image

Kamervragen over keurmerk voor veilige IoT-apparaten

donderdag 7 juni 2018, 16:15 door Redactie, 8 reacties

De VVD heeft minister Grapperhaus van Justitie en Veiligheid vragen gesteld over een keurmerk voor veilige Internet of Things-apparaten, zoals het Agentschap Telecom adviseert. Deze week stelde het Agentschap Telecom dat er minimumeisen voor de veiligheid van IoT-apparaten moeten komen.

Volgens de overheidsinstantie groeit het aantal kwetsbare apparaten dat met internet verbonden wordt. Een keurmerk voor veilige IoT-apparaten zou hierbij kunnen helpen. VVD-Kamerleden Weverling, Arno Rutte, Middendorp en Wörsdörfer willen van Grapperhaus weten wanneer er een voorstel over een dergelijk keurmerk kan worden verwacht. De minister heeft namelijk eerder aangegeven dat hier aan wordt gewerkt.

Ook vragen de Kamerleden of in de ontwikkeling van het keurmerk ook wordt nagedacht over hoe voor gebruikers zo zichtbaar en duidelijk mogelijk kan worden gemaakt welke IoT-apparaten veilig zijn en welke niet, aangezien dit volgens het Agentschap Telecom vaak niet zichtbaar is. Tevens moet minister Grapperhaus laten weten wat hij ervan vindt als bedrijven zelf met een keurmerk komen.

Naast vragen over de invoering van een keurmerk wordt Grapperhaus ook gevraagd of telecommunicatie- en internetproviders voldoende mogelijkheden hebben om hun netwerk af te speuren naar onveilige apparaten. De minister heeft drie weken de tijd om de Kamervragen te beantwoorden.

Reacties (8)
07-06-2018, 17:00 door Anoniem
Nederland is onderdeel van de EU. Het zal niet snel gebeuren dat een land zelf met een keurmerk komt wat handel van andere EU landen met Nederland moeilijk maakt. Er zal waarschijnlijk dus gericht worden op een europees keurmerk.
Is het CE-keurmerk dan een goed voorbeeld? Nee. Je kan een keurmerk dat zich richt op de wetten van de natuur niet vergelijken met de mogelijkheden van een digitale omgeving. Bij CE testen ze onder specifieke omstandigheden of het apparaat nog ongevaarlijk is als je er water over laat stromen of niet breekt als je met krachten gaat werken.
Het AP geeft geen voorbeelden waarom CE-testen een goed voorbeeld zijn. Ze lijken niet begrepen te hebben wat het verschil tussen de fysieke wereld en de digitale wereld is. En waarom het aan de markt overgelaten moet worden om een keurmerk te maken is mij een raadsel, want als die bedrijven hebben eigen belangen om het keurmerk iets of niets te laten voorstellen. Je vraagt ook niet aan bedrijven om met een CE-keurmerk te komen of met een keurmerk om brandveiligheid te meten. Hopelijk snapt de minister de complexiteit wel.
07-06-2018, 17:08 door Anoniem
Wat gaat de minister doen als blijkt dat veilige IoT devices 2 a 3 keer zo veel kosten als niet veilige? Dan weet ik wel wat er gaat gebeuren. Consumenten kijken naar prijs, niet naar veiligheid.

TheYOSH
07-06-2018, 17:50 door CBYvo
Door Anoniem: ... Consumenten kijken naar prijs, niet naar veiligheid.

TheYOSH

Dat is wel erg zwart-wit gesteld. Consumenten willen wel degelijk veiligheid en ze begrijpen wel dat dit iets extra kost. Maar er moet wel eerst een zeker bewustzijn zijn. Goede informatie helpt daarbij. Daarnaast is enig handelingsperspectief belangrijk.

Je ziet het natuurlijk bij auto's, die inmiddels voorzien zijn van allerlei veiligheidsmaatregelen (in de jaren ook verplicht geworden, dat ook .. ). De sterren waardering van Euro NCAP heeft geholpen, fabrikanten verkopen liever geen auto's met minder dan 4 sterren. Het heeft bijgedragen bij de bewustwording, en het communiceert eenvoudig.
Ik zeg niet dat er een IoT NCAP moet komen, ik geef dit slechts als enigszins vergelijkbaar voorbeeld.

