Veel IoT-apparatuur is onveilig en vormt een cyberrisico voor de samenleving. Agentschap Telecom pleit voor snelle invoering van cybereisen.
Waar en wanneer dan ook: internet is er altijd en overal. We staan in contact met familie en vrienden via Snapchat, Facebook en Instagram. Via smart wearables houden we onze gezondheid in de gaten. Met een rij-stijl-app in de auto krijg je korting op je verzekering. Via Tikkie, waar 2 miljoen Nederlanders gebruik van maken, versturen we elkaar betaalverzoeken. Het aantal online aankopen met een smartphone steeg in 2017 met 72% naar 25,5 miljoen (van de 202 miljoen online bestellingen in totaal).
We staan nu voor een volgende doorbraak. Steeds meer apparaten, anders dan smartphones, worden verbonden met het internet. Deze apparaten noemen we Internet of Things-apparatuur (IoT). Een voorbeeld hiervan is het slimme fietsslot, dat detecteert of je fiets gestolen wordt en het mogelijk maakt om hem op te sporen. Of een drone die meet waar de boer extra kunstmest moet toevoegen en waar juist niet. In 2017 zijn er al meer apparaten verbonden dan mensen, en Gartner voorspelt 20 miljard IoT-apparaten in 2020: een nieuwe wereld waarin slimme apparaten communiceren met elkaar.
De keten is zo sterk als de zwakste schakel
Veel overheidsinspanning is de afgelopen jaren terecht gaan zitten in het veilig maken en houden van onze digitale infrastructuur. Agentschap Telecom draagt daaraan bij door onder andere het toezicht op elektronische identiteiten en authenticatie en wordt toezichthouder van een groot deel van de digitale infrastructuur vanuit de nog te accorderen wet Beveiliging Netwerk- en Informatiesystemen. Aan het begin en eind van de digitale keten treffen we de eindapparatuur (ook wel randapparatuur genoemd) aan. Dit zijn alle apparaten die aangesloten zijn op een telecommunicatienetwerk. Voorbeelden zijn het IoT-apparaat, de mobiele telefoon of de router. Als deze schakel niet sterk genoeg is, dan heeft de hele keten daaronder te lijden. Een steeds groter deel van deze eindapparatuur wordt gevormd door deze IoT-apparaten.
Veiligheid essentieel
Al die IoT-apparaten maken ons leven aangenamer, maar het gebruik ervan heeft ook risico’s. Veel van deze apparatuur is namelijk nog onveilig. Vaak omdat software verouderd is en updates en patches niet worden uitgevoerd. Dat maakt apparatuur kwetsbaar voor ongewenste toegang en cyberinfecties. Het apparaat is dan op afstand te bedienen en cybercriminelen kunnen informatie in een apparaat opvragen of veranderen. En wie de sleutel heeft tot één apparaat kan ook bij alle andere exemplaren van dat type naar binnen. Net als een infectie in je lichaam, die klein begint en uitbreidt tot levensbedreigende omvang, zo kunnen enkele onveilige apparaten het gehele netwerk infecteren.
En daarmee alle systemen en processen die daar gebruik van maken. En dat zijn er tegenwoordig nogal wat. Energie, landbouw, industrie, logistiek en zorg zijn voorbeelden van sectoren waar een deel van de bedrijfsprocessen al volledig geautomatiseerd verloopt. Onveilige apparatuur vormt daarom een gevaar voor het functioneren van een groot deel van onze samenleving.
Meer voorlichting
Gebruikers weten vaak niet welke apparatuur veilig is en welke niet. Zij zijn zich bovendien niet bewust van de mogelijkheden die ze zelf hebben om hun cyberveiligheid te vergroten. Het agentschap ziet een groeiend maatschappelijk besef van de cyberdreiging. Meer voorlichting is gewenst om als maatschappij met deze dreiging om te leren gaan. Agentschap Telecom is van mening dat deze voorlichting geïntensiveerd en concreet gemaakt moet worden om handelingsperspectief te bieden voor de consument. Daarmee kan het risico verminderd worden in afwachting van meer structurele maatregelen.
Aanvullende regels nodig
Want voorlichting alleen is niet voldoende. Om de digitale dreiging het hoofd te bieden riep Agentschap Telecom bedrijven, overheden en industrie eerder op hun maatschappelijke verantwoordelijkheid te pakken. Het agentschap pleitte daarbij voor aanvullende richtlijnen en standaarden voor beveiliging van apparatuur.
Pleidooi voor snelle invoer van minimumeisen
Gelukkig zijn de Europese Commissie (EC) en het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) ook voorstander van aanvullende regelgeving, kwaliteitseisen en certificering van IoT-apparatuur. Agentschap Telecom pleit voor het introduceren van minimum eisen waaraan IoT-apparatuur moet voldoen. Samen met de industrie kunnen we er op die manier voor zorgen dat IoT-producten die op de markt komen, in de basis veilig zijn en veilig blijven. Onveilige apparatuur kan dan bovendien van de markt worden verwijderd door de toezichthouder. Op deze manier werken we aan een veilige basis voor het gebruik van de IoT-apparaten en van de digitale infrastructuur.
CE-markering bewezen effectief
Het systeem van normalisatie en toezicht op apparatuur-eisen (CE-markering) is succesvol toegepast bij het veilig maken van radioapparaten op het gebied van onder andere interferentie, bescherming van de gezondheid en elektromagnetische compatibiliteit. Uitbreiden van dit stelsel met cybereisen is daardoor een snelle en effectieve oplossing om het gebruik van IoT-apparatuur veiliger te maken. Deze oplossing is prominent in beeld binnen Europa en Nederland.
Minimumeisen vormen de basis van het stelsel. In aanvulling daarop kan certificering helpen om de cyberveiligheid van de producten verder te vergroten. De Europese Commissie heeft ook voorstellen gedaan in de ‘Cybersecurity Act’ voor certificering van apparatuur en diensten. In Nederland noemt het ministerie van Economische Zaken en Klimaat zowel de oplossing van certificering als het voldoen aan een CE-markering voor IoT-apparatuur in de Roadmap Digitaal Veilige Hard- en Software.
Gezien de enorme groei van IoT-apparaten, zal deze oplossingsrichting snel in Europa moeten worden ingevoerd. Agentschap Telecom zal zich in 2018 en verder vanuit de kennis en ervaring met dit stelsel extra gaan inzetten voor de cyberveiligheid van apparatuur.
En de huidige onveilige apparatuur dan?
Totdat de nieuwe regelgeving van kracht is heeft de maatschappij last van een grote hoeveelheid onveilige apparaten. Agentschap Telecom roept de sector op om te kijken of er nu al afspraken gemaakt kunnen worden om onveilige apparatuur op te sporen en leveranciers en eindgebruikers hierover te informeren. Denk hierbij aan een vrijwillig keurmerk. Hier kan een monitor van onveilige apparatuur bij helpen. Ook zouden telecomaanbieders een bijdrage kunnen leveren aan het bestrijden van onveilige apparatuur door deze in hun netwerken te detecteren. Deze maatregelen zijn ook voorgesteld in de Roadmap Digitaal Veilige Hard- en Software van ons ministerie.