‘Europa vormt obstakel voor verbeteren veiligheid internet-of-things’

| AE 9298 | Aansprakelijkheid | 31 reacties

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt en leveren anderen gigantische schade op. Maar omdat de wetgeving niets zegt over ICT-security, komen leveranciers en winkels ermee weg. Alleen: wat gaan we er aan doen?

Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Ik vind dat van de zotte. Je kunt van gewone consumenten niet verwachten dat ze hier wat tegen doen, al is het maar omdat zulke apparaten zelden te updaten zijn. Terwijl de fabrikant op zich prima een goed niveau van veiligheid kan inbouwen. De reden om het niet te doen, is eigenlijk heel simpel: dat kost geld en het levert niets extra’s op bij de klant. En dat is waarom we wetgeving nodig hebben.

Je kunt twee dingen doen. De gebruikelijke juridische manier is een open norm: een product moet adequate productsecurity hebben, anders boete. Het voordeel daarvan is dat je dan als fabrikant zelf kunt invullen wat je gaat doen (met een motivatie waarom dat “adequaat” is), en dat je ook bij veranderingen in de technologie nog steeds een maatstaf hebt. Nadeel is wel, als je geen fatsoenlijke invulling kunt geven dan heb je een groot risico, want op overtreding van die norm staat een boete. “Pas op of je moet een miljoen betalen”, wat moet je daarmee als bedrijf.

Een andere manier is dat je als wetgever concrete normen gaat stellen. Ik weet niet of die er zijn voor ICT-security bij iot-apparaten, wat gelijk al een stevige hobbel zou zijn. Maar zelfs als ze er zijn, dan moet je dus als wetgever elke maand je regels bijstellen omdat er weer iets nieuws bedacht is. En tot die tijd mogen bedrijven niet verder in een nieuwe richting. Dat geeft wel zekerheid, maar echt werkbaar voor de toekomst lijkt het me niet.

Ik denk dat ik zelf tóch voor open normen ben, gekoppeld aan de plicht voor de toezichthouder om richtsnoeren te maken en uitspraken te doen over best practices in de markt: als je dit doet, dan vinden we het prima. De praktijk laat alleen zien dat toezichthouders dat maar in beperkte mate doen. Voor een deel omdat er gewoon nog best weinig is bij ict-innovaties om een duidelijk richtsnoer voor te maken, en voor een deel omdat bedrijven gelijk het richtsnoer als algemeen geldende wettelijke regel opvatten: je zei op pagina 13 dat een sms-bericht geen algemene voorwaarden hoefde te bevatten, dus hoeft mijn app dat ook niet. Hoe dat op te lossen, daar ben ik nog niet over uit. Maar dat er iets moet gebeuren en snel ook, dat staat vast.

Arnoud

Deel dit artikel

  1. Ik denk dat er ten eerste een wet moet komen die zegt dat je 5 jaar na EOL nog updates moet verzorgen voor beveiliging issues. Als er dus ergens een rapport is gemaakt en men doet er niets mee dan boete die winst afneemt (terug rekenend van af release datum device, winst van al die jaren) van het bedrijf + 50%. Dan wordt het interessant om beveiliging wel serieus te nemen.

  2. Mijn mening is al vaak impopulair gebleken, maar leg wat verantwoordelijkheid bij de gebruikers van deze troep.

    Er is nu namelijk ook geen enkele druk vanuit de consument op de producent om te beveiligen. De doorsnee reactie die ik zie (en dan heb ik het niet over tweakers) is ‘boeie, ik heb er geen last van.’ en ‘Het zal wel niet zo’n vaart lopen’.

    Als je internet van deze mensen afsluit tot ze het apparaat hebben losgekoppeld dan komt dat er vanzelf. Men heeft dan niet meer de illusie dat het apparaat ondanks alle gebreken nog bruikbaar is, omdat met het apparaat men geen internet heeft. Dan wordt uiteindelijk ook de roep om regelgeving misschien wat groter.

