Schneier: Overheid moet ingrijpen bij Internet of Things
Het is aan de overheid om de problemen met het Internet of Things op te lossen, zo stelt de bekende beveiligingsexpert Bruce Schneier. Schneier sprak tijdens een hoorzitting voor het Amerikaanse congres over de ddos-aanval op dns-aanbieder Dyn waardoor allerlei grote websites onbereikbaar waren.
De ddos-aanval was afkomstig van voornamelijk gehackte digitale videorecorders. "Vanwege deze aanvallen is je veiligheid op internet afhankelijk van de veiligheid van miljoenen op internet aangesloten apparaten, ontworpen en verkocht door bedrijven waarvan je nog nooit hebt gehoord aan consumenten die niets om jouw veiligheid geven", aldus Schneier. Hij stelt dat de technische redenen dat Internet of Things-apparaten onveilig zijn complex zijn, maar dat er sprake van marktfalen is.
"De markt geeft prioriteit aan features en kosten boven veiligheid. Veel van deze apparaten zijn goedkoop en ontwikkeld en gemaakt in het buitenland en dan opnieuw verpakt en verkocht", liet Schneier de congresleden weten. Volgens de expert hebben de ontwikkelteams achter IoT-apparaten niet de beveiligingskennis die van grote computer- en smartphonefabrikanten wordt verwacht. "Simpelweg omdat de markt niet wil instaan voor de extra kosten die daarbij komen kijken."
Daarnaast ontvangen Internet of Things-apparaten geen beveiligingsupdates, maar blijven ze wel gedurende lange tijd in gebruik. "Ze blijven in gebruik vanwege een ander marktfalen. Zowel de verkoper als de koper kan het oplossen van het beveiligingslek niets schelen. De eigenaren van deze apparaten maakt het niets uit. Ze willen een webcam, of thermostaat of koelkast, met mooie features en een goede prijs. Zelfs als ze onderdeel van een botnet zijn werken ze prima. De verkopers van de apparaten kan het niets schelen, want zij zijn al met het volgende nieuwe en betere model bezig."
Schneier stelt dat er geen marktoplossing is, omdat de onveiligheid vooral andere mensen raakt. "Het is een vorm van onzichtbare vervuiling." De beveiligingsexpert pleit dan ook voor overheidsingrijpen. "Onze keuze is niet tussen overheidsingrijpen en geen overheidsingrijpen. Onze keuze is tussen slim ingrijpen door de overheid en onverstandig ingrijpen door de overheid. We moeten hier nu over nadenken. Regelgeving is noodzakelijk, belangrijk en complex en ze komen eraan. We kunnen deze problemen niet negeren totdat het te laat is."
De beveiligingsexpert verwacht niet dat de markt met een oplossing komt. "Toen software niet belangrijk was, was het prima om de markt de beste beveiliging te laten kiezen. Maar het is een heel ander verhaal als een spreadsheet crasht en je verliest al je gegevens of wanneer je auto botst en je verliest je leven. De beveiligingslekken in het Internet of Things zijn de diep en te alomtegenwoordig, en zullen niet worden opgelost als de markt het mag uitzoeken. We moeten proactief goede regelgeving bespreken, anders zal een ramp slechte regelgeving aan ons opleggen." (pdf)
Laten we nou vooral de overheid zoveel mogelijk buiten de deur houden. Daar is iedereen mee gediend...
(die bijvoorbeeld geen BCP38 implementeren omdat het hen zelf niks oplevert) als tegen de mensen die het
verzieken en die nauwelijks opgespoord worden, al dan niet omdat ze zich verschuilen als tibetaanse journalist.
Nou maar hopen dat er naar Bruce wel geluisterd wordt.
@Anoniem 8:59
Wellicht heb je gelijk als je het hebt over de overheid en grote IT projecten. Daarover worden vooral besluiten genomen door mensen met voornamelijk politieke en/of korte termijn belangen. Meestal gecombineerd met het ontbreken van kennis/inzicht en een gebrek aan respect voor gebruikers en andere belanghebbenden. Dus ja, inderdaad: "inspraak zonder inzicht leidt tot een uitspraak zonder uitzicht".
Toch.
De overheid heeft ook geen verstand van auto's en wegen. Toch is het gelukt een samenspel van wetgeving te maken waardoor we veilig over straat kunnen.
De overheid heeft ook geen verstand van chemie en/of energieopwekking en/of biotechnologie. Toch is het gelukt om een samenspel van regelgeving te maken waardoor we weer in onze eigen rivieren kunnen zwemmen. Waardoor we redelijk veilig ons voedsel kunnen eten. enz.
Met IT staan we nog aan het begin van de 'industriële' revolutie.
Ja, er is veel IT. Er zijn veel diensten. Maar gelijktijdig is er te weinig aandacht voor security. Er is te weinig aandacht voor privacy (ook bij de individuele gebruikers). Dat leidt tot 'milieu'vervuiling. Tot een situatie dat de een zijn gemak krijgt/zijn geld verdiend ten koste van de ander. Inmiddels tot die mate dat mensen (zelfs die er niets mee te maken willen hebben) schade oplopen. Sommigen zelfs veel schade.
Laat die regelgeving dus maar komen om mensen te beschermen en om de IT zelf te beschermen.
analoog aan verkeer (infrastructuur)
- er is regelgeving voor vervoermiddelen
- er is regelgeving voor wegen
- er is regelgeving voor gedrag in verkeer
Nu nog die voor IT (infrastructuur).
Beschrijvingen zijn er al, nou nog wetgeving en KEMA-keuren.
b.v. http://www.gsma.com/connectedliving/iot-security-guidelines-for-endpoint-ecosystem/
Leuk als je allerlei functionaliteit wilt, sta er maar bij stil dat een ander die functionaliteit ook kan bemachtigen op dat moment of verwijder jezelf uit de digitale wereld... Voor het goed van vele anderen.
Beschrijvingen zijn er al, nou nog wetgeving en KEMA-keuren.
b.v. http://www.gsma.com/connectedliving/iot-security-guidelines-for-endpoint-ecosystem/
https://nl.wikipedia.org/wiki/KEMA
https://nl.wikipedia.org/wiki/KEMA
Maar het ging hier om het KEMA keur. Dat keur is al twee jaar voor het einde van de Kema aan het Deutse keuringsinstituut DEKRA verkocht.
Lekker overzichtelijk al die keurmerken.
Maar terug naar het thema: Als bedrijven er geen belang bij hebben om dit probleem op te lossen en de maatschappij heeft wel een belang dat dit opgelost wordt, dan blijft alleen de overheid over. Alleen die overheid kan bindende regels opstellen waar fabrikanten zich aan moeten houden.
Maar terug naar het thema: Als bedrijven er geen belang bij hebben om dit probleem op te lossen en de maatschappij heeft wel een belang dat dit opgelost wordt, dan blijft alleen de overheid over. Alleen die overheid kan bindende regels opstellen waar fabrikanten zich aan moeten houden.
Laten we nou vooral de overheid zoveel mogelijk buiten de deur houden. Daar is iedereen mee gediend...
Dus de veiligheidseisen van apparaten (verbonden met 'the internet of things') moeten niet worden gereguleerd door de overheid? Ik neem aan dat marktwerking hier geen opvulling aan gaat geven aangezien de consument bar weinig verstand heeft van dergelijke zaken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
