De Britse inlichtingendienst GCHQ onthult niet elke kwetsbaarheid die ze ontdekken aan de softwareleverancier. De kennis over een kwetsbaarheid in software kan gebruikt worden in een onderzoek naar criminele bendes, hackers of vijandige staten.

Soms kiest de dienst ervoor om een kwetsbaarheid stil te houden en te gebruiken om inlichtingen te verzamelen en de activiteiten van diegenen die proberen het Verenigd Koninkrijk schade te berokkenen te verstoren als het gaat om onderzoeken in het belang van de nationale veiligheid. In principe wordt elke zero-day gemeld, maar als het in het belang is van de nationale veiligheid, kan dat een enkele keer achterwege worden gelaten. Dat hebben de GCHQ en het Britse National Cyber Security Centre maandag verklaard in een poging meer uitleg te geven over wanneer een kwetsbaarheid wel of niet wordt onthuld.

Volgens de inlichtingendienst wordt het besluit om een kwetsbaarheid stil te houden, niet zomaar genomen. Dat wordt besloten door een panel van experts van de dienst, het NCSC en het ministerie van Defensie. “Ik hoop dat de details die we vandaag hebben gepubliceerd laten zien dat we ons best doen om het Verenigd Koninkrijk te beschermen, ook als het om kwetsbaarheden gaat,” schrijft Ian Levy, technisch directeur bij het NCSC.

Het verzwijgen van een kwetsbaarheid kan echter ook negatieve gevolgen hebben, volgens ZDnet. De wereldwijde uitbraak van WannaCry ransomware was mogelijk door EternalBlue, een kwetsbaarheid die werd gebruikt door Amerikaanse inlichtingendiensten. Het lek lekte uit via hackers en hoewel Microsoft met een patch kwam, gebruikte Noord-Korea de kwetsbaarheid om WannaCry te verspreiden.