De veiligheid van het IoT wordt niet geholpen met overheidsverplichte ‘securitylabels’. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Op hoog overheidsniveau is er aandacht voor de security – of eigenlijk dus het gebrek daaraan – van het internet of things (IoT). De Europese Commissie denkt erover om fabrikanten te verplichten om labels te hanteren, zoals al jaren gelden voor het energieverbruik van wasmachines en andere consumentenapparatuur. Zulke securitystickers hebben tenminste drie praktische problemen
Ten eerste is er het gevaar van slijtage. Dit is in de praktijk al gebleken bij de energielabels waar bovenop de initiële topwaardering A later nog A+, A++, enzovoorts is gekomen. Ten tweede is er het probleem van security-inschatting. Wat is immers veilig en hoe wordt dat beoordeeld, en door wie? En ten derde is er de relativiteit van ict-beveiliging. Wat nu veilig is, kan straks een kwetsbaarheid blijken te hebben. Wat nu bestand is tegen bepaalde aanvallen, gaat straks voor de bijl door een nieuwe hackmethode. Securitystickers gaan de veiligheid van het IoT dus niet vooruit helpen. Wat vind jij?
Eens met de 3 praktische problemen. De overheid kan zijn energie beter steken in het opvoeden van producenten en consumenten. Elke producent moet een minimale tijd het apparaat van security updates blijven voorzien en klanten informeren als een lek is gevonden. Consumenten moeten weten wat de risico’s zijn, zij kunnen geïnformeerd worden zoals met de phishing campagne. Ideaal zou zijn als alle connected devices een goede security basis krijgen o.b.v. open source.
Met een sticker maak je het iig niet veiliger.
Eerder dat als het fout gaat dat het duidelijk is waar de verantwoordelijkheid ligt en daar ook serieuze consequenties aan verbonden zijn.
Een sticker of label is een keurmerk. Een apparaat krijgt een keurmerk als het tijdens het keuren voldoet aan de van tevoren opgestelde randvoorwaarden van het keurmerk.
Dat statische mechanisme werkt redelijk goed bij wasmachines: je stopt er een was in, je draait wat wasprogramma’s, en je houdt bij wat het water- en energieverbruik daarbij is. Zit het verbruik niet boven de grens voor energielabel A+++, dan krijgt de machine het energielabel A+++. Zo simpel kan het zijn. Zolang het apparaat niet slijt, blijft het label A+++, als je het apparaat op dezelfde manier blijft gebruiken.
Veiligheid is anders. Tijdens een test kan een apparaat aan de hoogste veiligheidseisen voldoen, en het predicaat “absoluut veilig” krijgen. Alleen veiligheid is geen vast gegeven; criminelen zoeken continu naar nieuwe manieren om ergens ongeoorloofd binnen te komen. Sloten op huizen en veiligheidsmaatregelen op IoT apparaatjes: wat gisteren veilig was, is nu vrij toegankelijk voor eenieder.
Als je weet hoe eenvoudig de overheid zich om de tuin laat leiden met het meten van uitlaatgassen van auto’s, dan heb ik ook niet veel vertrouwen in het veiligheidslabel van dezelfde overheid!
De illusie, stickertjes, tabelletjes, en keurmerkjes moeten de illusie wekken dat iets “beter” is, of gekontroleerd is en die kontrole laten we dan aan de leverancier over.
Soms is je eigen verstand gebruiken helemaal zo gek nog niet.
Even lezen wat een merkje betekent en je weet de relatieve waarde, meestal heel veel minder als wat gesuggereerd wordt.
EU stickertjes zijn wel mooi blauw maar dat is dan ook alles.