Tijd om gaatjes in software te dichten

Maar de gevolgen van die gaatjes in software kunnen nog veel verder gaan. Terroristen kunnen ze ook gebruiken om bijvoorbeeld op afstand een energiecentrale te saboteren.

Om cybersecurity echt te verbeteren, is het dan ook essentieel dat dergelijke kwetsbaarheden zo snel mogelijk worden gerepareerd of dat er een spreekwoordelijke pleister op wordt geplakt. Daarvoor moeten we in Europa een omgeving creëren die het vinden en rapporteren van die gaatjes door cybersecurityexperts aanmoedigt. Want daar gaat het nu vaak fout. Als onderzoekers een gaatje in software vinden, kunnen ze in veel Europese landen vervolgd worden door het bedrijf dat die software maakt omdat iemand zonder toestemming 'ingebroken' heeft in hun software. Dat is de verkeerde mentaliteit. Een aanval op software met de bedoeling die veiliger te maken is iets anders dan een aanval met kwaadaardig motief. We moeten hackers juist uitnodigen om de veiligheid van software voor ons allemaal te vergroten.

Europese regels zijn er nog niet, maar moeten een integraal onderdeel zijn van het bouwen van een interne digitale markt. Een Nederlandse onderzoeker die een kwetsbaarheid in Spaanse software vindt, moet niet anders behandeld worden dan een Spanjaard die een oplossing voor Nederlandse software vindt. Dat is voor mij een prioriteit in de nieuwe Europese cybersecuritywetgeving waar momenteel aan wordt gewerkt. 

Inlichtingendiensten spelen vaak een dubbele rol als het gaat om cybersecurity.

Inlichtingendiensten spelen vaak een dubbele rol als het gaat om cybersecurity. Zij kunnen softwaregaatjes natuurlijk goed gebruiken om mensen te bespioneren, of om die actief in te zetten voor nieuwe vormen van digitale oorlogsvoering. In de Verenigde Staten is er een toetsingskader dat duidelijk maakt wat geheime diensten moeten doen als ze nieuwe kwetsbaarheden vinden. Zo’n proces ontbreekt volledig in de meeste Europese landen – ook in Nederland. Juist omdat die gaatjes zowel door criminelen als door inlichtingendiensten gebruikt kunnen worden, moet er een fundamenteel en transparant debat worden gehouden over hoe we hier als samenleving mee willen omgaan. Te vaak wordt cybersecurity verzwakt onder het mom van het versterken van nationale veiligheid. 

Om de gaatjes in software te dichten, moeten we ook de mazen in de wet dichten. Dat doen we door te zorgen voor een helder proces voor hackers die software veiliger willen maken, en ook door het toezicht op inlichtingendiensten en hun gebruik van softwarekwetsbaarheden te vergroten.