De slimme apparaten, zoals thermostaten, camera’s en deurbellen die een verbinding met het internet kunnen maken, worden door experts gezien als een potentiële bedreiging voor de internetveiligheid.
Vorige maand werden de zogenoemde DNS-servers van het Amerikaanse bedrijf Dyn nog platgelegd door een cyberaanval met een netwerk geïnfecteerde internet of things-apparaten. Deze servers spelen een cruciale rol in de werking van het internet, en door de aanval raakten veel websites tijdelijk onbereikbaar.
“Er mag ook geen auto meer worden gemaakt zonder ABS of gordels. Waarom mogen er wel internet of things-apparaten worden gemaakt waarbij je het wachtwoord niet kan veranderen?”, vroeg beveiligingsexpert Dave Maasland van ESET zich eerder al af in gesprek met NU.nl.
Regels
D66-Kamerlid Kees Verhoeven wil dat er op Europees niveau regels worden opgesteld over de veiligheid van slimme apparaten, iets waar de Europese Commissie momenteel onderzoek naar uitvoert. Maar in een initiatiefnota, die volgende week bij de Tweede Kamer wordt ingediend, stelt hij voor om ondertussen al een Nederlands keurmerk op te richten dat consumenten kan informeren over het beveiligingsniveau van gadgets.
“Dit onderwerp vraagt echt aandacht, want er zijn zoveel apparaten die steeds meer worden ontwikkeld om op het internet te worden aangesloten”, zegt Verhoeven tegen NU.nl. Hij erkent dat het probleem van onveilige gadgets uiteindelijk een Europese oplossing zal moeten krjigen, maar denkt dat er daarvoor al kleinschaligere verbeteringen mogelijk zijn.
“We kunnen in Nederland al wel een stap zetten om ervoor te zorgen dat mensen apparaten kopen waarvan de kans in ieder geval groter is dat ze veilig zijn”, zegt hij.
Aansprakelijkheid
In het document roept Verhoeven de overheid op te onderzoeken of fabrikanten van software aansprakelijk kunnen worden gesteld voor de veiligheid van hun producten.
“Natuurlijk is software nooit 100 procent veilig”, schrijft Verhoeven in de nota. “Maar niet genoeg aandacht besteden aan de kwaliteit van software of het niet tijdig updaten van software is een vorm van nalatigheid.”
Onlangs probeerde de Consumentenbond met een kort geding af te dwingen dat Samsung zijn smartphones langer van updates zou voorzien. De rechter bepaalde dat de kwestie niet spoedeisend genoeg was voor een kort geding, maar inmiddels is de bond een bodemprocedure begonnen om alsnog af te dwingen dat Samsung zijn toestellen langer veilig houdt.
Garantie
Volgens Verhoeven moet de veiligheid van een apparaat worden gezien als onderdeel van de garantie. Als de veiligheid in het geding komt, moeten fabrikanten worden verplicht om oplossingen te leveren. Anders kunnen zij aansprakelijk worden gehouden.
Een woordvoerder van Samsung had voor publicatie van dit artikel geen reactie op het plan. Tijdens de eerdere rechtszaak zei Samsung dat het niet altijd zinnig is om oude smartphones te blijven updaten, omdat ze daardoor trager kunnen worden. Het specifieke beveiligingslek waar het kort geding om draaide is door Samsung op verschillende toestellen verholpen.
Beveiligingsteam
Verhoeven wil ook dat een officieel Nederlands bedreigingsanalyseteam wordt opgericht. Dat team, bestaand uit beveiligingsexperts en aanbieders van gadgets, moet gevaren voor kritieke infrastructuur analyseren en daar oplossingen voor aandragen.
Momenteel heeft het Nationaal Cyber Security Centrum (NCSC) al een vergelijkbare taak, en het team zou volgens Verhoeven deel uit kunnen maken van het NCSC. Maar D66 wil wel dat die organisatie onafhankelijker wordt. Nu is het NCSC nog een onderdeel van de Nationaal Coördinator Terrorismebestrijding en Veiligheid.
Volgens Verhoeven kan dat er mogelijk toe leiden dat het NCSC terughoudend zal zijn in het aanraden van bijvoorbeeld encryptietechnologie, die consumenten kan beschermen, omdat dit inlichtingendiensten belemmert bij het bestrijden van terrorisme.
“Ik heb de vrees dat de onafhankelijkheid van het NCSC onder druk kan komen te staan als we steeds meer gaan denken vanuit het oogpunt van terrorismebestrijding, terwijl consumentenbescherming ook heel belangrijk is”, zegt Verhoeven, die toevoegt dat hij nu nog geen signalen ziet voor zulke druk op het NCSC.
De initiatiefnota zal in de komende maanden worden besproken in de Tweede Kamer.