image

Tweede Kamer verdeeld over hoe de overheid met zerodays moet omgaan

zondag 21 juni 2020, 09:00 door Redactie, 24 reacties

Partijen in de Tweede Kamer zijn verdeeld over hoe de overheid met zerodaylekken in hard- en software moet omgaan, zo blijkt uit een debat dat deze week werd gevoerd. Het debat ging over een initiatiefwetsvoorstel van D66-Kamerlid Kees Verhoeven. Dat voorstel moet een afwegingsproces creëren voor de omgang met zerodaylekken, kwetsbaarheden waarvan de ontwikkelaar niet op de hoogte is.

Zo wordt er een orgaan opgericht dat voor de hele overheid beslissingen moet nemen hoe er met deze kwetsbaarheden wordt omgegaan. Dit orgaan bestaat uit onder andere de AIVD, MIVD, Politie, Openbaar Ministerie, NCSC, Autoriteit Persoonsgegevens, FIOD en de ministeries van Defensie, Infrastructuur en Economische Zaken, en kan diensten verplichten om zerodaylekken te melden, ook al is de betreffende dienst het daar niet mee eens.

De inlichtingendiensten hebben al intern beleid opgesteld dat beschrijft hoe er met zerodaylekken moet worden omgegaan. Het uitgangspunt van dit beleid is dat de kwetsbaarheden bij de leverancier worden gemeld, tenzij er beweegredenen zijn om dit niet te doen. Bij de politie neemt de rechter-commissaris de beslissing of een zeroday opengehouden mag worden, terwijl bij Defensie het proces helemaal afwezig is.

"Volgens mij is in ieder geval belangrijk om hier te constateren dat de huidige manier waarop de hele overheid omgaat met zerodays, niet goed is. De inlichtingendiensten zijn redelijk op weg, maar ook daar kan het beter. Bij politie en Defensie is het gewoon niet goed geregeld", zo liet D66-Kamerlid Van Meenen tijdens het debat weten.

GroenLinks-Kamerlid Buitenweg noemde zerodaylekken potentieel enorme risico's die tot grote maatschappelijke ontwrichting kunnen leiden als ze door de verkeerde partij worden gebruikt. "Wat GroenLinks betreft moet de keuze om een zeroday niet te openbaren echt alleen in uitzonderlijke gevallen worden gemaakt", aldus Buitenweg.

CDA en VVD lieten bij monde van VVD-Kamerlid Middendorp weten dat zerodays in principe gemeld moeten worden, maar dat het voor de nationale veiligheid nodig kan zijn om dit niet te doen. "De vraag wat er moet gebeuren als er een nieuwe zerodaykwetsbaarheid ontdekt wordt, is dus een zeer terechte van de initiatiefnemer. Voor de VVD staat bij het beantwoorden van die vraag voorop dat als dat vanuit nationale veiligheid nodig is, de opsporingsdiensten, AIVD en MIVD binnen hun mandaat moeten kunnen blijven hacken", liet Middendorp weten.

Ook hekelden CDA en VVD de omvang van het op te richten orgaan dat de zerodaylekken moet afwegen. De inlichtingendiensten werken vaak met gecompartimenteerde informatie, die volgens Middendorp niet afgewogen kan worden in een breed afwegingsorgaan, tenzij daar heel grote investeringen voor worden gedaan om risico's voor de geheimhouding te voorkomen.

Als laatste hadden de twee partijen kritiek dat het afwegingsorgaan een inlichtingendienst kan verplichten om een zeroday te melden, terwijl deze dienst het daar niet mee eens is. "Dat mag volgens de VVD-fractie niet de uitkomst zijn. Is de initiatiefnemer het met mij eens dat inlichtingendiensten binnen hun mandaat efficiënt moeten kunnen blijven handelen om cyberdreigingen tegen te gaan en te voorkomen?", stelde Middendorp aan Verhoeven de vraag.