      • Ik heb niet de kennis (en de wil) om een auto fatsoenlijk te onderhouden. Dus breng ik mijn auto ieder jaar naar de garage waar experts hem doorlichten en eventuele problemen oplossen. Als ik dit niet doe krijg ik een flinke boete als ik betrapt wordt. Ik zie niet in waarom dit niet zou kunnen werken voor IT apparatuur. Als de eerste eindgebruikers boetes krijgen omdat ze deel uitmaken van een botnet of omdat ze persoonsgegevens van derden lekken gaan er vanzelf bedrijven komen die gebruikers gaan helpen hun systemen veilig te maken.

        Op dit moment is veiligheid alleen maar lastig voor gebruikers. En de meeste schade komt niet op het bordje van de gebruiker maar bij derden. Zolang er niet een stevige prikkel is zal de gebruiker bijna altijd kiezen voor zijn eigen gemak.

        • Je vergelijking gaat natuurlijk niet helemaal op, er zit een cruciaal verschil in. Auto’s dienen te voldoen aan bepaalde technische eisen, waarop onder andere de RDW toezicht houdt. Als je een auto koopt, mag je er dus van uit gaan dat deze conform deze technische eisen geproduceerd is. Het probleem met IoT apparatuur is dat deze out of the box al niet goed beveiligd zijn! En om dan de verantwoording bij de consument neer te leggen om ze wel goed te beveiligen is naar mijn idee niet terecht. Ik neem aan dat jij ook niet bij bent als je je auto APK laat keuren, en deze vervolgens niet goedgekeurd wordt omdat de fabrikant de verkeerde remmen gemonteerd heeft in de fabriek.

        • Een auto is meestal moeilijk op afstand te onderhouden. IOT-apparaten wel. Ik vind dat je gebruikers enkel aansprakelijk kan stellen als de fabrikanten er alles aan gedaan hebben om je een veilig product aan te bieden. We verwachten dat mensen hun auto onderhouden, maar we verwachten ook dat als we een wagen kopen we daar veilig mee kunnen rijden. De consument moet beschermd worden hier. Het is echt niet realistisch om mensen een droogkast met wifi en bijhorend app te verkopen en te verwachten dat ze dan zelf alles mooi dichttimmeren. Of elk jaar een IT-er laten komen en betalen enkel om die droogkast te kunnen gebruiken zoals beloofd door de fabrikant.

      • Als je de technische kennis niet in huis hebt om iets te doen, dan doe je dat of niet, of je besteedt het uit.

        De meeste piano bezitters stemmen die ook niet zelf. Er heerst ten onrechte het idee dat IoT producten fool-proof zijn, dit is gebaseerd op gebakken lucht.

        Maar zolang consumenten nooit met de gevolgen geconfronteerd worden blijft men onwetend en blijft het probleem bestaan. Ik zeg niet dat de mensen (direct) aansprakelijk gesteld moeten worden voor de schade die het botnet veroorzaakt. Ik zeg dat de ISP hun internet moet blokkeren en de browser moet redirecten naar een informatie pagina. Pas als de mensen zelf certificeren dat het probleem is opgelost kunnen ze het internet weer op. Als dan blijkt dat ze niets gedaan hebben weer afsluiten en de schade die ze veroorzaakt hebben wel doorschuiven naar de consument. Ze zijn immers gewaarschuwd.

        Sorry, maar ik wordt een beetje moe van het excuus dat het ingewikkeld is. Als je niet weet wat je doet, doe het niet.

        • Mensen besteden het uit: ze kopen een apparaat van een professionele partij die heeft beloofd dat het apparaat simpel is en geen onderhoud nodig heeft. Mag je daar dan niet op vertrouwen als consument? Als ik een Miele wasmachine koop, dan mag ik ook vertrouwen dat ie tien jaar netjes wast zonder gebreken. Dat is de belofte van zo’n merk.

          Los daarvan, wat kán ik doen als consument aan het IT-onderhoud en security van zeg een pratende teddybeer? Alle software zit opgesloten in een chip, ik kan niet eens het beheerwachtwoord wijzigen en het maken van updates is zelfs voor een gemiddeld programmeur geen triviale kwestie.

