Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Mag ik (zero day) exploits verkopen en aan wie?

Geschreven in samenwerking met Barend Bon

Waar hacken vroeger nog iets was wat vooral miskende pubers op hun zolderkamer deden, is het tegenwoordig ‘big business’. Grote techbedrijven als Google en Microsoft schrijven regelmatig prijsvragen of ‘hackathons’ uit, waarbij flinke bedragen worden uitgekeerd aan hackers die erin slagen hun beveiliging te kraken. Onlangs voegde ook de Amerikaanse overheid zich in deze trend door hackers uit te dagen het Pentagon te hacken.

Buiten deze legale markt van partijen die prijzen uitschrijven om gaten in hun eigen software te vinden zodat deze zo snel mogelijk gedicht kunnen worden, is niet alle handel in beveiligingslekken even fris. Zogenaamde zero-day exploits, applicaties die gebruik maken van nog niet eerder ontdekte beveiligingslekken, worden soms via veilingwebsites verkocht aan de hoogste bieder. En of die daar goede bedoelingen mee heeft, is nog maar de vraag. Mag je zulke exploits, of inbraaksoftware, dus eigenlijk wel zomaar verkopen?

Het antwoord is (wellicht niet verrassend): nee, dat mag niet zomaar. Zo is het op grond van art. 139d lid 2 onder a Strafrecht verboden om een ‘technisch hulpmiddel dat hoofdzakelijk geschikt is gemaakt of ontworpen om computervredebreuk te plegen of om communicatie wederrechtelijk af te tappen’ (dus een exploit) te vervaardigen, voor handen te hebben of beschikbaar te stellen, met het oogmerk dat daarmee een misdrijf wordt gepleegd. Bij verkoop heb je al snel de schijn tegen. Want waarom zou iemand ervoor willen betalen als die het niet wil gebruiken, of op zijn minst doorverkopen aan iemand die dat wel wil? En uiteindelijk zijn er maar weinig partijen die mogen inbreken in digitale systemen.

Zelfs de politie mag dit in Nederland eigenlijk niet en het wetvoorstel om dit mogelijk te maken is zeer omstreden. Nationale inlichtingen- en veiligheidsdiensten zouden een legale doelgroep kunnen vormen, maar vooral sinds de openbaringen van Snowden staat dat ook ter discussie.

Door alleen aan opsporings- en veiligheidsdiensten te leveren, kan een leverancier de kans op juridische problemen wel sterk beperken. Deze diensten zullen de hand die hen voedt immers niet snel bijten en hebben vaak ook nog een aardige portemonnee.  Vooral als een partij ook inbraaksoftware levert aan dubieuze of dictatoriale overheden, kunnen er nog wel andere risico’s bestaan, waar de hack op Hacking Team een sprekend voorbeeld van vormt.

De handel in inbraaksoftware is ook internationaal gereguleerd. In de EU is onlangs het Wassenaar Akkoord geïmplementeerd, dat de export van wapens en dual-use technologie aan banden legt. Ook zero-day exploits vallen hieronder, en mogen sinds 2014 alleen uit de EU worden geëxporteerd of doorgevoerd met een geldige vergunning van de douane (in Nederland de Centrale Dienst In- en Uitvoer, CDIU).

Wie overweegt om exploits (internationaal) te verhandelen, doet in elk geval verstandig aan om (i) een vergunning te bemachtigen en de voorwaarden daarvan strikt op te volgen, (ii) ook de wetgeving in het importland te controleren en na te leven, (iii) de goede bedoelingen van de koper goed te controleren en het bewijs daarvan te documenteren, (iv) de nodige garanties tegen misbruik in het contract op te nemen en (v) de eigen beveiliging heel goed op orde te hebben.

Matthijs van Bergen

Directeur Legal ICT

Matthijs van Bergen is directeur van Legal ICT, het internationale label van ICTRecht. Hij bedient vanuit het kantoor van Legal ICT in Brussel, nationale en internationale klanten met juridisch advies.

Matthijs is specialist in het (internationaal) ICT-contractenrecht en intellectueel eigendom, en heeft daarnaast in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, breedband in buitengebieden, privacy, informatiebeveiliging en vrijheid van meningsuiting.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie