IoT wet security VS Senaat

Senaat VS wil wet voor cybersecurity IoT-hardware

door Redactie IoT Journaal10 augustus 2017

Vier Amerikaanse senatoren hebben onlangs een ontwerpwet ingediend waarin eisen zijn opgesteld ten aanzien van de veiligheid van Internet of Things-hardware. De voorgestelde wetgeving heeft betrekking op federale overheidsinstanties die dergelijke apparaten willen aanschaffen. Daarmee worden de cybersecurity-verplichtingen indirect ook aan fabrikanten van IoT-hardware opgelegd.

De belangrijkste onderdelen van de zogenoemde ‘Internet of Things Cybersecurity Improvement Act 2017‘:

Veiligheid IoT-hardware: De fabrikant moet allereerst aantonen dat zijn apparaat geen ‘bekende kwetsbaarheden’ heeft. Daarnaast moet de hardware officiële updates kunnen krijgen. De fabrikant moet er verder voor zorgen dat de apparatuur met behulp van gestandaardiseerde communicatieprotocollen werkt, waarbij de data versleuteld wordt. Ook mogen de apparaten geen ‘hard coded‘ wachtwoorden bevatten. Ten slotte dienen de systemen voor beheer op afstand vervangbaar zijn in het geval van een ernstige kwetsbaarheid.

IoT-hardware updates: De fabrikant moet updates van firm- en software verzorgen waarmee ‘elke toekomstige kwetsbaarheid of probleem in om het even welk deel van de firm- en software van het IoT-apparaat’ wordt verholpen of verwijderd.

Meldplicht: De fabrikant moet zijn overheidsklant direct informeren over elke kwetsbaarheid in de firm- en software van zijn IoT-apparatuur. Die meldplicht geldt voor de gehele looptijd van het contract dat is afgesloten met de federale overheidsinstantie.

Reparatie of vervanging: De fabrikant dient de IoT-hardware te repareren als er een kwetsbaarheid is geconstateerd. Als er geen reparatie mogelijk is, dan moeten de bewuste apparaten worden vervangen. Ook moet de fabrikant zijn overheidsklant voorzien van de benodigde ondersteuningsgegevens met betrekking tot de cybersecurity van zijn IoT-hardware. Daarin moet ook staan hoe lang de fabrikant zijn apparaten ondersteunt als het gaat om cyber security. De fabrikant dient ten slotte zijn overheidsklant formeel te waarschuwen als die ondersteuning afloopt.

Aanvulling op bestaande wetgeving

De ‘Internet of Things Cybersecurity Improvement Act 2017‘ is door zowel Democratische (Cory Gardner en Ron Wyden) als Republikeinse senatoren (Mark Warner en Steve Daines) ingediend. Het wetsvoorstel is een aanvulling op twee reeds bestaande wetten (de Computer Fraud and Abuse Act en de Digital Millennium Copyright Act). De senatoren hebben tevens voorzien in wettelijke bescherming voor onderzoekers die – al dan niet tijdens hackpogingen – kwetsbaarheden in IoT-hardware opsporen en bekend maken.

Nederlandse wetgeving gevraagd

De Nederlandse regering is medio juni dit jaar eveneens gevraagd om met regelgeving komen waarin minimale beveiligingseisen voor IoT-apparaten zijn vastgelegd. Het gaat daarbij met name om hardware bestemd voor de consumentenmarkt. Dat was de strekking van een motie die destijds met een meerderheid van stemmen door de Tweede Kamer is aangenomen.

Het opstellen van minimale security eisen is niet het enige dat het parlement van de regering verlangt. Ook moeten er manieren (zoals sancties) komen om fabrikanten van IoT-apparaten aan die eisen te laten voldoen. De motie werd ingediend door IoTJournaal-gastblogger Kees Verhoeven (D66) en Maarten Hijink (SP). Verhoeven had al eerder, in 2016, een initiatiefnota van gelijke strekking bij de Tweede Kamer gedeponeerd.

Concrete Nederlandse voorstellen

De D66- initiatiefnota ‘Het Internet der Dingen: maak apparaten veilig’ uit 2016 bevatte vijf concrete voorstellen om tot veiliger IoT-hardware te komen:

  1. Richt een Nederlands bedreigingsanalyseteam op
  2. Creëer standaarden voor cyberveiligheid van apparaten.
  3. Onderzoek mogelijkheden voor software aansprakelijkheid.
  4. Investeer in de zelfredzaamheid van consumenten voor veilig gebruik van Internet der Dingen- apparaten.
  5. Een onafhankelijk, sterk en actief Nationaal CyberSecurity Centrum (NCSC)

Verder wilde Tweede Kamerlid en bedenker van de initiatiefnota Kees Verhoeven dat er een keurmerk voor veilige IoT-apparatuur zou komen. De volledige tekst van de initiatiefnota is hier te downloaden (PDF, 264 Kb).

EU-regelgeving

De Europese Commissie is eveneens al enige tijd bezig met cyber security regelgeving voor met het Internet verbonden (consumenten)apparaten. Onderdeel van de maatregelen is een labeling van IoT-hardware, waarop te zien is in hoeverre het apparaat in kwestie is beveiligd. Het systeem zou gebaseerd zijn op de reeds bestaande labels waarmee in de EU het energieverbruik van apparatuur wordt aangegeven. Dat heeft EU-topambtenaar Thibault Kleiner al eerder laten weten.

Privacy

De verwachte security-regelgeving van de Europese Commissie is specifiek gericht op IoT-apparaten, zo stelde Thibault Kleiner al eerder. Zijn baas, Eurocommissaris Günther Oettinger (Digitale Agenda), heeft eerder dit jaar nieuwe Europese regelgeving voor data- en telecommunicatie het licht laten zien. De IoT-security wetgeving is daar een logisch vervolg op, aldus Kleiner. Volgens hem zouden de maatregelen naar alle waarschijnlijkheid verder gaan dan ‘alleen maar het plakken van labels’. Hij hintte daarbij op wetgeving die de privacy van consumenten en het eigendom van door IoT-apparaten verzamelde data moet regelen.

 

twittergoogle_pluslinkedinmailtwittergoogle_pluslinkedinmail