image

Schneier: Overheid moet ingrijpen bij Internet of Things

donderdag 17 november 2016, 08:12 door Redactie, 10 reacties

Het is aan de overheid om de problemen met het Internet of Things op te lossen, zo stelt de bekende beveiligingsexpert Bruce Schneier. Schneier sprak tijdens een hoorzitting voor het Amerikaanse congres over de ddos-aanval op dns-aanbieder Dyn waardoor allerlei grote websites onbereikbaar waren.

De ddos-aanval was afkomstig van voornamelijk gehackte digitale videorecorders. "Vanwege deze aanvallen is je veiligheid op internet afhankelijk van de veiligheid van miljoenen op internet aangesloten apparaten, ontworpen en verkocht door bedrijven waarvan je nog nooit hebt gehoord aan consumenten die niets om jouw veiligheid geven", aldus Schneier. Hij stelt dat de technische redenen dat Internet of Things-apparaten onveilig zijn complex zijn, maar dat er sprake van marktfalen is.

"De markt geeft prioriteit aan features en kosten boven veiligheid. Veel van deze apparaten zijn goedkoop en ontwikkeld en gemaakt in het buitenland en dan opnieuw verpakt en verkocht", liet Schneier de congresleden weten. Volgens de expert hebben de ontwikkelteams achter IoT-apparaten niet de beveiligingskennis die van grote computer- en smartphonefabrikanten wordt verwacht. "Simpelweg omdat de markt niet wil instaan voor de extra kosten die daarbij komen kijken."

Daarnaast ontvangen Internet of Things-apparaten geen beveiligingsupdates, maar blijven ze wel gedurende lange tijd in gebruik. "Ze blijven in gebruik vanwege een ander marktfalen. Zowel de verkoper als de koper kan het oplossen van het beveiligingslek niets schelen. De eigenaren van deze apparaten maakt het niets uit. Ze willen een webcam, of thermostaat of koelkast, met mooie features en een goede prijs. Zelfs als ze onderdeel van een botnet zijn werken ze prima. De verkopers van de apparaten kan het niets schelen, want zij zijn al met het volgende nieuwe en betere model bezig."

Schneier stelt dat er geen marktoplossing is, omdat de onveiligheid vooral andere mensen raakt. "Het is een vorm van onzichtbare vervuiling." De beveiligingsexpert pleit dan ook voor overheidsingrijpen. "Onze keuze is niet tussen overheidsingrijpen en geen overheidsingrijpen. Onze keuze is tussen slim ingrijpen door de overheid en onverstandig ingrijpen door de overheid. We moeten hier nu over nadenken. Regelgeving is noodzakelijk, belangrijk en complex en ze komen eraan. We kunnen deze problemen niet negeren totdat het te laat is."

De beveiligingsexpert verwacht niet dat de markt met een oplossing komt. "Toen software niet belangrijk was, was het prima om de markt de beste beveiliging te laten kiezen. Maar het is een heel ander verhaal als een spreadsheet crasht en je verliest al je gegevens of wanneer je auto botst en je verliest je leven. De beveiligingslekken in het Internet of Things zijn de diep en te alomtegenwoordig, en zullen niet worden opgelost als de markt het mag uitzoeken. We moeten proactief goede regelgeving bespreken, anders zal een ramp slechte regelgeving aan ons opleggen." (pdf)

Reacties (10)
17-11-2016, 08:59 door Anoniem
Nou ja... eigenlijk zie ik bij alles waar de overheid zich mee bemoeit, de puinhoop alleen maar groter worden, er zijn opeens allerlei regelingen en commisies nodig en meer van dat soort onzin. Overheid en IT is tot op heden altijd garantie geweest voor enorme geldverspilling met een bijzonder beroerd resultaat.

Laten we nou vooral de overheid zoveel mogelijk buiten de deur houden. Daar is iedereen mee gediend...
17-11-2016, 09:06 door Anoniem
Tja ik roep al jaren om overheidsingrijpen, zowel tegen internetproviders zonder verantwoordelijkheidsbesef
(die bijvoorbeeld geen BCP38 implementeren omdat het hen zelf niks oplevert) als tegen de mensen die het
verzieken en die nauwelijks opgespoord worden, al dan niet omdat ze zich verschuilen als tibetaanse journalist.

Nou maar hopen dat er naar Bruce wel geluisterd wordt.
17-11-2016, 09:46 door Anoniem
Afz FB

@Anoniem 8:59

Wellicht heb je gelijk als je het hebt over de overheid en grote IT projecten. Daarover worden vooral besluiten genomen door mensen met voornamelijk politieke en/of korte termijn belangen. Meestal gecombineerd met het ontbreken van kennis/inzicht en een gebrek aan respect voor gebruikers en andere belanghebbenden. Dus ja, inderdaad: "inspraak zonder inzicht leidt tot een uitspraak zonder uitzicht".

Toch.

