Onbekende kwetsbaarheden

In ons werk kunnen wij in de hard- of software die een kwaadwillende persoon of organisatie gebruikt, stuiten op een zwakke plek. Is de producent of fabrikant niet op de hoogte van deze gevoeligheid? Dan noemen wij dat een onbekende kwetsbaarheid.

Kwetsbaarheid melden, tenzij…

De AIVD heeft in dat geval een (veiligheidsbevorderende) taak om instanties te informeren die deze kwetsbaarheden kunnen wegnemen, zodat de veiligheid van informatie en systemen wordt verbeterd. Als wij in onze onderzoeken een dergelijke zwakte ontdekken, melden wij die in principe direct bij instanties die daarop kunnen handelen.

Hiervoor geldt het beleid: 'melden, tenzij'. 'Tenzij' slaat hier op een situatie waarin de AIVD (of MIVD) in het belang van de nationale veiligheid kan beslissen om een zwakke plek in hard- of software (voorlopig) niet te melden.

Die beslissing geeft ons de mogelijkheid om de onbekende kwetsbaarheid te gebruiken, zodat we de dreiging van een kwaadwillende persoon of organisatie nader kunnen onderzoeken.

Het niet direct melden dient in dat het geval het belang van de nationale veiligheid. Dit besluit moet wel altijd in verhouding staan tot het nadeel van het (tijdelijk) achterhouden van deze kennis.

Ga terug naar het overzicht van alle onderwerpen.