Kamervragen over keurmerk voor veilige IoT-apparaten
De VVD heeft minister Grapperhaus van Justitie en Veiligheid vragen gesteld over een keurmerk voor veilige Internet of Things-apparaten, zoals het Agentschap Telecom adviseert. Deze week stelde het Agentschap Telecom dat er minimumeisen voor de veiligheid van IoT-apparaten moeten komen.
Volgens de overheidsinstantie groeit het aantal kwetsbare apparaten dat met internet verbonden wordt. Een keurmerk voor veilige IoT-apparaten zou hierbij kunnen helpen. VVD-Kamerleden Weverling, Arno Rutte, Middendorp en Wörsdörfer willen van Grapperhaus weten wanneer er een voorstel over een dergelijk keurmerk kan worden verwacht. De minister heeft namelijk eerder aangegeven dat hier aan wordt gewerkt.
Ook vragen de Kamerleden of in de ontwikkeling van het keurmerk ook wordt nagedacht over hoe voor gebruikers zo zichtbaar en duidelijk mogelijk kan worden gemaakt welke IoT-apparaten veilig zijn en welke niet, aangezien dit volgens het Agentschap Telecom vaak niet zichtbaar is. Tevens moet minister Grapperhaus laten weten wat hij ervan vindt als bedrijven zelf met een keurmerk komen.
Naast vragen over de invoering van een keurmerk wordt Grapperhaus ook gevraagd of telecommunicatie- en internetproviders voldoende mogelijkheden hebben om hun netwerk af te speuren naar onveilige apparaten. De minister heeft drie weken de tijd om de Kamervragen te beantwoorden.
Is het CE-keurmerk dan een goed voorbeeld? Nee. Je kan een keurmerk dat zich richt op de wetten van de natuur niet vergelijken met de mogelijkheden van een digitale omgeving. Bij CE testen ze onder specifieke omstandigheden of het apparaat nog ongevaarlijk is als je er water over laat stromen of niet breekt als je met krachten gaat werken.
Het AP geeft geen voorbeelden waarom CE-testen een goed voorbeeld zijn. Ze lijken niet begrepen te hebben wat het verschil tussen de fysieke wereld en de digitale wereld is. En waarom het aan de markt overgelaten moet worden om een keurmerk te maken is mij een raadsel, want als die bedrijven hebben eigen belangen om het keurmerk iets of niets te laten voorstellen. Je vraagt ook niet aan bedrijven om met een CE-keurmerk te komen of met een keurmerk om brandveiligheid te meten. Hopelijk snapt de minister de complexiteit wel.
TheYOSH
TheYOSH
Dat is wel erg zwart-wit gesteld. Consumenten willen wel degelijk veiligheid en ze begrijpen wel dat dit iets extra kost. Maar er moet wel eerst een zeker bewustzijn zijn. Goede informatie helpt daarbij. Daarnaast is enig handelingsperspectief belangrijk.
Je ziet het natuurlijk bij auto's, die inmiddels voorzien zijn van allerlei veiligheidsmaatregelen (in de jaren ook verplicht geworden, dat ook .. ). De sterren waardering van Euro NCAP heeft geholpen, fabrikanten verkopen liever geen auto's met minder dan 4 sterren. Het heeft bijgedragen bij de bewustwording, en het communiceert eenvoudig.
Ik zeg niet dat er een IoT NCAP moet komen, ik geef dit slechts als enigszins vergelijkbaar voorbeeld.
Een IoT apparaat dat 2 tot 3 keer meer kost is natuurlijk wel een enorme meerprijs, maar goed het hangt af van het soort apparaat natuurlijk.
En eh... dat lek zit er in. We weten alleen nog niet waar.
En eh... dat lek zit er in. We weten alleen nog niet waar.
en als die van Samsung is krijg je na 2 jaar geen nieuwe software update :p
TheYOSH
Dat is wel erg zwart-wit gesteld. Consumenten willen wel degelijk veiligheid en ze begrijpen wel dat dit iets extra kost. Maar er moet wel eerst een zeker bewustzijn zijn. Goede informatie helpt daarbij. Daarnaast is enig handelingsperspectief belangrijk.
Je ziet het natuurlijk bij auto's, die inmiddels voorzien zijn van allerlei veiligheidsmaatregelen (in de jaren ook verplicht geworden, dat ook .. ). De sterren waardering van Euro NCAP heeft geholpen, fabrikanten verkopen liever geen auto's met minder dan 4 sterren. Het heeft bijgedragen bij de bewustwording, en het communiceert eenvoudig.
Ik zeg niet dat er een IoT NCAP moet komen, ik geef dit slechts als enigszins vergelijkbaar voorbeeld.
Een IoT apparaat dat 2 tot 3 keer meer kost is natuurlijk wel een enorme meerprijs, maar goed het hangt af van het soort apparaat natuurlijk.
Eén van de m.i. erg moeilijke dingen is hoe je IT veiligheid überhaupt keurt of vaststelt .
Een auto met vier sterren van veiligheid wordt niet opeens nul sterren als een researcher iets ontdekt.
De auto blijft hetzelfde, en wat een botsing doet ook.
(Ook al wordt de scope van eisen breder in de loop van de tijd - begonnen met frontale botsingen, later ook zij-impact , later de veiligheid voor aangereden voetgangers [ronde neus] , vs alleen de veiligheid van de inzittenden )
Je kunt wel de afwezigheid van 'stomme' gaten (passwordloze open poorten e.d.) vaststellen, maar een voorheen veilig geacht (en zelfs duur) apparaat kan feitelijk van de ene op de andere dag totaal onveilig worden (Juniper/Netscreen, Cisco ASA firewalls recentelijk ).
Ik vrees een beetje dat de 'beste' uitkomst een keuring met een commitment van security updates voor een bepaalde tijd gaat zijn - en dat het wetgevingslandschap dan draait richting 'alleen goedgekeurde apparaten' wat effectief betekent dat je naar een verplicht abonnements/update model (of 'elke twee jaar vervangen' ) geduwd wordt.
TheYOSH
Daarom zijn er zoveel Android gebruikers.
TheYOSH
Antwoord op je vraag: De minister gaat eerst nog even met de dienstauto snel naar de M*markt om in te slaan ...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
