Het D66-verbod op slecht beveiligde IoT-apparaten is praktisch onuitvoerbaar

Een leuk idee, maar het is totaal niet haalbaar zeggen experts.

|
nov. 22 2016, 8:16am

Kees Verhoeven checkt zijn iPhone. Beeld: Sebastiaan ter Burg

Nadat een leger zombiebots vorige maand het Amerikaanse bedrijf Dyn met een ddos-aanval platgelegde, is het Internet of Things (IoT) ook in Nederland een heet hangijzer. D66 wil dat alle apparaten die onderdeel uitmaken van het IoT veilig zijn, anders moeten ze volgens Kees Verhoeven worden verboden. "Nederland en Europa liggen nu achter met de internetveiligheid. Dat moet snel veranderen," aldus het persbericht. Maar er komt meer kijken dan 'gewoon verbieden' bij dit verder sympathieke plan waar wereldwijd miljarden apparaten bij betrokken zijn.

Verhoeven wil dat IoT-apparaten voorzien zijn van een keurmerk en worden opgenomen in een openbaar register. Als consument weet je nu nauwelijks hoe veilig het bedrijf is waar je je apparaat koopt.

"Wat D66 eigenlijk wil is dat zodra je een apparaat maakt, je ook de specificaties van dat apparaat openbaar maakt in een register. Het keurmerk bepaalt hoe veilig het apparaat zou moeten zijn." Zei Rejo Zenger, van Bits of Freedom, tegen Motherboard.

Veiligheid is dan wel de verantwoordelijkheid van het bedrijf dat het apparaat verkoopt, dat betekent lang niet altijd dat het die verantwoordelijkheid ook neemt. Om bedrijven, naast de enorme kosten en gezichtsverlies van het terugroepen van hun apparaten, nog een extra duwtje te geven het goede te doen voor de klant, mogen ze sinds januari hoge boetes gaan betalen als je data lekt. Rejo: "Nu is die boete in Nederland zo'n 5 procent van de winst van een bedrijf. Straks gaan die boetes wereldwijd omhoog naar 10 procent. Dit betekent dat als een bedrijf als Google het goed verknald er een miljardenclaim volgt."

Hiermee is de dataveiligheid misschien wel dichterbij, maar data is maar een deel van de dingen die er gehacked kunnen worden. Rejo: "Als je een camera hebt waardoor iemand constant met je meekijkt is dat geen datalek, maar wel een enorme schending van privacy." Het uitbreiden van de boetes van datalekken naar privacyschendingen is daarom misschien geen slecht idee.

Dit allemaal om te voorkomen dat cyberpiraten toegang krijgen tot je webcam of je pratende Barbie. Toch ziet Rejo een keurmerk niet meteen zitten: "Je kunt wel een keurmerk uitschrijven, maar wie gaat dat handhaven? Een bedrijf haalt zo'n keurmerk en hoeft verder niets meer te doen. Het lijkt een beetje een schijnoplossing. Ik zie veel meer in de handhaving van bestaande wetgeving, dan in het invoeren van een keurmerk zoals D66 voorstelt."

Zelfs als een keurmerk op Europees niveau wordt ingevoerd, is het nog steeds alleen van toepassing op de Europese markt. Als China doorgaat met het verkopen van onveilige apparaten heeft een Europees keurmerk weinig zin. Verder is het de vraag wie gaat bepalen wat veiligheid precies betekent. In een gebied waar de ontwikkelingen zo hard gaan is de kans groot dat de definitie sneller verandert dan juristen hem kunnen opschrijven. De veiligheid van miljoenen apparaten die overal ter wereld worden geproduceerd is onmogelijk te handhaven door een land of zelfs de EU.

Wat de zaak nog verder compliceert is dat de overheid soms juist belang heeft bij zwakke beveiliging.

Ook is onduidelijk hoe lang een bedrijf verantwoordelijk moet blijven voor een apparaat. Rejo: "Bedrijven moeten beseffen dat als je een product met software verkoopt je ook verantwoordelijk bent voor de veiligheid van je klant." Maar moet de veiligheidsgarantie van een dynamisch product als een iPhone net zo lang doorlopen als die van bijvoorbeeld een koelkast?

Wat de zaak nog verder compliceert is dat de overheid soms juist belang heeft bij zwakke beveiliging. Toevallig zit Rejo middenin de voorbereiding van een Bits of Freedom-campagne genaamd Stop Het Hackvoorstel. In het voorstel wil de overheid encryptie achterdeuren zodat ze zelf de apparaten van burgers kan hacken. Motherboard vond dit vreemd, want wil de overheid hacken niet juist moeilijker maken? Waarom ligt er dan een voorstel waarin toestemming wordt gevraagd voor toegang tot allerlei aan het internet verbonden apparaten?

Daar komt bij dat het Nationaal Cyber Security Centrum (NCSC) - waar D66 de verantwoordelijkheid voor het keurmerk aan wil toewijzen - onderdeel is van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Dit wekt de indruk dat de overheid twee petten op heeft als het gaat om cybersecurity.

Rejo: "Dit is natuurlijk niet uit te leggen aan de burger. NCSC is juist opgericht zodat er een overheidsorganisatie is die geen belang heeft bij slechte encryptie. De politie heeft natuurlijk het tegenovergestelde belang en dat is ook waar het hackvoorstel over gaat. Maar het klopt dat het heel raar overkomt dat de overheid tegelijkertijd burgers meer en minder veilig wil maken voor hackers."