Afsluitend kwam SP-Kamerlid Van Raak aan het woord. Hij stelde de vraag of zerodaylekken wel moeten worden toegestaan. "Als wij weten dat ergens een kwetsbaarheid zit die gebruikt kan worden voor spionage, voor hacken, voor afluisteren, wat is dan de taak van de overheid? In principe zou ik zeggen: die gaten dichten. Want ik weet zeker dat als wij die kwetsbaarheid kunnen gebruiken om te spioneren, anderen dat ook kunnen. Als wij dat kunnen, dan kan de NSA dat nog beter en kunnen de Chinezen dat nog beter. En misschien kan de maffia dat dan ook nog wel beter. Dus waarom laten wij dat soort kwetsbaarheden eigenlijk bestaan?", merkte het Kamerlid op.

Van Raak ging echter snel over op kwetsbaarheden die bewust zijn toegevoegd. "Er zitten heel veel kwetsbaarheden in software, en die zitten er niet allemaal per ongeluk in, maar het is ook expres gedaan", stelde het SP-Kamerlid. Het gaat dan onder andere om de "hacksoftware" die door overheidsdiensten wordt ingekocht. "Als onze AIVD, de MIVD, de politie, het leger, de FIOD, als iedereen die hackspullen koopt in China, in de Verenigde Staten, in Israël, hoe groot is dan de kans dat daar kwetsbaarheden in zitten zodat er gespioneerd wordt?", stelde Van Raak de vraag, die minister Ollongren van Binnenlandse Zaken om een reactie vroeg en tegelijkertijd de suggestie deed om dergelijke software voortaan zelf te gaan ontwikkelen.

Het debat wordt op een ander moment voortgezet, waarbij Verhoeven en verschillende ministers hun reactie zullen geven. Afgelopen maandag liet de Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD) nog weten dat het toezicht wil gaan houden op de zerodaylekken waarover de AIVD en MIVD beschikken en dat hiervoor geen apart orgaan moeten worden opgericht.

Reacties (24)
21-06-2020, 09:16 door Anoniem
De overheid heeft de plicht om haar burgers te beschermen <punt>.

Er zijn al decennia campagnes om je huis beter te beveiligen, gemeenten sturen teams op pad om voorlichting te geven dat je vooral het bovenluikje van je toilet dicht moet doen en *** sterren sloten moet installeren.

Computers bevatten tegenwoordig waardevollere informatie dan een TV'tje van 500 euro of een gouden kettinkje van 200 euro maar die zouden dan wel weer "lek" mogen blijven MET medeweten van die overheid.


Vreemde gang van zaken.
21-06-2020, 09:20 door Anoniem
Oeps, nog even een aanvulling:

Niet alleen individuen moet de overheid beschermen maar zeker ook het bedrijfsleven tegen spionage, diefstal en ransomware.
En wat te denken van lekke Scada systemen?

Ik kan hier met mijn pet niet bij dat men zero day's onder de pet zou willen houden.
21-06-2020, 09:36 door Anoniem
Waar men gemakshalve aan voorbij gaat is dat buitenlandse inlichtingendiensten maar al te graag zo'n lek onder de pet houden om te kunnen gebruiken.
Begin nou eens met er vanuit te gaan dat niks dicht is - dat zal niet zo heel onrealistisch zijn. En bedenk dan welke informatie je op zo'n systeem beschikbaar zou willen hebben. Zo min mogelijk dus...
21-06-2020, 09:42 door Anoniem
Je moet allereerst begrijpen dat achter "zerodays" aanhobbelen een achterhoedegevecht is. Brandjes blussen. Natuurlijk is dat belangrijk, maar als hoeders van de hele maatschappij is dat niet genoeg en ook niet waar de aandacht zich op zou moeten concentreren. Maarja, ze hoeden eigenlijk alleen hun eigen baantjes. Laat ze maar terugkomen als ze verder kunnen kijken dan dat.

En natuurlijk: Wees geen Kees.
21-06-2020, 09:54 door Anoniem
We moeten meer 0-days hebben als de vijand. En de vijand dat zijn andere overheden.
Ik ben tegen het gebruik van 0-days tegen burgers. Daar zijn andere middelen voor. Je gaat ook geen tank inzetten tegen demonstranten. Tenminste, in een democratie als de onze. In een land als China doen ze dat wel.
21-06-2020, 10:58 door Anoniem
Door Anoniem: We moeten meer 0-days hebben dan de vijand.
Dat garandeert niets.

