D66, SP en GroenLinks willen niet dat de politie de bevoegdheid krijgt om via beveiligingslekken in software geautomatiseerde werken binnen te dringen. Dat blijkt uit een amendement voor het wetsvoorstel computercriminaliteit III dat de partijen hebben ingediend (docx).
"Het binnendringen van geautomatiseerde werken door middel van kwetsbaarheden in software is een extra bevoegdheid waarvan de noodzaak niet voldoende aangetoond is. Bovendien is het binnendringen van geautomatiseerde werken door middel van kwetsbaarheden in software een onwenselijke bevoegdheid", aldus het amendement dat door D66-Kamerlid Kees Verhoeven werd opgesteld en vervolgens door SP-Kamerlid Gesthuizen en GroenLinks-Kamerlid Van Tongeren is ondertekend.
Volgens Verhoeven is het binnendringen van geautomatiseerde werken door middel van kwetsbaarheden in software een onwenselijke bevoegdheid. "Het maakt mensen onveilig omdat kwetsbaarheden in telefoons, tablets en andere apparaten blijven bestaan, waardoor mensen makkelijker slachtoffer kunnen worden van cybercrime. Hiermee zou de overheid een belang krijgen bij onveilige apparaten, zoals laptops, smartphones, wearables en computers en, gezien de brede definitie van 'geautomatiseerde werken', ook pacemakers, auto’s en medische apparatuur."
Het D66-Kamerlid zegt dat als de politie toch kwetsbaarheden in software mag gebruiken er een situatie ontstaat waarbij hackers eerder geneigd zijn om kwetsbaarheden aan partijen door te verkopen dan dat de leverancier wordt ingelicht zodat die een patch kan ontwikkelen. "In een tijd waarin vrijwel elk apparaat op het internet wordt aangesloten en onze veiligheid en onze economie steeds meer afhankelijk zijn van veilige ICT-systemen is het belangrijk dat de overheid zich juist inzet voor een veiliger internet. Deze bevoegdheid zou grote schade toebrengen aan onze economie en aan ons vestigingsklimaat", merkt Verhoeven op.
Om toch toegang tot een geautomatiseerd werk te krijgen zou de politie volgens Verhoeven social engineering kunnen toepassen, zoals het versturen van phishingmails. Via de phishingmails zouden bijvoorbeeld inloggegevens van de verdachte kunnen worden gestolen of zijn systeem met een keylogger worden besmet. Daarnaast wijst het D66-Kamerlid op andere technieken die de politie kan toepassen om toegang tot accounts te verkrijgen, zoals het brute forcen van wachtwoorden of schoudersurfen.
"Cybersecurity experts benadrukken vaak het feit dat de mens de zwakste schakel in ICT-systemen is. Volgens de "Cyber Security Intelligence Index 2015" komt 95 procent van alle beveiligingsincidenten voort uit menselijke fouten. Uit meerdere onderzoeken blijkt dat ook de criminelen die zich goed beveiligen steken laten liggen", stelt Verhoeven. Samen met Gesthuizen en Van Tongeren roept hij op tot een beleid waarbij de overheid zich juist inzet voor een veiliger internet, veiligere software en sterke encryptie. De drie partijen hebben in de Tweede Kamer bij elkaar 31 zetels en in de Eerste Kamer 23 zetels. Volgende week zal de Tweede Kamer het wetsvoorstel computercriminaliteit III bespreken (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.