          • Nee daar, mag je niet meer op vertrouwen als consument. Het is nu zo vaak in het nieuws geweest, dat je niet met droge ogen kan zeggen dat je vertrouwde op de fabrikant.

            Als je nu nog niet weet dat er in de IT niets onderhoudsvrij is heb je waarschijnlijk in een hutje op de hei gewoond.

            Wat je doet als consument is goed informeren wat het update beleid is en dat ruk is, of je kan niets vinden dan koop je het niet. Die Miele koop je omdat Miele 10 jaar garantie geeft. Die teddybeer hangt aan het internet, maar garantie geeft de fabrikant je niet.

            Hetzelfde met goedkope telefoons, het mag inmiddels algemeen bekend zijn dat die geen updates krijgen en bij koop al onveilig zijn. Als je die toch koop, dan heb je geen recht van klagen. Had je maar vooraf wat meer onderzoek moeten doen. Al van mijn jeugd krijg ik te horen goedkoop is duurkoop, kijk goed wat je koopt. Toch koopt iedereen blind de goedkoopste telefoon. Ik ben inmiddels zo ver dat ik denk eigen domme schuld. Als niemand die niet ondersteunde troep meer koopt, dan moeten fabrikanten wel.

            Natuurlijk zou het fijn zijn als er regels komen. Niet omdat die fabrikanten zo slecht zijn. Maar omdat mensen die wel opletten wat ze kopen nog steeds last hebben van de massa koeien die als een kudde naar de goedkoopste telefoon gaan.

            Ik weiger zelf al een tijdje om mensen met een goedkope android telefoon nog te helpen*. Koop maar een WindowsPhone, die hebben weinig apps, maar krijgen wel fatsoenlijke updates. Of geef maar wat meer uit en koop een nieuw top toestel en bereid je voor om over twee jaar een nieuwe te kopen.

            • Uitzondering als het een telefoon is die goed ondersteund wordt door mod makers.
            • De consument aansprakelijk stellen is een aardig idee alleen als mensen iets kopen dan mag men ervan uitgaan dat het apparaat voldoende beveiligd is. Bedrijven dienen ook verantwoordelijkheid te dragen laten we eerst beginnen met zorgen voor verschillende wachtwoorden voor de apparaten komen geen standaard wachtwoord dit scheelt al een heel stuk. Standaard verbinding uitzetten voor naar internet eerst alleen intern netwerk user moet het aanzetten. Firewall die kan zien of er gehammerd wordt en ip adressen kan blacklisten. Laten we dat eens opleggen aan fabrikanten en daarbij wat ik boven heb gezegd. Het is ook te gevaarlijk om verantwoordelijkheid bij de consument te leggen ik kan geen patch schrijven voor iets heeft de meeste mensen niet. Automatische updates is weining voor nodig en meeste mensen kunnen wel een knopje indrukken, omdat uit te voeren. De meeste kopen het en willen ermee werken en verwachten een product die werkt en veilig is in gebruik.

          • Ik ben dezelfde mening toegedaan als Elroy en ja dat is vaak niet populair. Je bent niet verplicht de beer te kopen. Informeer je van te voren. Als de beheer taken niet triviaal zijn koop dan niet! Dat is de beste stimulans die een fabrikant kan krijgen om iets aan beveiliging te doen. Ik laat een wasmachine rustig demonstreren (evt youtube) als het niet gemakkelijk is in gebruik koop ik hem niet. De beer heeft verder net als de wasmachine garantie op goed functioneren (en ja ik realiseer mij het discussie punt of daar veiligheid bij hoort, maar functioneren gaat uit van normaal gebruik en dat is hacking niet).

            Aankopen is niet hetzelfde als uitbesteden. Iemand anders voor jou laten aankopen is uitbesteden van de aankoop. De winkel is verre van een neutrale partij naar een fabrikant toe, ze hebben namelijk baat bij de verkoop. En verkopers zijn sinds het ontstaan van dit universum op winst uit dus word wakker en realiseer je dat het allemaal reclame praat is. Geen verkoper gaat vertellen hoe leuk de beer is en tegelijk hoe geweldig onveilig hij is. Een onafhankelijke reviewer doet dat wel en die zijn er genoeg.

