Een nieuwe initiatiefwet moet reguleren hoe overheidshackers zogeheten ‘zero-days’ in software mogen inzetten.
Daarvoor pleit D66-Kamerlid Kees Verhoeven donderdag in de Tweede Kamer, meldt de NOS.
Een zero-day is een bug in software die nog niet bekend is bij de maker. Hierdoor kan een hacker er misbruik van maken bij een cyberaanval. De originele maker kan namelijk geen software-update uitbrengen om het beveiligingsgat te dichten.
Verhoeven wil dat een onafhankelijke commissie gaat meekijken wanneer zo’n zero-day ingezet kan worden. Deze commissie zou moeten bestaan uit bijvoorbeeld het ministerie, Nationaal Cyber Security Centrum en de Autoriteit Persoonsgegevens.
Op het moment bepalen de politie, geheime diensten en het leger zelf wanneer een zero-day gebruikt wordt. De AIVD heeft hier bijvoorbeeld een interne commissie voor.
Meldplicht voor zero-days bij bedrijven
De wet moet instanties ook verplichten om zero-days op termijn te melden bij softwaremakers, zodat de lekken gedicht kunnen worden. Anders zouden Nederlanders volgens Verhoeven vatbaar zijn voor cyberaanvallen uit andere landen.
De wet Computercriminaliteit III die eerder werd aangenomen verplicht de politie al om zero-days in veel gevallen te delen met softwaremakers, maar er zijn tot op heden geen overkoepelende regels hierover voor bijvoorbeeld de AIVD en MIVD.
Wordt de wet aangenomen, dan zou Nederland het eerste land zijn dat op deze manier het gebruik van zero-days reguleert.
https://www.nu.nl/internet/5641283/d66-wil-gebruik-softwarebugs-door-overheidshackers-reguleren.html