Reguleren heeft helemaal geen zin. Er is teveel (grijze) import van allerhande goedkope rommel dat je dit nooit gaat tegenhouden. Probeer daarnaast maar eens een zinnige definitie te maken van 'internet of things'-apparaten. Naar mijn idee onmogelijk.

Wat wel werkt, is verantwoordelijke personen (lees: mensen die brakke apparaten aan internet hangen, maar bijvoorbeeld ook malware besmette systemen) van het internet kegelen. Zoals abuse afdelingen van providers eigenlijk al jaren doen. Oh, eigenlijk gebeurt het dus al. Dus we hebben eigenlijk geen probleem.

Tja,mensen moeten toch zelf beslissen wat ze veilig achten welke apparaten ze kopen.
Veiligheid op internet is ook hun eigen verantwoordelijkheid.

Tja.... D66 snapt er blijkbaar duidelijk helemaal niets van. Dit gaat echt niets oplossen. WP, Joomla zijn hier de klassieke voorbeelden van. Zolang je maar (snel) update zit goed.

Iets is zo veilig als de beheerder het onderhoud doet, en de patches van de leverancier snel installeert. In deze zin kloppen er 2 dingen niet....... Je mag raden welke.

En hoe zou je deze wet willen uitvoeren, met al die chinees-troep.

D66 kan beter voorstellen om productaansprakelijkheid te leggen waar die hoort: bij de fabrikant/leverancier, ook voor software. Mij is nog steeds niet duidelijk waarom dat niet zou kunnen voor software. Tevens los je dan niet alleen het IoT gedoe op, maar ook de brakke software van een heleboel leveranciers...

Wanneer een eigenaar aantoonbaar laks is geweest met de beveiliging, dan is deze volledig verantwoordelijk voor de schade.
Wat is hier mis mee?

Idd een ISP zal je al van internet schoppen. Wat wel eens mag gebeuren is boetes opleggen voor developers van brakke software/producten. Als ik binnen een dag je software pown (RCE of EoP) dan heb je duidelijk niet getest. Waarschijnlijk om kosten te besparen/release tijd te verkleinen. Dan mag dat voordeel hard gestraft worden met hoge boetes.

De consument beboeten zal weinig helpen. ISP quarantine is beter want dan doet de facebook het opeens niet meer en moet men toch iets aan die malware besmetting gaan doen....

Wat zo vreemd is, is dat nooit diegenen worden aangesproken, die de rotzooi in de eerste plaats hebben veroorzaakt.
Er is nooit sprake van een omgekeerde TTIP-gang. Vreemd toch, het is altijd andersom.....?

Die gasten blijven altijd vrij van claims en strijken alleen grote winsten op en als er dan later schade of een maatschappelijk probleem ontstaat door hun handelen, wordt dat vrijwel steeds afgewenteld op het "gemeen" en draaien wij er weer met zijn allen als eindgebruiker voor op.

Is het niet met een IoT botnet dan met andere bedreigingen van onze infra-structuur. Een onveilige thermostaat hoort niet aan het internet en een onveilig muziekhorloge ook niet.

We moeten niet met de vinger naar het Rijk van het Midden wijzen, maar naar degenen die ons er totaal van afhankelijk hebben gemaakt.

De klant valt in deze ook niets te verwijten. Ik zou ook graag tijgerbalsem meebrengen, die elders in het buitenland 50 cent kost en waarvoor ik hier in een tijdelijke outlet 2 euro moet neertellen en bij de reguliere drogist (helaas hebben we er nog maar een enkele in ons land over, die ook soms nog gerund worden vanuit het Rijk van het Midden) ik 6 euro of meer moet afrekenen.

Of er dan de echte balsem van de man uit Singapore inzit, moet ik nog maar afwachten en het product uit Thailand heeft vast ook geen bio-kruidnagel of bio-capsicum als ingrediënt. Er bestaat kennelijk dus ook geen waar naar zijn geld. Ra, ra hoe kan dat allemaal? En als iemand tijgerbalsem moet maken is het wel iemand uit het Rijk van het Midden, de uitvinders toch?