            Dus informeren informeren, doe je die moeite niet, dan tja…

            • Het lastige is alleen, bij een wasmachine is het gedrag redelijk voorspelbaar. Je doet er wasgoed in en zeep, je kiest het programma en na een uur of zo is het klaar. Je verwacht niet dat je wasmachine vervolgens gaat twitteren dat je wel heel vies ondergoed hebt deze keer.

              Bij die IoT-apparaten is precies dat het probleem. Die teddybeer blijkt niet alleen naar de app op je kind haar telefoon te streamen, de stream is met user:pw default:default voor iedereen toegankelijk, en een triviale buffer overrun blijkt genoeg om de teddybeer willekeurige dingen te laten zeggen. De database van alle input van die teddybeer staat in een onbeveiligde MongoDB-database met wederom default:default en is zojuist gedumpt en op Pastebin gezet, inclusief e-mailadres van je kind. Kun je me vertellen hoe ik díe kennis had kunnen opdoen voordat ik die beer kocht?

              • Dat kan niemand weten totdat de eerste persoon het heeft uitgezocht en op het internet heeft gezet. Maar dat is niet waarop je moet beoordelen bij de koop.

                Inmiddels mag je algemeen bekend veronderstellen dat dingen die aan het internet hangen beveiligd moeten worden en dat deze beveiliging onderhoud vergt. Als je met een beetje gezond verstand naar veel producten kijkt, weet je van te voren al dat deugedelijke beveiligings update niet samen gaan met de gevraagde prijs. Dus tenzij je ergens een project kan vinden die dat vrijwillig onderhoudt moet je zo’n product gewoon niet kopen.

                Ik wil geen SMART tv, aangezien de ondersteuning van fabrikanten slecht is en ik de beveiliging niet vertrouw. De laatste CIA lek heeft mijn gelijk maar weer eens bewezen.

                Ik heb echter twee Smart tvs aangezien de betere toestellen tegenwoordig allemaal smart zijn. Eén van deze twee tvs hangt helemaal niet aan het netwerk. De andere hangt wel aan het interne netwerk, maar de firewall houdt al het verkeer van en naar het internet door de TV tegen. Als je niet weet hoe dat laatste moet, moet je je gezond verstand gebruiken en of de tv niet aan het netwerk hangen, of iemand vragen/inhuren om de beveiliging van je netwerk op te zetten.

    • Wat echt heel makkelijk is, is het bijvullen van de ruitenwisservloeistof in je auto. De technische handeling op zich, vloeistof in een reservoir gieten, leren de meeste mensen als ze ongeveer 2 jaar zijn en herhalen dat dan gedurende hun hele leven meerdere malen per dag. Je moest eens weten hoeveel mensen dit klusje toch nog door de garage laten doen omdat ze de techniek van de auto toch wat ‘listig’ vinden en bang zijn om een fout te maken.

      En dan nu overschakelen naar een beveiligingsupdate voor een apparaat, en trek je conclusie….

      • Natuurlijk is het zo dat veel mensen zich nog laten afschrikken door technologie, maar jouw redenatie volgend maakt het niet uit hoe eenvoudig we het update proces maken, mensen doen het toch niet. En dan kan je twee dingen doen: of mensen er verantwoordelijk voor stellen dat het goed geregeld is (zoals dat met auto’s het geval is), of de fabrikant in de gelegenheid stellen om zonder tussenkomst van de gebruiker de boel te beveiligen (updates uit te rollen etc.). Ik zou zelf van dat laatste bijzonder ongelukkig worden, ik houd dat liever in eigen beheer. Maar ja, dat eerste is dan ook weer een erg impopulaire maatregel.

      • Als je ruitenwisservloeistof in het verkeerde tuitje gooit is je auto behoorlijk stuk. En die tuitjes zijn niet bijzonder makkelijk herkenbaar bij sommige modellen, soms zitten er wel 4 verschillende (ruitenwissers, remvloeistof, koelvloeistof, olie) met allemaal vage icoontjes er op. Dus ik snap best dat veel mensen dat niet aandurven, en je bewering dat mensen dat leren als ze 2 zijn raakt dus kant noch wal.

