de Cyber Security Raad (CSR), een nationaal en onafhankelijk adviesorgaan van het kabinet, heeft de overheid advies gegeven om onveilige Internet of Things-apparaten aan te pakken. Volgens de CSR zal het Internet of Things een steeds grotere rol gaan spelen in het dagelijks leven.

Uit onderzoek dat het CSR liet uitvoeren blijkt dat als er geen maatregelen worden getroffen het Internet of Things ingrijpende gevolgen kan hebben. "IoT-toepassingen zijn op dit moment vaak slecht beveiligd en vormen daarmee een bedreiging voor onze veiligheid en privacy", aldus het adviesorgaan. Als voorbeeld wordt gewezen naar het Mirai-botnet, dat uit allerlei gehackte IoT-apparaten bestaat en voor verschillende ddos-aanvallen is ingezet. "Dit zal in de toekomst alleen nog maar toenemen. Het is van belang dat de veiligheids- en privacyrisico’s worden aangepakt om schade zoveel mogelijk te beperken en voorkomen", schrijft de CSR.

Bij het Internet of Things spelen echter allerlei uitdagingen. Zo neemt de kwetsbaarheid toe door de schaal waarop apparaten met onvoldoende beveiliging met elkaar en met het internet worden verbonden. Daarnaast is de hoeveelheid data die kan worden verzameld enorm en is de beveiliging van data lastig te regelen. Verder is het lastig om de aansprakelijkheid te bepalen.

Bij de productie of het gebruik van IoT-producten zijn vaak verschillende partijen betrokken. Fabrikanten combineren of 're-branden' verschillende hard- en software van andere fabrikanten. Door de grote hoeveelheid aan veelal buitenlandse spelers op de IoT-markt ontbreekt het aan overzicht, aldus de CSR. "Hierdoor is het onduidelijk wie waarvoor verantwoordelijk is en daarop kan worden aangesproken. Dit probleem wordt verergerd doordat landen verschillende standaarden en regels hanteren."

Advies

Om de uitdagingen van het Internet of Things aan te pakken heeft de Cyber Security Raad verschillende adviezen gegeven. Zo moet de overheid gaan verkennen hoe de voorgestelde Europese cybersecuritycertificering kan worden gebruikt om onveilige IoT-apparaten van de Europese markt te weren. Verder wordt er opgeroepen om een onafhankelijke monitor van gehackte en kwetsbare IoT-apparaten te financieren, zodat publieke informatie beschikbaar komt over welke fabrikanten en leveranciers hun apparaten onvoldoende beveiligen.

Producten en leveranciers van IoT-apparaten moeten worden verplicht om via een 'labelling-systeem' (bijvoorbeeld stickers op de verpakking) gebruikers te informeren over het beveiligingsniveau van het betreffende apparaat, of het apparaat automatisch security-updates kan ontvangen, de duur dat het product door de leverancier wordt onderhouden en of het apparaat van het internet kan worden afgeschakeld met behoud van de 'reguliere' functionaliteit.

Een ander advies betreft het wettelijk regelen van de aansprakelijkheid. Het kabinet moet volgens de CSR met een wetsvoorstel komen om de veiligheid van ict-producten en diensten beter in te passen in het regime van productaansprakelijkheid, waardoor fabrikanten wettelijk aansprakelijk gehouden kunnen worden voor ook economische schade. Tevens moeten internetproviders de toezegging doen dat zijn besmette IoT-apparaten in hun netwerken helpen opruimen, analoog aan de aanpak van botnets. Het volledige advies, dat gericht is aan de minister van Justitie en Veiligheid, de staatssecretaris van Economische Zaken en de staatssecretaris van Binnenlandse Zaken, is te vinden op de website van de Cyber Security Raad (pdf).