Schneier: Overheid moet ingrijpen bij Internet of Things
Het is aan de overheid om de problemen met het Internet of Things op te lossen, zo stelt de bekende beveiligingsexpert Bruce Schneier. Schneier sprak tijdens een hoorzitting voor het Amerikaanse congres over de ddos-aanval op dns-aanbieder Dyn waardoor allerlei grote websites onbereikbaar waren.
De ddos-aanval was afkomstig van voornamelijk gehackte digitale videorecorders. "Vanwege deze aanvallen is je veiligheid op internet afhankelijk van de veiligheid van miljoenen op internet aangesloten apparaten, ontworpen en verkocht door bedrijven waarvan je nog nooit hebt gehoord aan consumenten die niets om jouw veiligheid geven", aldus Schneier. Hij stelt dat de technische redenen dat Internet of Things-apparaten onveilig zijn complex zijn, maar dat er sprake van marktfalen is.
"De markt geeft prioriteit aan features en kosten boven veiligheid. Veel van deze apparaten zijn goedkoop en ontwikkeld en gemaakt in het buitenland en dan opnieuw verpakt en verkocht", liet Schneier de congresleden weten. Volgens de expert hebben de ontwikkelteams achter IoT-apparaten niet de beveiligingskennis die van grote computer- en smartphonefabrikanten wordt verwacht. "Simpelweg omdat de markt niet wil instaan voor de extra kosten die daarbij komen kijken."
Daarnaast ontvangen Internet of Things-apparaten geen beveiligingsupdates, maar blijven ze wel gedurende lange tijd in gebruik. "Ze blijven in gebruik vanwege een ander marktfalen. Zowel de verkoper als de koper kan het oplossen van het beveiligingslek niets schelen. De eigenaren van deze apparaten maakt het niets uit. Ze willen een webcam, of thermostaat of koelkast, met mooie features en een goede prijs. Zelfs als ze onderdeel van een botnet zijn werken ze prima. De verkopers van de apparaten kan het niets schelen, want zij zijn al met het volgende nieuwe en betere model bezig."
Schneier stelt dat er geen marktoplossing is, omdat de onveiligheid vooral andere mensen raakt. "Het is een vorm van onzichtbare vervuiling." De beveiligingsexpert pleit dan ook voor overheidsingrijpen. "Onze keuze is niet tussen overheidsingrijpen en geen overheidsingrijpen. Onze keuze is tussen slim ingrijpen door de overheid en onverstandig ingrijpen door de overheid. We moeten hier nu over nadenken. Regelgeving is noodzakelijk, belangrijk en complex en ze komen eraan. We kunnen deze problemen niet negeren totdat het te laat is."
De beveiligingsexpert verwacht niet dat de markt met een oplossing komt. "Toen software niet belangrijk was, was het prima om de markt de beste beveiliging te laten kiezen. Maar het is een heel ander verhaal als een spreadsheet crasht en je verliest al je gegevens of wanneer je auto botst en je verliest je leven. De beveiligingslekken in het Internet of Things zijn de diep en te alomtegenwoordig, en zullen niet worden opgelost als de markt het mag uitzoeken. We moeten proactief goede regelgeving bespreken, anders zal een ramp slechte regelgeving aan ons opleggen." (pdf)
Laten we nou vooral de overheid zoveel mogelijk buiten de deur houden. Daar is iedereen mee gediend...
(die bijvoorbeeld geen BCP38 implementeren omdat het hen zelf niks oplevert) als tegen de mensen die het
verzieken en die nauwelijks opgespoord worden, al dan niet omdat ze zich verschuilen als tibetaanse journalist.
Nou maar hopen dat er naar Bruce wel geluisterd wordt.
@Anoniem 8:59
Wellicht heb je gelijk als je het hebt over de overheid en grote IT projecten. Daarover worden vooral besluiten genomen door mensen met voornamelijk politieke en/of korte termijn belangen. Meestal gecombineerd met het ontbreken van kennis/inzicht en een gebrek aan respect voor gebruikers en andere belanghebbenden. Dus ja, inderdaad: "inspraak zonder inzicht leidt tot een uitspraak zonder uitzicht".
Toch.
De overheid heeft ook geen verstand van auto's en wegen. Toch is het gelukt een samenspel van wetgeving te maken waardoor we veilig over straat kunnen.
De overheid heeft ook geen verstand van chemie en/of energieopwekking en/of biotechnologie. Toch is het gelukt om een samenspel van regelgeving te maken waardoor we weer in onze eigen rivieren kunnen zwemmen. Waardoor we redelijk veilig ons voedsel kunnen eten. enz.
Met IT staan we nog aan het begin van de 'industriële' revolutie.
Ja, er is veel IT. Er zijn veel diensten. Maar gelijktijdig is er te weinig aandacht voor security. Er is te weinig aandacht voor privacy (ook bij de individuele gebruikers). Dat leidt tot 'milieu'vervuiling. Tot een situatie dat de een zijn gemak krijgt/zijn geld verdiend ten koste van de ander. Inmiddels tot die mate dat mensen (zelfs die er niets mee te maken willen hebben) schade oplopen. Sommigen zelfs veel schade.
Laat die regelgeving dus maar komen om mensen te beschermen en om de IT zelf te beschermen.
analoog aan verkeer (infrastructuur)
- er is regelgeving voor vervoermiddelen
- er is regelgeving voor wegen
- er is regelgeving voor gedrag in verkeer
Nu nog die voor IT (infrastructuur).
Beschrijvingen zijn er al, nou nog wetgeving en KEMA-keuren.
b.v. http://www.gsma.com/connectedliving/iot-security-guidelines-for-endpoint-ecosystem/
Leuk als je allerlei functionaliteit wilt, sta er maar bij stil dat een ander die functionaliteit ook kan bemachtigen op dat moment of verwijder jezelf uit de digitale wereld... Voor het goed van vele anderen.
Beschrijvingen zijn er al, nou nog wetgeving en KEMA-keuren.
b.v. http://www.gsma.com/connectedliving/iot-security-guidelines-for-endpoint-ecosystem/
https://nl.wikipedia.org/wiki/KEMA
https://nl.wikipedia.org/wiki/KEMA
Maar het ging hier om het KEMA keur. Dat keur is al twee jaar voor het einde van de Kema aan het Deutse keuringsinstituut DEKRA verkocht.
Lekker overzichtelijk al die keurmerken.
Maar terug naar het thema: Als bedrijven er geen belang bij hebben om dit probleem op te lossen en de maatschappij heeft wel een belang dat dit opgelost wordt, dan blijft alleen de overheid over. Alleen die overheid kan bindende regels opstellen waar fabrikanten zich aan moeten houden.
Maar terug naar het thema: Als bedrijven er geen belang bij hebben om dit probleem op te lossen en de maatschappij heeft wel een belang dat dit opgelost wordt, dan blijft alleen de overheid over. Alleen die overheid kan bindende regels opstellen waar fabrikanten zich aan moeten houden.
Laten we nou vooral de overheid zoveel mogelijk buiten de deur houden. Daar is iedereen mee gediend...
Dus de veiligheidseisen van apparaten (verbonden met 'the internet of things') moeten niet worden gereguleerd door de overheid? Ik neem aan dat marktwerking hier geen opvulling aan gaat geven aangezien de consument bar weinig verstand heeft van dergelijke zaken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.