In ons werk kunnen wij in de hard- of software die een kwaadwillende persoon of organisatie gebruikt, stuiten op een zwakke plek. Is de producent of fabrikant niet op de hoogte van deze gevoeligheid? Dan noemen wij dat een onbekende kwetsbaarheid.

Kwetsbaarheid melden, tenzij…

De AIVD heeft in dat geval een (veiligheidsbevorderende) taak om instanties te informeren die deze kwetsbaarheden kunnen wegnemen, zodat de veiligheid van informatie en systemen wordt verbeterd. Als wij in onze onderzoeken dergelijke zwaktes ontdekken, is ons beleid dan ook: 'melden, tenzij'.

Wat houdt deze uitzondering in? 'Tenzij' slaat op een situatie waarin de AIVD (of MIVD) in het belang van de nationale veiligheid ervoor kan kiezen om een zwakke plek in hard- of software (voorlopig) niet te melden.

Die beslissing geeft ons de mogelijkheid om de onbekende kwetsbaarheid te gebruiken, zodat we de dreiging van een kwaadwillende persoon of organisatie nader kunnen onderzoeken. Het niet direct melden dient in dat het geval het belang van de nationale veiligheid. Dit besluit moet wel altijd in verhouding staan tot het nadeel van het (tijdelijk) achterhouden van deze kennis.