Cyber Security Raad IoT

Adviesraad komt met IoT-security advies voor Nederlandse regering

door Redactie IoT Journaal12 januari 2018

De Cyber Security Raad, een adviesorgaan dat de Nederlandse regering bij moet staan als het gaat om cyber security, pleit in een gisteren uitgebracht rapport voor een set maatregelen ter bevordering van de cyber security van ‘IoT-apparaten’. Daarvoor zou de overheid onder andere moeten voortborduren op het gedachtegoed en de regelgeving van de Europese Commissie en het Europese Parlement. De Cyber Security Raad mikt met zijn adviezen in de eerste instantie op de bescherming van de consument, en niet zozeer op die van het bedrijfsleven. De aanbevelingen zijn te downloaden via IoTJournaal (7 pagina’s, 1,1 Mb, PDF).

De Cyber Security Raad ziet een paar beren op de IoT-weg. In het rapport schrijven de adviseurs (een vertegenwoordiging van topmensen uit het bedrijfsleven, de overheid en de wetenschap)over uitdagingen zoals de kwetsbaarheid van IoT-hardware, de beveiliging van IoT-data en de ‘handhaving van de zorgplicht en aansprakelijkheid van IoT-producten en -diensten’. In totaal heeft de Cyber Security Raad zes aanbevelingen voor het kabinet neergepend. In grote trekken volgt de CSR de Europese lijn op het gebied van IoT-security. De Raad staat niet alleen in zijn bezorgdheid: in 2017 hebben zowel de Tweede Kamer als het Nationaal Cyber Security Centrum soortgelijke geluiden laten horen.

1. Certificering, keurmerken en toegangseisen

De Nederlandse overheid kan met behulp van het EU Cybersecurity Certification Framework3 onveilige IoT-apparaten van de weren. Via certificering dienen minimumeisen te worden geformuleerd voor wat betreft de duur dat het product door de leverancier dient te worden onderhouden, de wijze waarop security-updates ter
beschikking dienen te worden gesteld, de periode waarbij de bewijslast voor conformiteit op de leverancier rust, en de eis dat het apparaat van het internet kan worden afgeschakeld met behoud van de ‘reguliere’ functionaliteit. Als het Europese kader onvoldoende mogelijkheden biedt, dan ontwikkelt de minister van Economische Zaken een (wets)voorstel om deze eisen te borgen, bijvoorbeeld via het regime van koopregels.

De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties richt in gezamenlijkheid met de (de)centrale overheid het inkoopbeleid zodanig in dat er standaard digitale veiligheidseisen aan leveranciers worden gesteld, ook in het kader van smart cities.

De minister van Justitie en Veiligheid coördineert een voorstel voor het toevoegen van cyber security-normen aan bestaande bindende sectorale veiligheidseisen in belangrijke sectoren als gezondheidszorg, vervoer en energie.

2. Transparantie

De staatssecretaris van Economische Zaken en Klimaat en de minister van Justitie en Veiligheid financieren een onafhankelijke monitor van gehackte en kwetsbare IoT-apparaten, zodat publieke informatie beschikbaar komt over welke fabrikanten en leveranciers hun apparaten onvoldoende beveiligen.

3. Bewustwording

De staatssecretaris van Economische Zaken en Klimaat en de minister van Justitie en Veiligheid vragen een duidelijke toezegging van de producenten en leveranciers van IoT-apparaten om via een ‘labelling-systeem’ (bijv. stickers op de verpakkingen) consumenten te informeren over het level van beveiliging van het betreffende apparaat; of het apparaat automatisch security-updates kan ontvangen; de duur dat het product door de leverancier wordt onderhouden; en of het apparaat van het internet kan worden afgeschakeld met behoud van de ‘reguliere’ functionaliteit.

De staatssecretaris van Economische Zaken en Klimaat en de minister van Justitie en Veiligheid financieren een voorlichtingscampagne en laten een eenvoudige handleiding opstellen die consumenten informeert over het nieuwe ‘labelling-systeem’ en helpt om te gaan met de risico’s van IoT.

4. Productaansprakelijkheid

De staatssecretaris van Economische Zaken en Klimaat en de minister van Justitie en Veiligheid komen met een (wets)voorstel om veiligheid van ICT-producten en diensten beter in te passen in het regime van productaansprakelijkheid, waardoor fabrikanten wettelijk aansprakelijk gehouden kunnen worden voor ook economische schade. Dit voorstel sluit bij voorkeur aan op maatregelen die de Europese Commissie in juni 2018 zal presenteren.

De staatssecretaris van Economische Zaken en Klimaat en de minister van Justitie en Veiligheid identificeren welke Nederlandse toezichthouders, analoog aan de Amerikaanse Federal Trade Commission op grond van bestaande zorgplichten fabrikanten kunnen aanspreken op basale veiligheidsproblemen, zoals het niet tijdig verstrekken van security patches. Hierbij kunnen onder andere de Handreiking Zorgplichten en de FTC Richtlijn de basis vormen.

5. Intermediaire verantwoordelijkheden

De staatssecretaris van Economische Zaken en Klimaat en de minister van Justitie en Veiligheid maken samen met de industrie richtlijnen voor het onderbrengen van de veiligheid van IoT in de bestaande zorgplichten van intermediair aanbieders.

De staatssecretaris van Economische Zaken en Klimaat en de minister van Justitie en Veiligheid vragen een duidelijke toezegging van de internetaanbieders dat zij besmette IoT-apparaten in hun netwerken helpen opruimen, analoog aan de succesvolle aanpak van botnets (bijvoorbeeld in AbuseHub).

6. Versterking handhaving

De minister van Justitie en Veiligheid coördineert een voorstel van alle betrokken ministeries om voldoende mandaat en capaciteit bij toezichthouders op te bouwen zodat handhaving van cyber security-normen en regels structureel is geborgd in alle sectoren.

 

 

 

twittergoogle_pluslinkedinmailtwittergoogle_pluslinkedinmail