Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Dual use

Concepten

Het feit dat dezelfde digitale (genetwerkte) technologie gebruikt kan worden voor zowel militaire als civiele doelen.

Dual use verwijst in cybersecurity naar technologie, software of kennis die zowel voor legitieme als voor kwaadaardige doeleinden kan worden ingezet. Een penetratietesttool die organisaties helpt kwetsbaarheden op te sporen, kan in verkeerde handen worden gebruikt om diezelfde kwetsbaarheden uit te buiten. Dit dubbele karakter maakt dual use tot een van de meest complexe vraagstukken in het cybersecuritydomein, met directe gevolgen voor exportcontrole, regelgeving en ethische afwegingen binnen de sector.

Het concept dual use heeft zijn wortels in de defensie-industrie, waar het oorspronkelijk betrekking had op goederen die zowel civiele als militaire toepassingen kennen. In cybersecurity heeft het begrip een bredere betekenis gekregen door de opkomst van commerciele hacking tools en surveillancesoftware. Het Wassenaar Arrangement, een internationaal exportcontroleverdrag, heeft in 2013 cybersurveillance-items toegevoegd aan de lijst van dual use goederen, mede naar aanleiding van mensenrechtenschendingen tijdens de Arabische Lente waarbij westerse surveillancetechnologie werd misbruikt door autoritaire regimes.

Waarom is dual use belangrijk?

De dual use problematiek raakt de kern van cybersecurity. Vrijwel elke vulnerability scanner, exploit framework of forensisch hulpmiddel heeft een dubbel karakter. Tools zoals Metasploit, Nmap en Wireshark zijn onmisbaar voor security professionals die systemen testen en beveiligen, maar worden even effectief ingezet door kwaadwillenden die systemen willen compromitteren. Het verbieden van deze tools zou de verdediging ernstig verzwakken, terwijl onbeperkte beschikbaarheid risico's met zich meebrengt.

Voor Nederlandse organisaties heeft dual use ook een directe compliance-dimensie. De Europese Dual Use Verordening (EU 2021/821) stelt exportcontrole-eisen aan bedrijven die cybersecuritytools en -technologie buiten de EU willen verhandelen. Bedrijven die penetratietesten uitvoeren of securitytools ontwikkelen, moeten bewust zijn van deze regelgeving. Overtreding kan leiden tot strafrechtelijke vervolging en hoge boetes.

Daarnaast speelt dual use een belangrijke rol in het debat over responsible disclosure en ethisch hacken. Security-onderzoekers die kwetsbaarheden ontdekken, moeten afwegen hoe zij hun bevindingen delen zonder dat deze informatie in verkeerde handen valt. Het publiceren van exploit code helpt de verdediging doordat patches sneller worden ontwikkeld, maar geeft tegelijkertijd aanvallers een blauwdruk. Dit spanningsveld is inherent aan het dual use karakter van cybersecuritykennis.

Hoe pas je dual use toe?

Het effectief omgaan met dual use technologie begint bij bewustwording en beleid. Stel als organisatie een duidelijk acceptable use policy op voor securitytools. Definieer wie bevoegd is om penetratietesttools, exploit frameworks en forensische software te gebruiken. Leg vast onder welke voorwaarden deze tools mogen worden ingezet en implementeer technische controles om ongeautoriseerd gebruik te voorkomen.

Bij het aanschaffen of ontwikkelen van dual use technologie moet je de exportcontroleregelgeving in acht nemen. Controleer of de technologie op de controlelijst van het Wassenaar Arrangement staat en of een exportvergunning vereist is. Dit geldt niet alleen voor fysieke producten, maar ook voor software en technische kennis die elektronisch wordt overgedragen. Raadpleeg bij twijfel de Centrale Dienst voor In- en Uitvoer van de Douane.

Train je securityteam in het ethisch en verantwoord gebruik van dual use tools. Zorg dat ethical hackers en pentesters werken volgens een duidelijk vastgesteld scope document en rules of engagement. Documenteer alle activiteiten zodat achteraf aantoonbaar is dat tools legitiem zijn ingezet. Implementeer het vier-ogenprincipe bij het gebruik van krachtige exploit tools en zorg voor gescheiden omgevingen waarin tests worden uitgevoerd zonder productiesystemen te raken.

Op strategisch niveau is het belangrijk om dual use mee te nemen in je risicomanagement. Breng in kaart welke dual use technologie binnen je organisatie aanwezig is, wie er toegang toe heeft en welke risico's ontstaan als deze technologie in verkeerde handen valt. Neem dit op in je risicoanalyse en stel mitigerende maatregelen vast, zoals versleutelde opslag van exploit code en strikte toegangscontrole op testomgevingen.

