image

Kabinet presenteert aanpak om Internet of Things te beveiligen

maandag 23 april 2018, 14:23 door Redactie, 12 reacties

Het kabinet heeft vandaag de Roadmap Digitaal Veilige Hard- en Software gepresenteerd, een verzameling maatregelen om het Internet of Things te beveiligen. Het gaat dan om zaken als standaarden en certificeringen voor IoT-apparaten, het opschonen van besmette apparaten bij gebruikers en bewustwording, alsmede het opnemen van criteria voor digitale veiligheid in het inkoopbeleid van de Rijksoverheid en het ontwikkelen van een monitor over IoT-veiligheid.

"De Roadmap Digitaal Veilige Hard- en Software beoogt de benodigde samenhangende aanpak te bieden om als Nederland voorop te lopen bij het bevorderen van de digitale veiligheid van hard- en software", zegt staatssecretaris Keijzer van Economische Zaken en Klimaat (pdf). De roadmap geeft ook invulling aan moties van de Tweede Kamer om te onderzoeken welke minimumveiligheidseisen gesteld kunnen worden aan IoT-apparaten en het laten uitvoeren van hacktests op IoT-apparaten.

In totaal bevat de roadmap negen maatregelen, hoewel Keijzer opmerkt dat het om een 'work in progress' gaat en de overheid de roadmap samen met publieke en private partijen wil doorontwikkelen en uitvoeren. Zo wil het kabinet de standaarden en certificeringen voor IoT-apparatuur harmoniseren. Ook zal er samen met publieke en private partijen een monitor worden ontwikkeld die informatie over de veiligheid van IoT-apparatuur bevat. Met deze informatie kunnen gebruikers voor veilige apparatuur kiezen en worden fabrikante gestimuleerd om kwetsbaarheden snel te verhelpen.

Daarnaast zet de roadmap in op het testen van IoT-apparatuur, het opschonen van besmette apparatuur bij gebruikers, cybersecurity-onderzoek, bewustwordingscampagnes en wettelijke eisen, toezicht en handhaving. Ook komt er meer nadruk op de aansprakelijkheid van IoT-fabrikanten. "Met een beroep op het aansprakelijkheidsrecht kunnen gebruikers schade door digitale onveiligheid verhalen. Dat biedt een financiële prikkel voor aanbieders om hard- en software veilig te houden", zo laat de roadmap weten.

Om fabrikanten te stimuleren veilige hard- en software te ontwikkelen gaat het kabinet onderzoeken welke aanvullende maatregelen nodig en gewenst zijn bij de inkoop binnen de Rijksoverheid. De Rijksoverheid is naar eigen zeggen een belangrijke gebruiker van hard- en software en kan met het inkoopbeleid invloed op fabrikanten uitoefenen. "Zij kan criteria voor digitale veiligheid in haar inkoopbeleid opnemen en daarmee zowel het goede voorbeeld geven als de vraagzijde van digitaal veilige producten stimuleren", aldus de roadmap (pdf).

Als onderdeel van de roadmap gaat Nederland ook de ontwikkeling van encryptiesoftware stimuleren die bijdraagt aan de digitale veiligheid van hard- en software. Zo wordt er een bedrag van 410.000 euro extra vrijgemaakt om onderzoeks- initiatieven en projecten op het gebied van cybersecurity te stimuleren en encryptie daar als belangrijk onderwerp in terug te laten komen.

Reacties (12)
23-04-2018, 14:52 door Anoniem
Ze hebben hun eigen IT nog lang niet op orde maar vinden wel dat ze bekwaam zijn anderen te vertellen hoe het moet.

Juist.
23-04-2018, 15:06 door buttonius
Er staat vast niet in dat AIVD en MIVD door hen ontdekte zero day exploits onverwijld moeten melden aan de fabrikanten van de IoT spullen. (Ik heb het niet echt gelezen, maar het woord "zero" komt in het roadmap document niet voor.)
23-04-2018, 15:10 door Anoniem
Gebruikers kunnen hun IoT apparatuur het volgende configureren:
http://computerworld.nl/security/104598-10-simpele-tips-om-iot-kwetsbaarheden-te-beperken
23-04-2018, 16:01 door Anoniem
Het is een leuk begin, maar het is een strategisch document dat vooral dient als richtinggevend (zoals ieder strategisch document). Op basis van dit soort papieren plannen is er geen slag naar te slaan hoe dit document zich in de praktijk zal ontwikkelen. Om maar iets te citeren:

Cybersecurity en daarbinnen de ontwikkeling van de kennisbasis voor digitaal veilige hard- en software is één van de thema’s die worden opgenomen in het programma Maatschappelijke Uitdaging Veilige Samenleving. Daarbij gaat het om onderzoek naar veilige en betrouwbare systemen (inclusief vitale infrastructuren en communicatie); het beheer en de verdediging van systemen en (vitale) infrastructuren; het digitaal bewust en vaardig maken van burgers en organisaties; socio-economische factoren en ethiek van cybersecurity; privacy, identiteit en zeggenschap; en openbaar bestuur en rechtshandhaving.

