Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

| AE 8962 | Security | 13 reacties

norm-security-beveiliging-certified-gecertificeerdEen lezer vroeg me:

In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe standaarden geïmplementeerd moeten zijn?

Dit is een persoonlijke frustratie van mij, maar de wet kent eigenlijk überhaupt geen eis dat je enige security-standaard moet volgen, of zelfs maar dat je product enige security moet hebben. Fysieke veiligheid wel (productveiligheid, art. 6:186 BW) maar je informatiebeveiliging mag volstrekt brak zijn. Ik weet niet waarom.

De enige echte uitzondering is die van systemen die persoonsgegevens verwerken. Daar bepaalt de Wet bescherming persoonsgegevens (art. 13 Wbp) dat je “passende technische en organisatorische maatregelen” moet nemen “om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

De in 2013 geformuleerde beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens adviseren te handelen binnen een plan­do­check­act­cyclus: beoordeel de risico’s, gebruik erkende beveiligingsstandaarden en controleer en evalueer de resultaten. Er wordt wel naar standaarden verwezen, maar dat laat meteen zien waarom dat niet werkt: het document is uit februari 2013 en de daarin genoemde norm ISO 27002:2007 werd in oktober 2013 ingetrokken.

Uiteindelijk zal het altijd neerkomen op een evaluatie achteraf als het mis blijkt te zijn gegaan. Had dit redelijkerwijs voorkomen kunnen worden met wat voorhanden was, was het redelijkerwijs te verwachten dat deze standaard gevolgd zou worden en hadden we al redelijkerwijs mogen verwachten dat er zou worden geupgrade of was dat gezien de kosten nog niet redelijk? (Met excuses aan de vraagsteller die me nadrukkelijk vroeg de term ‘redelijk’ te vermijden maar dat is ben ik bang een MUST in de zin van RFC 2119.)

Arnoud

De brakke spullen uit het Internet der Dingen

| AE 8395 | Ondernemingsvrijheid, Security | 26 reacties

webcam-camera-babyDe kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en ga zo maar door. Hoe kan dat anno 2016 nog zo makkelijk bestaan?

Op brakke beveiliging is niet strafbaar, schreef ik in 2013. Tegenwoordig soms wel: als je persoonsgegevens niet adequaat beveiligt, kun je een boete van maximaal €820.000 opgelegd krijgen. (Bovendien moet je het melden, een aparte nieuwe verplichting). Maar dat gaat over bedrijven die persoonlijke gegevens beheren, niet over bedrijven die apparatuur op de markt brengen. Ik zou niet weten op grond van welk wetsartikel de leverancier van een IP-enabled webcam met fabriekswachtwoord 12345 te beboeten is.

Volgens Ars Technica is de reden hiervoor heel simpel: geld.

Consumers do not perceive value in security and privacy. As a rule, many have not shown a willingness to pay for such things. As a result, webcam manufacturers slash costs to maximize their profit, often on narrow margins. Many webcams now sell for as little as £15 or $20.“The consumers are saying ‘we’re not supposed to know anything about this stuff [cybersecurity],” he said. “The vendors don’t want to lift a finger to help users because it costs them money.”

Ik denk dat het iets subtieler ligt. Mensen geven wel om veiligheid en privacy, maar gaan er vanuit dat een apparaat in een mooi doosje op de plank bij een bekende winkel gewoon veilig is. Auto’s zitten ook netjes op slot, je brood is vers en als een blik tomatensoep ontploft in de koelkast dan verdient dat aandacht in RTL Nieuws om half acht. Dat model van vertrouwen nemen mensen gewoon mee naar digitale apparatuur, ook als die internet-enabled is. Handig joh, dat je op je smartphone de webcam thuis kunt bekijken. Maar het idee dat iedereen dan mee kan kijken omdat hij op een algemeen bekende poort draait en het standaardwachtwoord in de op internet staande handleiding te vinden is, dat speelt niet bij brood of tomatensoep. Dus ook niet bij die webcam.

En nee, het is te makkelijk om dan te zeggen “dan moeten die mensen maar beter nadenken en lezen wat er in de handleiding staat”. Want dat doen mensen niet, en ik vind het ondertussen ook steeds oneerlijker worden om te verwachten dat ze dat wel gaan doen. Ik hoef ook geen handleiding van mijn voordeurslot te lezen – daar staat politiekeurmerk 2 sterren op en de installateur had een keurige blauwe overall aan, dus dat zit wel goed met dat voordeurslot.

