Als het aan D66 ligt worden ethische hackers die kwetsbaarheden melden beter beloond en komt er een wettelijk afwegingskader voor zero-days. Ook moet encryptie niet voor opsporingsdoeleinden worden verzwakt. Dat heeft de partij in de vandaag gepresenteerde Techvisie 2.0 laten weten (pdf).

De Techvisie beschrijft een politieke agenda voor de digitalisering. Ten opzichte van de eerste Techvisie die in 2016 verscheen vraagt de nieuwste editie extra aandacht voor de impact van kunstmatige intelligentie, de macht van de grote techbedrijven en de dreiging van digitale aanvallen. “Het is de verantwoordelijkheid van de overheid om onze democratie, onze vitale infrastructuur, onze bedrijfsgeheimen en onze staatsveiligheid te beschermen. Dit zonder te vervallen in censuur, zonder onverantwoord gebruik van cyberwapens en zonder lukraak bedrijven uit bepaalde landen te weren”, zo schrijft D66-Kamerlid Kees Verhoeven, opsteller van de Techvisie.

Om digitale aanvallen af te slaan doet Verhoeven verschillende aanbevelingen. Zo moet er een wettelijk afwegingskader komen voor het gebruik van zero-days. Het gaat dan om kwetsbaarheden die nog niet bij de leverancier bekend zijn. Inlichtingen- en opsporingsdiensten kunnen er gebruik van maken om verdachten te volgen. Als deze diensten de leverancier niet informeren kunnen miljoenen internetgebruikers risico lopen, aangezien er dan ook geen update wordt ontwikkeld.

In de Verenigde Staten is het Vulnerabilities Equities Process opgezet dat verschillende diensten en ministeries bij elkaar brengt om te beslissen of een bepaalde zero-day gebruikt of bij de leverancier gemeld moet worden. In Nederland is een dergelijk afwegingskader via een beleidsregel van toepassing op de AIVD en MIVD “Maar de politie en defensie onttrekken zich hieraan”, aldus Verhoeven. D66 wil het afwegingskader voor het gebruik van zero-days door overheden wettelijk regelen via een initiatiefwet.

Ethische hackers

Om digitale aanvallen af te slaan wil D66 ook dat ethische hackers, die kwetsbaarheden bij organisaties melden, beter worden beloond. “Creëer een beloningsstructuur voor ethisch hackers en onderzoekers die zwakke plekken ontdekken”, zo laat de Techvisie weten. Het melden van kwetsbaarheden bij een organisatie, en die in staat stellen om het lek te patchen, wordt responsible disclosure genoemd.

Nederland is één van de eerste landen ter wereld met een zogeheten Responsible Disclosure-richtlijn die ethische hackers in staat stelt om kwetsbaarheden te melden. Verhoeven wil dat het responsible disclosure-principe wettelijk wordt vastgelegd, zodat ethische hackers niet strafrechtelijk worden vervolgd.

Verder roept de Techvisie op tot het scannen van de vitale infrastructuur op kwetsbaarheden en verouderde software, het stimuleren van tweefactorauthenticatie en wachtwoordmanagers, het trainen van ambtenaren en medewerkers in gevoelige sectoren in digitale veiligheid en het niet verzwakken van encryptie voor opsporingsdoeleinden.