Nieuws
image

Kamervragen over verkoopverbod onveilige IoT-apparaten

woensdag 17 januari 2018, 13:41 door Redactie, 16 reacties

Het CDA en D66 hebben minister Wiebes van Economische Zaken en minister Grapperhaus van Justitie en Veiligheid Kamervragen gesteld over een verkoopverbod van onveilige Internet of Things-apparaten in Nederland. Aanleiding is een artikel in het AD waarin verschillende experts willen dat de overheid ingrijpt om IoT-apparaten veiliger te maken.

CDA-Kamerlid Van Toorenburg en D66-Kamerlid Verhoeven vragen beide ministers of ze mogelijkheden zien om de verkoop van onvoldoende veilige internetapparaten beter te reguleren, bijvoorbeeld door de verkoop van bewezen onveilige apparaten in Nederland te verbieden. Ook moeten Wiebes en Grapperhaus duidelijk maken of ze zich willen inzetten voor een Europees keurmerk voor de veiligheid van internetapparaten.

Van Toorenburg en Verhoeven willen tevens weten hoe de aansprakelijkheid van producenten van onveilige internetapparaten op dit moment is geregeld. "Kunnen producenten van onveilige apparaten aansprakelijk worden gesteld voor geleden schade veroorzaakt door botnets die gebruik maken van deze apparaten? Zo nee, dient de wetgeving dan niet aangepast te worden?", vragen de Kamerleden. De ministers hebben drie weken de tijd om de vragen te beantwoorden (pdf). Vorige week gaf de Cyber Security Raad het kabinet het advies om een verkoopverbod van onveilige IoT-apparaten te verkennen.

Reacties (16)
17-01-2018, 14:12 door Anoniem
Klinkt leuk.... haalbaarheid: 0,0


Wie gaat het testen en bijhouden, wat als het achteraf toch een lek blijkt te bevatten etc.
17-01-2018, 14:20 door Anoniem
CDA-Kamerlid Van Toorenburg en D66-Kamerlid Verhoeven vragen beide ministers of ze mogelijkheden zien om de verkoop van onvoldoende veilige internetapparaten beter te reguleren, bijvoorbeeld door de verkoop van bewezen onveilige apparaten in Nederland te verbieden.

Stelling 1:
Dan mogen er ook geen laptops, pc's, wifi routers/ap's, etc verkocht worden, die zijn initieel ook niet veilig tenzij ....

Stelling 2:
De cloud diensten waar deze 'onveilige' apparaten gebruik van maken zijn de boosdoener!
17-01-2018, 14:54 door Anoniem
en nu maar weer kijken hoe sterk de 'lobby' is... maargoed dit is wel een eerste nodige hurdle opweg naar een betere wereld dus... jeeej!
17-01-2018, 15:12 door Anoniem
Zorg er voor dat die idiot devices een maximaal gebruik datum hebben en daarna laat een fuse doorbranden in een chip. Zodat ze net meer online kunnen. Probleem opgelost.
17-01-2018, 16:27 door Anoniem
De “ overheid” is geen overheid meer.
Om in de woorden van Mao te zeggen: een papieren tijger; veel regels,weinig handhaving.
ERNSTIG!!!!
Het geld,het zakenleven,de Googles,Microsofts enz bepalen de richting van het beleid.
Gaat dus nooit lukken.
17-01-2018, 16:50 door Anoniem
Door Anoniem: Zorg er voor dat die idiot devices een maximaal gebruik datum hebben en daarna laat een fuse doorbranden in een chip. Zodat ze net meer online kunnen. Probleem opgelost.

Nee hoor, sommige idiot devices worden al met zwaar verouderde software geleverd. Op dag 1 al erg onveilig.
17-01-2018, 17:51 door Anoniem
Zou het niet handig zijn dat internet providers hun firewall per aansluiting globaal kunnen laten configureren met standaard al het inkomend verkeer geblokkeerd.

Volgens mij heeft XS4ALL dat momenteel al?

Dan kan je als gebruiker zelf bepalen of je afgeschermd wordt of niet. Dat zou iig qua inkomend verkeer/dreiging al een hoop schelen. Dan neem je iig bewust risico's als je de blokkering uitschakelt.
17-01-2018, 18:14 door Anoniem
Door Anoniem:
Door Anoniem: Zorg er voor dat die idiot devices een maximaal gebruik datum hebben en daarna laat een fuse doorbranden in een chip. Zodat ze net meer online kunnen. Probleem opgelost.

Nee hoor, sommige idiot devices worden al met zwaar verouderde software geleverd. Op dag 1 al erg onveilig.