Dual use in de praktijk

Een IT-beveiligingsbedrijf in Nederland ontwikkelt een geavanceerde vulnerability scanner die automatisch kwetsbaarheden in webapplicaties detecteert. De tool wordt gebruikt door klanten om hun eigen systemen te testen en te verbeteren. Tegelijkertijd ontvangt het bedrijf een aanvraag van een organisatie in een land met een discutabel mensenrechtenrecord. De scanner zou daar kunnen worden ingezet om dissidenten te identificeren en hun communicatie te onderscheppen.

Het bedrijf moet nu een zorgvuldige afweging maken. De Europese Dual Use Verordening vereist een exportvergunning voor cybersurveillance-technologie die kan worden gebruikt voor het onderscheppen van communicatie. Het bedrijf schakelt een compliance-adviseur in, voert een eindgebruikerscontrole uit en besluit de exportaanvraag af te wijzen vanwege het risico op mensenrechtenschendingen. Dit voorbeeld illustreert hoe dual use overwegingen directe invloed hebben op bedrijfsbeslissingen in de cybersecuritysector.

De overheid heeft ook een dual use dimensie in haar eigen cybersecurityoperaties. Inlichtingendiensten zoals de AIVD en MIVD beschikken over offensieve cybercapaciteiten die worden ingezet voor nationale veiligheid. Dezelfde technieken die worden gebruikt om terroristische netwerken te infiltreren, zouden in theorie kunnen worden misbruikt voor massasurveillance. De Wet op de inlichtingen- en veiligheidsdiensten (Wiv) stelt waarborgen en toezichtmechanismen in om dit risico te beperken, maar het illustreert hoe dual use vraagstukken ook op overheidsniveau spelen.

Op individueel niveau ervaren security professionals dagelijks de dual use spanning. Een red teamer die een zero-day kwetsbaarheid ontdekt tijdens een opdracht, moet beslissen hoe deze kennis wordt behandeld. Verantwoorde disclosure aan de leverancier beschermt het bredere ecosysteem, terwijl geheimhouding de klant tijdelijk een specifiek verdedigingsvoordeel geeft. Frameworks zoals het Coordinated Vulnerability Disclosure beleid van het NCSC bieden hiervoor richtlijnen, maar de afweging blijft per situatie complex en vraagt om professioneel oordeelsvermogen. Het is precies deze spanning die dual use tot een blijvend actueel thema maakt in de cybersecuritywereld.

Veelgestelde vragen over dual use

Welke cybersecuritytools vallen onder dual use regelgeving?

Tools die specifiek zijn ontworpen voor het genereren, aansturen of afleveren van intrusion software vallen onder exportcontrole. Denk aan exploit frameworks, command-and-control tools en software voor het onderscheppen van communicatie. Algemene beveiligingstools zoals firewalls en antivirussoftware vallen hier doorgaans niet onder.

Is het gebruik van hackingtools legaal in Nederland?

Het gebruik van hackingtools is legaal wanneer je expliciete toestemming hebt van de systeemeigenaar, bijvoorbeeld bij een penetratietest met getekend scope document. Zonder toestemming is het gebruik strafbaar onder artikel 138ab van het Wetboek van Strafrecht (computervredebreuk).

Hoe verschilt dual use van responsible disclosure?

Dual use gaat over het dubbele karakter van technologie zelf, terwijl responsible disclosure gaat over het verantwoord delen van gevonden kwetsbaarheden. Ze raken elkaar doordat de publicatie van kwetsbaarheidsdetails dual use kennis creëert die zowel verdedigers als aanvallers helpt.

Wat is het Wassenaar Arrangement?

Het Wassenaar Arrangement is een multilateraal exportcontroleverdrag met 42 deelnemende landen. Het bevat lijsten van dual use goederen en technologieën waarvoor exportcontroles gelden, inclusief cybersurveillance-items die in 2013 zijn toegevoegd na misbruik van westerse technologie door autoritaire regimes.

Moet mijn organisatie rekening houden met dual use?

Ja, als je securitytools ontwikkelt, verkoopt of exporteert buiten de EU. Ook organisaties die penetratietesten uitvoeren moeten zorgen voor correct gebruik van dual use tools via contracten, scope documenten en gedocumenteerde toestemming van opdrachtgevers.

Versterk je cybersecurity verantwoord. Vergelijk Penetratietesten aanbieders op IBgidsNL.