De overheid heeft ook geen verstand van auto's en wegen. Toch is het gelukt een samenspel van wetgeving te maken waardoor we veilig over straat kunnen.
De overheid heeft ook geen verstand van chemie en/of energieopwekking en/of biotechnologie. Toch is het gelukt om een samenspel van regelgeving te maken waardoor we weer in onze eigen rivieren kunnen zwemmen. Waardoor we redelijk veilig ons voedsel kunnen eten. enz.

Met IT staan we nog aan het begin van de 'industriële' revolutie.
Ja, er is veel IT. Er zijn veel diensten. Maar gelijktijdig is er te weinig aandacht voor security. Er is te weinig aandacht voor privacy (ook bij de individuele gebruikers). Dat leidt tot 'milieu'vervuiling. Tot een situatie dat de een zijn gemak krijgt/zijn geld verdiend ten koste van de ander. Inmiddels tot die mate dat mensen (zelfs die er niets mee te maken willen hebben) schade oplopen. Sommigen zelfs veel schade.

Laat die regelgeving dus maar komen om mensen te beschermen en om de IT zelf te beschermen.
analoog aan verkeer (infrastructuur)
- er is regelgeving voor vervoermiddelen
- er is regelgeving voor wegen
- er is regelgeving voor gedrag in verkeer
Nu nog die voor IT (infrastructuur).
17-11-2016, 10:44 door ph-cofi
Door Anoniem: (...) er is regelgeving voor (...) Nu nog die voor IT (infrastructuur).
Hear, hear!
Beschrijvingen zijn er al, nou nog wetgeving en KEMA-keuren.

b.v. http://www.gsma.com/connectedliving/iot-security-guidelines-for-endpoint-ecosystem/
17-11-2016, 12:07 door Anoniem
Helemaal mee eens. Ten slotte zijn er al veiligheidseisen voor allerlei apparaten, dan kan een toets voor basale ip-veiligheid (al was het maar een toets op standaard wachtwoord verplicht wijzigen bij ingebruikname) er ook nog wel bij.
17-11-2016, 12:48 door Anoniem
Misschien moet de overheid zich hier juist niet mee bemoeien, misschien wordt het tijd dat we de domme mensen eindelijk eens in hun gezicht uitlachen... het is al jaren gaande die glijdende schaal van idiocracie...
Leuk als je allerlei functionaliteit wilt, sta er maar bij stil dat een ander die functionaliteit ook kan bemachtigen op dat moment of verwijder jezelf uit de digitale wereld... Voor het goed van vele anderen.
17-11-2016, 13:38 door Anoniem
Door ph-cofi:
Door Anoniem: (...) er is regelgeving voor (...) Nu nog die voor IT (infrastructuur).
Hear, hear!
Beschrijvingen zijn er al, nou nog wetgeving en KEMA-keuren.

b.v. http://www.gsma.com/connectedliving/iot-security-guidelines-for-endpoint-ecosystem/
De KEMA bestaat allang niet meer.
https://nl.wikipedia.org/wiki/KEMA
17-11-2016, 16:49 door Briolet
Door Anoniem: De KEMA bestaat allang niet meer.
https://nl.wikipedia.org/wiki/KEMA

Maar het ging hier om het KEMA keur. Dat keur is al twee jaar voor het einde van de Kema aan het Deutse keuringsinstituut DEKRA verkocht.

Lekker overzichtelijk al die keurmerken.

Maar terug naar het thema: Als bedrijven er geen belang bij hebben om dit probleem op te lossen en de maatschappij heeft wel een belang dat dit opgelost wordt, dan blijft alleen de overheid over. Alleen die overheid kan bindende regels opstellen waar fabrikanten zich aan moeten houden.
17-11-2016, 18:23 door karma4
Door Briolet:
Maar terug naar het thema: Als bedrijven er geen belang bij hebben om dit probleem op te lossen en de maatschappij heeft wel een belang dat dit opgelost wordt, dan blijft alleen de overheid over. Alleen die overheid kan bindende regels opstellen waar fabrikanten zich aan moeten houden.
Nu nog behoorlijk doorvoeren op een manier dat de marktpartijen dat niet ondergraven. Pems VW is een voorbeeld hoe dat gedaan wordt.
22-11-2016, 19:01 door Anoniem
Door Anoniem: Nou ja... eigenlijk zie ik bij alles waar de overheid zich mee bemoeit, de puinhoop alleen maar groter worden, er zijn opeens allerlei regelingen en commisies nodig en meer van dat soort onzin. Overheid en IT is tot op heden altijd garantie geweest voor enorme geldverspilling met een bijzonder beroerd resultaat.

Laten we nou vooral de overheid zoveel mogelijk buiten de deur houden. Daar is iedereen mee gediend...

Dus de veiligheidseisen van apparaten (verbonden met 'the internet of things') moeten niet worden gereguleerd door de overheid? Ik neem aan dat marktwerking hier geen opvulling aan gaat geven aangezien de consument bar weinig verstand heeft van dergelijke zaken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.