‘Europa vormt obstakel voor verbeteren veiligheid internet-of-things’

| AE 9298 | Aansprakelijkheid | 31 reacties

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt en leveren anderen gigantische schade op. Maar omdat de wetgeving niets zegt over ICT-security, komen leveranciers en winkels ermee weg. Alleen: wat gaan we er aan doen?

Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Ik vind dat van de zotte. Je kunt van gewone consumenten niet verwachten dat ze hier wat tegen doen, al is het maar omdat zulke apparaten zelden te updaten zijn. Terwijl de fabrikant op zich prima een goed niveau van veiligheid kan inbouwen. De reden om het niet te doen, is eigenlijk heel simpel: dat kost geld en het levert niets extra’s op bij de klant. En dat is waarom we wetgeving nodig hebben.

Je kunt twee dingen doen. De gebruikelijke juridische manier is een open norm: een product moet adequate productsecurity hebben, anders boete. Het voordeel daarvan is dat je dan als fabrikant zelf kunt invullen wat je gaat doen (met een motivatie waarom dat “adequaat” is), en dat je ook bij veranderingen in de technologie nog steeds een maatstaf hebt. Nadeel is wel, als je geen fatsoenlijke invulling kunt geven dan heb je een groot risico, want op overtreding van die norm staat een boete. “Pas op of je moet een miljoen betalen”, wat moet je daarmee als bedrijf.

Een andere manier is dat je als wetgever concrete normen gaat stellen. Ik weet niet of die er zijn voor ICT-security bij iot-apparaten, wat gelijk al een stevige hobbel zou zijn. Maar zelfs als ze er zijn, dan moet je dus als wetgever elke maand je regels bijstellen omdat er weer iets nieuws bedacht is. En tot die tijd mogen bedrijven niet verder in een nieuwe richting. Dat geeft wel zekerheid, maar echt werkbaar voor de toekomst lijkt het me niet.

Ik denk dat ik zelf tóch voor open normen ben, gekoppeld aan de plicht voor de toezichthouder om richtsnoeren te maken en uitspraken te doen over best practices in de markt: als je dit doet, dan vinden we het prima. De praktijk laat alleen zien dat toezichthouders dat maar in beperkte mate doen. Voor een deel omdat er gewoon nog best weinig is bij ict-innovaties om een duidelijk richtsnoer voor te maken, en voor een deel omdat bedrijven gelijk het richtsnoer als algemeen geldende wettelijke regel opvatten: je zei op pagina 13 dat een sms-bericht geen algemene voorwaarden hoefde te bevatten, dus hoeft mijn app dat ook niet. Hoe dat op te lossen, daar ben ik nog niet over uit. Maar dat er iets moet gebeuren en snel ook, dat staat vast.

Arnoud

Mag Revolv gewoon apparaten bij mensen thuis uitzetten?

| AE 8700 | Innovatie, Software | 61 reacties

stop-bordRevolv, een smarthome-hub van Googles zusterbedrijf Nest, stopt ermee. Dat meldde Tweakers alweer een tijdje geleden. Gebruikers hebben dan ook niets meer aan de 300 dollar kostende hardware waarmee ze hun huis hadden geautomatiseerd. Zeg maar dat je stofzuiger niet meer zuigt omdat Philips haar afdeling Huishoudelijke Apparaten opheft. Kun je daar wat aan doen als consument?

Eerlijk gezegd zou ik het niet weten. Normaal zou je zeggen bij een niet-werkend apparaat: conformiteitsgebrek, gratis herstel of vervanging alstublieft. Maar dat gaat hier niet op. Het apparaat functioneert op zich nog steeds prima, alleen doet het weinig meer omdat de servers van Revolv ermee ophouden en je dus geen commando’s meer naar het apparaat kunt sturen. Maar omdat dat niet gaat over het apparaat zelf, zie ik geen kans voor een conformiteitsclaim.