En de vijand dat zijn andere overheden.
Ik weet dat er heel veel met het vingertje gewezen wordt, maar of dat een accuraat beeld geeft van wat en wie de vingerwijzers zelf echt als "de vijand" zien durf ik te betwijfelen.

Ik ben tegen het gebruik van 0-days tegen burgers. Daar zijn andere middelen voor. Je gaat ook geen tank inzetten tegen demonstranten. Tenminste, in een democratie als de onze. In een land als China doen ze dat wel.
We lijken veel meer op China dan we willen toegeven.
21-06-2020, 11:12 door Anoniem
Door Anoniem: De overheid heeft de plicht om haar burgers te beschermen <punt>.

Denk ook aan het afluisteren van terroristen, dat is ook beschermen van de burgers.
Ik denk dat je moet monitoren of de zeroday wordt uitgebuit door anderen, dan melden via de reguliere weg.
21-06-2020, 11:59 door Anoniem
Door Anoniem: Niet alleen individuen moet de overheid beschermen maar zeker ook het bedrijfsleven tegen spionage, diefstal en ransomware. En wat te denken van lekke Scada systemen? Ik kan hier met mijn pet niet bij dat men zero day's onder de pet zou willen houden.
En wat als het gaat om onbekende kwetsbaarheden in software die uitsluitend in gebruik zijn binnen terreurnetwerken, zoals bijvoorbeeld Mujahedeen Secrets? Of wat dacht je van millitaire systemen die gebruikt worden door buitenlandse overheden? In beide gevallen gaat het om kwetsbaarheden die geen impact gaan hebben op Nederlandse individuen of bedrijven.

Mijn punt: je kan niet op voorhand stellen dat alle onbekende kwetsbaarheden 'slecht' zijn of altijd een impact zullen hebben op jou, mij, het bedrijfsleven of onze vitale infrastructuur. VVD/CDA gaan te ver in door te stellen dat je daar helemaal geen rekening mee hoeft te houden (oogkleppen voor ongewenste externe effecten van het eigen beleid), maar met een degelijk en transparant afwegingskader kunnen we volgens mij prima die zorgen bespreken. En tegelijk dus nuttig gebruik maken van onbekende kwetsbaarheden, zónder dat daarmee onze eigen veiligheid in het gevaar komt.
21-06-2020, 12:48 door Anoniem
Ach,weer een orgaan erbij.
21-06-2020, 12:57 door Anoniem
Ik vraag mij af : dichten ze hun eigen zero-day lekken wel eens ?
Ze weten zelf niet hoe ze met windows moeten omgaan bij de overheid : on-installeren.
Staan ze wel stil dat er nog een heleboel zero day lekken op hun eigen telefoons en laptops staan ?
21-06-2020, 13:24 door [Account Verwijderd] - Bijgewerkt: 21-06-2020, 13:27
Het uitgangspunt van dit beleid is dat de kwetsbaarheden bij de leverancier worden gemeld, tenzij er beweegredenen zijn om dit niet te doen.
Men neemt wel een erg groot risico, want als een zero-day niet wordt verholpen en een statelijke actor komt daarachter, dan krijgen overheidsdiensten, zoals inlichtingendiensten en politie, ook te maken met hacking van hun systemen. Straks zitten de Chinesen, de Russen en de georganiseerde misdaad ook aan de beslissingstafel van onze overheid. In een tijd van oorlog kan dit catastrofale gevolgen hebben. We hoeven maar te denken aan de kwetsbaarheden van het ENIGMA toestel uit WOII die door de Geallieerden uitgebuit konden worden.
21-06-2020, 14:59 door Anoniem
De heer Van Raak maakte terecht opmerkingen over de aanschaf van hacksoftware - die aangekocht wordt vanuit het buitenland - dat daar hoogst waarschijnlijk intentionele 'achterdeurtjes' in zitten.
21-06-2020, 15:34 door Anoniem
Door Advanced Encryption Standard:
Het uitgangspunt van dit beleid is dat de kwetsbaarheden bij de leverancier worden gemeld, tenzij er beweegredenen zijn om dit niet te doen.
Men neemt wel een erg groot risico, want als een zero-day niet wordt verholpen en een statelijke actor komt daarachter, dan krijgen overheidsdiensten, zoals inlichtingendiensten en politie, ook te maken met hacking van hun systemen. Straks zitten de Chinesen, de Russen en de georganiseerde misdaad ook aan de beslissingstafel van onze overheid. In een tijd van oorlog kan dit catastrofale gevolgen hebben. We hoeven maar te denken aan de kwetsbaarheden van het ENIGMA toestel uit WOII die door de Geallieerden uitgebuit konden worden.
Je vergeet voor het gemak het grootste spionage land, Amerika!
21-06-2020, 15:34 door Anoniem
L.S.