Weet ik, ik ben ook voorstander van een verplichting een secure device op te leveren, volgens de dag van aankoop.

Dus de verkopende partij is verplicht te updaten, voordat ze hem uitleveren.
17-01-2018, 19:42 door ph-cofi
Dat ze het hierover hebben is een nieuwe fase ! Aansprakelijkheid bespreken is helemaal nieuw en geeft hoop. Net als een keurmerk. Helemaal voorkomen kan de overheid niet zolang AliExpress bestaat en weinig kost.
17-01-2018, 21:45 door Anoniem
Haalbaarheid is niet 0, je hebt toch ook KEMA. Je kan een lab opzetten en criteria opstellen: geen default wachtwoord, gebruik https, laatste relevant linux patches (veel van die dingen draaien een embedded linux distro), mogelijkheden tot update firmware als het toch nodig is, goede controle op het naleven van opensource licenses (broncode beschikbaar). Goegemeente kan dat denk ik nog wel aanvullen. Zeggen dat het toch niet kan is al bij voorbaat opgeven, laat ze maar zweten die Chinezen (herstel fabrikanten) om zo'n keurmerk te krijgen. En ook meteen EU breed invoeren, dat buigen ze wel.
17-01-2018, 21:54 door Anoniem
Afz FB

Goed idee van CDA en D66.
Het internet is openbare ruimte die je ook privé kan en mag gebruiken.
Net als de openbare weg.

Voor alles op de openbare weg is er wetgeving.
Ook over voertuigen. Die moeten zijn goedgekeurd.
Dat kan ook met IOT voor gebruik over internet.
Goedkeuring met onderhoudsplicht.
17-01-2018, 22:05 door Anoniem
Veel meer op de server laten gebeuren en veel minder op de client.

Al die apjes en grapjes en die IoT device rotzooi. Wat moeten wij er zelf mee.

Niet leuk dat huis van de toekomst zonder airgap of centraal beheer.
18-01-2018, 10:01 door Anoniem
Door Anoniem: Zorg er voor dat die idiot devices een maximaal gebruik datum hebben en daarna laat een fuse doorbranden in een chip. Zodat ze net meer online kunnen. Probleem opgelost.

Je autocorrect staat nog op standje 'zuurpruim' en heeft IOT in idiot veranderd...
Ze komen morgen je computer omruilen voor een telraam en pen en papier, nu met gratis potje tipp-ex!
18-01-2018, 10:03 door Anoniem
Het is interessant om te zien hoeveel reacties er zijn die weinig bijdragen ( Mao draaft op) of alleen symptomen bestrijden (apparaten moeten een self-destruct met timer hebben, ISP's moeten inkomende verbindingen blokkeren).
En dat terwijl er in de kamervragen al twee duidelijke richtingen zijn die goede mogelijkheden bieden: verbod op bewezen onveilige IoT, en aansprakelijkheid voor gevolgschade. Er is voldoende beschikbaar voor product aansprakelijkheid, alleen is de vraag: Hoe bepaal je of een IoT apparaat veilig is?
Eenvoudig: kijk of het ontwikkeld is met veiligheid als basis. Hiervoor zijn diverse algemene standaarden, maar sinds kort wordt er gewerkt aan een specifieke via het OWASP IoT project (https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project ).

En de aansprakelijkheid voor de in eerdere reacties genoemde AliExpress? Heel eenvoudig: als jij als persoon willens en wetens een onveilig apparaat inzet, ben jij verantwoordelijk. Want zonder keurmerk is duidelijk dat die oplossingen leuk zijn in een afgeschermde test omgeving als Proof of Concept, maar niet inzetbaar in de boze buitenwereld.

Q
19-01-2018, 18:06 door Anoniem
Hoi Q,

Je hebt gelijk. Eigenlijk is er al veel. Die zijn vooral geschikt voor een-op-een zaken.

Hoe organiseer je een claim als een 'swarm' aan IoT devices (die je niet kent) van verschillende merken (die je niet kan achterhalen) jou heel veel schade toebrengt?

Afz FB
20-01-2018, 08:59 door Krakatau
Door Anoniem: Hoe organiseer je een claim als een 'swarm' aan IoT devices (die je niet kent) van verschillende merken (die je niet kan achterhalen) jou heel veel schade toebrengt?

Internet providers zouden eigenlijk throttling rules voor uitgaand verkeer van hun klanten moeten opnemen, want er zijn weinig legitimate redenen te verzinnen om een site langdurig en snel achtereen te benaderen. Toch?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure