Wat houdt dit concreet in? Gesubsidieerd testen en dan niets?

Wanneer gaat men eens regelgeving maken zodat producenten verplicht wordt hun apparatuur adequaat te onderhouden en de impact van beveiligingsproblemen te verkleinen door de gebruiker meer controle te geven over de producten. Denk aan verplicht inbouwen van middelen om (connected en risicovolle) functionaliteit het liefst hardwarematig uit te schakelen en het verplicht toelaten en mogelijk zelfs ondersteunen van het "hacken" van de soft- en hardware zodat de gebruikers weer de controle terugkrijgen.

Denk bijvoorbeeld aan de Intel ME, (Iphone) wifi en bluetooth. Allemaal zooi die de gebruiker naar wens volledig moet kunnen uitschakelen en het liefst ook inregelen. Het is vrijwel onmogelijk om al die hippe (wegwerp)apparatuur met allerlei verouderde en kwetsbare snufjes veilig te houden, helemaal als de economische levensduur slechts een aantal maanden is (meestal voldoet het apparaat dan nog prima doordat er maar een beperkt aantal functies gebruikt wordt die niet veel kwaad kunnen). Ook het van de markt halen of zelfs het opleggen van boetes bij het uitblijven van patches zal niet voldoende blijken want dan hangen de apparaten al in grote getale aan de muur. De oplossing is dus heel simpel: (hardware)knoppen om zulke zaken uit te schakelen (liefst zelfs standaard uit) en open firmware (die je alleen na het omzetten van een fysieke knop kan inschieten).

En geld en overheidsstempels voor de "cybersecurityexperts en hackers", natuurlijk. Verder de gebruikelijke keizerlijke kledij uit securityland.

Krijgt het slachtoffer ook even een melding van zo'n ongerichte overheidshack?
Weet hij ook of de verkregen pentest kennis niet tegen hem/haar of iemand anders kan/zal worden gebruikt?

Dit zal dus toch wel binnen een zeer goed juridisch dichtgetimmerd kader moeten gebeuren, anders lijkt me dat de overheid goed "rogue" gaat. Wordt de kennis met een ieder openbaar gedeeld, d.w.z. legt men in het openbaar verantwoording af? Gaat een overzicht van de gevonden zero-days niet naar de NSA?

De weg van wet- en regelgeving lijkt mij de enig juiste. Maar ja totale vrijheid voor de producenten en een uitgeklede waakhond/toezichthouder met nauwelijks tanden.... (de duurzaamheidstests zullen wel gedaan zijn zodat de plastic onderdelen het op een bepaald moment gaan begeven en de vervangende onderdeeltjes weer schreeuwend duur zullen worden, made in China politiek - een "ver van mijn bed show" voor voluit graaiende groot-producenten en uitgeklede consumenten, die niets meer te kiezen hebben). Ik zie het voorlopig niet beter worden, maar dat zal wel aan mij liggen.

Laten we hopen dat dit leid tot een KEMA-keur / CE-keur achtig keurmerk, wat verkopers met trots willen voeren ook.

Nee, en ik heb voor de overheid gewerkt.. ben gestopt bij de AIVD omdat mijn baas zelf een aanslag in NEDERLAND wilde organiseren voor de kas. je wordt als AIVD'er , maar ook onze informanten gewoon doorverkocht aan buitenlandse diensten (geen grap), jouw data. Met alle risico's van dien als je ooit op vakantie gaat.... al eens door een buitenlandse dienst gedrogeerd en geraped? Nou..... ik spreek er nu voor het eerst over. Tijd dat ze verantwoording nemen.

Alles maar dan ook alles inclusief deze tests zullen tegen U gebruikt worden. Dat u het maar weet. Je wilt niet weten hoeveel Nederlanders met goede bedoelingen onder de grond liggen door de veiligheidsindustrie. Geen enkel incident gerapporteert in de media.

Waarom is een partij tegen ?

Dat het geld kost om het hackproef te maken ?

Valt me tegen van de VVD en het Forum voor Democratie.

( kinderliedje ) "Ze stonden erbij en keken ernaar" ( kinderliedje )

Als je dat wilt weten, moet je het kamerdebat volgen. Dat een partij tegen een motie stemt, zegt lang niet altijd dat ze 100% tegen zijn. Soms vinden ze de motie niet ver genoeg gaan, of veel te vrijblijvend.


De motie stopt inderdaad met het voorstel om te testen. Wat er met falende apparatuur moet gebeuren valt buiten deze motie.

Zoals uit de tekst van het artikel wel blijkt moeten we dit zien in het licht van minimale veiligheidseisen voor IoT apparaten.
Daarvan is hier [/url]https://www.security.nl/posting/493278/D66+wil+verkoopverbod+onveilige+Internet+of+Things-apparaten[/url] al een eerste balonnetje over opgelaten.

Je krijgt dan vervolgens natuurlijk te maken met de vraag "maar hoe testen we of een IoT apparaat onveilig is?"
Het lijkt mij dat deze motie van Hijink daarop een antwoord geeft.

Het is inderdaad een geweldig plan. In plaats van fabrikanten verantwoordelijk te houden voor het maken van slechte apparatuur, in plaats van de verkopers verantwoordelijk te houden voor het verkopen van slechte apparatuur, in plaats van kopers verantwoordelijk te houden voor het aanschaffen van slechte apparatuur, gaat de overheid belastinggeld inzetten om die drie miljarden te besparen. En als van ons eigen geld iets te vinden is (na een leuke winstneming door de security bedrijven die betaald helpen) dan kan schande gesproken worden en dan is het klaar. Ik zie inderdaad ook niet in waarom de VVD en FvD tegen zijn.

Hacktest? En als de hack geslaagd is even een 'sleepnet' procedure in werking zetten.

Waarbij we natuurlijk niet kunnen stellen dat de apparatuur inherent onveilig is, maar altijd wordt gebruikt in een breder ecosysteem. Denk aan routers, switches, etc, die ook allemaal (verkeerd) geconfigureerd kunnen worden.
Je kant best een onveilig apparaat veilig in een infrastructuur laten laden, maar dat vergt een hoop kennis en meer dan alleen bijvoorbeeld het aanpassen van het default username/password.