Commissie: AIVD en MIVD gebruikten sinds 2018 zerodaylek bij operaties
De AIVD en MIVD hebben sinds 1 mei 2018 in een aantal operaties een zerodaylek gebruikt om toegang tot een systeem te krijgen zonder dat in het toestemmingsverzoek aan de Toetsingscommissie Inzet Bevoegdheden (TIB) te melden, zo heeft de TIB in het vandaag verschenen jaarverslag laten weten. De TIB is een onafhankelijke toetsingscommissie. Als de AIVD en MIVD bepaalde bijzondere bevoegdheden willen inzetten is daarvoor toestemming nodig van de betrokken ministers. De commissie toetst daarvan voorafgaand de rechtmatigheid, die bindend is.
Vorig jaar beoordeelde de TIB meer dan 3000 verzoeken van de AIVD en MIVD voor de inzet van bepaalde bijzondere bevoegdheden. In de vorige verslagperiode ging het nog om ruim 2100 verzoeken. Van de AIVD werd 3,3 procent van de verzoeken door de TIB als onrechtmatig beoordeeld. In de vorige verslagperiode was dit 1,9 procent. Bij de MIVD ging het om 7,1 procent van de verzoeken, terwijl dit in 2020 nog om 8,1 procent ging.
Verder zette de AIVD vorig jaar zes keer de spoedprocedure onrechtmatig in. Bij deze procedure kan de inlichtingendienst bevoegdheden direct inzetten voordat de TIB hier een bindend oordeel over heeft gegeven. Ook kwam het drie keer voor dat de inzet zelf onrechtmatig was. In twee gevallen werden de bevoegdheden ingezet bij een journalist.
Onderscheppen kabelinternetverkeer
De TIB ontving vorig jaar in totaal twee verzoeken voor het onderscheppen van kabelinterverkeer. Beide verzoeken werden door de Toetsingscommissie als onrechtmatig beoordeeld. Bij het eerste verzoek was het volgens de commissie aannemelijk dat een grote hoeveelheid internetverkeer van onder andere Nederlandse burgers zou worden opgeslagen en een deel daarvan ongezien zou worden gedeeld met een buitenlandse inlichtingendienst. De AIVD had echter niet concreet gemaakt wat de operatie zou opleveren.
Bij het tweede verzoek was naar het oordeel van de TIB teveel onduidelijkheid over de waarborgen. Volgens de commissie zou hierdoor een situatie kunnen ontstaan dat medewerkers van de inlichtingendiensten ook van Nederlandse burgers zouden kunnen bijhouden wie op welk moment welke website heeft bezocht.
Zerodaylek
De commissie kreeg vorig jaar te horen dat beide diensten sinds 1 mei 2018 in een aantal operaties een zerodaylek hebben ingezet om een systeem binnen te dringen, zonder dat in het toestemmingsverzoek te melden. Dit is ook gebeurd in gevallen waarbij op het moment van het schrijven van het verzoek om toestemming al duidelijk was dat de betreffende kwetsbaarheid ingezet zou gaan worden.
De TIB toetst bij elke inzet van de hackbevoegdheid door de diensten de technische risico's, waarbij ook wordt gekeken naar misbruik door derden. Het gaat daarbij vooral om de vraag of andere (statelijke) actoren misbruik zouden kunnen maken van de kennis en technische middelen van de Nederlandse inlichtingendiensten. "Met name bij de inzet van onbekende kwetsbaarheden is het van belang die inschatting te kunnen maken. Immers, indien een andere actor de methode succesvol kan kopiëren bestaat het risico dat die actor gemakkelijker kan binnendringen op systemen in Nederland of bij haar bondgenoten", stelt de TIB.
De afgelopen jaren heeft de commissie steeds benadrukt dat de inzet van een zerodaylek alleen kan wanneer dit expliciet wordt vermeld in een verzoek. De TIB dient naar eigen zeggen volledig te worden geïnformeerd over de voorgenomen inzet van een zeroday, zodat de technische risico’s daarvan naar behoren kunnen worden ingeschat. De informatie wordt vervolgens door de TIB betrokken in de toets.
Halverwege vorig jaar kreeg de TIB van de AIVD en MIVD te horen dat uit intern onderzoek is gebleken dat sinds 1 mei 2018 in een aantal operaties een onbekende kwetsbaarheid is ingezet, zonder dat in het verzoek aan de TIB te vermelden. "Daarbij is aangegeven dat de technische risico’s die in de verzoeken werden gemeld, wel in lijn zijn met de technische risico’s verbonden aan de inzet van de onbekende kwetsbaarheid", voegt de commissie toe.
Wetsvoorstel
Het kabinet heeft onlangs een wetsvoorstel gepresenteerd dat de AIVD en MIVD speciale bevoegdheden sneller laat inzetten. De TIB vindt het naar eigen zeggen belangrijk – ook vanwege het wetsvoorstel – een goed beeld te schetsen van de impact en reikwijdte van de bijzondere bevoegdheden die de diensten nu al hebben. Het gaat dan met name om kabelinterceptie en strategische hackoperaties.
https://www.volkskrant.nl/nieuws-achtergrond/aivd-en-mivd-kunnen-en-willen-steeds-meer-hacken-en-dat-wringt-steeds-vaker-met-de-wet~b52350458/
Er zijn genoeg zero days voor iedereen. Ook voor Nederland. Er is echt geen gebrek aan kwetsbaarheden in software. Het kost alleen wat tijd en geld om ze te vinden. Je moet er wel slimme mensen voor in dienst hebben die in andere sectoren van de ICT bakken met geld en een goed pensioen kunnen verdienen. Want er is veel vraag naar hun talenten. Alles is immers digitaal tegenwoordig.
Het gaat er vooral om dat ze A een controlle hebben zodat eventuele mistanden opgelost kunnen worden (alleen niet alles kan inzichtbaarzijn door de natuur van het werk denk ik?/lijkt me), en B dat ze efficient en snel te werk kunnen gaan.
Bureaucratisch te werk gaan is top (controlle, nadenken, toetsen etc) maar geef ze dan op redelijk consistent en snel tempo een ja of een nee zodat ze verder kunnen. (en tuurlijk is een besluit situatie gebonden). Ik denk dat 'dit soort mensen' liever binnen 3 uur een nee horen dan dat ze x maanden moeten wachten op een ja. (Positief bedoelt!)
- Ramlatel
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.