Bij elke zogenaamde zero-day bestaat het risico van proliferatie. Nu zien we weer bijvoorbeeld acties van de Chinese hackgroepering Stone-Panda versus India (en ja er zijn ook Nederlandse belangen in Indiaase handen, die we dienen te beschermen tegen deze hackers met links naar statelijke acteurs). Dus het meest gebaat zal men zijn met "full disclosure" en eens echt werk maken van digitale veiligheid. Waarom moeten we maar blijven voortmodderen binnen een niet echt veilige Interwebz infrastructuur.

Zijn het de belangen van Big Tech, die hand in glove werken met het Globalania Imperium daarachter? Dus men wil het niet echt veiliger maken om het systeem "beter te kunnen uitbenen" (winstoptimalisatie heet dat met een mooi woord, anderen bestempelen dit streven als "extreme graailust").

Maar het gaatnu vaak alleen over info op "need to know" basis. Vergeet niet dat elke "toko" op te beschermen info "zit".
Data en info, die het verdedigen waard is. "Feind hoert mit", overal

SSL grade hier op de site, waar ik dit bericht schrijf - B-status: https://www.ssllabs.com/ssltest/analyze.html?&hideResults=on&d=www.security.nl Servers, die TLS 1.0 or TLS 1.1 ondersteunen, worden afgekapt op B status.
Maar Apache, headers, jQuery, script, jQuery, headers - 1.7.2, Linux, headers - fan zijn niet kwetsbaar.

Niets dramatisch, dus, maar alles wat niet volgens "best policies" draait, blijft steeds potentieel kwetsbaar.
Houdt dat in goed de gaten. Dat kwartje is bij velen onder ons nog steeds niet gevallen, ook niet bij politici en veel
technische IT.

luntrus
21-06-2020, 16:09 door Anoniem
Er worden wel heel veel aspecten aangekaart in een vraag en doe hierbij een voorzetje waar jullie natuurlijk graag op mogen schieten met opbouwende kritiek zonder te vervallen in een ego en of OS strijdje:

Helaas zie ik te veel situaties ontstaan door een soort eeuwig gevecht met lemmingen die perse de afgrond in willen duiken waarbij je daar met je bordje staat doe het niet...en volledig overspoeld wordt met lemmingen.


ZERO DAYS: ( en niet inde juiste volgorde)
De overheid is in alle opzichten een veel te traag orgaan om hier alert genoeg op te kunnen reageren. Punt. Dat betekent dat je op voorhand allerlei misstanden wil voorkomen want dat is altijd beter dan genezen.
Er is geen enkele (staats) cybercrimineel die zich wat zal aantrekken van wetgeving of maatregelen. Sterker nog dit zal een uitdaging zijn.
Overheden dienen ook tegen zich zelf beschermd te worden. Bij de overheid werken mensen. En dat is altijd deels een afspiegeling van de maatschappij.
De regering of nog mooier dient een duidelijk standpunt in te nemen m.b.t. software / hardware van derden. Willen we b.v. software en hardware van andere mogendheden gebruiken? Ik ben benieuwd hoe ze die risicoanalyse opbouwen.
Alles draait om de laatste gegevens m.bt. zero days. Deze info kan verkregen worden door b.v. informatievoorziening v.d. sw/hw leveranciers (via dekkende contracten met verplichtingen) en onofficiële bronnen deels door eenheden die hier continu naar zoeken ..zoals wij deden..
Er dienen risico analyses verricht te worden die op verschillende uitgangspunten gebaseerd zijn afhankelijk v.d. omgeving. Dus niet alleen een commercieel / kwalitatief /militair uitgangspunt.
Daarnaast dienen er ook red buttons ingebouwd worden die het mogelijk maken om essentiële infrastructuren c.q. data te beschermen. Echter dient zo'n infrastructuur / omgeving zich daar ook voor te lenen. Hieruit volgt dat zo'n omgeving daartoe ook ingericht is.
Personen / organen die daarover beslissen dienen geautoriseerd, bekend te zijn en daadkrachtig.
Hoe zorg je dat je kernprocessen blijven functioneren bij een zero day zonder onacceptabele risico's te nemen door een ondoordachte lockdown.
Er dienen procedures in het leven geroepen te worden die ook regelmatig getoetst worden
Er dienen detectieprocessen in het leven geroepen worden die minstens geautomatiseerd het e.e.a. controleren dus geen jaarlijkse audits. Maar continu en je ook er van bewust zijn dat je daar niet alles mee ontdekt. Dus blijven controleren op onregelmatigheden. 100% dekking bestaat niet. Het gaat om riskmitigation.
Je dient je af te vragen of het risico het waard is om b.v. data aan computersystemen of überhaupt oline via wan / lan te ontsluiten.