Een IoT apparaat dat 2 tot 3 keer meer kost is natuurlijk wel een enorme meerprijs, maar goed het hangt af van het soort apparaat natuurlijk.
08-06-2018, 07:41 door Anoniem
Ja, leuk. En nou heb ik een 'veilige' koelkast. Die staat er toch al snel een jaar of 10. Over 2 jaar blijkt er ergens een lek in de IP stack van mijn koelkast te zitten. Maar het ding heeft nog steeds een 'keurmerk'.

En eh... dat lek zit er in. We weten alleen nog niet waar.
08-06-2018, 09:31 door Anoniem
Door Anoniem: Ja, leuk. En nou heb ik een 'veilige' koelkast. Die staat er toch al snel een jaar of 10. Over 2 jaar blijkt er ergens een lek in de IP stack van mijn koelkast te zitten. Maar het ding heeft nog steeds een 'keurmerk'.

En eh... dat lek zit er in. We weten alleen nog niet waar.

en als die van Samsung is krijg je na 2 jaar geen nieuwe software update :p
09-06-2018, 16:14 door Anoniem
Door CBYvo:
Door Anoniem: ... Consumenten kijken naar prijs, niet naar veiligheid.

TheYOSH

Dat is wel erg zwart-wit gesteld. Consumenten willen wel degelijk veiligheid en ze begrijpen wel dat dit iets extra kost. Maar er moet wel eerst een zeker bewustzijn zijn. Goede informatie helpt daarbij. Daarnaast is enig handelingsperspectief belangrijk.

Je ziet het natuurlijk bij auto's, die inmiddels voorzien zijn van allerlei veiligheidsmaatregelen (in de jaren ook verplicht geworden, dat ook .. ). De sterren waardering van Euro NCAP heeft geholpen, fabrikanten verkopen liever geen auto's met minder dan 4 sterren. Het heeft bijgedragen bij de bewustwording, en het communiceert eenvoudig.
Ik zeg niet dat er een IoT NCAP moet komen, ik geef dit slechts als enigszins vergelijkbaar voorbeeld.

Een IoT apparaat dat 2 tot 3 keer meer kost is natuurlijk wel een enorme meerprijs, maar goed het hangt af van het soort apparaat natuurlijk.

Eén van de m.i. erg moeilijke dingen is hoe je IT veiligheid überhaupt keurt of vaststelt .
Een auto met vier sterren van veiligheid wordt niet opeens nul sterren als een researcher iets ontdekt.
De auto blijft hetzelfde, en wat een botsing doet ook.
(Ook al wordt de scope van eisen breder in de loop van de tijd - begonnen met frontale botsingen, later ook zij-impact , later de veiligheid voor aangereden voetgangers [ronde neus] , vs alleen de veiligheid van de inzittenden )

Je kunt wel de afwezigheid van 'stomme' gaten (passwordloze open poorten e.d.) vaststellen, maar een voorheen veilig geacht (en zelfs duur) apparaat kan feitelijk van de ene op de andere dag totaal onveilig worden (Juniper/Netscreen, Cisco ASA firewalls recentelijk ).

Ik vrees een beetje dat de 'beste' uitkomst een keuring met een commitment van security updates voor een bepaalde tijd gaat zijn - en dat het wetgevingslandschap dan draait richting 'alleen goedgekeurde apparaten' wat effectief betekent dat je naar een verplicht abonnements/update model (of 'elke twee jaar vervangen' ) geduwd wordt.
10-06-2018, 19:48 door Anoniem
Door Anoniem: Wat gaat de minister doen als blijkt dat veilige IoT devices 2 a 3 keer zo veel kosten als niet veilige? Dan weet ik wel wat er gaat gebeuren. Consumenten kijken naar prijs, niet naar veiligheid.

TheYOSH

Daarom zijn er zoveel Android gebruikers.
13-06-2018, 00:26 door Anoniem
Door Anoniem: Wat gaat de minister doen als blijkt dat veilige IoT devices 2 a 3 keer zo veel kosten als niet veilige? Dan weet ik wel wat er gaat gebeuren. Consumenten kijken naar prijs, niet naar veiligheid.

TheYOSH

Antwoord op je vraag: De minister gaat eerst nog even met de dienstauto snel naar de M*markt om in te slaan ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.