Beleid AIVD en MIVD over omgang met 'onbekende kwetsbaarheden'
Beleid van de AIVD en MIVD ten aanzien van de omgang met zogeheten 'onbekende kwetsbaarheden'. Dat zijn kwetsbaarheden in hard- of software die de AIVD in zijn onderzoeken naar dreiging voor de nationale veiligheid ontdekt heeft en die nog niet bij de leverancier van de hard- of software bekend zijn.
Uitgangspunt is: melden, tenzij...
Omdat de AIVD en MIVD ook een taak hebben om de beveiliging van informatie en systemen te bevorderen is het beleid bij dit soort zwaktes in systemen: 'melden, tenzij...'. Wij melden een dergelijke kwetsbaarheid aan een instantie die daar op kan handelen.
In het belang van nationale veiligheid mogen wij ervoor kiezen om de zwakke plekken (tijdelijk) niet te melden, omdat de diensten deze onbekende kwetsbaarheid moeten gebruiken om de dreiging van een kwaadwillende persoon of organisatie te onderzoeken. Het niet melden dient dan het belang van de nationale veiligheid.