VS openbaart geheimhoudingsregels voor gaten

De Amerikaanse overheid heeft al herhaaldelijk kritiek gevangen voor zijn omgang met beveiligingsgaten in software en hardware. Zo zijn recente grote ransomware-aanvallen als WannaCry en NotPetya, die wereldwijd flink hebben huisgehouden, in wezen mogelijk gemaakt door de VS.

Digitaal wapenarsenaal

Het feit is namelijk dat ontdekte kwetsbaarheden lang niet altijd worden gemeld aan betrokken ICT-leveranciers. Laat staan dat dergelijke informatie beschikbaar komt voor ICT-afnemers en -gebruikers, zoals beheerders maar ook ICT-partnerbedrijven. Dit gebrek aan melden ligt niet alleen aan individuele en commerciële security-onderzoekers, maar ook juist aan overheidsorganisaties.

Zo verzamelt de Amerikaanse inlichtingendienst NSA kwetsbaarheden, inclusief exploitcode om er actief misbruik van te maken. Door een datalek of digitale inbraak zijn veel van die tools in handen gekomen van de beruchte hackersgroep Shadow Brokers, die een deel van die buit hebben geopenbaard. Vervolgens hebben cybercriminelen en staatshackers deze exploits nuttig gebruikt voor hun werk.

Helderheid over geheimhouding

De nu geopenbaarde overheidsregels (PDF) voor de omgang met kwetsbaarheden zijn een reactie op de kritiek over de Amerikaanse aanleg van digitale wapenvoorraden. De VS zou het openbare belang - of risico - te vaak ondergeschikt maken aan overwegingen voor offensief gebruik in landsbelang. Uiteindelijk kan een doorgeslagen balans ‘voor nationale veiligheid’ juist zorgen voor nationale en zelfs internationale onveiligheid.

De cybersecuritycoördinator van het Witte Huis, Rob Joyce, stelt dat de bijgestelde regels helderheid moeten geven voor het proces waarmee diverse overheidsinstanties de afweging maken om een kwetsbaarheid geheim te houden. De topman heeft deze toelichting gegeven op een bijeenkomst in Washington, meldt persbureau Reuters.

De Amerikaanse regels zijn “de meest verfijnde” in de hele wereld, claimt de functionaris van de regering Trump. Joyce vult aan dat bedrijven geen tips krijgen van China, Rusland, Noord-Korea en Iran” over fouten in hun technologie.