D66 wil keurmerk voor beveiliging IoT-apparaten

De partij wil dat slecht beveiligde internet-of-things-apparaten uiteindelijk worden verboden.

Kees Verhoeven, Kamerlid voor D66. Bart Maat / ANP

D66 wil een Nederlands keurmerk voor de beveiliging van ‘slimme’ apparaten, zoals thermostaten die met de smartphone te bedienen zijn. Dat keurmerk moet er zijn tot op Europees niveau regels worden opgesteld voor de veiligheid van dit soort apparaten. D66 wil dat onveilige ‘slimme’ apparaten uiteindelijk op Europees niveau worden verboden.

Volgens de partij zijn er inmiddels 600 miljoen consumentenapparaten aangesloten op het internet. “Deze apparaten worden vaak slecht beveiligd, waardoor ze kwetsbaar zijn voor hackers”, zegt D66-Kamerlid Kees Verhoeven die de initiatiefnota maandag indient. “De Europese Commissie doet momenteel onderzoek naar het eventueel opstellen van regels.” Verhoeven wil daar niet op wachten. “Dat duurt te lang bij zoiets belangrijks als veilig internet.”

Een groeiend aantal consumentenartikelen wordt op internet aangesloten. “Dat gaat van tandenborstels tot koelkasten, tot zelfs luiers voor baby’s om te kijken of het kind al geplast heeft”, zegt Verhoeven. Hackers die inbreken bij zogeheten smart home-apparaten kunnen persoonlijke informatie stelen en gadgets op afstand overnemen. Zo zijn er bijvoorbeeld websites waar bezoekers kunnen meekijken door camera’s bij nietsvermoedende mensen thuis, bijvoorbeeld in de slaapkamer van kinderen. “Veel mensen zijn zich daar niet van bewust van”, zegt Verhoeven.

Cyberaanvallen

Naast het ongemak van hackers die de besturing van huishoudelijke apparaten overnemen, leveren gehackte apparaten ook grotere problemen op. Hackers kunnen met een zogeheten botnet, een netwerk van veel geïnfecteerde apparaten, spam versturen of websites platleggen. De bots zijn meestal slecht beveiligde pc’s, maar ook computers in routers en webcams worden ingezet.

Bij de minimumveiligheidseisen denkt D66 aan een standaard voor de versleuteling van gegevens, eisen aan het standaardwachtwoord, het doorvoeren van software-updates en een duidelijke handleiding voor gebruikers. “In de Verenigde Staten zijn IoT-apparaten doorgaans al veiliger, bedrijven zijn daar verplicht om specificaties van apparaten te melden in een openbaar register van de FCC, een toezichthouder”, zegt Verhoeven.

‘Veel discussie’

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen, zegt in een reactie tegenover NRC dat hij vindt dat het initiatief de “verantwoordelijkheid op de juiste plek legt”.

“Namelijk bij de partijen die werkelijk iets aan het probleem kunnen doen. Te vaak wordt er gezegd dat het zelfbewustzijn van consumenten vergroot moet worden, maar daar schiet je niet zo veel mee op. Het zijn de fabrikanten die inderdaad voor beter beveiligde producten moeten zorgen, en voor langdurig onderhoud van de software.”

Toch is de wetenschapper geen fan van het voorgestelde keurmerk. Zelf ziet hij meer in het versterken van zorgplichten in de ICT.

“In de snel veranderende ICT-wereld werkt het volgens mij niet om één set regels op te stellen waar alle IoT-apparaten aan moeten voldoen. Dan krijg je veel discussie en de regels zijn snel weer achterhaald. Zorgplichten, de verplichting om zorgvuldig om te gaan met de belangen van anderen, bestaan al in andere sectoren - denk aan banken. Ze zijn minder star omdat ze met open normen werken die in individuele gevallen ingevuld worden, bijvoorbeeld via rechtszaken. Het dwingt fabrikanten er ook toe om zelf na te denken of ze hun klanten wel goed beschermen, in plaats van zich enkel af te vragen of ze een inmiddels achterhaald keurmerk kunnen krijgen.”

Verhoeven schrijft in de nota dat hij het effect van een openbaar register, zoals in de VS, wil onderzoeken en indien gewenst een dergelijke Europees register wil oprichten. “Dit kan eventueel input leveren voor de aanscherping van het keurmerk.”