en iets met dataclassificatie etc...
Naarmate je beter beschermd zullen de ongewenste acties ook steeds slimmer zijn. Een eeuwig durend gevecht...Een crimineel met genoeg geld zal mensen in huren … waar een wil is ...is een weg pech.

Ws het niet zo dat als je het target bent je gewoon de pisang bent? De vraag is alleen hoe lang je ze kan tegenhouden. DUs zorg dat er geen worst is dan komen de honden ook niet.


Kortom complex en veel. Waarbij we achter lemmingen acties aan rennen met een bordje REN NIET HET AFGROND IN.
21-06-2020, 16:45 door Anoniem
Grappig dat deze discussie wordt gevoerd, hopelijk wordt elk 1e en 2e kamerlid gedwongen hier een persoonlijke mening over te geven. Dan kunnen alle stemmers helder zien wie de gevaarlijke gekken zijn en wie zich meer houd aan de grondwet en mensenrechten.

In een gezonde demicratische rechstaat zou elk verkiesbaar kandidaat via een video vraaggesprek/ interview 100% duidelijkheid moeten geven over zienswijse en standpunten.

Duidelijkheid over hoe ze onze grondwet zien (bedreiging of juist onze redding), of ze de grondwet willen afschaffen, inperken of juist versterken, of ze onze rechtstaat willen versterken of inperken, of ze voor of tegen een constitutioneel hof zijn , of ze voor of tegen een streven naar trias politica zijn, voor of tegen de monarchie / republiek, voor of tegen een seculiere staat zonder bemoeienis van godsdienst in het publieke / politieke domein, voor of tegen seculier onderwijs, voor of tegen lagere belastingen voor onvermogenden en voor of tegen hogere belastingen voor rijkeren en voor banken en voor de grotere bedrijven. Etc

Tijd dat politici kleur bekennen en dat politieke partijen ook eens eerlijker zijn tijdens en na hun cariere.

Kort geleden was Kees Vendrik op tv, hij is ondertussen een bank directeur en heeft het groenlinks gedachten goed mooi kunnen misbruiken om als geldgraaiend het ene na het andere perferse klusje te bemachtigen. Walgelijke lieden, policitic zijn notoire onbetrouwbaar en super gevoelig voor geld en de mooie baantjes van het elite vriendjes politieke klusjes caroussel. Tijd voor een frisse wind en een democratische sftraffing voor alle partijen.


e het VN mensenrechten verdrag respecteren, deze willen inperken of versterken, etc.
21-06-2020, 18:40 door Anoniem
Door Anoniem:In een gezonde demicratische rechstaat zou elk verkiesbaar kandidaat via een video vraaggesprek/ interview 100% duidelijkheid moeten geven over zienswijse en standpunten.
Verwacht hier niet een beetje teveel? In Nederland is het vrij gebruikelijk om binnen een politieke partij een specialist te hebben op een thema, waarna de rest van de partij aansluit bij dat standpunt. Alleen bij écht lastige kwesties wordt er pas individueel gestemd. Ergens moet er de tijd zijn om je te verdiepen in een onderwerp, alleen maar interviews geven gaat de kwaliteit van die standpunten natuurlijk niet verbeteren.
21-06-2020, 19:50 door Anoniem
Door Anoniem: We moeten meer 0-days hebben als de vijand. En de vijand dat zijn andere overheden.
Ik ben tegen het gebruik van 0-days tegen burgers. Daar zijn andere middelen voor. Je gaat ook geen tank inzetten tegen demonstranten. Tenminste, in een democratie als de onze. In een land als China doen ze dat wel.

