Internet Protection Cyber Security Virus Digital

Britse overheid komt met nieuwe wetgeving IoT-security

by Redactie IoT Journaal29 april 2021

De Britse overheid is al enige tijd behoorlijk actief als het gaat om Internet of Things. Zo heeft het al in 2019 een aantal wetsvoorstellen gepresenteerd die consumenten meer bescherming moeten bieden bij het aanschaffen en het gebruiken van Internet of Things-spullen, zoals speelgoed en domotica-hardware. En nu volgt er meer wetgeving op dat gebied, zo laat de Britse regering weten.

Naar verluidt, zal de komende Britse IoT-wetgeving betrekking hebben op nagenoeg alle op internet aangesloten hardware, inclusief smartphones en tablet computers. De drie belangrijkste onderdelen van de wetsvoorstellen zijn al uitgelekt:

  • Consumenten moeten al bij de aanschaf van IoT-apparatuur worden ingelicht over de periode waarin de betreffende hardware security softwareupdates krijgt.
  • Het wordt fabrikanten van IoT-hardware verboden om standaardwachtwoorden (denk aan ‘admin’) in hun spullen ‘in te bakken’.
  • Fabrikanten moeten voortaan voor een contactmogelijkheid zorgen waar consumenten terecht kunnen als zij een kwetsbaarheid in de IoT-hardware signaleren.
Europese richtlijnen en wetgeving

De Britse wetgeving is gëent op hetgeen door de ETSI, de Europese standaardisatieorganisatie op het gebied van internet en telecommunicatie, in februari 2019 op dat gebied heeft gedaan. De organisatie heeft destijds een reeks – niet dwingende – technische security-richtlijnen geïntroduceerd voor partijen die zich bezighouden met IoT-oplossingen bedoeld voor consumenten. Hierbij ginghet niet alleen om leveranciers van hard- en software. Volgens de non-profit club moesten alle partijen in het IoT-ecosysteem (waaronder operators en aanbieders van cloud platformen) ervan profiteren. Het document is gratis via IoTJournaal te downloaden (16 pagina’s, 85 Kb, PDF).

GDPR

De standaardisatieclub heeft destijds in totaal vier hoofdthema’s voor de goede beveiliging van consumenten-IoT gedefinieerd. In het ETSI-document wordt onder meer gerept over softwareupdates en databescherming. Voor dat laatste heeft de vorig jaar doorgevoerde Europese General Data Protection Regulation (GDPR) model gestaan. De richtlijnen zijn niet dwingend: daar is weer aparte regelgeving van de Europese Commissie voor nodig. Om tot zijn security-richtlijnen te komen, heeft ETSI zich onder andere gebaseerd op soortgelijke aanbevelingen afkomstig uit de kokers van de GSMA (brancheclub voor partijen actief in de mobiele data- en telecommunicatie), de standaardisatieclub ISO en de Britse overheid. De Europese Commissie en het Europese parlement hebben op hun beurt in maart 2019 de Cybersecurity Act (CSA) het licht laten zien. Hierin wordt onder andere de goede beveiliging van IoT-oplossingen voor consumenten geborgd.

En wat doet de overheid in Nederland?

In Nederland wordt al sinds een jaar of twee door de overheid nagedacht over securityregelgeving voor domotica-spullen. Staatssecretaris Mona Keijzer (Economische Zaken en Klimaat) heeft eind juni 2019 de Tweede Kamer een update gegeven over de zogenoemde ‘Roadmap Digitaal Veilige Hard- en Software’. In de brief stond onder andere dat telecomtoezichthouder Agentschap Telecom (AT) een onderzoek had uitgevoerd naar de ‘digitale veiligheid van 22 apparaten in de categorieën slim speelgoed, IP-camera’s, routers, slimme sloten, babymonitors en slimme thermostaten’. AT heeft in de zomer van 2020 daad bij woord gevoegd door het uitbrengen van acht securitymaatregelen waaraan fabrikanten van IoT-consumentenspullen zich zouden moeten houden. Het volledige (grotendeels Engelstalige) rapport van Agentschap Telecom is via IoTJournaal te downloaden (44 pagina’s, 834 Kb, PDF).