Certificering en keurmerken moeten IoT veiliger maken

Internet of Things-apparaten kunnen organisaties veel bieden, maar ze zijn notoir onveilig. Fabrikanten hebben veel te weinig aandacht besteed aan dit aspect. De Cyber Security Raad probeert hier verbetering in te brengen en pleit voor een keurmerk.

De Cyber Security Raad wil graag dat er een keurmerk komt voor Internet of Things-apparaten (IoT). Dit bepleit de Raad in een rapport. Omdat de beveiliging niet op orde is en fabrikanten ook geen haast maken om dit aan te pakken, moet de overheid volgens het advies het voortouw nemen. De Raad ziet een situatie voor zich van certificering, keurmerken, toegangseisen, transparantie en productaansprakelijkheid. Natuurlijk moet dit gekoppeld worden aan bewustwording en handhaving. Een label op de verpakking moet dan duidelijk maken hoe het apparaat beveiligd kan worden en de overheid moet standaard veiligheidseisen gaan stellen waar leveranciers aan zullen moeten voldoen. Ook moet er een soort meldplicht komen voor apparaten die gehackt zijn en moeten de namen van leveranciers van slecht beveiligde apparaten openbaar worden gemaakt. Eerder stemde de Tweede Kamer al in met een wetsvoorstel om de beveiliging van IoT-apparaten te kunnen testen met een hack.

Europa moet eisen opstellen

Het is niet alleen een Nederlands probleem, omdat veel leveranciers in het buitenland gevestigd zijn. De Raad ziet dan ook graag dat Europa zich buigt over het opstellen van internationale eisen voor de beveiliging van IoT. IoT-apparaten communiceren zelfstandig met elkaar of met externe servers via internet. Ze sturen allerlei informatie door. Organisaties die zulke apparaten gebruiken, koppelen deze aan het bedrijfsnetwerk; denk aan printers of beveiligingscamera’s. Maar de beveiliging van IoT-apparaten stelt vaak weinig voor, waardoor hackers ze kunnen gebruiken als opstapje om het netwerk binnen te dringen.