image

Minister: burger én fabrikant verantwoordelijk voor beveiligen IoT-apparaten

woensdag 31 mei 2023, 09:59 door Redactie, 12 reacties

Zowel fabrikanten van Internet of Things (IoT) apparaten als de burgers die er gebruik van maken hebben een verantwoordelijkheid voor het beveiligen van de apparatuur, zo stelt minister Yesilgöz van Justitie en Veiligheid naar aanleiding van het nieuws over digitaal slecht beveiligde omvormers van zonnepanelen. Burgers moeten volgens de minister "continu alert zijn op het feit dat de passwords moeten worden ingesteld en elke keer tijdig moeten worden aangepast."

Gisteren liet de Rijksinspectie Digitale Infrastructuur (RDI) weten dat zonnepaneelinstallaties "eenvoudig te hacken" zijn en daarna zijn uit te schakelen of te gebruiken voor het uitvoeren van ddos-aanvallen. Ook kunnen er via de omvormers persoons- en gebruiksgegevens worden gestolen. JA21-Kamerlid Eerdmans vroeg Yesilgöz tijdens het vragenuur in de Tweede Kamer om opheldering.

De minister stelt dat de overheid nu al afspraken met fabrikanten over de cyberveiligheid maakt. "We gaan niet wachten op wetgeving. We zullen ook zorgen dat onze gesprekken en onze afspraken, die zullen ook uitgaan van bijvoorbeeld Economische Zaken en andere partners, dringend zijn. Vervolgens is het heel erg belangrijk dat de mensen thuis, daarom ben ik extra blij met deze vragen, continu alert zijn op het feit dat de passwords moeten worden ingesteld en elke keer tijdig moeten worden aangepast; dat komt in verschillende debatten van ons altijd terug."

Yesilgöz voegde dat dat er een verantwoordelijkheid van de fabrikant is, er wordt opgetreden vanuit de overheid maar er ook heel erg gewezen moet worden op de verantwoordelijkheid en het handelingsperspectief van de mensen die een apparaat hebben. "In afwachting van de verplichtingen voert de Rijksinspectie dus ook dringende gesprekken met de producenten en importeurs van deze apparaten. Het gaat erom dat aan hen duidelijk gemaakt wordt dat zij moeten handelen, dat we niet gaan wachten op wetgeving."

Tevens zal de overheid ook blijven inzetten op bewustwordingscampagnes. "Het is dus en-en. Maar iedereen die veel bezig is met het onderwerp cyber, zal weten dat de weerbaarheid echt ook bij onszelf begint. Dat wilde ik dus nog wel benadrukken", ging de minister verder. Ze stelde ook dat voor apparaten die over een wachtwoord beschikken het nodig is om daar een goed wachtwoord voor te kiezen en dat regelmatig te vervangen.

"Dat creëert een bewustwording voor al die andere onderdelen waar we in andere debatten ook vaak bij stilstaan. We weten dat cybercrime, dat is weliswaar iets anders, maar het is ook van invloed, de snelst stijgende vorm van criminaliteit is. Heel veel Nederlanders worden daar slachtoffer van. We moeten dus continu leren om te weten hoe we onszelf zo weerbaar mogelijk kunnen maken."

Reacties (12)
31-05-2023, 10:30 door Anoniem
Lijkt er wel sterk op dat politici het niet helemaal overzien wat er in het rapport staat. "Wachtwoorden aanpassen" is wel een heel simpele kijk op de argumenten die genoemd worden in het artikel. De consument heeft helemaal geen grip op 90%+ van deze zaken zoals hoe veilig een API is en hoe secure de on-premise solar unit is.
31-05-2023, 10:39 door Anoniem
Je mag pas rijden als jee een rijbewijst hebt. Misschien ook zoiets instellen voor IoT gebruik??
31-05-2023, 10:46 door Anoniem
Wassen neus. Die fabrikant heeft geen belang. Minimale inspanning om aan 'de regels' te voldoen. De burger heeft geen competenties: ik heb de laatste update, dus ik ben veilig.

De enige afdoende oplossing is en blijft: hang het niet aan internet. Dat past natuurlijk niet helemaal in het ge-digidram van de overheid.
31-05-2023, 11:08 door Anoniem
Dat ook gebruikers/ consumenten hier een verantwoordelijkheid hebben lijkt me niet onlogisch.
Dat stelt vanzelfsprekend wel de nodige eisen aan de gebruikersinterface, handleidingen, documentatie en garantiebepalingen. Ik wil mijn garantie natuurlijk niet verliezen, danwel aanlopen tegen allerlei extra kosten, door dit soort acties.
31-05-2023, 11:14 door Anoniem
Door Anoniem: Je mag pas rijden als jee een rijbewijst hebt. Misschien ook zoiets instellen voor IoT gebruik??

LoL

En internetgebruik
En computergebruik
En netwerkbeheer
etc
etc
etc

Incl practicum (de rijlessen) en examen (het afrijden) voor al die dingen?

Hoeveel politici zouden dan zakken, vraag ik me af.
Het is niet hun core-business, maar ze zijn ook burger, en zullen ook zulke dingen in huis hebben.
31-05-2023, 11:33 door Anoniem
De minister gaat hierbij voorbij aan het feit dat het simpelweg niet mogelijk is het wachtwoord aan te passen. Deze staat hard-coded in de omvormer. Hierover heb ik al met meerdere leveranciers van omvormers contact gehad en allen gaven ze aan dat dit niet mogelijk is.
31-05-2023, 12:06 door Anoniem
Ze stelde ook dat voor apparaten die over een wachtwoord beschikken het nodig is om daar een goed wachtwoord voor te kiezen en dat regelmatig te vervangen.
Nog vreemd dat ze hier niet praat over twee factor, dit is volgens mij toch echt weer andere na praten.

