Mona Keijzer, staatssecretaris Economische Zaken en Klimaat

Nederlandse overheid over voortgang ‘Roadmap Digitaal Veilige Hard- en Software’

by Redactie IoT Journaal24 juni 2019

Staatssecretaris Mona Keijzer (Economische Zaken en Klimaat) heeft de Tweede Kamer vandaag een update gegeven over de ‘Roadmap Digitaal Veilige Hard- en Software’. In de brief staat onder andere dat er door telecomtoezichthouder Agentschap Telecom een onderzoek heeft uitgevoerd naar de ‘digitale veiligheid van 22 apparaten in de categorieën slim speelgoed, IP-camera’s, routers, slimme sloten, babymonitors en slimme thermostaten’. De resultaten van het onderzoek moeten ‘binnenkort’ worden gepubliceerd. De Kamerbrief van staatssecretaris Keijzer is via IoTJournaal te downloaden (10 pagina’s, 123 Kb, PDF).

“Steeds meer apparaten, naar verwachting dertig miljard in 2020, zijn verbonden met het internet. Slimme thermostaten, koelkasten, speelgoed en tv’s: ze zijn aantrekkelijk voor consumenten en bieden ondernemers extra kansen op inkomsten”, aldus staatssecretaris Mona Keijzer in een officiële toelichting op haar Kamerbrief. “Daarmee veilig omgaan, gaat niet vanzelf. Doe je dat niet, dan ben je kwetsbaar of wordt je besmette apparaat ingezet om bij anderen aan gegevens of zelfs geld te komen. Daarom gaan kennisinstellingen, bedrijven en overheid samenwerken om dit te verbeteren.” De bewindsvrouw geeft hier in de Kamerbrief concrete voorbeelden van. Zo gaat de TU Delft ‘met financiële steun vanuit het ministerie van EZK’ tot en met 2021 metingen doen naar onveilige en al gehackte IoT-apparaten in Nederland. Dat doen zij door bijvoorbeeld netwerken van besmette apparaten (botnets) in kaart te brengen. Het Digital Trust Center van het ministerie van EZK gaat vervolgens in gesprek met fabrikanten over maatregelen om besmette apparaten veilig te maken. Door besmettingsinformatie over apparaten te delen met de vereniging Abuse Information Exchange, een Nederlands samenwerkingsverband van internetaanbieders, kunnen zij hun klanten informeren hoe zij besmettingen kunnen opschonen.

‘Consumenten hebben geen idee’

Het ministerie van Economische Zaken en Klimaat heeft door het marktonderzoeksbureau KANTAR (voorheen bekend als TNS-Nipo) onder meer dan 2.600 ondernemers en consumenten laten onderzoeken hoe zij omgaan met het Internet-of-Things. Eén op de vijf consumenten geeft aan (helemaal) niet te weten hoe apparaten die met het internet verbonden zijn, beveiligd moeten worden. Een ruime meerderheid van de consumenten zegt te weten hoe ze een computer of mobiele telefoon moeten beveiligen. Voor andere slimme apparaten zoals speelgoed, lampen of koelkasten is dit nog minder dan de helft. Software updates worden in grote mate uitgevoerd, regelmatig wachtwoorden wijzigen doet een minderheid. Het KANTAR-rapport is via IoTJournaal te downloaden (33 pagina’s, 687 Kb, PDF).

Het ministerie van Economische Zaken en Klimaat start mede op basis van de onderzoeksresultaten en de Roadmap Digitaal Veilige Hard- en Software eind dit jaar een overheidscampagne om consumenten en ondernemers te informeren hoe zij hun digitale veiligheid kunnen verbeteren.

Europese richtlijnen en wetgeving

ETSI, de Europese standaardisatieorganisatie op het gebied van internet en telecommunicatie, heeft op zijn beurt in februari 2019 een reeks – niet dwingende – technische security-richtlijnen geïntroduceerd voor partijen die zich bezighouden met IoT-oplossingen bedoeld voor consumenten. Hierbij gaat het niet alleen om leveranciers van hard- en software. Volgens de non-profit club moeten alle partijen in het IoT-ecosysteem (waaronder operators en aanbieders van cloud platformen) ervan kunnen profiteren. Het document is gratis via IoTJournaal te downloaden (16 pagina’s, 85 Kb, PDF).

De standaardisatieclub heeft in totaal vier hoofdthema’s voor de goede beveiliging van consumenten-IoT gedefinieerd. In het ETSI-document wordt onder meer gerept over softwareupdates en databescherming. Voor dat laatste heeft de vorig jaar doorgevoerde Europese General Data Protection Regulation (GDPR) model gestaan. De richtlijnen zijn niet dwingend: daar is weer aparte regelgeving van de Europese Commissie voor nodig. Om tot zijn security-richtlijnen te komen, heeft ETSI zich onder andere gebaseerd op soortgelijke aanbevelingen afkomstig uit de kokers van de GSMA (brancheclub voor partijen actief in de mobiele data- en telecommunicatie), de standaardisatieclub ISO en de Britse overheid. De Europese Commissie en het Europese parlement hebben op hun beurt in maart 2019 de Cybersecurity Act (CSA) het licht laten zien. Hierin wordt onder andere de goede beveiliging van IoT-oplossingen voor consumenten geborgd.