Pieter Edelman
16 May 2017

De Wanacry(pt)-ransomware die afgelopen weekend als een lopend vuurtje om zich heen greep, zet de discussie rond het melden van beveiligingslekken door overheden op scherp. Overheidsdiensten houden soms beveiligingsproblemen die ze vinden onder de pet om zelf te gebruiken voor opsporingsdoeleinden, maar dat is niet zonder risico; anderen die het lek vinden, kunnen deze immers ook misbruiken. Critici vinden daarom dat dergelijke bevindingen zo snel mogelijk bij de fabrikant gemeld moeten worden.

Wanacry toont aan dat dat gevaar niet hypothetisch is. De gijzelsoftware kon zichzelf zo snel verspreiden door het uitbuiten van een lek in de smb-component van Windows, waarmee bestanden tussen computers op een netwerk gedeeld kunnen worden. Dit lek is afkomstig van de Amerikaanse NSA, dat het eigenlijk voor zichzelf hield. Via datadiefstal bij het agentschap is het uiteindelijk toch op straat gekomen. Microsoft publiceerde in maart een patch voor het probleem, maar veel grote organisaties hebben dit nog niet kunnen installeren.

In een blogpost haalt Microsoft dan ook hard uit naar de Amerikaanse overheidsdiensten. Naast de NSA moet de CIA het ontgelden. Dat agentschap zag eerder beveiligingsproblemen die het voor zichzelf hield op Wikileaks verschijnen.

De Redmondse reus riep in februari al op tot een ‘digitale Geneefse conventie’, waarin zou moeten staan dat overheden er alles aan doen om burgers te beschermen tegen cyberaanvallen. De kans dat zo’n internationale afspraak er snel komt, is echter klein, want de politiek worstelt erg met dit vraagstuk. Zo voerde het Nederlandse kabinet afgelopen december nog fel debat over deze kwestie in het kader van de nieuwe Wet Computercriminaliteit, waarin staat dat de politie gevonden lekken voor zichzelf mag houden. De wet wordt binnenkort door de Eerste Kamer beoordeeld.

BCe24 save the date