zal de kwetsbaarheid daarna alsnog worden gemeld", laat Dijkhoff in de brief weten. Hij merkt verder op dat politie en justitie, net als in de fysieke wereld, een groot belang hebben bij het voorkómen en beperken van criminaliteit. Het laten voortbestaan van een onbekende kwetsbaarheid kan daarbij voor meer slachtoffers zorgen.

"Kwetsbaarheden die in het kader van een opsporingsonderzoek aan het licht komen, en waarvan aannemelijk is dat ze nog onbekend zijn, worden in beginsel direct of zo spoedig mogelijk gemeld aan de fabrikant van de desbetreffende hardware of software." Ook voor kwetsbaarheden die in een opsporingsonderzoek worden aangetroffen geldt echter dat er in "uitzonderlijke gevallen" redenen kunnen zijn die het melden al dan niet tijdelijk in de weg staan, meldt Dijkhoff.

In dergelijke gevallen kan het Openbaar Ministerie besluiten de melding van een kwetsbaarheid uit te stellen. Daarbij wordt onder meer gelet op de kans dat de kwetsbaarheid door kwaadwillenden wordt aangevallen en het aantal onschuldige personen en organisaties dat hierdoor kwetsbaar is. Het uitstellen van het delen van informatie over aangetroffen onbekende kwetsbaarheden in veelgebruikte hardware of software ligt volgens Dijkhoff niet in de rede.

"Aap uit mouw. Kabinet geeft toe dat overheid kwetsbaarheden in software gebruikt (0days). Maakt internet onveiliger!", reageert Verhoeven via Twitter op de brief van Dijkhoff.