NSA licht bedrijven bijna altijd in over softwarelekken
De NSA brengt het grootste deel van de Amerikaanse fabrikanten op de hoogte van de kwetsbaarheden die het heeft gevonden in software. Dat heeft de organisatie op zijn eigen website aangekaart in een nieuwsupdate. De NSA stelt dat 91 procent van de gevonden lekken met de betrokken partijen in de Verenigde Staten gecommuniceerd worden.
Spionage
De organisatie wil met de informatie aantijgingen weerleggen dat het belangrijke informatie over softwarekwetsbaarheden zou achterhouden, zodat het deze zo lang mogelijk zou kunnen gebruiken voor zijn eigen doeleinden. Het vrijgegeven cijfer betekent niet dat de NSA de lekken niet geëxploiteerd heeft, enkel dat het uiteindelijk Amerikaanse bedrijven in kwestie op de hoogte stelt na een “interne review”.
De veiligheidsdienst laat weten dat het communiceren van een kwetsbaarheid kan betekenen dat het de kans laat schieten “om cruciale informatie rond terroristische aanvallen te verzamelen, om diefstal van nationale intellectuele eigendommen te stoppen, of nog gevaarlijkere kwetsbaarheden op te sporen die ons netwerk exploiteren.”
Een van de bekendste exploits waarmee de NSA in verband wordt gebracht is de digitale aanslag van Stuxnet in 2010 op het Iraanse kernprogramma.
De overige 9 procent
Wat gebeurt er met de resterende 9 procent van de lekken waarover de organisatie niet communiceert? Volgens de NSA zijn die kwetsbaarheden “ofwel al weggewerkt door ontwikkelaars voor we hen contacteren of worden deze niet vrijgegeven vanwege nationale veiligheidsredenen”.
