Bits&Chips

Cyber Security Raad pleit voor regels rond iot-beveiliging

12 januari 2018 

Zomaar een berichtje vanmorgen: ‘Hackers zouden fabrieken kunnen opblazen met smartphone-apps’. We kijken er al nauwelijks meer van op. Ondertussen weten we heus wel dat het met forse beveiligingsbezwaren gepaard gaat om alles aan elkaar knopen via internet.

Maar ja, de voordelen wegen tot nu toe steeds op tegen de bezwaren: consumenten raken meer en meer verknocht aan het gemak en comfort dat smartphones, slimme thermostaten, televisies en auto’s bieden, het bedrijfsleven wordt in de mondiale concurrentiestrijd gedwongen om elke methode aan te grijpen die de operationele kosten kan verlagen, en bij de publieke instellingen staan budgetten continu onder druk.

De Cyber Security Raad, een onafhankelijk adviesorgaan voor het kabinet, heeft zich gebogen over de vraag hoe dit kan worden opgelost. In een rapport pleit de raad ervoor om te werken aan een Europees systeem van certificering en labeling om de problemen met iot-security het hoofd te bieden. Dat is een goed idee.

De vrijwilligheid voorbij

Want een ding is duidelijk: de markt gaat het probleem niet oplossen. Dat is niet per se een kwestie van onwil bij fabrikanten. Security kost nu eenmaal aandacht en tijd, en dus geld. De ‘goeden’ delven daardoor het onderspit in de concurrentiestrijd met leveranciers die het niet zo nauw nemen met veiligheid en privacy. Een race to the bottom is het gevolg.

Nu kan je beargumenteren dat consumenten of bedrijven het maar zelf moeten weten als ze een onveilig device willen gebruiken. Zo simpel ligt het echter niet. Ten eerste: hoe weet je of je device veilig is of niet? Van een goedkoop gadget uit het verre oosten kan je wel vermoeden dat het niet in de haak is, maar een dure variant is niet gegarandeerd beter. Het is een net als vraag of de kleding die je koopt door kinderhanden is gemaakt: zolang daar geen duidelijkheid over bestaat, kan de consument ook geen echte keuze maken - dus kiest die maar voor goedkoop.

Maar daarnaast is er het probleem dat het vaak niet de eigenaar is die het slachtoffer wordt van onveilige devices, maar een andere partij. Dit werd in 2016 pijnlijk duidelijk toen de Mirai-malware zeer grootschalige denial-of-service-aanvallen begon uit te voeren door beveiligingscamera’s, routers en andere iot-apparaten te infecteren. De eigenaars van die apparaten hebben er zelf niet zo veel last van, en daarmee ontbreekt de drijfveer om betere, duurdere apparatuur te kopen. Net zo goed heeft een bedrijf er zelf niet echt last van als de privacygevoelige gegevens van zijn klanten op straat komen te liggen.

Er gaan ook wel eens stemmen op om leveranciers gewoon aansprakelijk te stellen als het misgaat. Dat moet afschrikwekkend genoeg werken om fouten te voorkomen. Wellicht is dit iets dat vooral bij de claimcultuur in de VS past; nadat de Meltdown- en Spectre-aanvallen vorige week bekend werden, liepen er binnen 48 uur al drie class action lawsuits tegen Intel. Zo’n aanpak is echter niet zonder gevaar, want wie wil er nog iets ontwikkelen als elke potentiële fout een miljoenenclaim kan opleveren? Bugs horen nu eenmaal bij software.

Consumenten kunnen Samsung vlaggenschip-smartphone van vorig jaar maar beter links laten liggen, vindt de consumentenbond: vanaf maart zijn beveiligingsupdates niet meer gegarandeerd.

Updaten verplicht

Een systeem van labels en certificering zou een betere oplossing bieden, denkt de CSR. Het is niet de eerste keer dat daarvoor wordt gepleit. Vorig jaar nog plaatste ook de Europese Commissie het onderwerp op de agenda nadat chipmakers, waaronder NXP, namens adviesorgaan Enisa een rapport met vergelijkbare strekking uitbrachten.

Zo’n reguleringssysteem werkt ook naar behoren voor andere markten. Auto’s, televisies, medische apparaten, allemaal moeten ze aan richtlijnen voldoen die de gebruiker adequaat beschermen en tegelijk redelijk zijn voor de fabrikant. Aantoonbare nalatigheid kan leiden tot bestraffing - maar niet elke vergissing.

Voor iot-devices is echter een andere aanpak nodig, want anders dan traditionele apparaten zijn ze ‘levend’; ze moeten nadat ze de fabriek verlaten steeds nieuwe bedreigingen het hoofd bieden, en dat betekent dat ze onderhouden moeten worden. Het CSR schrijft dan ook dat dat onderdeel moet worden van de certificering. Zo moeten er eisen komen over de moeite die leveranciers in veiligheid moeten steken, en de duur dat ze software-updates blijven verzorgen.

Dat daar behoefte aan is, blijkt bijvoorbeeld uit het juridische gekissebis tussen de Consumentenbond en Samsung. In een kort geding betoogde de eerste dat de Koreanen hun klanten misleiden door slechts twee jaar lang beveiligingsupdates voor hun smartphones te beloven, geteld vanaf de introductiedatum - niet eens de verkoopdatum. Maar de rechter oordeelde dat de financiële gevolgen te groot zouden zijn voor Samsung om dat te veranderen en dat het bedrijf bovendien zelf moet kunnen beslissen over zijn updatebeleid. Duidelijke regels rond het updatebeleid zouden de consument beschermen en een gelijk speelveld creëren voor smartphonemakers.

De Sense-slaaptracker stopte met werken op het moment dat de fabrikant failliet ging en zijn servers uitzette. Foto: Tony Webster

Het CSR vindt verder dat de regels moeten vastleggen in welke mate apparaten blijven werken op het moment dat hun netwerkverbinding wordt stopgezet. Er zijn best wat iot-apparaten, zoals de Hello Sense-slaaptracker of de Revolv-thermostaten, die tegenwoordig dienst doen als presse-papier omdat de fabrikant de stekker uit de servers trok.

Het CSR stelt nog enkele andere maatregelen voor. Zo is handhaving van de regels niet altijd even makkelijk vanwege de complexe internationale lijntjes, maar er kan wel een shaming-mechanisme worden ingezet, of in nette bewoordingen: ‘[...] een onafhankelijke monitor van gehackte en kwetsbare iot-apparaten, zodat publieke informatie beschikbaar komt over welke fabrikanten en leveranciers hun apparaten onvoldoende beveiligen’. Tegelijk moeten consumenten via campagnes bewust worden gemaakt van gevaren rondom iot-beveiliging.

Lastige vragen

Het CSR is niet de eerste die pleit voor dergelijke regelgeving, en de roep erom klinkt zowel in Europa als daarbuiten steeds luider. De kans is dan ook groot dat dergelijke regelgeving er vroeg of laat wel komt.

Maar er zijn nog best pittige vragen te beantwoorden. Wanneer is iets eigenlijk een iot-device? Is dat elke combinatie van hardware, software en back-end-dienst? Vallen pc’s daar niet eigenlijk ook onder? En zo niet, waarom smartphones dan wel? Of smart-tv’s waarop je apps kan installeren? Zouden de regels misschien niet gewoon voor software in het algemeen moeten gelden? Gezien de snelheid waarmee Europa normaal tot besluiten komt, zullen die regels nog wel even op zich laten wachten.

Abonneer direct op onze nieuwsbrief

abonneren

Applied optics

22 februari

Eindhoven

Applied optics

22 februari

Eindhoven