Door: Marietje Schaake
Software is eigenlijk niet meer dan een soort visnet, waarin draden computercode met elkaar verweven zijn tot een gesloten systeem. Software komt standaard met weeffouten. Deze gaten of kwetsbaarheden kunnen door cybercriminelen worden misbruikt om in het geheim binnen te dringen op je mobiele telefoon, laptop of computer. Zo kunnen je persoonlijke gegevens gestolen worden, of kun je het slachtoffer worden van een ransomware-aanval waarbij je losgeld moet betalen. Maar de gevolgen van die zogeheten bugs in software kunnen nog veel verder gaan. Terroristen kunnen ze ook gebruiken om bijvoorbeeld op afstand een energiecentrale te saboteren.
Om digitale veiligheid echt te verbeteren is het dan ook essentieel dat dergelijke kwetsbaarheden zo snel mogelijk worden gerepareerd of dat er een spreekwoordelijke pleister op wordt geplakt. Daarvoor moeten we in Europa een omgeving creëren die het vinden en rapporteren van die bugs door cybersecurity-experts aanmoedigt. Want daar gaat het nu vaak fout. Als ethische hackers een gaatje vinden in software, dan kunnen ze in veel Europese landen vervolgd worden door het bedrijf dat die software maakt, omdat iemand zonder toestemming ‘ingebroken’ heeft in hun software. Dat is de verkeerde mentaliteit. Een aanval op software met de bedoeling die veiliger te maken is iets anders dan een aanval met kwaadaardig motief. We moeten hackers juist uitnodigen om de veiligheid van software voor ons allemaal te vergroten.
Europese regels zijn er nog niet, maar moeten een integraal onderdeel zijn van het bouwen van een interne digitale markt. Een Nederlandse ethische hacker die een kwetsbaarheid vindt in Spaanse software, moet niet anders behandeld worden dan een Spanjaard die een oplossing voor Nederlandse software vindt. Dat is voor mij een prioriteit in de nieuwe Europese cybersecurity-wetgeving waar momenteel aan gewerkt wordt.
Inlichtingendiensten spelen vaak een dubbele rol als het gaat om digitale veiligheid. Zij kunnen softwaregaten natuurlijk goed gebruiken om mensen te bespioneren, of om die actief in te zetten voor nieuwe vormen van digitale oorlogsvoering. In de Verenigde Staten is er een toetsingskader dat duidelijk maakt wat geheime diensten moeten doen als ze nieuwe kwetsbaarheden vinden. Zo’n proces ontbreekt volledig in de meeste Europese landen – ook in Nederland. Juist omdat die bugs zowel door criminelen als door inlichtingendiensten gebruikt kunnen worden, moet er een fundamenteel en transparant debat gehouden worden over hoe we hier als samenleving mee willen omgaan. Te vaak wordt digitale veiligheid verzwakt onder het mom van het versterken van nationale veiligheid.
Om de gaten in software te dichten moeten we ook de mazen in de wet dichten. Dat doen we door te zorgen voor een helder proces voor ethische hackers die software veiliger willen maken. Maar ook door toezicht op inlichtingendiensten en hun gebruik van software kwetsbaarheden te vergroten.
Marietje Schaake is Europarlementariër voor D66 sinds 2009.
Deze bijdrage komt uit IP nr. 3 / 2018. Het gehele nummer kun je hier lezen.