Na jaren onzekerheid over de hackwet kwam bij het debat vorige week toch de aap uit de mouw. De politie gaat hacksoftware inkopen van dubieuze bedrijven als hackingteam, Finfisher of Zerodium. Dat zijn bedrijven die kennis over onbekende gaten in de beveiliging van internetapparaten (0days) inkopen van malafide hackers en daarvoor software (exploits) maken om deze kwetsbaarheden te misbruiken. Het gaat hier bijvoorbeeld om kwetsbaarheden in iPhones, in Android, internetbrowsers zoals Chrome of Firefox of kwetsbaarheden in encryptie. Software die mensen dagelijks gebruiken om te bankieren, medische data te versturen of persoonlijke berichten en foto’s naar vrienden en geliefden te versturen. Software die bedrijfsgeheimen moeten beschermen. Software die onze vitale infrastructuur bestuurt zoalswaterkeringen, sluizen en elektriciteitscentrales.
Door van dit soort bedrijven hacksoftware te kopen legitimeert en stimuleert de Nederlandse overheid de handel in onbekende kwetsbaarheden in apparaten die we in ons dagelijks leven gebruiken. Cruciaal is daarbij dat door het gebruikmaken van zo’n beveiligingsfout je niet slechts één iPhone kan hacken, maar alle iPhones met dezelfde software! Dus ook u en mijn iPhone wordt daardoor onveiliger. Een hacker heeft straks de keus: geef ik de kwetsbaarheid die ik heb ontdekt aan Apple en krijg ik er $200,000 voor, of verkoop ik ‘m aan Zerodium en krijg ik er $1,5 miljoen voor. Veel hackers zien het verkopen aan dit soort bedrijven als onethisch, en terecht. Maar als de overheid hacksoftware gaat inkopen bij deze bedrijven legitimeert de overheid ook de verkoop van kwetsbaarheden aan deze bedrijven en zal de keus voor $1,5 miljoen makkelijker gemaakt worden. Daarnaast stimuleert de overheid deze markt door hacksoftware in te kopen. Meer vraag naar dit soort software betekent meer geld en noodzaak om nieuwe onbekende kwetsbaarheden in te kopen. Vraag en aanbod.
De onbekende kwetsbaarheden die deze hacksoftware misbruikt zullen bovendien nooit door deze bedrijven, of door afnemers van de hacksoftware, gemeld worden aan Apple, Google of Microsoft om de kwetsbaarheid te dichten en mensen veilig te maken. De kwetsbaarheden zijn immers het business model van deze hacksoftware bedrijven. Daardoor blijft iedereen met een iPhone of een Androidtelefoon, iedereen die Chrome, Edge of Firefox gebruikt, iedereen met een op internet aangesloten webcam of thermostaat vatbaar voor hacks door criminelen, buitenlandse inlichtingendiensten en pedofielen. Ga er maar vanuit dat het leger van 180.000 Chinese staatshackers, de Amerikaanse NSA, grote criminele bendes als de Russische maffia en de Chinese triaden en andere kwaadwillenden dezelfde kwetsbaarheden ook gevonden hebben en actief misbruiken om onze creditcardgegevens en persoonlijke informatie te stelen.
Door dit soort hacksoftware in te kopen maakt dit kabinet van VVD en PvdA, samen met de steun van CDA, mensen onveiliger. Wat moeten we dan wel doen? Allereerst dus niet de markt in beveiligingsgaten in software legitimeren en stimuleren. Sterker nog, we moeten die markt aan banden leggen. We moeten hackers stimuleren kwetsbaarheden te melden aan de maker van de software zodat mensen niet gehackt kunnen worden. We moeten bedrijven stimuleren veiligere software te maken, bijvoorbeeld door softwareaansprakelijkheid of minimumveiligheidseisen aan software. We moeten digitale vaardigheden en online veiligheid onderdeel maken van het onderwijs en meer onderzoek financieren naar cybersecurity. Tenslotte is ook betere online recherche essentieel om de pakkans van cybercriminelen te vergroten. Kortom, er zijn tal van stappen die we kunnen nemen om mensen écht veiliger te maken.
Helaas kiezen VVD, PvdA en CDA ervoor om mensen onveiliger te maken. Deze wet zal leiden tot meer onveilige apparaten, meer hacks, meer gelekte bedrijfsgeheimen, meer cybercriminaliteit en spionage en meer massasurveillance. Met deze wet verergert het kabinet de cyberdreiging waar Minister Plasterk (PvdA), onder andere verantwoordelijk voor de AIVD, zelf voor waarschuwt: “Deze cyberdreiging kan de integriteit van politiek-bestuurlijke en democratische besluitvorming, het functioneren van de vitale infrastructuur en het verdienvermogen van de Nederlandse samenleving ernstig aantasten.”