Adviesraad waarschuwt kabinet voor IoT-gevaren

Het kabinet moet onveilige IoT-apparaten weren van de Nederlandse markt. Dat schrijft de Cyber Security Raad in een advies. In het adviesorgaan zitten mensen uit de publieke, private en wetenschappelijke sector.

De raad benadrukt dat IoT een belangrijke drijfveer is voor innovatie en economische groei, maar waarschuwt ook. Het aan elkaar koppelen van apparaten brengt risico’s met zich mee voor cybersecurity en privacy. Dat bedreigt de economische groei, veiligheid en vrijheid.

In het advies staan zes oplossingsrichtingen om IoT-gevaren het hoofd te bieden. Hieronder een korte weergave, in het rapport staat de uitgebreide versie.

1. Certificering, keurmerken, toegangseisen
Het toekomstige EU Cybersecurity Certification Framework kan gebruikt worden om onveilige IoT-apparaten van de Europese markt te weren. Ook zou de bestaande CE-markering eisen aan de IoT-beveiliging kunnen stellen.

2. Transparantie
Er moet een een onafhankelijke monitor komen van gehackte en kwetsbare IoT-apparaten, zodat publieke informatie beschikbaar komt over welke fabrikanten en leveranciers hun apparaten onvoldoende beveiligen.

3. Bewustwording
Producenten en leveranciers van IoT-apparaten zouden met een ‘labelling-systeem’ (bijv. stickers op de verpakkingen) moeten komen om consumenten te informeren over (i) het niveau van beveiliging van het betreffende apparaat; (ii) of het apparaat automatisch security-updates kan ontvangen; (iii) de duur dat het product door de leverancier wordt onderhouden; en (iv) of het apparaat van het internet kan worden afgeschakeld met behoud van de ‘reguliere’ functionaliteit.

4. Productaansprakelijkheid
Er moeten regels komen om veiligheid van ICT-producten en diensten beter in te passen in het regime van productaansprakelijkheid, waardoor fabrikanten wettelijk aansprakelijk gehouden kunnen worden voor ook economische schade.

5. Intermediaire verantwoordelijkheden
De industrie moet richtlijnen opstellen voor zorgplichten van Intermediaire aanbieders. Ook moeten internetaanbieders besmette IoT-apparaten in hun netwerken helpen opruimen zoals nu bij botnets gebeurt.

6. Versterking handhaving
Er moet een voorstel komen  van alle betrokken ministeries om voldoende capaciteit bij toezichthouders op te bouwen zodat handhaving van cybersecurity-normen en regels structureel is geborgd in alle sectoren.

De Cyber Advies Raad merkt op dat IoT een grensoverschrijdend vraagstuk dat in EU-verband moet worden opgepakt. In EU-verband kunnen veiligheidseisen makkelijker worden afgedwongen. De raad steunt een voorstel van de Europese Commissie om te komen tot een Europees kader voor cyberbeveiligingscertificering voor ICT-producten en -diensten.