Het Amerikaanse Congres heeft een nieuwe wetsvoorstel voorgesteld waardoor inlichtingendienst National Security Agency vertegenwoordigers van andere Amerikaanse overheidsagentschappen moet informeren over ontdekte zero-days.
Er bestaat al een regeling waarbij de NSA het ontdekken van kwetsbaarheden met andere overheidsorganen moet delen, maar dit is een beleidsregeling die door de NSA zelf is ingesteld zonder dat daarvoor een wettelijke verplichting bestond. De nieuwe wet introduceert een verplichte beoordeling op het moment dat een overheidsagentschap zoals de NSA een beveiligingslek in software ontdekt en de maker van de software er niet van op de hoogte wil stellen om zodoende het lek te kunnen gebruiken voor spionagedoeleinden. Dit beoordelingsproces zal volgens het wetsvoorstel plaatsvinden onder voorzitterschap van het ministerie van Binnenlandse Veiligheid. Dat meldt Reuters.
Een Republikeinse en een Democratische senator hebben het wetsvoorstel ingediend en hopen daarmee een betere balans aan te brengen tussen het belang van de nationale veiligheid, en de beveiliging van computers en software in het algemeen.
Verschillende techbedrijven hebben al langer kritiek op hoe de Amerikaanse overheid omgaat met het ontdekken van kwetsbaarheden in software. Microsoft-directeur Brad Smith heeft gezegd dat het een groot probleem is als landen kwetsbaarheden verzamelen en niet melden. Volgens hem lekken exploits die in handen zijn van overheden, te vaak uit, waarna veel schade kan ontstaan. Hij vindt dat de overheid meer belang moet toekennen aan de schade die bij burgers ontstaat, nadat een kwetsbaarheid wordt misbruikt.
Deze kritiek is sterker geworden na de recente aanvallen waarbij gijzelingssoftware computersystemen in 150 landen heeft geïnfecteerd. Vorige week verspreidden onbekenden een ransomwarevariant onder de naam WannaCry, die gebruikmaakte van de Eternalblue-tool. De NSA maakt deze tool en gebruikte het gedurende een periode van vijf jaar. De Shadowbrokers publiceerden de Eternalblue-tool in april. Deze exploit stond aan de basis van de verspreiding van de WannaCry-ransomware.
Onlangs bleek dat de NSA de partij was die Microsoft heeft gewaarschuwd voor de lekken waarvoor de Shadowbrokers verschillende exploits publiceerden. Op basis van die informatie was Microsoft in staat om in maart een patch uit te brengen.