Blog

CSR: Regelgeving moet veiligheid IoT-toepassingen verbeteren

Vorige week heeft de Cyber Security Raad (CSR) advies uitgebracht over hoe dient te worden omgegaan met de uitdagingen die het Internet-of-Things met zich brengt. Onder meer wordt geadviseerd om producenten te verplichten stickers over het beveiligingsniveau op het product aan te brengen. Ook wordt geadviseerd de mogelijkheden voor certificering van de producten te onderzoeken.

Goed nieuws, want het Internet-of-Things verschillende privacy- en veiligheidsrisico’s mee.

Internet-of-Things

Het Internet-of-Things (IoT) (in het Nederlands: het internet der dingen) is een netwerk van allerlei slimme objecten die zijn aangesloten op het internet. Denk bijvoorbeeld aan voertuigen, apparaten en gebouwen.

Deze ‘slimme’ objecten kunnen gegevens over hun omgeving verzamelen door middel van sensoren en software. Deze gegevens kunnen vervolgens aan andere slimme objecten worden doorgegeven. Het idee is dat het IoT het leven voor de mens gemakkelijker maakt, doordat objecten onderling met elkaar kunnen communiceren.

Een voorbeeld van het IoT is een ijskast die met de supermarkt communiceert dat een pak melk op is. De supermarkt kan dan automatisch – zonder jouw tussenkomst – een pak melk bij jou bezorgen.

Risico’s

Dit klinkt leuk, want ‘gemak dient de mens’. Maar het is niet moeilijk voor te stellen dat er veel fout kan gaan als overal software in zit en alles is verbonden met het internet.

Het gevaar van het IoT is dat producten die normaal gesproken veilig zijn, omdat deze zich buiten het domein van de IT bevinden, ineens toch de veiligheidsissues van het IT-domein gaan ondervinden. Omdat die producten worden voorzien van software, en aan het internet worden gehangen.

Daarbij komt dat de kwetsbaarheid van IoT-toepassingen hoger is dan die van andere software, omdat deze via het internet zijn gekoppeld aan andere IoT-toepassingen. Dit betekent dat als één van de gekoppelde IoT-toepassingen onveilig is, dat ook de gegevens van de overige aan het internet gekoppelde toepassingen kwetsbaar zijn. Eén zwakke schakel kan dus voor grote negatieve gevolgen zorgen.

Kortom, er zitten flinke veiligheidsrisico’s aan IoT-toepassingen. Om deze veiligheidsrisico’s te minimaliseren, moeten leveranciers van IoT-toepassingen worden gedwongen om de veiligheid van deze toepassingen te waarborgen.

Advies CSR

Eindelijk is een eerste stap hiertoe gezet. De CSR pleit in haar advies van 11 januari 2018 voor enkele acties die nodig zijn om de veiligheid van IoT-toepassingen beter te kunnen waarborgen.

De CSR adviseert de staatssecretaris van Economische Zaken onder meer om te onderzoeken of met bestaande Europese voorstellen ten behoeve van de cybersecurity niet voldoende beveiligde IoT-toepassingen kunnen worden geweerd van de markt. Indien de Europese voorstellen hiervoor niet voldoende geschikt zijn, dan raadt de CSR aan om de veiligheid van IoT-toepassingen door middel van een nieuwe nationale wet te waarborgen.

Bovendien adviseert de CSR de staatssecretaris om te komen met een wetsvoorstel om de veiligheid van ICT-producten en diensten beter in te passen in de huidige regels omtrent productaansprakelijkheid. Zodat een producent eerder aansprakelijk is voor schade ten gevolge van een niet voldoende beveiligd product.

Ook wordt geadviseerd om een onafhankelijke instantie aan te wijzen die kwetsbare en gehackte IoT-toepassingen monitort en documenteert. De informatie over welke producenten hun toepassingen onvoldoende beveiligen, dient openbaar te zijn. Zo zijn ook consumenten op de hoogte van de onveiligheid van bepaalde IoT-toepassingen.

Tot slot wordt geadviseerd om van producenten de toezegging te krijgen dat zij consumenten duidelijk informeren over de veiligheid van de IoT-toepassingen door middel van op het product aangebrachte stickers. Op deze stickers dient in elk geval het volgende te zijn vermeld:

  • het niveau van beveiliging van het betreffende apparaat;
  • of het apparaat automatisch security-updates kan ontvangen;
  • de duur dat het product door de producent wordt onderhouden; en
  • of het apparaat van het internet kan worden afgeschakeld met behoud van de reguliere functionaliteit.

De consument weet dan wat zij qua veiligheid kan verwachten wanneer zij het product koopt.

Goede eerste stap

Het advies van de CSR is een goede eerste stap in de richting van veiligere IoT-toepassingen. Ik ben benieuwd of, en zo ja, hoe dit advies zal worden opgevolgd en of er uiteindelijk wetgeving komt die producenten dwingt hun producten adequaat te beveiligen.

Gerelateerde berichten