Kees Verhoeven D66 - Foto: Sebastiaan ter Burg

Gastblog Kees Verhoeven (D66): ‘Hoe maken we IoT-apparaten veilig?’

by Paul23 december 2016

De gastblogger van deze keer is een beetje een buitenbeentje: hij geldt namelijk als één van de weinige leden van de Tweede Kamer die niet alleen verstand van ICT heeft, maar er ook zinnige dingen over weet te zeggen. Dat blijkt onder andere uit een door hem eind november ingediende initiatiefnota waarin voor een verbod op ‘onveilige IoT-producten’ wordt gepleit. Wij hebben het over Kees Verhoeven, lid van de D66-fractie in de Tweede Kamer en de fractiewoordvoerder voor Europese Zaken, Economische Zaken, ICT, Privacy en Media & Auteursrecht.

Steeds meer apparaten die we dagelijks gebruiken zijn aangesloten op het internet. Deze apparaten bieden ons gebruiksvoordelen en bovenal -gemak. Auto’s, horloges, speelgoedpoppen en thermostaten kunnen allemaal worden aangesloten op het internet. IoT-apparaten verzamelen (persoons-)gegevens en wisselen deze uit. Deze informatie kan vervolgens geanalyseerd en gebruikt worden. IoT-apparaten kunnen grote voordelen hebben. Slimme thermostaten kunnen de energierekening verlagen, sporthorloges maken ons gezonder en andere apparaten zoals robotstofzuigers maken onze levens simpelweg makkelijker. Het gebruik van deze apparaten is echter niet zondermeer zonder risico’s. De toename van het aantal apparaten dat we aansluiten op het internet vereist ook een toename in de focus op cyberveiligheid. Nederland moet – als digitale koploper in Europa – het voortouw nemen om er voor te zorgen dat consumenten veilig gebruik kunnen maken van IoT-apparaten. Met de voorstellen van D66 nemen we een belangrijke stap richting een veiliger internet.

Risico’s

Het succes van het Internet der Dingen en de voordelen die daar mee gepaard gaan, hangen af van de mate waarin we er in slagen om kwetsbaarheden het hoofd te bieden. Daarbij zijn er drie risico’s die onze aandacht vragen.

Het eerste risico is dat de werking van apparaten in het geding komt doordat criminelen, buitenlandse spionagediensten of andere kwaadwillenden inbreken op IoT-apparaten of de toegang tot het apparaat blokkeren. Zo zijn er ransomware besmettingen geweest in ziekenhuizen en haalden hackers zelfs een hele energiecentrale in Oekraïne offline.

Het tweede risico is dat persoonlijke en vaak ook intieme informatie zonder expliciete toestemming of keuze door de consument naar de maker van een IoT-apparaat wordt doorgegeven. In sommige gevallen wordt het zelfs aan derden verkocht. Op dit moment is het vaak onduidelijk op wat voor manier toestemming gegeven wordt voor het delen van informatie. Soms staat dat die in de gebruikersvoorwaarden verstopt en soms wordt het simpelweg kopen van een apparaat als toestemming gezien.

Het derde risico is dat economische en politieke informatie wordt buitgemaakt door terroristen en criminelen. In 2015 is een recordaantal digitale spionageaanvallen gemeten. Het was zelfs mogelijk dat de Amerikaanse Kamer van Koophandel werd gehackt door Chinese hackers die daarvoor gebruik maakten van een ‘slimme thermostaat’ in het kantoor van ‘Capitol Hill’ (M. Goodman, Future Crimes, pagina 328)

Oplossingen
Overheid

De overheid speelt een belangrijke rol om mensen ook online veilig te houden. Dat kan deels in Nederland en deels op Europees niveau.

Allereerst moeten we, net als in de Verenigde Staten, een bedreigingsanalyseteam oprichten. Dit team moet binnen onze vitale infrastructuur – energiecentrales, waterkeringen, dammen en sluizen – potentiële gevaren en uitdagingen signaleren en vervolgens gerichte en concrete voorstellen doen voor de beveiliging.

Daarnaast moet de overheid geen dingen doen die apparaten juist onveilig houden, zoals de politie laten hacken via onbekende kwetsbaarheden. Zeker niet door hacksoftware in te kopen van schimmige bedrijven als HackingTeam of Zerodium. Daardoor blijven onbekende kwetsbaarheden bestaan en blijven mensen gevoelig voor hacks door criminelen en andere kwaadwillenden die dezelfde kwetsbaarheden kunnen gebruiken. De politie en (ethische) hackers moeten juist de kwetsbaarheden melden bij de producenten van deze producten, zodat de gaten in de beveiliging worden gedicht.

Tot slot moeten we investeren in een onafhankelijk, sterk en actief Nationaal Cybersecurityteam (NCSC). Dit moet onafhankelijk van politieke druk advies kunnen geven en toezicht kunnen houden op de cyberveiligheid in Nederland. De NCSC zou ook een actievere rol kunnen spelen om de cyberveiligheid van lokale overheden en bijvoorbeeld ziekenhuizen op orde te brengen.

Bedrijfsleven

Maar ook het bedrijfsleven speelt een belangrijke rol om IoT-apparaten veiliger te maken. De overheid kan bedrijven daarin stimuleren. Zo moeten er minimumstandaarden komen waaraan IoT-apparaten moeten voldoen. Denk bijvoorbeeld aan het versleutelen van data, eisen aan standaard wachtwoorden en instructies voor gebruikers. Voldoet een apparaat niet aan de standaarden, dan mag het niet verkocht worden. Dit moet op Europees niveau geregeld worden, maar er zou in Nederland al een keurmerk kunnen worden opgericht om al een begin te maken.

Bedrijven moeten ook aansprakelijk gesteld kunnen worden als apparaten onnodig onveilig zijn. Als een bedrijf nalatig is wat betreft brandveiligheid bij het ontwerp van een waterkoker kan zij ook aansprakelijk gesteld worden. D66 wil onderzoeken hoe dergelijke softwareaansprakelijkheid het beste geregeld kan worden bij IoT-apparaten.

Voorlichting

Ten slotte is ook het vergroten van de zelfredzaamheid van consumenten bij het gebruik van IoT-apparaten heel belangrijk. Dit kan door onderwijs te geven in veilig internetgebruik op school. Ook kan de overheid mensen goed voorlichten over goede cyberveiligheid en cyberhygiëne.