Als de vijand wat?
21-06-2020, 20:26 door Anoniem
Tja wat een onzin,de overheid wil dit niet om indien bekend,om in te grijpen want ze zien dit juist als een soort backdoor om misschien bij mensen in te breken op de computer of wat dan ook om zo criminelen makkelijker te kunnen pakken.
Als een individueel persoon een lek meldt dan doet hij dat rechtstreeks naar de fabrikant en of de softwaremaker.
Dan lossen ze het probleem op.
22-06-2020, 11:09 door Reinder
Door Anoniem: Oeps, nog even een aanvulling:

Niet alleen individuen moet de overheid beschermen maar zeker ook het bedrijfsleven tegen spionage, diefstal en ransomware.
En wat te denken van lekke Scada systemen?

Ik kan hier met mijn pet niet bij dat men zero day's onder de pet zou willen houden.


Ik begrijp je reactie, maar ik vind het een erg lastige zaak. In principe zou ik zeggen ja, dit moet altijd gemeld worden, aan de andere kant begrijp ik ook dat het zo zou kunnen zijn dat de veiligheid van het land in bredere zin meer gebaat is bij het kunnen mis/ge-bruiken van zo'n lek. Een voorbeeld zou kunnen zijn dat je een lek gebruikt waardoor je goed in de gaten kan houden wat er allemaal gebeurt in een fabriek voor chemische wapens in een of andere schurkenstaat die banden heeft met een terreurorganisatie. Natuurlijk, een zeldzaam geval, maar we weten ook dat het zaken zijn die voorkomen.
22-06-2020, 14:29 door SPer - Bijgewerkt: 22-06-2020, 14:30
De overheid heeft een geweldig track record wat betreft het beveiligen van gevoelige data (corona APP RIVM website) in ieder geval hoef je geen zero-day te gebruiken om in te breken bij een overheidssite ;-)

Ik vraag me af hoe de overheid dan ook denkt dat binnen hun knullige beveiligings denken ongewenste zero-day informatie te beveiligen en denkt men nu echt dat die informatie alleen maar beschikbaar is bij de overheid ? Een niet gepatcht lek is extreem gevaarlijk .
22-06-2020, 17:15 door Anoniem
Digitalisatie werkt niet alleen in je voordeel beste overheid. Bezin eer ge begint.
22-06-2020, 19:11 door Anoniem
Door SPer:

...

Ik vraag me af hoe de overheid dan ook denkt dat binnen hun knullige beveiligings denken ongewenste zero-day informatie te beveiligen en denkt men nu echt dat die informatie alleen maar beschikbaar is bij de overheid ?

....

Mijns inziens is dat ook (bijna) niet mogelijk. Om daar verandering in aan te brengen is water naar de zee dragen.
24-06-2020, 12:38 door Anoniem
De kroontjespen van Thorbecke heeft meer opgeleverd
dan het hele digitalel platform van de huidige Nederlandse Overheid.

De overheid predendeert overal verstand van te hebben via haar organen,
maar ze maken helaas fout op fout.

Kijk naar het uitgespeelde drama bij de Belastingdienst Toeslagen.
Daar wil je toch niet meer verantwoordelijk voor zijn.

Maar ja "even weer door het stof", dan kunnen de "trekpoppen blijven",
want degenen die aan hen trekken, hebben dat zo besloten.

Nu een neo-Nederlands Rijmpje (iron. bedoeld):

"En ze dronken een glas en deden een plas op een afstand van anderhalve meter,
en alles bleef zoals het was, of werd voor hen een volgende keer nog weer wat beter.

Jodocus Oyevaer
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.