Tag: brak

About brak

Subscribe Feeds

ACM wijst fabrikanten en winkels op informatieplicht bij IoT-apparaten

Geplaatst op in Ondernemingsvrijheid, 11 reacties

Fabrikanten en winkels moeten klanten laten weten hoelang aangeboden Internet of Things-apparaten beveiligingsupdates ontvangen. Dat meldde Security.nl onlangs. Deze eis volgt uit de wet, en de Autoriteit Consument en Markt gaat deze marktpartijen nu expliciet wijzen op hoe dit uitpakt bij zogenaamd ‘slimme’ apparaten. Naast informatie over updates moet je ook te horen krijgen welke andere diensten er nodig zijn (zoals abonnementen bij apparaten) en wat er gebeurt met je persoonsgegevens.

Het is velen al lang een doorn in het oog. Koop je een nieuwe telefoon of ‘slim’ apparaat (wie een betere term weet, mag het zeggen) en blijk je al na een paar maanden geen updates meer te krijgen. Of had je toch een abonnement of zelfs maar een gratis registratie nodig. Of je stofzuiger doet het niet omdat in Amerika een server uitgevallen is. Dat voelt vrij essentieel allemaal, en dus dingen die je wil weten voordat je het product koopt.

De wet (art. 6:230m BW, gebaseerd op Europese regels) eist dat een winkelier je de “voornaamste kenmerken” van een product noemt, de dingen dus die essentieel zijn om te besluiten of je het wil hebben. Hieronder valt naast de prijs ook de wijze van levering, beperkingen aan interoperabiliteit, DRM beperkingen en hoe lang je updates mag verwachten.

In oktober maakte de ACM bekend dat grote spelers zoals Bol.com, Coolblue en de MediaMarkt expliciet informatie op dit punt gaan verstrekken. Zij hebben sinds die tijd informatie over de minimale update periode, en over andere compatibele producten. Ik kon zo snel nergens vinden dat je Ring-deurbel of Roomba-stofzuiger afhankelijk is van de dienstverlening van Amazon, maar wellicht ben ik een kniesoor.

De informatie over verwerking van persoonsgegevens lijkt vooralsnog nergens expliciet vermeld te worden, terwijl je toch heel vaak op zijn minst een account nodig hebt om de afluister-, pardon ‘slimme’ diensten te kunnen gebruiken.

Nou ja, voor mijn verjaardag (ja, die is vandaag, 0x2E alweer dank u) dan liever lekke warme domme sokken.

Arnoud

De brakke spullen uit het Internet der Dingen

Geplaatst op in Ondernemingsvrijheid, Security, 26 reacties

webcam-camera-babyDe kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en ga zo maar door. Hoe kan dat anno 2016 nog zo makkelijk bestaan?

Op brakke beveiliging is niet strafbaar, schreef ik in 2013. Tegenwoordig soms wel: als je persoonsgegevens niet adequaat beveiligt, kun je een boete van maximaal €820.000 opgelegd krijgen. (Bovendien moet je het melden, een aparte nieuwe verplichting). Maar dat gaat over bedrijven die persoonlijke gegevens beheren, niet over bedrijven die apparatuur op de markt brengen. Ik zou niet weten op grond van welk wetsartikel de leverancier van een IP-enabled webcam met fabriekswachtwoord 12345 te beboeten is.

Volgens Ars Technica is de reden hiervoor heel simpel: geld.

Consumers do not perceive value in security and privacy. As a rule, many have not shown a willingness to pay for such things. As a result, webcam manufacturers slash costs to maximize their profit, often on narrow margins. Many webcams now sell for as little as £15 or $20. “The consumers are saying ‘we’re not supposed to know anything about this stuff [cybersecurity],” he said. “The vendors don’t want to lift a finger to help users because it costs them money.”

Ik denk dat het iets subtieler ligt. Mensen geven wel om veiligheid en privacy, maar gaan er vanuit dat een apparaat in een mooi doosje op de plank bij een bekende winkel gewoon veilig is. Auto’s zitten ook netjes op slot, je brood is vers en als een blik tomatensoep ontploft in de koelkast dan verdient dat aandacht in RTL Nieuws om half acht. Dat model van vertrouwen nemen mensen gewoon mee naar digitale apparatuur, ook als die internet-enabled is. Handig joh, dat je op je smartphone de webcam thuis kunt bekijken. Maar het idee dat iedereen dan mee kan kijken omdat hij op een algemeen bekende poort draait en het standaardwachtwoord in de op internet staande handleiding te vinden is, dat speelt niet bij brood of tomatensoep. Dus ook niet bij die webcam.

En nee, het is te makkelijk om dan te zeggen “dan moeten die mensen maar beter nadenken en lezen wat er in de handleiding staat”. Want dat doen mensen niet, en ik vind het ondertussen ook steeds oneerlijker worden om te verwachten dat ze dat wel gaan doen. Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.

Deze bal hoort te liggen bij de leveranciers van deze producten. In Amerika lijkt dat al een beetje door te dringen: Ars Technica citeert een FTC-woordvoerder die zegt “If you don’t have reasonable security then that could be a violation of the FTC Act.” Bij ons vind ik het moeilijk een dergelijke kapstok te verzinnen. Om dit nu onder de conformiteitseis (wettelijke garantie) te schuiven gaat een beetje ver, dat criterium is daar volgens mij niet voor bedoeld.

Ik denk dus dat er echt een wetswijziging voor nodig is om een stok te introduceren om IoT-dingen-produceren te dwingen de veiligheid van hun producten te vergroten. Maar dat gaat een moeizaam proces worden, want het klinkt zo redelijk, dat mensen toch zelf even een handleiding kunnen lezen en een wachtwoord kunnen wijzigen. Maar eh, wees eens eerlijk: wie doet dat bij alle producten in zijn huis?

Arnoud