Door allerlei maatregelen van het kabinet en Brussel komen er in de toekomst minder onveilige apparaten in omloop. Dat betekent nog niet dat onze samenleving optimaal beveiligd is tegen hackers en cybercriminelen. Consumenten en bedrijven blijven oude apparatuur gebruiken, waar continu nieuwe beveiligingslekken worden ontdekt. Cybersecurityexperts pleiten ervoor dat de overheid actief op zoek gaat naar onveilige smart devices en Internet of Things (IoT) toepassingen die op internet zijn aangesloten.
Dat zeggen beveiligingsspecialisten tegen de NOS (1).
Routers, netwerkschijven, slimme deurbellen, smart speakers (2), beveiligingscamera’s: steeds meer apparaten zijn vandaag de dag verbonden met het internet. En hoewel deze apparatuur ons leven aangenamer maakt, brengt het ook gevaren met zich mee. Als deze producten niet goed beveiligd zijn of fabrikanten geen updates uitbrengen, vergroot dat de aanvalsoppervlakte van hackers en cybercriminelen. Of anders gezegd, het is een nieuwe ingang om toegang te krijgen tot je thuis- of bedrijfsnetwerk, en daarmee tot al je persoonlijke gegevens en andere data.
Dit besef is doorgedrongen tot de politie. Daarom gelden er vanaf 2024 strengere veiligheidseisen (3) voor slimme apparaten en IoT-toepassingen. Dergelijke producten mogen vanaf dan niet langer standaard een zwak wachtwoord gebruiken. Verder moeten ze getest zijn op veiligheidslekken, opgeslagen persoonlijke en financiële informatie afschermen en consumenten en organisaties de mogelijkheid geven om deze data te beheren en beschermen.
Ook Nederlandse beleidsmakers proberen consumenten en het bedrijfsleven zo goed mogelijk te beschermen voor de gevaren van onveilige producten. In april van dit jaar benoemde het kabinet Agentschap Telecom tot de Nationale Cybersecurity Certificeringsautoriteit (NCCA) (4).
“Dit nieuwe stelsel maakt voor iedereen inzichtelijk hoe veilig en weerbaar producten en diensten zijn. De consument kan straks een bewustere keuze maken: kies ik voor een gecertificeerd product, of niet? Gecertificeerde producten zijn veiliger in gebruik en weerbaarder tegen cybercriminaliteit”(5), zei Angelina van Dijk, directeur-hoofdinspecteur van Agentschap Telecom, over de benoeming tot NCCA.
Daarnaast gaan Agentschap Telecom en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) nauwer samenwerken (6) op het vlak van cybersecurity. Gezamenlijk kijken ze of digitale producten en diensten die in ons land worden aangeboden voldoen aan minimale veiligheidseisen. Ze kijken onder meer of de bijgevoegde documentatie in orde is, hoe het ontwikkel- en ontwerpproces plaatsvonden, en ze kijken naar de productiemethode en testprocedures. Producten die een certificaat ontvangen, zijn veilig in gebruik en weerbaarder tegen cyberaanvallen en andere digitale dreigingen.
Allemaal goede initiatieven, zo vinden beveiligingsexperts. Maar dat betekent nog niet dat ons land vanaf 2024 beschermd is tegen hackers en internetcriminelen. Cybersecurityexpert Matthijs van Ommeren van Zerocopter vergelijkt het met de ‘sjoemeldiesels’ van Volkswagen. “De auto’s uit het dieselschandaal waren ook gecertificeerd. Het halen van een certificering is iets anders dan het maken van een veilig apparaat”, zo benadrukt hij.
Michel van Eeten , hoogleraar computerbeveiliging aan de TU Delft, is ook niet direct enthousiast. “De nieuwe regels gaan voorkomen dat er nieuwe onveilige apparaten op de markt komen, maar er staan al honderdduizenden en misschien miljoenen van die slimme apparaten in Nederland. Daarin worden continu nieuwe softwarelekken ontdekt”, zegt hij tegen de NOS. Het is dweilen met de kraan open.
Uit een rondgang van de omroep blijkt dat niemand bij de overheid structureel bezig is om onveilige smart devices die met internet zijn verbonden op te sporen. Veel hackers en cybercriminelen doen niets anders dan dergelijke zwakheden opsporen. Als ze deze eenmaal hebben gevonden, kunnen ze deze misbruiken om DDoS-aanvallen (7) uit te voeren, ransomware (8) of andere malware (9) te verspreiden of een spamnetwerk op te zetten.
Van Eeten heeft in samenwerking met het ministerie van Economische Zaken en Klimaat een honeypot of digitale lokdoos gebouwd om onveilige apparaten op te sporen. “Als je ziet dat een apparaat wordt gehackt, kun je naar een fabrikant stappen met bewijs dat hij verzaakt”, aldus de hoogleraar. Het project is inmiddels ten einde en draait momenteel als vrijwillig initiatief.
Net als Van Eeten denkt Van Ommeren dat het opsporen van onveilige apparatuur die op internet is aangesloten beter werkt dan het uitdelen van certificaten.
PhD-kandidaat Elsa Rodriguez stelt dat consumenten smart devices niet zien als kleine computers, maar als gebruiksapparaten. “Je sluit het aan, en het doet wat het moet doen, denken mensen. Maar het is net als met een gewone computer: er zijn gewoon risico’s.” Volgens haar helpt het als producenten standaardgebruikersnamen en -wachtwoorden aanpassen.
https://nos.nl/artikel/2449517-onveilige-slimme-apparaten-straks-van-de-markt-geweerd-maar-risico-s-blijven
https://www.vpngids.nl/privacy/devices/privacyrisicos-smart-speaker/
https://www.vpngids.nl/nieuws/eu-stelt-minimale-veiligheidseisen-aan-iot-apparaten/
https://www.vpngids.nl/nieuws/agentschap-telecom-benoemd-tot-certificeringsautoriteit/
https://www.vpngids.nl/veilig-internet/cybercrime/
https://www.vpngids.nl/nieuws/agentschap-telecom-en-aivd-gaan-samenwerken-op-cybersecurity/
https://www.vpngids.nl/veilig-internet/cybercrime/wat-is-een-ddos-aanval/
https://www.vpngids.nl/veilig-internet/malware/wat-is-ransomware/
https://www.vpngids.nl/veilig-internet/malware/