14 december 2016

Kamerleden worstelen met hackbevoegdheid politie

Het Kamerdebat over de Wet computercriminaliteit III duurde gister van half 5 ’s middags tot vlak voor middernacht. Toch bleek dit niet lang genoeg om alle zorgen over de wet weg te nemen. Sterker nog: aan het eind van het debat leek de Kamer alleen maar meer verdeeld te zijn over de wenselijkheid van een hackbevoegdheid voor de politie.

Onbekende kwetsbaarheden

Het belangrijkste pijnpunt zit hem in het gebruik van 0-days: kwetsbaarheden die (nog) niet bekend zijn bij de maker van de software en dus niet gedicht kunnen worden. In veel gevallen zal de politie toegang kunnen krijgen tot systemen via bekende kwetsbaarheden of andere methoden. Bijvoorbeeld omdat een doelwit zijn beveiliging niet op orde heeft, gebruik maakt van oude apparaten, of bepaalde updates niet heeft uitgevoerd. Staatssecretaris Dijkhoff verwacht echter dat dit niet altijd toereikend zal zijn. In dat geval wil hij de optie hebben om de politie gebruik te laten maken van onbekende kwetsbaarheden.

De politie zou daarmee kennis krijgen over ernstige beveiligingslekken, die vervolgens niet wordt gedeeld met het betreffende ICT-bedrijf. Het lek blijft daarmee onnodig lang open staan voor misbruik door kwaadwillende partijen. Dit staat haaks op de taak van de overheid om digitale veiligheid te bevorderen. Nederland ICT maakt zich al langer zorgen over de gevolgen van deze securityspagaat binnen de overheid.

Black box

In het Kamerdebat kwam het gebruik van onbekende kwetsbaarheden uitgebreid aan de orde. De kern van de kritiek is dat de wet de politie zal stimuleren om lekken in ICT-producten onder de pet te houden. Kamerleden Recourt en Tellegen dienden daarom een amendement in dat de politie dwingt toestemming te vragen aan de rechter-commissaris om kwetsbaarheden voor een periode van vier weken geheim te houden. Als die toestemming er niet is, moet een kwetsbaarheid direct gemeld worden.

Staatssecretaris Dijkhoff merkte hierover op dat de politie in de praktijk zal hacken met aangekochte hackingtools, zonder precies te weten van welke kwetsbaarheden deze tools gebruik maken. Kortom: de politie weet zelf niet altijd of ze 0-days gebruikt of niet. Verhoeven (D66) trok hieruit de conclusie dat het amendement dan niet nageleefd kan worden. Ook Helder (PVV), Gesthuizen (SP) en Van Tongeren (GroenLinks) toonden zich erg kritisch. Dijkhoff laat het aan het oordeel van de Kamer over om te beslissen of dit amendement nut heeft of niet.

Nederland ICT deelt de zorgen van de Kamer hierover. Dat de politie in de praktijk gebruik zal maken van dit soort ‘black boxes’ om te hacken roept allerlei nieuwe vragen op. Hoe kan er sprake zijn van goed toezicht als niet duidelijk is van wat voor soort kwetsbaarheden er precies gebruik wordt gemaakt? Hoe kan de overheid de herkomst van de kwetsbaarheden controleren? De komende maanden willen we in samenwerking met andere organisaties de maatschappelijke discussie over de transparantie van surveillancetools van de overheid voeren.

Tot daar duidelijkheid over is, zou de overheid terughoudend moeten zijn met een hackbevoegdheid. Nederland ICT staat daarom positief tegenover het amendement van D66, GroenLinks en de SP. Deze partijen willen dat de politie helemaal geen gebruik mag maken van kwetsbaarheden in software. Om toegang te krijgen tot systemen van criminelen zouden ze andere methoden moeten gebruiken, bijvoorbeeld het gebruik van informatie die ze via surveillance hebben verkregen. Het amendement dat hiervoor is ingediend lijkt echter geen meerderheid te hebben in de Tweede Kamer en is bovendien door Dijkhoff ontraden.

Volgende week stemming

Samenvattend ontstaat het beeld van een onbevredigend debat en een sterk verdeelde Tweede Kamer. Partijen als de PvdA en de PVV, die eerder positief tegenover het voorstel stonden, lieten aan het eind van het debat weten toch nog twijfels te hebben, onder andere over de mate van toezicht. Ook waren de Kamerleden niet te spreken over een aantal losse eindjes en de onduidelijkheid over hoe de wet in de praktijk zal uitpakken. Zo concludeerde Lilian Helder (PVV) dat ze positief het debat in ging, maar met een negatief gevoel blijft zitten. Het door haar gewenste toezicht blijkt onmogelijk te zijn.

Wij delen die zorgen. Het kabinet lijkt deze bevoegdheid nog snel voor de verkiezingen in de wet te willen verankeren. Maar een bevoegdheid die onder zowel Kamerleden als ICT-experts zo veel vragen oproept over de gevolgen voor de algemene cybersecurity verdient meer tijd en aandacht. Nederland ICT blijft bij het standpunt dat kwetsbaarheden zo snel mogelijk moeten worden gemeld bij bedrijven, zodat bedrijven hun verantwoordelijkheid kunnen nemen om deze te dichten. Daarnaast mogen er geen twijfels zijn over de effectiviteit van toezicht. Potentieel verstrekkende bevoegdheden als deze moeten nu en in de toekomst gewaarborgd worden met goed toezicht.

Volgende week stemt de Tweede Kamer over de wet. Zoals het er nu voor staat lijkt er een meerderheid te zijn voor zowel het voorstel als het amendement van Recourt over het melden van onbekende kwetsbaarheden. Het amendement voor het niet gebruiken van kwetsbaarheden zal het zonder de steun van de PvdA en/of de PVV niet halen. Of het wetsvoorstel ook in de Eerste Kamer op een meerderheid kan rekenen is nog niet zeker.