        • Jouw bewering is niet waar, het uitzoeken van het goede reservoir is juist bijzonder makkelijk: je kijkt even in de handleiding van je auto en er staat gewoon een foto van het motorcompartiment in met een pijl die naar het juiste klepje wijst. Daar is geen kennis voor nodig die niet elke mens met een rijbewijs heeft. En nog doen veel mensen het niet want ‘ingewikkeld’ of ‘eng’. Update software, zeker als dat draadloos moet gebeuren, zal je wellicht bestoken met ports, IP-adressen, settings, etc. Dan haakt direct 99% van de mensen af. Zelfs alleen al de vraag ‘of installatie verder mag gaan’ schrikt mensen af. Want computers zijn ‘eng’ en ‘ingewikkeld’ en zou het wel goed gaan als ik op ‘ja’ druk?

  3. Om even een gooi te doen naar “best practice”:

    • Beveiliging wordt gedefinieerd als het principe dat de eigenaar volledig in staat is te bepalen wat het eigendom wel/niet doet. Als een andere partij in staat is (deels) te bepalen wat het eigendom wel/niet doet, zonder dat de eigenaar daar toestemming voor heeft gegeven of zonder dat de eigenaar de volledige controle kan terugnemen, dan is dat een beveiligings-lek.

    • Fabrikant levert beveiligings-updates gedurende de normale levensduur van de hardware (laten we zeggen, totdat nog maar 5% van de hardware functioneert). Beveiligings-updates worden beschikbaar gesteld binnen een week na het bekend worden van een lek. Beveiligings-updates leveren geen verlies aan functionaliteit, tenzij dit noodzakelijk is om het lek te dichten.

    • Waar het niet mogelijk is om een beveiligings-update binnen een week beschikbaar te stellen wordt een waarschuwing gepubliceerd. Fabrikant biedt eigenaren de mogelijkheid zich op dergelijke berichten te abonneren.

    • Eigenaar kan kiezen tussen een modus waar updates automatisch worden geïnstalleerd, en een modus waar hij/zij zelf kan kiezen welke updates worden geïnstalleerd. Apparaten bieden de gebruiker de mogelijkheid op de hoogte te blijven van welke updates geïnstalleerd zijn (eerste modus) of beschikbaar zijn (tweede modus). Bij apparaten waarbij, in de out-of-the-box configuratie, het niet mogelijk is de gebruiker op de hoogte te brengen van update-informatie, is de eerste modus (automatisch updates installeren) de default-modus.

    • Eigenaar heeft de mogelijkheid om van alle(!) schrijfbare opslag-media in het apparaat back-ups te maken. Dit geldt voor alle data: firmware, software, instellingen en andere data. Eigenaar heeft de mogelijkheid om dergelijke back-ups terug te plaatsen, ongeacht de bestaande inhoud van schrijfbare opslag-media. D.w.z. dat kwaadaardige software die zich in die opslag-media heeft genesteld verwijderd moet kunnen worden door een oude, goede back-up terug te plaatsen. Het betekent ook dat een apparaat niet softwarematig “gebrickt” kan worden. Een typische manier om dergelijke functionaliteit te implementeren is met een boot-modus die van niet-schrijfbaar ROM-geheugen opstart.

    • Fabrikant heeft een “responsible disclosure” beleid, waarbij willekeurige derden de mogelijkheid hebben om beveiligingslekken bij de fabrikant te melden, en waarbij willekeurige derden, een bepaalde tijd na melding aan de fabrikant, een beveiligingslek mogen publiceren, ongeacht of het lek inmiddels is gedicht. Die “bepaalde tijd” is maximaal, zeg, twee maanden. Fabrikant stelt geen aanvullende eisen aan verlening van deze rechten aan derden: het is m.n. niet toegestaan te eisen dat de derde eigenaar van een apparaat is, een betaling moet doen aan fabrikant, of zijn/haar identiteit onthult. Wel kan geëist worden dat de publicerende derde bewijst dat het lek eerst aan fabrikant is gemeld, maar die eis geldt alleen als / voor zover fabrikant bij melding altijd dergelijk bewijs levert.

