image

CTIVD wil toezicht houden op zerodaylekken van inlichtingendiensten

maandag 15 juni 2020, 13:54 door Redactie, 7 reacties

De Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD) wil toezicht gaan houden op de zerodaylekken waarover de AIVD en MIVD beschikken en vindt niet dat hiervoor een apart orgaan moeten worden opgericht, zoals D66 wil. Dat heeft de toezichthouder vandaag in een brief aan de Tweede Kamer laten weten.

De inlichtingendiensten hebben intern beleid opgesteld dat beschrijft hoe er met zerodaylekken moet worden omgegaan. Het gaat hier om kwetsbaarheden die niet bij de leverancier bekend zijn. Het uitgangspunt van dit beleid is dat de kwetsbaarheden bij de leverancier worden gemeld, tenzij er beweegredenen zijn om dit niet te doen. "Deze argumenten zijn alle terug te voeren op de zorgplicht van artikel 23 van de Wiv 2017, meer in het bijzonder het zorgdragen voor geheimhouding van bronnen, modus operandi en huidig kennisniveau", zo stelt de CTIVD.

De toezichthouder wilde meer informatie over de manier waarop het beleid door de inlichtingendiensten in de praktijk wordt toegepast. Dit leidde vorig jaar tot drie bijeenkomsten tussen de CTIVD en AIVD/MIVD. "De eerste bijeenkomst stond in het teken van het beleid en de gevolgde werkwijze. In de tweede en derde bijeenkomst zijn de gemaakte afwegingen en beslissingen met betrekking tot de concrete bij de diensten aanwezige zerodays besproken", aldus de CTIVD. De toezichthouder meldt dat de diensten alle (recente) zerodays waar mogelijk hebben geïnventariseerd en daarna gewogen.

De CTIVD vindt dat de inlichtingendiensten zerodays moeten melden, tenzij er redenen zijn om dit niet te doen. Bij het toezicht op de diensten komt de CTIVD al zerodaylekken tegen. Het gaat hier volgens de toezichthouder om zeer gevoelige gegevens, die zicht geven op de werkwijze en in een aantal gevallen ook de bronnen en het huidig kennisniveau van de diensten. "Het betreft daarmee hoog gerubriceerde informatie. Aan de omgang met dit soort staatsgeheimen worden hoge eisen gesteld", aldus de toezichthouder.

Vorig jaar kwam D66-Kamerlid Kees Verhoeven met een wetsvoorstel om een "gespecialiseerd afwegingsorgaan" in het leven te roepen om een afweging over zerodaylekken te maken. De CTIVD ziet dit niet zitten. Niet alleen vereist het een aanzienlijke investering in mensen en middelen, maar vormt tevens een risico voor de geheimhouding van de informatie, zo stelt de toezichthouder in de brief aan de Tweede Kamer.

Afsluitend laat de CTIVD weten dat het vanuit haar expertise en met de beschikbaarheid van voldoende middelen prima toezicht kan houden op de zerodaylekken van de inlichtingendiensten en dat er geen aanvullende wetgeving nodig is.

Reacties (7)
15-06-2020, 15:01 door [Account Verwijderd]
Wat snel vergeten kan worden in de discussie is dat het hier niet alleen gaat over een 'zerodaylek' in grote bekende en veelgebruikte software als bijvoorbeeld Windows. Het kan ook gaan om specifieke software die alleen in gebruik is bij een doelgroep die in de gaten gehouden wordt. Denk bijvoorbeeld aan de Mujahedeen Secrets app van enkele jaren terug.

Het begrip zerodaylek kan dus allerlei soorten software omvatten en op basis daarvan lijkt mij een stellig beleid als 'always disclose' niet de meeste geschikte aanpak. Een duidelijk wegingskader lijkt mij dus belangrijk. En daarbij moet het niet alleen gaan om inlichtingenbronnen geheim gehouden, ook moet de impact van het eventueel uitlekken (of ontdekking door anderen) op de samenleving als geheel bekeken worden. Niemand zit te wachten op een nieuwe Wannacry (thx NSA).
15-06-2020, 15:48 door Anoniem
Op zich denk ik dat we wel genoeg clubjes en instituutjes hebben, dus om er maar weer eentje bij te smijten, denk ook beter niet.

Maar het zou wel fijn zijn als de toezichthouders die we hebben ook behoorlijk hun werk doen, en dat behelst toch echt meer dan de wc-eend-rapportjes waar we CTIVD zo goed van kennen.
15-06-2020, 19:20 door Anoniem
Link naar de brief: https://www.ctivd.nl/documenten/brieven/2020/06/15/index

(Waarom linkt het artikel daar niet naar?)
15-06-2020, 23:20 door Anoniem
Of je doet een responsible disclosure. Het hele idee is dat staat hackers zo zwart als de nacht zijn, wat ga je vervolgens doen? bij rutte klagen dat ze hun cyber weapons moeten weg moeten spoelen? Ik snap het systeem niet helemaal.
16-06-2020, 09:41 door Anoniem
Door iatomory: Wat snel vergeten kan worden in de discussie is dat het hier niet alleen gaat over een 'zerodaylek' in grote bekende en veelgebruikte software als bijvoorbeeld Windows. Het kan ook gaan om specifieke software die alleen in gebruik is bij een doelgroep die in de gaten gehouden wordt. Denk bijvoorbeeld aan de Mujahedeen Secrets app van enkele jaren terug.

Het begrip zerodaylek kan dus allerlei soorten software omvatten en op basis daarvan lijkt mij een stellig beleid als 'always disclose' niet de meeste geschikte aanpak. Een duidelijk wegingskader lijkt mij dus belangrijk. En daarbij moet het niet alleen gaan om inlichtingenbronnen geheim gehouden, ook moet de impact van het eventueel uitlekken (of ontdekking door anderen) op de samenleving als geheel bekeken worden. Niemand zit te wachten op een nieuwe Wannacry (thx NSA).

Wat dus wel jammer is dat dit kader niet publiek is. Want de vraag is of een breed misbruikbare kwetsbaarheid opweegt tegen het belang van de inlichtingendiensten. Ik denk van niet.
16-06-2020, 11:37 door Anoniem
Door Anoniem: Op zich denk ik dat we wel genoeg clubjes en instituutjes hebben, dus om er maar weer eentje bij te smijten, denk ook beter niet.

Maar het zou wel fijn zijn als de toezichthouders die we hebben ook behoorlijk hun werk doen, en dat behelst toch echt meer dan de wc-eend-rapportjes waar we CTIVD zo goed van kennen.

Geef eens een voorbeeld.
18-06-2020, 17:48 door Anoniem
Nu krijgen we een leuke..hoe groot is die commissie eigenlijk...

1 grote wassen neus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.