Nadat het SSL-lek Heartbleed bekend was geworden, werd gemeld dat de NSA al op de hoogte was van het lek. Dit ontkent de Amerikaanse overheid maar geeft wel toe niet altijd gevonden lekken bekend te maken.
De Amerikaanse regering heeft bevestigd dat hun geheime dienst nieuw ontdekte lekken in computersystemen soms benutten voor spionage en cyberaanvallen. Er zijn criteria waarop zou worden beslist of een lek openbaar gemaakt wordt of niet, aldus Michael Daniel de adviseur van de Amerikaanse president Barack Obama over kwesties van cyber security. Hij bevestigde daarmee informatie die de voormalige medewerker van de NSA Edward Snowden heeft onthuld.
“Een lek bekend maken is meestal een goed idee , ” schreef Daniel in een blogpost op de website van het Witte Huis. Want ook de Amerikaanse regering en de Amerikaanse economie zijn afhankelijk van het veilig werken van het internet. Maar de publicatie van een beveiligingslek kan ook betekenen dat je afziet van een manier waarop je “een terroristische aanslag of de diefstal van intellectuele eigendom kunt voorkomen of ernstige veiligheidsrisico’s kunt detecteren” schrijft Daniel.
Op basis van een aantal criteria zou op hoog niveau worden beslist of een lek openbaar wordt gemaakt of niet. Een criterium is bijvoorbeeld in hoeverre het kwetsbare systeem deel uitmaakt van de basisinfrastructuur van het internet, of resp. deel uitmaakt van andere kritieke infrastructuren van de Amerikaanse economie of de nationale veiligheidssystemen. Dit kan betekenen dat een lek eerder gepubliceerd moet worden als het veel Amerikaanse consumenten, bedrijven of veiligheidsdiensten van het land betreft. Meer gedetailleerde uitleg over de antwoorden op deze vragen wordt niet gegeven.
Voorts weegt men voor de publicatie af, welke risico’s ontstaan indien het lek blijft bestaan. Ook wordt besproken welke schade een vijandelijke natie of criminele organisatie met de kennis van het lek zou kunnen veroorzaken. Ook speelt in de beoordeling mee hoe waarschijnlijk het is dat ze het lek zelf meekrijgen. Ook zou je kunnen overwegen het lek zelf voor een korte tijd te exploiteren voordat je het publiek hiervan in kennis stelt.
De praktijk van de Amerikaanse regering om veiligheidslekken onder bepaalde omstandigheden heimelijk voor eigen doeleinden in te zetten is controversieel . Critici verwijten de Verenigde Staten dat ze de veiligheid van de IT-infrastructuur daarmee op het spel zetten . Het Witte Huis heeft onlangs berichten tegen gesproken waarin gesteld werd dat ze van Heartbleed afwisten. (MHO/ple)