Nederland gebruikt zeer dubieuze hacksoftware van het Israëlische bedrijf NSO, schrijft de Volkskrant. Dit is geen verrassing. Het echte nieuws is dat de Tweede Kamer niets doet om de hackende overheid te begrenzen. Stop met oppervlakkig gedoe over Nokia-sms’jes van Rutte, verdiep je in de wereld van het hacken en bescherm zo de smartphones van alle Nederlanders.
Nederland gebruikt zeer dubieuze hacksoftware van het Israëlische bedrijf NSO, schrijft de Volkskrant. Dit is geen verrassing. Het echte nieuws is dat de Tweede Kamer niets doet om de hackende overheid te begrenzen. Stop met oppervlakkig gedoe over Nokia-sms’jes van Rutte, verdiep je in de wereld van het hacken en bescherm zo de smartphones van alle Nederlanders.
De inlichtingendiensten, politie en het leger hebben de wettelijke bevoegdheid om te hacken. In het belang van de nationale veiligheid mogen ze inbreken in computers van targets of verdachten. Hacken kan door misleiding (social engineering) maar ook via hacktools die gebruik maken van kwetsbaarheden in software (waaronder zerodays).
Deze hacktools kun je zelf ontwikkelen maar ook inkopen bij commerciële bedrijven als NSO. Dat laatste is hier het geval. Dit is uiterst risicovol: je maakt je afhankelijk, je weet niet wat je koopt, je stimuleert een duistere markt die handelt in cyberwapens die ook journalisten en activisten in gevaar brengen.
Dat het gebruik van deze op kwetsbaarheden gebaseerde hacktools gevaarlijk is, bleek tijdens de grote Wannacry aanval in 2017 waarbij miljoenen computers en allerlei vitale systemen crashten. En recent uit het Pegasus schandaal in Spanje waarbij politici werden afgeluisterd.
Het hacken op basis van software-kwetsbaarheden is gevaarlijk voor de digitale infrastructuur.
Kortom: het hacken op basis van software-kwetsbaarheden is gevaarlijk voor de digitale infrastructuur waar de hele wereld op draait en voor de democratische rechtsstaat die onschuldige burgers beschermt. Als je dit middel toch inzet moet het uitzonderlijk zijn en voorzichtig gebeuren.
Maar juist met die cruciale voorzichtigheid gaat het in Nederland helemaal mis:
Niet alleen hackt de AIVD met uiterst dubieuze tools, ook hackt de politie al drie jaar op rij in strijd met de wet, zo concludeert de Inspectie van Justitie en Veiligheid. Daarbij houden ze tegenover Kamerleden en journalisten halsstarrig geheim of ze Pegasus gebruiken.
Intussen is de altijd zo luidruchtige Kamer al jaren doodstil. Hoe kan dat?
Allereerst stellen teveel partijen ‘de nationale veiligheid’ blind boven alles. Soms moet de rechtsstaat maar even aan de kant vinden ze. Soms buigen ze onder druk van de coalitie. Ten tweede is het onderwerp technisch complex en niet mediageniek. Niet sexy genoeg dus. Met als gevolg dat vooral kleine fracties het volledig laten lopen.
Deze politieke desinteresse heeft als gevolg dat teveel partijen problematische wetten als de sleepwet, de hackwet en de datawet WGS blind hebben laten passeren onder het mom van ‘criminaliteit keihard aanpakken’. Mede daardoor hebben we nu een overheid die geregeld rechten van burgers schendt. Ik heb hier al vaker op gewezen.
Inhoudelijk aan de slag
In plaats van steeds achteraf moord en brand roepen in de krant, moet de Kamer nu eens inhoudelijk aan de slag met wetgeving die het gebruik van zerodays en hacktools door de overheid vooraf aan banden legt en inkadert. Door in de wet een zorgvuldige en onderbouwde afweging door defensie, diensten en politiek af te dwingen.
Het goede nieuws daarbij is dat al het voorwerk al is gedaan. Mijn – vorig jaar nog door Kamer en kabinet geblokkeerde – initiatiefwet zerodays ligt klaar om opnieuw ingediend te worden!
Dus hup Tweede Kamer: stop met oppervlakkig gedoe over Nokia-sms’jes van Rutte, verdiep je in de wereld van het hacken en bescherm zo de smartphones van alle Nederlanders.
Kees Verhoeven is eigenaar Bureau Digitale Zaken, adviseur Digitale Transformatie bij Dutch Data Center Association (DDA), voorzitter KNVI en voormalig lid Tweede Kamer voor D66.