Minister Hennis van Defensie wil niet zeggen over hoeveel zero day-kwetsbaarheden de krijgsmacht beschikt. Defensie heeft tijdens Prinsjesdag van het kabinet miljoenen euro's gekregen om in de cybercapaciteiten van de krijgsmacht te investeren, aanleiding voor de vaste commissie voor Defensie om Defensieminister Hennis te vragen over hoeveel zero day-kwetsbaarheden het leger beschikt.

Het gaat in dit geval om beveiligingslekken waarvoor nog geen update beschikbaar is. Via dit soort kwetsbaarheden is het mogelijk om systemen over te nemen. Bij de aanval op de Iraanse uraniumverrijkingscentrale in Natanz door de Stuxnetworm werden meerdere zero days toegepast. Het is echter onduidelijk of het Nederlandse leger over dergelijke kwetsbaarheden beschikt en hoeveel het er zouden zijn. "Defensie geeft op deze vraag geen antwoord om redenen van operationele veiligheid", aldus de minister in haar antwoord (pdf).

Hennis werd ook gevraagd wat Defensie precies onder een 'cyberwapen' verstaat. Hier geeft de minister wel uitgebreid antwoord op: "Een cyberwapen kan worden beschreven als het geheel van inlichtingen, processen, techniek en kennis/mensen die benodigd zijn om digitale systemen schade toe te brengen. Onderdeel van dit geheel is de zogenaamde weaponized code, het stukje software dat het uiteindelijke effect veroorzaakt in bijvoorbeeld vijandelijke sensor-, wapen- en commandovoeringssystemen."

Offensieve capaciteiten

De commissie wilde ook weten hoe de aanvallende cybercapaciteiten van Defensie zich zowel organisatorisch als budgettair tot de totale anti-cybercapaciteiten van de overheid verhouden. Volgens Hennis ligt de primaire aandacht van de overheid bij de bescherming van Nederland. "Ook voor Defensie geldt dat er voornamelijk wordt gewerkt aan het zo sterk mogelijk maken van de cyber security, en dus het weerbaar zijn als het gaat om de cyberdreiging."

Een harde scheiding tussen de werkzaamheden die worden verricht voor de defensieve en de meer offensieve capaciteiten is niet te maken, aldus de minister. "Zo draagt het Defensie Cyber Expertise Centrum (DCEC) met zijn kennis bijvoorbeeld bij aan alle defensiespelers in het cyberdomein. Offensieve militaire cybercapaciteiten zijn dan ook onderdeel van het geheel aan maatregelen die de overheid neemt ter verhoging van de weerbaarheid."