    • Fabrikant staat willekeurige derden toe om beveiligings-updates te leveren voor apparaten.

    • Voorafgaande aan de afloop van de normale levensduur van de hardware publiceert fabrikant alle technische informatie die derden nodig hebben om beveiligings-updates te leveren voor die apparaten die nog steeds in gebruik zijn. Dit kan bijvoorbeeld bestaan uit een specificatie van de hardware/software-interface en de broncode van de software.

    • Toevoeging: de hardware moet inherent veilig zijn. Als de hardware een beveiligingsfout bevat (bijv. een USB-controller stelt USB-sticks in staat om DMA-transfers te doen naar willekeurige plekken in het werkgeheugen), en dat kan niet worden opgelost met een software-update, dan moet de fabrikant geld terug geven, een gratis reparatie en/of een gratis vervanging van de hardware aanbieden. Vervangende hardware mag geen verminderde functionaliteit hebben t.o.v. de oude hardware. Hierin mag de eigenaar heel ver gaan in zijn eisen: bijv. “mijn software verwacht precies 2 USB-poorten en werkt niet meer omdat vervangend apparaat 4 USB-poorten heeft” is verminderde functionaliteit. Vervanging moet in de praktijk dus gebeuren met een identiek model waarin alleen de beveiligingsfout is opgelost.

  4. Waarom krijgt Europa hier in godsnaam de zwartepiet toegespeeld?

    • de fabrikanten leveren brakke apparatuur
    • de gebruiker stel niks in
    • het internet dringt onveilige standaards op
    • software is vaak proprietary; niet transparant en voor de gebruiker niet te updaten.

    Gemak boven alles voor de commercie, verbergen wat je doet, de gebruiker niet lastig vallen met moeilijke vragen en Europa vormt het obstakel …

    • Vanwege de “gemeenschappelijke markt” heeft het zin om producteisen op EU nivo te stellen, anders komt de bagger die je in Nederland van de markt wilt houden zo via de buurlanden naar binnen.

      Aan de andere kant zijn er ook zaken die Nederland zelf kan doen op het gebied van (o.a.) productaansprakelijkheid, maar de impact van Europese regels wordt wereldwijd gevoeld.

    • Maar wat regelt Europa voor de rest van de wereld. En dan kopen we een internetdingetje via Alibaba of Amazon.

      Het is een beetje somber allemaal:

      Marktwerking werkt niet, zelfregulering werkt niet, de gebruiker vindt het allemaal te ingewikkeld, blijkbaar kan je de ontwikkeling van internet niet aan de markt overlaten.

      In de meeste reacties wordt dus voor een sterkere overheid gepleit. Dat past niet echt in de verkiezingsprogramma’s van de partijen vandaag de dag.

      Waar is de piratenpartij eigenlijk, die mist de slag volledig in de campagne.

      • In de “vrije markt” is het veelal de zwakkere partij die aan het kortste eind trekt. Sterk overheidsoptreden kan de het evenwicht van de balans beïnvloeden en geeft in EUropa een redelijke bescherming aan consumenten. (Met de groeiende macht van multinationals meer dan nodig.)

        Verplichte beveiligings- en privacyeisen voor het IoT (neem ook de telefoontjes en tablets mee) beschermen de consument tegen de ergste rotzooi. (De consument die bij EUropese leveranciers koopt.) Een consument die om een paar euro te besparen zelf apparatuur importeert die niet aan redelijke standaarden voldoet krijgt waar hij om gevraagd heeft.

  5. Waarom geen half-half oplossing. Een van de dingen die duidelijk zijn is dat een wetgever te traag is en dat fabrikanten te veel druk op kosten hebben. Een klassieke oplossing is het gebruik van een keurmerk. Zo’n keurmerk kan onafhankelijk zijn en veel flexibeler. Dit kan eventueel worden uitgebreid met beperkte wettelijke bepalingen (bijvoorbeeld minimum onderhoudstermijn en eventueel vrijgeven van specificaties bij einde fabrikantsondersteuning)

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS