Minister: burger én fabrikant verantwoordelijk voor beveiligen IoT-apparaten
Zowel fabrikanten van Internet of Things (IoT) apparaten als de burgers die er gebruik van maken hebben een verantwoordelijkheid voor het beveiligen van de apparatuur, zo stelt minister Yesilgöz van Justitie en Veiligheid naar aanleiding van het nieuws over digitaal slecht beveiligde omvormers van zonnepanelen. Burgers moeten volgens de minister "continu alert zijn op het feit dat de passwords moeten worden ingesteld en elke keer tijdig moeten worden aangepast."
Gisteren liet de Rijksinspectie Digitale Infrastructuur (RDI) weten dat zonnepaneelinstallaties "eenvoudig te hacken" zijn en daarna zijn uit te schakelen of te gebruiken voor het uitvoeren van ddos-aanvallen. Ook kunnen er via de omvormers persoons- en gebruiksgegevens worden gestolen. JA21-Kamerlid Eerdmans vroeg Yesilgöz tijdens het vragenuur in de Tweede Kamer om opheldering.
De minister stelt dat de overheid nu al afspraken met fabrikanten over de cyberveiligheid maakt. "We gaan niet wachten op wetgeving. We zullen ook zorgen dat onze gesprekken en onze afspraken, die zullen ook uitgaan van bijvoorbeeld Economische Zaken en andere partners, dringend zijn. Vervolgens is het heel erg belangrijk dat de mensen thuis, daarom ben ik extra blij met deze vragen, continu alert zijn op het feit dat de passwords moeten worden ingesteld en elke keer tijdig moeten worden aangepast; dat komt in verschillende debatten van ons altijd terug."
Yesilgöz voegde dat dat er een verantwoordelijkheid van de fabrikant is, er wordt opgetreden vanuit de overheid maar er ook heel erg gewezen moet worden op de verantwoordelijkheid en het handelingsperspectief van de mensen die een apparaat hebben. "In afwachting van de verplichtingen voert de Rijksinspectie dus ook dringende gesprekken met de producenten en importeurs van deze apparaten. Het gaat erom dat aan hen duidelijk gemaakt wordt dat zij moeten handelen, dat we niet gaan wachten op wetgeving."
Tevens zal de overheid ook blijven inzetten op bewustwordingscampagnes. "Het is dus en-en. Maar iedereen die veel bezig is met het onderwerp cyber, zal weten dat de weerbaarheid echt ook bij onszelf begint. Dat wilde ik dus nog wel benadrukken", ging de minister verder. Ze stelde ook dat voor apparaten die over een wachtwoord beschikken het nodig is om daar een goed wachtwoord voor te kiezen en dat regelmatig te vervangen.
"Dat creëert een bewustwording voor al die andere onderdelen waar we in andere debatten ook vaak bij stilstaan. We weten dat cybercrime, dat is weliswaar iets anders, maar het is ook van invloed, de snelst stijgende vorm van criminaliteit is. Heel veel Nederlanders worden daar slachtoffer van. We moeten dus continu leren om te weten hoe we onszelf zo weerbaar mogelijk kunnen maken."
De enige afdoende oplossing is en blijft: hang het niet aan internet. Dat past natuurlijk niet helemaal in het ge-digidram van de overheid.
Dat stelt vanzelfsprekend wel de nodige eisen aan de gebruikersinterface, handleidingen, documentatie en garantiebepalingen. Ik wil mijn garantie natuurlijk niet verliezen, danwel aanlopen tegen allerlei extra kosten, door dit soort acties.
LoL
En internetgebruik
En computergebruik
En netwerkbeheer
etc
etc
etc
Incl practicum (de rijlessen) en examen (het afrijden) voor al die dingen?
Hoeveel politici zouden dan zakken, vraag ik me af.
Het is niet hun core-business, maar ze zijn ook burger, en zullen ook zulke dingen in huis hebben.
Ze begrijpt echt niet wat er allemaal speelt maar ze weet wel dat je kindermisbruik kunt aan pakken
via CSS of E2EE. Wanneer krijgen wij ministers die verstand van zaken hebben en weten waarover
ze praten.
Dus je moet zo'n apparaat hacken om de achterdeur dicht te kunnen doen. Leuk.
Misschien moet de VVD-minster toch wat meer snelheid met wetgeving gaan maken.
De markt zal dit niet (snel) oplossen. Zoals gewoonlijk.
Minister van het verkeerde pluimage op de verkeerde ple, misschien?
In principe kan er niet iemand van buitenaf op je omvormer inloggen.
Het is altijd aan te raden om een apart subnet te maken voor IoT apparatuur, waar dus niet je computer en telefoon enzo
in zitten, maar dat alleen uitgaande toegang heeft naar internet. Het is aan de router fabrikanten om dat op een klant
vriendelijke manier te gaan uitrollen (sommigen doen dat al, anderen hebben technisch de mogelijkheid maar vereisen
te veel kennis van de klant, anderen kunnen het nog helemaal niet).
Heb je dit goed voor elkaar dan ga je uiteraard ook een goed wachtwoord instellen voor de cloud service, zodat niet
iedereen daar bij kan.
Eens. Helaas is de standaard verplichte awereness trainingen vergeven van dat soot te simplistische insteken.
Vinkje afgewerkt en voor managers is het door in de waan van de dag.
Ze staan nog net niet te juichen hoe goed ze wel niet zijn met al die basis tekstjes als tafels opdreunen.
Dat helpt niet mee aan behoorlijke security awareness.
Dan heb je al de maken met een digi bewuste burger, wat voor de meeste niet geld. Het is meer "ik koop zonnepanelen, krijg er een leuke app bij. Klaar."
LoL
En internetgebruik
En computergebruik
En netwerkbeheer
etc
etc
etc
Incl practicum (de rijlessen) en examen (het afrijden) voor al die dingen?
Hoeveel politici zouden dan zakken, vraag ik me af.
Het is niet hun core-business, maar ze zijn ook burger, en zullen ook zulke dingen in huis hebben.
Examen rijbewijs gaat over kennis van regels en over gedrag. Niet over techniek.
- De auto waar ik in kan rijden, die is als product goedgekeurd. Inclusief alle beveiligingsmaatregelen. Ik hoef die niet allemaal te kennen, maar moet wel voorgeschreven veiligheidsmaatregelen gebruiken (onderdeel van rijbewijs halen).
- De wegen waar ik op rij, die zijn allemaal op een wettelijk veilige manier gemaakt. Er is (overheids)dwang om de beheerder aansprakelijk te stellen als hier iets niet klopt.
En zo zou dit ook moeten in de digitale wereld.
- Van mijn gedrag mag iets verwacht worden. Een kennis/gedrags-internet bewijs mag er best komen. Alleen zou het niet nodig moeten zijn.
- De apparatuur die je gebruik (die je koopt), die moeten zijn goedgekeurd volgens wettelijke bepalingen. Inclusief verplichting tot onderhoud en dus verplichting tot support door de leverancier.
- de snelweg (internet) inclusief op- en afritten moeten veilig zijn. Ook weer volgens wettelijke normen.
En als iemand (een individu, een organisatie, een leverancier) haar deel niet doet, dan bestraffen en aansprakelijk stellen.
Dit gaat echt gebeuren. Ik weet alleen niet wanneer.
Over de minister.
Tja. Die heeft nu eenmaal een ander vak. Die mag je niet verwijten niets van IT te weten.
Zoals Donner ooit zei. De persoon Donner heeft geen verstand van IT. De Minister Donner heeft alle verstand van IT.
Dan nog. De politicus (ook de minister) moet kunnen wegkomen met wat die zegt. Er is altijd wel iemand die de minister aanvalt. De politicus snapt dat en zal woorden kiezen om 'er-mee-weg-te-komen'. Dat is niet verkeerd. Dat is zoals het werkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
