Column


IT-jurist Peter van Schelven over...

Opensourcesoftware en zerodays

De Eerste Kamer heeft onlangs haar fiat gegeven aan de Wet Computercriminaliteit III. Met de naar verwachting spoedige inwerkingtreding van deze nieuwe wet wordt Nederland een aantal nieuwe strafrechtelijke spelregels rijker. Een deel van die regels gaat over de bevoegdheid van justitie en opsporingsinstanties om – kort gezegd – bij strafrechtelijk onderzoek rondom ernstige delicten in te breken in andermans IT-systemen. Deze hackbevoegdheid heeft inmiddels veel aandacht getrokken. Om die bevoegdheid uit te oefenen, zal justitie ongetwijfeld gebruikmaken van onbekende kwetsbaarheden (zerodays) in de systemen van de desbetreffende anderen.

Eerder informeerde SecurityVandaag u al over de vraag wat justitie met onbekende kwetsbaarheden moet doen. Zoals bekend dient de Nederlandse justitie deze kwetsbaarheden aan de producent van de hard- of software te melden, zodat die met betrekking tot de gerapporteerde kwetsbaarheid een securitypatch kan maken. De wet zegt echter ook dat justitie vanwege een zwaarwegend opsporingsbelang kan bevelen dat het bekendmaken aan de producent van een onbekende kwetsbaarheid uitgesteld kan worden. Voor dat uitstel heeft justitie dan wel eerst een machtiging van een rechter-commissaris nodig. Die regeling heeft in de Tweede Kamer veel aandacht gekregen.

Geen specifieke producent
De parlementaire behandeling van het Wetsvoorstel Computercriminaliteit III laat echter zien dat de wetgever weinig oog heeft voor de bijzondere kenmerken van de softwarewereld. Immers, aan de wettelijke regeling omtrent de meldplicht van justitie ligt impliciet de gedachte ten grondslag dat software steeds door een producent wordt gemaakt. Bij veel softwareproducten is dat uiteraard wel het geval, maar bij opensourcesoftware gaat die gedachte niet altijd op.

Opensourcesoftware is vaak het resultaat van het werk van velen in de samenleving en niet van één enkele, specifieke producent. Opensourcesoftware wordt gewoonlijk in meer of minder grote communities van individuele programmeurs, werkzaam over de hele wereld, ontwikkeld. De Wet Computercriminaliteit III gaat aan die werkelijkheid voorbij.

Daarmee miskent de nieuwe wet dat ook opensourcesoftware behept kan zijn met onbekende kwetsbaarheden. Kijk je onder meer naar Black Duck’s database met kwetsbaarheden in opensourcesoftware, dan valt op dat er jaarlijks duizenden kwetsbaarheden worden gerapporteerd. De gebruikers van opensourcesoftware of de leden van de desbetreffende community moeten in beginsel zelf actie ondernemen om security-updates te ontwikkelen. Er is immers niet altijd een specifieke softwarefabrikant bij betrokken.

Briefje naar Black Duck?
Het ontbreken van een meldplicht voor onbekende kwetsbaarheden in opensourcesoftware leidt er simpelweg toe dat het internet minder veilig wordt dan mogelijk zou zijn. Het geheimhouden is vanuit de optiek van security een slecht en bedenkelijk iets. Mij ontgaat waarom in de nieuwe wet niet ook een meldplicht voor zerodays in opensourcesoftware is opgenomen.

Zo zouden bijvoorbeeld ook relevante communities, het Nationaal Cyber Security Centrum (NCSC) of andere eindgebruikers – al dan niet uit de publieke sector - op de hoogte kunnen worden gesteld van een kwetsbaarheid in opensourcesoftware als deze is geconstateerd door opsporingsinstanties. En waarom is justitie in zo’n geval niet verplicht een berichtje te sturen naar Black Duck? Het zou de Nederlandse overheid sieren. In de wet vinden we dat alles echter niet terug. Gemiste kans!

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over