Ze begrijpt echt niet wat er allemaal speelt maar ze weet wel dat je kindermisbruik kunt aan pakken
via CSS of E2EE. Wanneer krijgen wij ministers die verstand van zaken hebben en weten waarover
ze praten.
31-05-2023, 12:29 door Anoniem
Door Anoniem: De minister gaat hierbij voorbij aan het feit dat het simpelweg niet mogelijk is het wachtwoord aan te passen. Deze staat hard-coded in de omvormer. Hierover heb ik al met meerdere leveranciers van omvormers contact gehad en allen gaven ze aan dat dit niet mogelijk is.

Dus je moet zo'n apparaat hacken om de achterdeur dicht te kunnen doen. Leuk.

Misschien moet de VVD-minster toch wat meer snelheid met wetgeving gaan maken.
De markt zal dit niet (snel) oplossen. Zoals gewoonlijk.
Minister van het verkeerde pluimage op de verkeerde ple, misschien?
31-05-2023, 14:30 door Anoniem
Door Anoniem: De minister gaat hierbij voorbij aan het feit dat het simpelweg niet mogelijk is het wachtwoord aan te passen. Deze staat hard-coded in de omvormer. Hierover heb ik al met meerdere leveranciers van omvormers contact gehad en allen gaven ze aan dat dit niet mogelijk is.
Maar dat probleem kun je omzeilen door de omvormer in een veilig netwerk te hangen.
In principe kan er niet iemand van buitenaf op je omvormer inloggen.
Het is altijd aan te raden om een apart subnet te maken voor IoT apparatuur, waar dus niet je computer en telefoon enzo
in zitten, maar dat alleen uitgaande toegang heeft naar internet. Het is aan de router fabrikanten om dat op een klant
vriendelijke manier te gaan uitrollen (sommigen doen dat al, anderen hebben technisch de mogelijkheid maar vereisen
te veel kennis van de klant, anderen kunnen het nog helemaal niet).

Heb je dit goed voor elkaar dan ga je uiteraard ook een goed wachtwoord instellen voor de cloud service, zodat niet
iedereen daar bij kan.
31-05-2023, 15:20 door karma4
Door Anoniem: Lijkt er wel sterk op dat politici het niet helemaal overzien wat er in het rapport staat. "Wachtwoorden aanpassen" is wel een heel simpele kijk op de argumenten die genoemd worden in het artikel. .....

Eens. Helaas is de standaard verplichte awereness trainingen vergeven van dat soot te simplistische insteken.
Vinkje afgewerkt en voor managers is het door in de waan van de dag.
Ze staan nog net niet te juichen hoe goed ze wel niet zijn met al die basis tekstjes als tafels opdreunen.
Dat helpt niet mee aan behoorlijke security awareness.
01-06-2023, 11:31 door Anoniem
Door Anoniem: De burger heeft geen competenties: ik heb de laatste update, dus ik ben veilig.

Dan heb je al de maken met een digi bewuste burger, wat voor de meeste niet geld. Het is meer "ik koop zonnepanelen, krijg er een leuke app bij. Klaar."
01-06-2023, 17:15 door Anoniem
Door Anoniem:
Door Anoniem: Je mag pas rijden als jee een rijbewijst hebt. Misschien ook zoiets instellen voor IoT gebruik??

LoL

En internetgebruik
En computergebruik
En netwerkbeheer
etc
etc
etc

Incl practicum (de rijlessen) en examen (het afrijden) voor al die dingen?

Hoeveel politici zouden dan zakken, vraag ik me af.
Het is niet hun core-business, maar ze zijn ook burger, en zullen ook zulke dingen in huis hebben.

Examen rijbewijs gaat over kennis van regels en over gedrag. Niet over techniek.
- De auto waar ik in kan rijden, die is als product goedgekeurd. Inclusief alle beveiligingsmaatregelen. Ik hoef die niet allemaal te kennen, maar moet wel voorgeschreven veiligheidsmaatregelen gebruiken (onderdeel van rijbewijs halen).
- De wegen waar ik op rij, die zijn allemaal op een wettelijk veilige manier gemaakt. Er is (overheids)dwang om de beheerder aansprakelijk te stellen als hier iets niet klopt.

En zo zou dit ook moeten in de digitale wereld.
- Van mijn gedrag mag iets verwacht worden. Een kennis/gedrags-internet bewijs mag er best komen. Alleen zou het niet nodig moeten zijn.
- De apparatuur die je gebruik (die je koopt), die moeten zijn goedgekeurd volgens wettelijke bepalingen. Inclusief verplichting tot onderhoud en dus verplichting tot support door de leverancier.
- de snelweg (internet) inclusief op- en afritten moeten veilig zijn. Ook weer volgens wettelijke normen.
En als iemand (een individu, een organisatie, een leverancier) haar deel niet doet, dan bestraffen en aansprakelijk stellen.
Dit gaat echt gebeuren. Ik weet alleen niet wanneer.

Over de minister.
Tja. Die heeft nu eenmaal een ander vak. Die mag je niet verwijten niets van IT te weten.
Zoals Donner ooit zei. De persoon Donner heeft geen verstand van IT. De Minister Donner heeft alle verstand van IT.
Dan nog. De politicus (ook de minister) moet kunnen wegkomen met wat die zegt. Er is altijd wel iemand die de minister aanvalt. De politicus snapt dat en zal woorden kiezen om 'er-mee-weg-te-komen'. Dat is niet verkeerd. Dat is zoals het werkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.