Eindelijk IoT beveiligingsmaatregelen vanuit de overheid
Enkele maanden geleden schreef ik een blog over de regulatie van kunstmatige intelligentie, iets waar veel over te doen is geweest. De Europese Unie was op dat moment één van de eerste overheidsinstanties die actief beperkende wetgeving instelde op dit vlak. Zo vergeleek ik de manieren waarop verschillende landen met deze materie omgaan:
“Dit spanningsveld heeft al geleid tot behoorlijk uiteenlopend beleid op verschillende plekken in de wereld. Zo is er in Azië, en met name in China, bijzonder veel mogelijk. Er wordt hier aangemoedigd en zelfs met lichtelijke dwang geleid richting het ontwikkelen van slimme initiatieven. Logisch, ook, met de Chinese overheid als grootaandeelhouder in allerhande surveillance en crowd control-technologie.
Amerika, aan de andere kant, blijft ook dicht bij haar eigen waardes – en heeft vooralsnog besloten om bedrijven geheel vrij te laten en geen regels in te stellen. ‘The land of the free’ bewijst nogmaals dat de mogelijkheden eindeloos zijn en bedrijven hier vrij ver in mogen gaan om te bepalen wat zij nodig achten.
Het was onvermijdelijk dat de Europese Unie zou volgen met haar eigen beleid – en wat veel sceptici al vreesden is bewaarheid geworden. Waar de andere economische en politieke grootmachten nog zelf een vinger in de pap proberen te krijgen of de ontwikkeling juist geheel aan de vrije markt laten, zal het Europese blok hoogstwaarschijnlijk de eerste worden die bepaalde vormen van risicovolle kunstmatige intelligentie systemen aan banden legt.”
Toen al werd duidelijk dat de Europese Unie, in tegenstelling tot de Verenigde Staten die het geheel ‘vrij’ laat en China die het zelf in handen houdt, van plan was om beperkende wetgeving op te leggen. Zo moest de groei van kunstmatige intelligentie wat ingedamd worden en konden bepaalde producten van de markt geweerd worden die niet voldoen aan de gestelde veiligheidseisen.
Dit voornemen werd nog duidelijker toen eerder deze maand aangekondigd werd dat de Europese Unie nu ook strenge beveiligingseisen wil stellen aan slimme apparaten. Zo besloot de Europese Commissie dat er vanaf halverwege 2024 strenge regels ingevoerd worden voor alle Internet of Things-apparaten die in de Europese Unie aangeboden mogen worden.
Zo moeten IoT-apparaten makkelijker ge-update kunnen worden, getest zijn op kwetsbaarheden, en dienen persoonlijke en financiële gegevens altijd adequaat beveiligd te worden. Hieronder vallen ook video- en fotobeelden, als het apparaat deze maakt. Verder moeten gebruikers zelf hun data kunnen beheren en verwijderen.
Als belangrijkste van deze zogenaamde basisveiligheidseisen geldt de norm voor wachtwoorden. Zo wordt het gebruik van standaard wachtwoorden – en wachtwoorden die vooraf al ingesteld worden – verboden. In plaats daarvan moet een gebruiker zelf bij het eerste gebruik een sterk wachtwoord instellen. Zwakke wachtwoorden worden dus ook verboden.
“Cyberveiligheid is te vaak een sluitpost voor fabrikanten en importeurs van draadloze apparaten. Tegelijkertijd zien we dat juist deze onveilige producten een ideale toegangsdeur zijn voor criminelen om persoonlijke of bankgegevens buit te maken. Of om de besturing over te nemen, waardoor een apparaat kan worden gebruikt voor een hackaanval op andere consumenten of bedrijven. Daarom is het essentieel dat het IoT veilig is en vertrouwd kan worden gebruikt. Dat gaat niet vanzelf. Basis veiligheidseisen aan producten op de Europese markt zijn een eerste stap, maar het blijft belangrijk om als consument en bedrijf ook jezelf digitaal te beschermen,” aldus minister Stef Blok van Economische Zaken en Klimaat.
De nieuwe regels gaan gelden voor alle apparatuur die tot het Internet of Things behoren. Denk aan routers, beveiligingscamera’s, slimme thermostaten, wearables, koelkasten, verlichting en deurbellen, om maar een paar te noemen. Maar ook de apparaten die in het verleden veel in het nieuws zijn gekomen vanwege beveiligingsrisico’s vallen hieronder: babyfoons en speelgoed, bijvoorbeeld. De strenge maatregelen gelden ook voor apparaten die alleen binnen een thuisnetwerk communiceren.
Het is, mijn inziens, hoog tijd dat dergelijke maatregelen aangekondigd worden. Inmiddels zijn er naar schatting zo’n 35 miljard IoT-apparaten wereldwijd – en is de verwachting dat dit aantal in de komende jaren flink zal stijgen. Juist dit gegeven maakt het zo belangrijk dat er goed gekeken wordt naar de beveiliging ervan. Ook omdat dergelijke apparaten het doelwit zijn van meer dan 80% van de cyberaanvallen.
Op rijksoverheid.nl wordt het belang hiervan ook nog eens onderstreept:
Veel apparaten maken nu nog gebruik van slecht beveiligde verbindingen en standaardinstellingen die niet veilig zijn. Het uitvoeren van een update is vaak omslachtig. Hierdoor zijn persoonlijke gegevens of zelfs wachtwoorden te bekijken en kan de besturing worden overgenomen. Dat maakt apparaten kwetsbaar voor infecties en ongewenste toegang. Ook kunnen criminelen via thuiswerkende consumenten toegang krijgen tot bedrijfsnetwerken.
De nieuwe maatregelen gaan dit tegen – en vanaf medio 2024 zal ieder product dat hier niet aan voldoet geweerd worden van de Europese markt. Dit betekent dat fabrikanten nog ruim twee jaar de tijd hebben om hun producten ‘gereed’ te maken.
Daarnaast betekent het dat er waarschijnlijk minder geïmporteerd kan worden uit China, waar nu de bulk van onveilige – vaak goedkope – producten vandaan komt.
In de tussentijd kun je als gebruiker ook al verschillende dingen doen om je IoT apparatuur veiliger te maken. Zo is het aan te raden om updates altijd tijdig uit te voeren, een sterk wachtwoord in te stellen dat je regelmatig wijzigt, de informatie te beperken die het apparaat op mag slaan, en niet zomaar het apparaat met je thuis- of werknetwerk te verbinden. “Veel apparaten hoeven voor gebruik niet eens voortdurend met het internet verbonden te zijn,” concludeert Blok dan ook.