Kees Verhoeven, kamerlid voor D66 in de Tweede Kamer, wil dat alle apparaten die voldoen aan de term internet of things (IoT), veilig te gebruiken zijn dankzij een veiligheidskeurmerk. Ook wil hij een verkoopverbod voor onveilige apparaten. De politieke partij heeft hiertoe de initiatiefnota ‘Het Internet der Dingen: maak apparaten veilig’ gelanceerd.
D66 vindt dat Nederland als digitale koploper in Europa stappen moet zetten om het veilig gebruik van IoT-apparaten voor consumenten te waarborgen. ‘We willen zoveel mogelijk voorkomen dat er wordt ingebroken op apparaten, waardoor de werking in het geding komt. Apparaten die zijn aangesloten op internet verzamelen, analyseren en gebruiken persoonlijke en vaak intieme data van de gebruikers. Die informatie moet versleuteld zijn en daarmee afgeschermd voor derden. Welke keuzes hebben mensen wanneer zij gebruiksvoorwerpen op het internet aansluiten? Hoe waarborgen we de veilige werking van aangesloten apparaten? Hoe wordt persoonlijke data van gebruikers beschermd tegen misbruik? De partij vindt dat er op deze vragen antwoorden moeten komen.’
Daarin ligt volgens Verhoeven een taak voor bedrijven die apparaten en software aanbieden, maar ook de overheid heeft volgens D66 een rol bij het waarborgen van cybersecurity en cyberhygiëne door consumenten advies te geven over het veilig gebruiken van op internet aangesloten apparaten.
Verkoopverbod
In de nota pleit D66 voor een verkoopverbod op apparaten die niet veilig op het internet zijn aangesloten. Verhoeven: ‘Apparaten moeten brandveilig zijn, anders mogen ze niet worden verkocht. Maar een internetcamera die je in de kinderkamer hangt, wordt niet gecontroleerd op internetveiligheid. Veel mensen zijn zich er niet van bewust dat bij sommige camera’s iedereen via internet mee kan kijken. D66 wil dat mensen veilig gebruik kunnen maken van hun apparaten die op internet zijn aangesloten. Apparaten die makkelijk te hacken zijn, mogen niet meer worden verkocht.’
Veiligheidseisen
Apparaten die op internet zijn aangesloten moeten wat D66 betreft aan minimumveiligheidseisen voldoen. Dan gaat het bijvoorbeeld om standaarden voor de versleuteling van gegevens, eisen aan het standaardwachtwoord, het doorvoeren van software-updates en duidelijke handleidingen voor de gebruikers. Verhoeven: ‘Mensen bewaren steeds vaker thuis op hun netwerk foto’s van intieme momenten met hun vriend of vriendin of bankgegevens. Sommige van deze opslagapparaten hebben ‘welkom01’ als standaardwachtwoord of hebben zelfs helemaal geen wachtwoord. Of er zitten beveiligingsfouten in de software die de fabrikant wel kent, maar hij weigert deze gaten te dichten. Dat betekent dat het kinderlijk eenvoudig is om die gegevens te stelen. Wij willen deze consumenten beschermen. Er mag alleen veilige apparatuur worden verkocht.’
Wereldwijd zijn er nu ongeveer zeshonderd miljoen consumentenapparaten aangesloten op het internet, stelt de partij. ‘Dat aantal neemt snel toe. In 2020 zijn er in totaal 25 miljard apparaten op het internet aangesloten. In de Verenigde Staten zijn bedrijven al verplicht de veiligheidskenmerken van apparaten te melden aan de toezichthouder, de FCC. D66 wil dat apparaten die nu al voldoen aan deze veiligheidseisen in Nederland een veiligheidskeurmerk krijgen. Daarmee kunnen consumenten in één oogopslag zien of een apparaat veilig is of niet. Uiteindelijk moeten deze veiligheidseisen niet alleen voor Nederland maar voor heel Europa geregeld worden. Voldoet een apparaat niet aan deze standaarden, dan mag het niet verkocht worden. Bedrijven moeten weten dat het menens is. Nederland en Europa liggen nu achter met de internetveiligheid. Dat moet snel veranderen.’
Nationaal CyberSecurity Centrum
De politieke partij stelt in de nota tenslotte ook voor om een Nederlands bedreigingsanalyseteam op te richten, standaarden voor cyberveiligheid van apparaten te creëren, de mogelijkheden voor software-aansprakelijkheid te onderzoeken, te investeren in de zelfredzaamheid van consumenten voor veilig gebruik van IoT- apparaten en een onafhankelijk Nationaal Cybersecurity Centrum (NCSC) op te richten.
De overheid krijgt nog niet eens haar eigen internet-presence goed beveiligd (ref. de slechte staat van opvolging van ‘verplichte’ standaarden door Gemeenten, het debacle met PKI-Overheid en DigiNotar, het gapende gat in DigiD, noem maar op), en dezelfde overheid wil nu ‘gaan bepalen wat veilig en onveilig is’ ? Laat me niet lachen. De ‘Voedsel en Waren Authoriteit’ moet ook op de kwaliteit van ons voedsel en waren toezien, maar als je ziet hoeveel rommel er verkocht wordt..
Men kan beter de moeite stoppen in internationale standaardisatie, veiligheidsnormen en protocollen, dan zelf een keurmerk gaan opzetten.
Alweer zo’n politicus die blaat, maar weinig kaas van de zaak heeft gegeten.
Met de genoemde maatregelen maak je het IoT wel veiliger maar niet intrinsiek veilig. Daarvoor moet er veel meer op een basaal niveau gebeuren: de beveiliging en het beheer van het internet zèlf.
Daarmee kunnen meteen een aantal andere problemen worden aangepakt zoals spam, fishing, “foute” coockies etc. en niet in de laatste plaats ongewenste (financiële) transacties.
Naast dat de retoriek van D66 nogal opmerkelijk is zo net voor de verkiezingen deel ik de scepsis van Erwin. Dat je het liefst alle brol uit met name Azië waarbij de veiligheid ontbreekt of zeer gebrekkig is wil weren zou je wel met een keurmerk kunnen tegenhouden. Maar helemaal waterdicht krijg je dat nooit want met een firmware update kan je de sluizen wagenwijd open zetten.
Wat dat betreft is het verstandig om er bij voorbaat vanuit te gaan dat alle IoT onveilig is tenzij het tegendeel bewezen kan worden.