D66 weet kennelijk nog niet, dat de wereld bedrogen wil worden, want we worden kennelijk op een gigantische manier in de boot genomen. Verder hebben ze zich ook nooit verdiept in de echte oorzaken achter zulk soort problemen. Maar je moet wel bij jezelf beginnen.

Benieuwd na zo'n discussie hoeveel productielijnen er nu weer zullen terugkomen naar het westen?
"Ik vrees met groten vreze, dat dat vies tegen gaat vallen".

Kijk daar hebben we dezelfde mening. Het betekent met de regulering ook productaansprakelijkheid. Gebeurt met voeding en alle andere volwassen producten. Wat mij betreft is er niets mis met een volwassen aanpak..

En weer een stel betweters met klachten zonder zelf te komen met betere oplossingen. Voor alle oplossingen valt iets te zeggen. Voor die van D66, voor die van de beteweters. Er is geen eenzijdige oplossing die alle of het grootste deel van de problemen in de ICT echt weg zal nemen.

D66 doet het voorstel om in europees verband de verantwoordelijkheid bij de fabrikanten en verkopers te leggen om geen ondeugdelijke IoT-apparaten te verkopen.

Klacht: de verantwoordelijkheid ligt bij de gebruiker.
We leven in een wereld waar het aantal fabrikanten en verkopers een miniem percentage is vergeleken met het totaal aan gebruikers. Voor wie is het het meest gunstig om geen verantwoordelijkheid bij een fabrikant of verkoper te leggen? Precies, bij de jongens en meisjes die er flink geld aan verdienen. Is het logisch om te denken dat als je de verantwoordelijkheid bij de eindgebruiker legt het probleem dan sneller weg is? Nee, fabrikanten maken in massa een ondeugdelijk apparaat en verkopers verpatsen die in massa aan gebruikers. Wat dat betreft is IoT net een ziekte, zolang je de bron niet weg neemt blijven er patienten bij komen.

Klacht: je kan kopen buiten de EU of via foute handelaren
In iedere branche is er in meer of mindere mate een manier te verzinnen om onder regulering uit te komen. De vraag is of dat een acceptabel risico is. Op dit moment zijn er al miljoenen producten op de markt die niet aan het voorstel voldoen en die zijn ook niet zomaar uit de markt. Een effect van het voorstel is waarschijnlijk niet dat het grootste deel van de gebruikers zijn producten dus maar buiten de EU gaat kopen. Verkopers laten zich niet uit de markt duwen en kopers hebben meer belangen dan een 'onveilig' product. En ook fabrikanten hebben er een groot belang bij om een groot aandeel in dit continent te houden. Iedere tussenpersoon of extra afstand is ook een handelsbelemmering. Mocht het wel zo zijn dat clandestiene handel gaat floreren dan valt er wat te zeggen of de douane zijn werk wel goed doet. We hebben het dan niet over kleine hoeveelheden apparatuur die het land in komt.

Klacht: er zijn tal van andere beveiligingsproblemen
Er zijn altijd andere problemen. Is het dan verstandiger om niets te doen? De realiteit is dat wetgeving komt vanuit de politici en beleidsmakers. Die hebben meer met zaken die handzaam zijn en de kiezers ook denken te begrijpen. Doosjes die vooraf goedgekeurd zijn door een onafhankelijke partij met een leuk logo er op zijn niet alleen voor de politici en beleidsmakers in Nederland, maar ook in een paar honderd andere landen te begrijpen. Dat is dus waar je kan beginnen en een kans van slagen heeft dat het zal worden ingevoerd. En dat zal zo blijven tot je bij een paar honderdmiljoen mensen in Europa snappen wat ICT-beveiliging behelst en belangrijk genoeg. Succes.

In de jaren '50/'60/'70 nam de autoverkoop een enorme vlucht door toenemende welvaart. Helaas bleken fabrikanten en verkopers liever doodskisten te verkopen om flink te verdienen dan zin te hebben om veilige voertuigen te leveren. Het rijbewijs hielp niet tegen deze technische onwaardigheden. Maatregelen als autogordels, veiligheidsglas, kooiconstructies en toelatinsgkeuringen werden verplicht. Was er protest? Zeker, maar fabrikanten en verkopers hadden ook door dat ze met de verkoop van veiligheid ook flink geld konden verdienen. Kopers laten zich graag beleren door wijze verkopers, wat het algemene gevoel voor veiligheid bij een keuze weer stimuleerde.

