D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt en leveren anderen gigantische schade op. Maar omdat de wetgeving niets zegt over ICT-security, komen leveranciers en winkels ermee weg. Alleen: wat gaan we er aan doen?
Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.
Ik vind dat van de zotte. Je kunt van gewone consumenten niet verwachten dat ze hier wat tegen doen, al is het maar omdat zulke apparaten zelden te updaten zijn. Terwijl de fabrikant op zich prima een goed niveau van veiligheid kan inbouwen. De reden om het niet te doen, is eigenlijk heel simpel: dat kost geld en het levert niets extra’s op bij de klant. En dat is waarom we wetgeving nodig hebben.
Je kunt twee dingen doen. De gebruikelijke juridische manier is een open norm: een product moet adequate productsecurity hebben, anders boete. Het voordeel daarvan is dat je dan als fabrikant zelf kunt invullen wat je gaat doen (met een motivatie waarom dat “adequaat” is), en dat je ook bij veranderingen in de technologie nog steeds een maatstaf hebt. Nadeel is wel, als je geen fatsoenlijke invulling kunt geven dan heb je een groot risico, want op overtreding van die norm staat een boete. “Pas op of je moet een miljoen betalen”, wat moet je daarmee als bedrijf.
Een andere manier is dat je als wetgever concrete normen gaat stellen. Ik weet niet of die er zijn voor ICT-security bij iot-apparaten, wat gelijk al een stevige hobbel zou zijn. Maar zelfs als ze er zijn, dan moet je dus als wetgever elke maand je regels bijstellen omdat er weer iets nieuws bedacht is. En tot die tijd mogen bedrijven niet verder in een nieuwe richting. Dat geeft wel zekerheid, maar echt werkbaar voor de toekomst lijkt het me niet.
Ik denk dat ik zelf tóch voor open normen ben, gekoppeld aan de plicht voor de toezichthouder om richtsnoeren te maken en uitspraken te doen over best practices in de markt: als je dit doet, dan vinden we het prima. De praktijk laat alleen zien dat toezichthouders dat maar in beperkte mate doen. Voor een deel omdat er gewoon nog best weinig is bij ict-innovaties om een duidelijk richtsnoer voor te maken, en voor een deel omdat bedrijven gelijk het richtsnoer als algemeen geldende wettelijke regel opvatten: je zei op pagina 13 dat een sms-bericht geen algemene voorwaarden hoefde te bevatten, dus hoeft mijn app dat ook niet. Hoe dat op te lossen, daar ben ik nog niet over uit. Maar dat er iets moet gebeuren en snel ook, dat staat vast.
Arnoud
Een brakke ICT-beveiliging is