De dienstverlener aanspreken op een slecht geleverde dienst? Ook dat kan op zich juridisch, maar het gaat hier niet om een wanprestatie in de dienst. Het gaat om een opzegging door de dienstverlener. En zoals ik al tijden roep: dat mógen ze gewoon. Bij online software. Bij smart TV’s. En bij telecom. Dus waarom niet bij huisautomatisering?

En nee, dit heeft niets met DRM te maken. Het probleem is fundamenteler: je koopt geen apparaten meer, je neemt een dienst af en je krijgt een kastje waarmee je dat gemakkelijk kunt doen. En dát is een constructie waar de wet eigenlijk niet mee om kan gaan. Er zijn geen aparte regels over diensten die met dure producten worden geleverd.

Die hub van 300 euro is een bioscoopkaartje, juridisch gezien. Leuk om te hebben, maar waardeloos als de bioscoop niet open is. En dat is onder de wet niet erg. En dát gaat een groot probleem worden voor Internet of Things en de cloud. Want als straks alles aan internet hangt en een externe dienstverlener nodig heeft, dan gaan we dit elke week meemaken.

Alleen: hoe los je het op? Je kunt moeilijk verlangen dat bedrijven een dienst tot in de eeuwigheid aanbieden. Open standaarden lijken de aangewezen route: dan had een ander bedrijf de apparaten van Revolv kunnen bedienen. Maar dat lijkt me nog knap ingewikkeld in de praktijk, want Revolv zal niet willen investeren in het opzetten van de infrastructuur als zij daar geen exclusiviteit op krijgen. Bovendien, hoe hou je dan kwaadwillende sujetten buiten de deur als iedereen moet kunnen praten met elk apparaat. Maar iets anders weet ik niet.

Arnoud

Mag mijn smarttv worden ‘verbeterd’ door dingen uit te zetten?

| AE 8421 | Innovatie | 36 reacties

televisie-televisionEen lezer vroeg me:

Wij hebben een home cinema set met Smart TV. Daarmee kun je met apps van de leverancier televisie kijken, bijvoorbeeld Uitzending Gemist. Op zeker moment werkte dat niet meer, en navraag bij de fabrikant leerde me dat men had “besloten SmartTV niet langer te ondersteunen in het kader van verbetering van het product”. Kan dat zomaar, functionaliteit uitzetten in een gekocht product?

In principe kan zoiets niet. Je koopt een product met bepaalde verwachtingen, en als het product die op zeker moment niet meer waarmaakt, dan is dat een conformiteitsgebrek. Of het nu is dat de stekker doorbrandt, een knopje afbreekt of de Smart TV-functie ermee ophoudt, dat hoef je niet te verwachten dus dat is gewoon een probleem.

In principe, want er is natuurlijk een verschil tussen een afgebroken knopje en een dienst als Smart TV: dat laatste is een dienst, en diensten kunnen op zeker moment stoppen (waar we het vaker over hebben gehad).

Dit steekt behoorlijk, dat wel. Want je kóópt dat apparaat mede vanwege die functie. En hoewel iedereen wel snapt dat je van een leverancier niet kunt verlangen dat deze tot in de eeuwigheid een dienst actief houdt, krijg je nu dus wel de vraag: hoe en wanneer mag dat dan? Want het voelt erg onbillijk als men zomaar ergens de stekker uit kan trekken omdat het toevallig niet meer uitkomt.

Helaas is dit een ongeregeld iets uit de wet. De enige optie is de algemene regel over redelijkheid en billijkheid (art. 6:248 BW), maar dat is in feite niet meer dan “dit kan niet waar zijn” in juridische taal. Waarom is het niet redelijk? Of beter gezegd: wanneer zou het wel redelijk zijn? Wanneer mag een leverancier zeggen, ik stop met deze dienst want het wordt me te duur/complex?

Arnoud

De brakke spullen uit het Internet der Dingen

| AE 8395 | Aansprakelijkheid, Beveiliging | 26 reacties

De kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en… Lees verder