Deze bal hoort te liggen bij de leveranciers van deze producten. In Amerika lijkt dat al een beetje door te dringen: Ars Technica citeert een FTC-woordvoerder die zegt “If you don’t have reasonable security then that could be a violation of the FTC Act.” Bij ons vind ik het moeilijk een dergelijke kapstok te verzinnen. Om dit nu onder de conformiteitseis (wettelijke garantie) te schuiven gaat een beetje ver, dat criterium is daar volgens mij niet voor bedoeld.

Ik denk dus dat er echt een wetswijziging voor nodig is om een stok te introduceren om IoT-dingen-produceren te dwingen de veiligheid van hun producten te vergroten. Maar dat gaat een moeizaam proces worden, want het klinkt zo redelijk, dat mensen toch zelf even een handleiding kunnen lezen en een wachtwoord kunnen wijzigen. Maar eh, wees eens eerlijk: wie doet dat bij alle producten in zijn huis?

Arnoud

Waarom wordt mijn embedded Android niet geupdate?

| AE 7954 | Ondernemingsvrijheid, Security | 16 reacties

android-open-source.pngEen lezer vroeg me:

Steeds meer apparatuur bevat Android als operating system, en daarvan is bekend dat er van tijd tot tijd gaten in worden ontdekt. Maar die software wordt eigenlijk nooit geupdate. Is dat niet tegen de wet? Hoe kan ik afdwingen dat deze software bijgewerkt wordt?

De wet zegt niets over security of het bijwerken van software. Een gemiste kans bij de wetsupdate van 2014, wat mij betreft. Je moet dus terugvallen op algemene regels en daaruit proberen te beredeneren dat het anno 2015 impliceert dat embedded software moet worden geupdate.

Een hoofdregel uit de wet is dat een product moet voldoen aan de redelijkerwijs gewekte verwachtingen (art. 7:17 BW). Als dat niet zo is, moet de winkelier dat herstellen of een vervangend product verschaffen. Wil je het hiermee rondkrijgen, dan moet je dus aantonen dat je redelijkerwijs mag verwachten dat een product veilig is en/of dat ontdekte gaten

Dat een product veilig is, is helaas nog steeds geen gebruikelijke situatie. (Ik erger me daar al tijden aan.) Bovendien worden gaten ook tijdens de levensduur van het product ontdekt, dus is het denk ik ook niet realistisch te verwachten dat producten binnenkort veilig worden en blijven. Updaten is de enige manier om daaraan tegemoet te komen.

Zijn updates an sich dan een redelijke verwachting? Nou, bij Android wel. Iedereen weet dat Android regelmatig met security- en andere updates komt, dus je mag verwachten dat dat ook bij jouw apparaat gaat gebeuren als gemeld is dat er Android in zit. Die verwachting komt dan mee.

De per 1 januari in werking tredende meldplicht datalekken + beveiligingsplicht gaat daar niets aan veranderen. Die geldt namelijk voor zakelijke partijen die persoonsgegevens van anderen opslaan. Een consument met een Androidapparaat voldoet niet aan die omschrijving en heeft dus niets te maken met die wet. Ook niet als door een gat in zijn OS zijn telefoonboek of ander bestand met persoonsgegevens lekt.

Een praktisch punt is nog wel, kúnnen die apparaten wel eenvoudig geupdate worden? Bij een telefoon lukt dat nog wel, maar bij een simpele dvd-speler zonder netwerkmogelijkheid is dat al wat ingewikkelder. Eisen dat je de firmware moet kunnen flashen is denk ik niet redelijk. Bovendien, als het apparaat geen netwerkmogelijkheid heeft, hoe wordt het dan gehackt van buitenaf?

Arnoud

Mag ik inbreken bij collega’s voor ons security-event?

| AE 6905 | Ondernemingsvrijheid, Security | 5 reacties

Een lezer vroeg me: Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of mail, gebruikmakend van simpele beveiligingsfouten of social engineering. Zo wil men concreet laten zien wat er mis kan gaan. Mijn manager zegt dat hij alle verantwoordelijkheid draagt en… Lees verder