Vallen voertuigen als auto's ook onder IoT? Er is namelijk geen enkele toelatingskeuring die boordcomputers mee neemt in de beoordeeling. En wie gaat al die apparaten straks keuren? Een levendige nieuwe industrie of keuringsdiensten die wat geschikt/ongeschikt vakjes op een papiertje inkleuren?

Dus handel reguleren heeft geen zin maar mensen reguleren wel? Handel wordt ook door mensen gedaan, weet je?

Ben ik ook mee eens, en laat ze ook maar de schade betalen. Lache als ineens zo'n opa een paar duizend euro per jaar moet betalen vawege de overlast die hij veroorzaakt.

Met andere woorden, rommel hoort gewoon niet op de markt te zijn.

Hmmmm, jij bent zeker stratenmaker??? Iig geen functie waar het probleem zichtbaar is.

Daar gaat D66 of Nederland toch helemaal niet over??
Wat er in Nederland verkocht mag worden daar gaat de EU over.
Die bevoegdheid hebben "we" uit handen gegeven want "we" wilden vrije handel zonder belemmeringen door
rare landen die extra eisen gingen stellen aan spullen die andere landen in de EU niet stellen.
Dan moeten we nu ook niet zeuren...

Wat ik bedoel is dat je wel op voorhand dingen in wetgeving kan gieten (verbod op dit, verbod op dat), maar wanneer het gaat om hardware je amper de bron van de ellende kunt aanpakken, doordat consumenten bijvoorbeeld zelf via allerhande Chinese webshops dingen in het buitenland kunnen 'importeren' die vervolgens dus buiten het bereik van dergelijke wetgeving vallen. Of misschien niet buiten bereik van wetgeving, maar dan wel van de handhaving die daar totaal geen zicht op heeft.

Internet is eigenlijk al sinds de beginjaren een zelfregulerend medium geweest. Internet providers hebben namelijk zelf de grootste last ervan als ze lastig klanten hebben. Internet providers blokkeren al sinds jaar en dag bepaalde inkomende en uitgaande poorten om bepaald ongewenst verkeer te voorkomen. Ze blokkeren klanten die overduidelijk onderdeel maken van een botnet, enzovoorts. Die zelfregulering werkt volgens mij prima, en is ook een prima en bewezen aanpak. Providers (of beter gezegd hosters) die totaal lak hebben aan elke vorm van abuse zelfregulering, worden vanzelf wel met hun AS afgesneden van de buitenwereld, denk aan notoire spam netwerken waarmee niemand meer mee wil peeren, of anders wel op blacklists terecht komen.

Ik zie dan ook niet het voordeel er van in om dit om te gieten naar wetgeving. Wetgeving die vervolgens altijd meer geld kost vanwege allerlei bureaucratie er omheen, de handhaving die geld kost maar amper een verschil gaat maken, en sowieso minder slagvaardig is want het loopt altijd achter de feiten aan, etc.


Bedankt voor het op de man spelen. Onderdeel van het begrijpen van een probleem, is het uitzoeken waar het vandaan komt. De grootste bron van de ellende, zowel in software/hardware matige zin, als de hoeveelheid DDOS verkeer en andere scan-activiteiten komt al jaren uit China. Je kunt dus wel hier heel braaf wetgeving zitten doorvoeren, maar dat zal de Chinese fabrikant en/of consument en/of black hat minimaal raken.

Maar als 9 van de 10 apparaten vanuit nederlandse (web)winkels verkocht wordt ben je meteen 90% van het probleem kwijt.

En blijkbaar werkt die regulering niet meer helemaal, en daarnaast, pak je het probleem - zijnde de pruts apparaten die verkocht worden - niet aan door het bij de ISP's te leggen.


Wetgeving heeft anders prima gewerkt bij allerlei andere apparaten, voertuigen, voedsel, en medicijnen .... IoT apparaten en de bijbehorende cloud toepassingen moeten toch al gecontroleerd gaan worden op bijvoorbeeld privacy en registratie van persoons-gegevens.


