Omgang met 'onbekende kwetsbaarheden'

De AIVD kan bij zijn taakuitvoering stuiten op een zwakke plek in de hard- of software die een kwaadwillende persoon of organisatie gebruikt, die niet bekend is bij de producent of leverancier van de betreffende hard- of software, een zogeheten onbekende kwetsbaarheid.

Kwetsbaarheid melden, tenzij...

De AIVD heeft in dat geval een (veiligheidsbevorderende) taak om instanties te informeren die kwetsbaarheden kunnen wegnemen, om daarmee de veiligheid van informatie en systemen te bevorderen. Als wij in onze onderzoeken dergelijke zwaktes onderkennen, dan is het beleid ook: 'melden, tenzij'.

In het belang van de nationale veiligheid kan er echter voor worden gekozen om de zwakke plekken (tijdelijk) niet te melden, omdat de diensten deze onbekende kwetsbaarheid moeten gebruiken om de dreiging van een kwaadwillende actor te onderzoeken. Het niet melden dient dan het belang van de nationale veiligheid.

Lees meer over het beleid van de AIVD en MIVD in de omgang met onbekende kwetsbaarheden. (Pdf, 59 kB)