Het staat mooi in zo'n rapport, maar kijk voor het gemak even naar de laatste twee punten: privacy (zie de hele discussie over de sleepnet en de uiterst zwakke argumenten vanuit het kabinet, maar ook informatie die op b.v. https://www.privacybarometer.nl/[/url staat) en de rechtshandhaving. De rechtspraak klaagt al jaren over een tekort aan slagkracht en bezuinigingen, maar vervolgens owrdt wel verlangd dat ze een belangrijke rol gaan spelen in nieuwe ontwikkelingen. Tevens bevindt het openbaar bestuur en de rechtspraak zich niet in de voorhoede als het op kennis van van IT en informatiebeveiliging aankomt.Het kabinet blinkt al jaren uit in een tweesporenbeleid op allerlei gebieden. We willen een kenniseconomie (ik moet ineens denken aan het volstrekt mislukte kenniseconomie-initiatief van Balkenende), maar bezuinigen onderwijs kapot en zakken steeds verder weg op de wereldwijde onderwijsladder. We willen goede cyberrechercheurs, maar bezuinigen de politie de vernieling in of geven ze door de toegenomen terrorismedreiging meer taken dan de politiemensen aankunnen. We willen burgers bewust maken van zaken, behalve als dat tegen de politieke agenda is van het kabinet, want dan is een eerlijke, transparante en weloverwogen inlichting ineens niet meer zo hard nodig. We willen dit, we willen dat.Ik loop denk ik te lang mee om nog veel vertrouwen in een overheid te hebben die mooie plannen heeft, maar telkens verzandt in zinloze politieke discussies, het afvangen van vliegen bij politieke tegenstanders en partijpolitieke belangen voorrang verleent boven eerder gemaakte sfapraken onder het mom "voortschrijdend inzicht" en "temporiseren van veranderingen". Maar goed, we zullen zien. Tot die tijd verwacht ik meer van de private sector.
23-04-2018, 16:16 door Anoniem
Door Anoniem: Ze hebben hun eigen IT nog lang niet op orde maar vinden wel dat ze bekwaam zijn anderen te vertellen hoe het moet.

Juist.

Dus jij vindt dat je niets mag stellen als je niet eerst alles zelf 100% op orde hebt?

De overheid kan prima de kaders stellen voor wat ze willen bereiken (een veilige IT). En dat kan door normen als bijvoorbeeld: "Alleen apparatuur waarvoor door de leverancier veiligheidspatches gemaakt worden mogen worden toegepast"
Het daarna ook waarmaken blijkt (bij de overheid, maar ook bij andere bedrijven) een probleem, maar dat wil niet zeggen dat de norm zelf waardeloos is.

Q
23-04-2018, 16:56 door Anoniem
Door Anoniem: Ze hebben hun eigen IT nog lang niet op orde maar vinden wel dat ze bekwaam zijn anderen te vertellen hoe het moet.

Hoe denk je te weten dat ze hun eigen IT niet op orde hebben?
Ja, je leest af en toe (breed uitgemeten) over IT problemen bij een of ander onderdeel van de overheid. Lees je echter ook over de duizenden projecten die juist wel goed gaan? Doe dat eens en vergelijk de aantallen voor je iets "niet op orde" vindt.

Peter
23-04-2018, 17:19 door karma4
Door Anoniem: Ze hebben hun eigen IT nog lang niet op orde maar vinden wel dat ze bekwaam zijn anderen te vertellen hoe het moet.

Juist.
Ze weten best Hoe het zou kunnen. Bij het aanbesteden en dd controle op de realisatie gaat het mis. Je kunt beter stellen dat dd liberale markt uitstekend in staat is om te declareren maar niet om de kwaliteit te leveren.

Met iot hebben we het rampzalige knip en plakwerk omdat het dan werkt. Informatieveiligheid is een kostenpost.
De eerste stap is om informatieONveiligheid als kostenpost zien te maken.
24-04-2018, 01:55 door Anoniem
de overheid heeft geen verstand van it beveiliging,sommige computergebruikers hebben er meer verstand van dan het hele kabinet.
laat de mensen van dit kabinet allemaal eerst zelf de zaken op orde maken alvorens,hun mond open te doen hoe mensen iets beter kunnen doen.
24-04-2018, 09:35 door Anoniem
Door Anoniem: de overheid heeft geen verstand van it beveiliging,sommige computergebruikers hebben er meer verstand van dan het hele kabinet.
Ja politici hebben ook veel meer verstand van politiek dan de meesten op security.nl
Echter hoewel die vinden dat het kabinet zich niet mag bemoeien met IT, bemoeien zij zich wel met politiek.
24-04-2018, 12:11 door Krakatau
Door Anoniem: de overheid heeft geen verstand van it beveiliging,sommige computergebruikers hebben er meer verstand van dan het hele kabinet.
laat de mensen van dit kabinet allemaal eerst zelf de zaken op orde maken alvorens,hun mond open te doen hoe mensen iets beter kunnen doen.

Je hoeft niet ergens zelf verstand van te hebben om er een gefundeerd oordeel over te kunnen geven. Je kan namelijk advies inwinnen en je beslissing daarop baseren. Dat heet ook wel een technocratie.

https://nl.wikipedia.org/wiki/Technocratie
26-04-2018, 15:58 door Anoniem
Door Anoniem: Ze hebben hun eigen IT nog lang niet op orde maar vinden wel dat ze bekwaam zijn anderen te vertellen hoe het moet.

Juist.
Ze weten ook niet waar het over gaat
te pleiten voor verplichte certificering van op internet aangesloten apparaten
ik denk dan aan raspberry pi achtige projecten.
16-05-2018, 13:28 door Anoniem
Door karma4:

.........De eerste stap is om informatieONveiligheid als kostenpost zien te maken.

Ben het niet snel met je eens maar dit vind ik wel een mooie ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.