Het is in ieder geval goed om het als onderwerp op de politieke agenda

Lijkt me een prima basis.

Kijk, zo kan iedere klant voortaan direct zien of een product tenminste aan die minimumveiligheidseisen voldoet.

Ik zie zo 123 geen redenen waarom de EU dit absoluut niet zou willen of zich door zulke taal niet zou laten inspireren.
De zeurpieterij van een groot deel van het forum over dit topic verbaast mij.
Ben zelf ook niet zo d'66 stemmer, maar daarom kan iemand van die partij nog wel eens iets goeds zeggen.
(zoals Kees Verhoeven bijvoorbeeld m.b.t. internet gerelateerde zaken)

Het is gewoon onrealistisch om 'support' te eisen gedurende de verwachte levensduur van een apparaat, want het is namelijk dat waarvoor D66 pleit in dit geval. Sorry, maar ik heb nog Sun hardware uit 1988 welke nog prima draait op recente Linux distro's die er naar geport zijn, dus daarmee kan ik (hetzij beperkt) het internet mee op. Moet ik dan verwachten dat de fabrikant nog voor zo'n apparaat support biedt? Security updates? Onzin. En dit is een extreem voorbeeld, maar is de meer 'internet op things'-hoek (wat dat ook precies moge zijn??), denk aan een huis tuin en keuken router, heb ik zo ook apparaten die na 10 jaar nog prima werken, maar daarvoor kun je toch geen eis stellen dat de fabrikanten (ingehaald door "de kennis van nu") allerhande support moeten blijven voeren?

En nogmaals, waar trek je de lijn. Wat is IoT? Net zo'n commerciële flut term als 'cloud' of 'big data' of al die troep die er voor was en nog zal komen.

En blijkbaar werkt die regulering niet meer helemaal, en daarnaast, pak je het probleem - zijnde de pruts apparaten die verkocht worden - niet aan door het bij de ISP's te leggen.

Hoe kom je erbij dat die regulering door providers niet werkt? Die werkt juist bijzonder goed!! Grote DDoS aanvallen worden vaak in vrij korte tijd genullroute, wat eigenlijk toch best knap is als je kijkt naar wat voor anarchie het internet eigenlijk is. Nogmaals, je moet dergelijke zaken bij de bron aanpakken, en als de bron een Rusland of China is, moet die daar gezocht worden, dat doe je niet door de keuring in eigen land strenger te maken.



Wetgeving heeft anders prima gewerkt bij allerlei andere apparaten, voertuigen, voedsel, en medicijnen .... IoT apparaten en de bijbehorende cloud toepassingen moeten toch al gecontroleerd gaan worden op bijvoorbeeld privacy en registratie van persoons-gegevens.[/quote]
Het probleem is hier dat men 'internet' veel te serieus is gaan nemen. Ja, omdat er miljarden worden verdient met internet, maakt het per definitie nog niet betrouwbaar of zeker of kwalitatief of iets waar je je leven aan zou moeten toevertrouwen. Een auto op de weg (met gare remmen) of slechte medicijnen (met even slechte dokters), is een heel ander verhaal en daarmee niet te vergelijken. Daarnaast vind ik de overheid in dit geval veel te onkundig om iets zinnigs te roepen over 'internet veiligheid', dat ik het zeker niet als taak belegd zou willen zien bij deze partij.

/*
niet om roet in het eten te gooien..
het is binnenkort verkiezingen....
*/

Het "aantoonbaar' moet wel realistisch zijn. Aantoonbaar tegen welke standaarden dan?

Eminus

Dat is makkelijk te bedenken.
Geef een apparaat standaard een login/wachtwoord dat fabrikant en serienummer gerelateerd is (dus niet alles hetzelfde).
Zet in de gebruiksaanwijzing dat dit gewijzigd moet worden, omdat anders misbruik mogelijk is en de bezitter hiervoor aansprakelijk is.
Ook is een regeling, dat updates binnen b.v. 4 weken na het uitkomen geïnstalleerd moeten worden denkbaar.
Er zijn vele wegen die naar Rome leiden, dit lijkt mij een opgave voor een ICT'ers en een juristen, om eens samen de mogelijkheden te bekijken.

Een beter wetsvoorstel zou zijn om de fabrikant aansprakelijk te stellen bij schade of het bieden van onvoldoende veiligheid in de IoT apparaten. Ook het onderhoud moet geborgd zijn. Voor apparaten die out-of-date zijn moet de fabrikant verplicht worden deze te registreren als onveilig in een centraal register en op de eigen website.

Voor verantwoordelijk stellen moet je nog steeds een wettelijk kader hebben over wat acceptabel is, hoe je due diligence aantoont, wanneer iets 'laks' is (geweest), en hoe je dat internationaal wilt regelen. Dan is een wetsvoorstel als dit juist heel goed. Ik kan me ook zeker voorstellen dat er bepaalde internet-gerelateerde eisen aan controles zoals het ce worden toegevoegd. Uiteindelijk moet het probleem op alle fronten aangepakt worden; eisen vooraf, verantwoordelijkheid, internationale afspraken en lokale wetgeving, maar ook gebruikers zelf de mogelijkheid geven zich te beschermen en algehele best practices voor fabrikanten; er is niet 1 losse oplossing waarmee het hele probleem ineens verdwijnt.

Het probleem hiermee is dat security, in tegenstelling tot bijvoorbeeld brandveiligheid, iets redelijk dynamisch is. Iets wat nu 100% secure lijkt, kan morgen door een nieuwe exploit zo lek zijn als 'n mandje.

Wat doe je dan met het veiligheids-certificaat?
Alle webcams welke nog in de winkels liggen terugroepen?
Bestaande gebruikers die niet updaten vervolgen?

Het klinkt op 't eerste gezicht, voor een leek (en dus ook bewindslieden), best logisch, zo'n certificaat, maar in de praktijk gaat het helemaal niets helpen...

Het lijkt me dat de zaken weer eens worden omgedraaid; er is ingebroken op mijn [naam van internet connected device].
Daar is een term voor: computervredebreuk. En verdomd - daar is al wetgeving voor! En vervolgens: handhaven!

@ 13:09 Updaten is inderdaad nodig, voor een goede (betere) veiligheid.

@13:14 Handhaven is makkelijk, wanneer het gedaan is, met een IP adres van 3 deuren verderop.
Gaat het echter via een proxy in Timboektoe (spreekwoordelijk), dan wordt het lastig.
Wordt er een IP adres gebruikt uit b.v. China, dan is zelfs onmogelijk.

Handhaven zou goed zijn, maar in de praktijk helaas zo goed als onmogelijk.

Wat een beter idee is, een verplicht koopcontract waarin de koper alle aansprakelijkheid accepteerd voor alle schade die het apparaat (kan) veroorzaken.

Dus als bv een camerasysteem in een bakkerszaak beelden lekt van een dikke vrouw die op dieet is en nu uit haar zorgverzekering wordt gegooid, deze vrouw alle toekomstige zorgkosten kan declareren bij de eigenaar van de bakkerszaak.

Toon Thermostaat ingezet bij DDOS op een bedrijf, eigenaar van thermostaat aansprakelijk stellen voor de schade.

Als het dan een paar keer misgaat is het zo afgelopen met onverantwoordelijk gedrag van IoT gebruikers.

Er zijn in de meeste landen twee soorten organisaties die geen productaansprakelijkheid kennen. Dat zijn religie en software.

Peter

Afz: FB

Heel goed idee. Ik ben helemaal voor.
Ik heb het voorstel goed doorgelezen. Niet alles erin is perfect, maar de richting is goed.

Natuurlijk zijn er vele tegenwerpingen te maken. Net zoals vroeger met veiligheid van auto's, voedsel, milieu, etc.
Natuurlijk kan je denken over nu al perfectioneren, maar dan start je nooit.
Laat deze regelgeving zich maar ontwikkelen (met security specialisten en de industrie). Laat eea zich maar in Europese wetgeving vertalen.

Ik hoop dat ik dan vertrouwen ga krijgen in de vele leuke IoT speeltjes. Ik vind die echt leuk, maar durf ze nu nog niet te gebruiken omdat ze te gemakkelijk schade berokkenen aan anderen en aan mijzelf.

Interessant om te lezen dat de politiek gelooft in de illusie van een veilig IoT. Waar ligt de grens waarbij een leverancier een acceptabele inspanning doet voor het beveiligen van zijn product en het ontbreken daarvan. Beetje luchtfietserij allemaal lijkt mij.

Interessant om te lezen dat de politiek gelooft in de illusie van een veilig IoT. Waar ligt de grens waarbij een leverancier een acceptabele inspanning doet voor het beveiligen van zijn product en het ontbreken daarvan. Oh ja we maken een standaard ... paar jaar bekvechten over de juiste woorden, na een jaartje weer verouderd.

Luchtfietserij, ik denk idd dat het huidige rechtsysteem laksheid al zou kunnen aanvoeren, helaas pas als het kalf al verdronken is. Maar veiligheidsnormen werken nauwelijks, zie bijvoorbeeld de IEC 62443 norm ... voorkomt deze succesvol hacken van onze industrie? 5 jaar ontwikkeling van de standaard .... wireless sensor netwerken, virtuele technologie, allemaal technologie die niet geaddresseerd wordt door de standaard, dus met name een exercitie voor oudere heren ... en als ex-deelnemer (en oudere heer) aan de bron van IEC 62443 (ISA99) kan ik dat met een gerust hart stellen.

....En als er nu ook nog een andere politieke partij met een fietsverbod voor smartfeungebruikers komt aanwaaien wordt heel Nederland zo veilig als de kleutertuin bij IKEA...

Ik mis het verschil nog tussen religie en software :<)))

Als nu de grote providers in Europa samen afspreken om allen op gelijke wijze te reageren op een besmette host in hun netwerk (=onbereikbaar maken), dan is het de eindgebruiker die rommel heeft gekocht of geen security beleid heeft die er last van heeft en niet de rest van de wereld.
Dan reguleert de markt voor rommel zichzelf door negatieve reviews die bepaalde producten krijgen.

Van te voren certificeren heeft geen zin vanwege de grijze import en (zoals al geschreven) iets dat vandaag veilig is hoeft dat morgen niet meer te zijn door een exploid die morgen beschikbaar komt.

Fabrikanten en verkopers verplichten updates te leveren is ook geen oplossing (al was het maar dat er nooit consensus komt over de "economische levensduur")
En dan, wat te doen met gebruikers die die updates niet installeren?

Nee, gewoon van het internet knikkeren die gehackte zooi. Als alle providers dat doen heeft het ook geen zin om van provider te wisselen en heeft niemand er verder last van.

Er zijn geen onveilige IoT apparaten. Wel zijn er IoT apparaten die niet rechtstreeks op het Internet dienen te worden aangesloten omdat we niet weten of ze veilig zijn. Dat is een groot verschil. Tevens zijn er vele niet up-to-date.

Mensen moeten leren dat het op afstand bedienen van je spullen thuis een probleem kan zijn. Evenals het opslaan / sturen van data op het Internet. Voor deze doeleinden kunnen de meeste SoHo routers een DMZ hanteren. Tevens moet men de standaard credentials wijzigen. De meeste misbruik zaken worden gewoon gedaan met de standaard wachtwoorden etc.

Probleem met IT in het algemeen is dat we het voor iedereen zomaar beschikbaar stellen. Er is geen certificering en / of opleiding, maar alle materialen zijn gewoon te koop. Voeg daar ook nog een de onzinnige adviezen bij op het Internet en je weet dat het mis gaat.

Standaard regel die ik zelf hanteer (als professional in de IT security): Als ik niet zeker weet hoe het werkt en of het veilig is, komt het niet aan het Internet.

Regel 2: Als het niet perse nodig is, hoef ik er vanaf het Internet niet bij. Tot nu toe heb ik in mijn prive leven nog niet 1 item gezien waar ik vanaf het Internet voor naar mijn huis zou moeten kunnen connecten.

Dit nieuwsbericht betekent eigenlijk dit: Er moet meer controle zijn voor apparaten die op internet mogen. Zonder backdoors te installeren in die dingen, mogen ze niet op het internet.