Verenigde Staten regering parlement IoT

Amerikaanse overheid komt met wetgeving voor IoT-security

by Redactie IoT Journaal21 juni 2019

Vier leden van het Amerikaanse parlement hebben een wetsontwerp opgesteld met richtlijnen voor de beveiliging van Internet of Things-apparaten. Het voorstel is bedoeld om fabrikanten van dergelijk hardware te dwingen hun security zaakjes op orde te hebben. Zowel The House of Representatives en het Congres hebben hun goedkeuring al gegeven. Voordat de ‘Internet of Things Cybersecurity Improvement Act‘ in 2020 in werking treedt, moet het echter eerst nog door twee overheidsinstanties worden getoetst.

Hoofdbestandsdeel van het door de parlementsleden Robin Kelly (Democraat, Illinois), Will Hurd (Republikein, Texas), Cory Gardner (Republikein, Colorado) en Mark Warner (Democraat, Virginia) opgestelde wetsvoorstel is de verplichte ‘vulnerability disclosure’ door leveranciers van IoT-apparatuur. Zij moeten voortaan volledige openheid geven over eventuele kwetsbaarheden in hun spullen én duidelijkheid verschaffen over de manier waarop die beveiligingsgaten worden gedicht. Er wordt ook voorzien in een sanctie: fabrikanten die zich niet achter de IoT Cybersecurity Improvement Act scharen, worden uitgesloten van deelname aan aanbestedingen van federale overheidsinstanties.

Dwingend inkoopbeleid

In het toetsingsproces van het IoT-wetvoorstel is een hoofdrol weggelegd voor de Amerikaanse overheidsinstantie National Institute of Standards and Technology (NIST). Allereerst zal het – voor 30 september 2019 – met richtlijnen voor IoT-security moeten komen. Daarna gaat de NIST zich buigen over specifieke richtlijnen voor de inkoop van IoT-hardware door de Amerikaanse federale overheid. Dat laatste moet in maart 2020 worden opgeleverd. De uiteindelijke richtlijnen plus het wetsvoorstel komt vervolgens bij de Office of Management and Budget van de Amerikaanse federale overheid te liggen. Die zal op basis hiervan een dwingend inkoopbeleid voor de verschillende overheidsinstanties opstellen. Het is de bedoeling dat de IoT Cybersecurity Improvement Act elke vijf jaar tegen het licht worden gehouden en (indien noodzakelijk) worden geactualiseerd.

Europese richtlijnen en wetgeving

ETSI, de Europese standaardisatieorganisatie op het gebied van internet en telecommunicatie, heeft in februari 2019 een reeks – niet dwingende – technische security-richtlijnen geïntroduceerd voor partijen die zich bezighouden met IoT-oplossingen bedoeld voor consumenten. Hierbij gaat het niet alleen om leveranciers van hard- en software. Volgens de non-profit club moeten alle partijen in het IoT-ecosysteem (waaronder operators en aanbieders van cloud platformen) ervan kunnen profiteren. Het document is gratis via IoTJournaal te downloaden (16 pagina’s, 85 Kb, PDF).

De standaardisatieclub heeft in totaal vier hoofdthema’s voor de goede beveiliging van consumenten-IoT gedefinieerd. In het ETSI-document wordt onder meer gerept over softwareupdates en databescherming. Voor dat laatste heeft de vorig jaar doorgevoerde Europese General Data Protection Regulation (GDPR) model gestaan. De richtlijnen zijn niet dwingend: daar is weer aparte regelgeving van de Europese Commissie voor nodig. Om tot zijn security-richtlijnen te komen, heeft ETSI zich onder andere gebaseerd op soortgelijke aanbevelingen afkomstig uit de kokers van de GSMA (brancheclub voor partijen actief in de mobiele data- en telecommunicatie), de standaardisatieclub ISO en de Britse overheid. De Europese Commissie en het Europese parlement hebben op hun beurt in maart 2019 de Cybersecurity Act (CSA) het licht laten zien. Hierin wordt onder andere de goede beveiliging van IoT-oplossingen voor consumenten geborgd.

Initiatieven Nederlandse overheid

Staatssecretaris Mona Keijzer (ministerie van Economische Zaken en Klimaat) heeft in oktober 2018 aan de Tweede Kamer beloofd dat zij de Europese Commissie aan zou sporen om tot een keurmerk te komen voor Internet of Things-producten voor consumenten. De toezegging van staatssecretaris Keijzer staat in een brief ‘Consumentenagenda: houvast bij voortdurende verandering’ (te downloaden via IoTJournaal.nl, 9 pagina’s, 237 Kb, PDF). Zij schetst in het schrijven diverse manieren om tot een grotere consumentenbescherming te komen als het gaat om IoT-producten. Naast een ‘keurmerk’, ziet de bewindsvrouw ook een rol voor ‘samenwerkingsverbanden, zoals de Abuse Information Exchange‘. Dat laatste zou volgens haar ‘een rol kunnen spelen om gebruikers van besmette IoT-apparaten te bereiken zodat besmettingen kunnen worden opgeschoond’. In januari 2018 heeft de Cyber security Raad (CSR) al een officieel advies over IoT-security aan minister Grappenhaus (ministerie Justitie en Veiligheid) en staatssecretaris Keijzer overhandigd. In het document (‘Naar een veilig verbonden digitale samenleving; Advies inzake de cybersecurity van het Internet of Things’) wordt onder andere gepleit voor certificering en productaansprakelijkheid.