Minimumeisen aan digitale veiligheid ‘slimme’ apparaten
AlgemeenVoor de digitale veiligheid van apparaten die met het internet zijn verbonden - het zogenoemde Internet-of-Things (IoT) - komen minimumeisen. Producten die hier niet aan voldoen, zijn vanaf medio 2024 op de gehele EU-markt verboden.
Het Nederlandse kabinet heeft zich in Europa stevig ingezet voor de vrijdag 29 oktober 2021 aangekondigde Europese maatregelen om consumenten en bedrijven actief te beschermen tegen cyberaanvallen.
Draadloos met internet verbonden
De nieuwe regels gelden voor alle draadloze communicerende apparaten die met het internet zijn verbonden, zoals beveiligingscamera’s, slimme thermostaten, koelkasten, verlichting, routers, en ook deurbellen. Het verbod op onveilige apparaten geldt eveneens voor producten als speelgoed en babyfoons: ook als die alleen binnen een thuisnetwerk communiceren. Er zijn naar schatting inmiddels al 35 miljard IoT-apparaten wereldwijd.
Alleen ‘sterke’ wachtwoorden
Dergelijke slimme apparaten mogen straks niet meer met zwakke, standaard wachtwoorden zijn uitgerust: een consument moet eerst zelf een sterk wachtwoord instellen voor ingebruikname. Ook moeten de producten onder andere software-updates ondersteunen, getest zijn op veiligheidslekken, opgeslagen persoonlijke- en financiële gegevens afschermen en de consument de mogelijkheid geven om deze data te beheren en te verwijderen.
“Toegangsdeur voor criminelen”
Minister Stef Blok (Economische Zaken en Klimaat): “Cyberveiligheid is te vaak een sluitpost voor fabrikanten en importeurs van draadloze apparaten. Tegelijkertijd zien we dat juist deze onveilige producten een ideale toegangsdeur zijn voor criminelen om persoonlijke of bankgegevens buit te maken. Of om de besturing over te nemen, waardoor een apparaat kan worden gebruikt voor een hackaanval op andere consumenten of bedrijven.”
Daarom is het volgens Blok noodzakelijk dat het IoT veilig is en vertrouwd kan worden gebruikt. Dat gaat niet vanzelf. Basis-veiligheidseisen aan producten op de Europese markt zijn een eerste stap, maar het blijft belangrijk om als consument en bedrijf ook jezelf digitaal te beschermen.”
Onveilige verbindingen en instellingen
Veel apparaten maken nu nog gebruik van slecht beveiligde verbindingen en standaardinstellingen die niet veilig zijn. Het uitvoeren van een update is vaak omslachtig. Hierdoor zijn persoonlijke gegevens of zelfs wachtwoorden te bekijken en kan de besturing worden overgenomen. Dat maakt apparaten kwetsbaar voor ‘infecties’ en ongewenste toegang. Ook kunnen criminelen via thuiswerkende consumenten toegang krijgen tot bedrijfsnetwerken.
Basisveiligheidseisen
Het kabinet heeft eerder via de Roadmap Digitaal Veilige Hard- en Software mogelijke maatregelen voorgesteld, zoals basisveiligheidseisen. Deze zijn nu voor een belangrijk deel overgenomen in het vandaag aangekondigde besluit onder de Europese Radio Equipment Directive. Dit besluit betreft een verordening waarover de EU Raad van Ministers en het Europees Parlement nog een oordeel kunnen geven.
Cyberveiligheid moet beter
Nederland blijft zich in de EU hard maken voor het invoeren van standaarden en certificering van digitale diensten, producten en software om de cyberveiligheid van de digitale economie breed op een hoger niveau te brengen.
Gebruik IoT-apparatuur, maar bewust
Gebruikers van IoT-apparatuur kunnen zelf veel doen om hun apparatuur minder kwetsbaar te maken voor ongewenste toegang en cyberaanvallen. Voer als consument of bedrijf regelmatig updates uit, kies een sterk wachtwoord, deel zo min mogelijk informatie met het apparaat en koppel het apparaat niet onnodig aan een thuis- of bedrijfsnetwerk. Veel apparaten hoeven voor gebruik niet eens voortdurend met het internet verbonden zijn.