Strengere eisen aan draadloze cyberveiligheid

Slimme thermostaten, verlichting, deurbellen en zelfs slimme koelkasten. Zonder het soms te beseffen, hebben particulieren een breed scala aan -IoT-apparaten in huis, waarlangs hackers zich toegang kunnen verschaffen. De Europese wetgever heeft daarom eind vorig jaar regels gepubliceerd die de cyberveiligheid van draadloze internetapparaten moet vergroten. ‘Het aanbieden van securitydiensten wordt een interessant verdienmodel voor installateurs.’

Voor de digitale veiligheid van apparaten die met het internet zijn verbonden - het Internet-of-Things (IoT) - komen minimumeisen. Producten die hier niet aan voldoen zijn vanaf medio 2024 op de gehele EU-markt verboden. Vorig jaar liet voormalig minister Stef Blok van Economische Zaken en Klimaat weten dat cyberveiligheid te vaak een sluitpost is voor fabrikanten en importeurs van draadloze apparaten. ‘Dat is niet best,’ zei hij er in één adem achteraan, ‘omdat onveilige internetproducten een ideale toegangsdeur zijn voor criminelen om persoonlijke of bankgegevens buit te maken. Of om de besturing over te nemen, waardoor een apparaat kan worden gebruikt voor een hackaanval op consumenten of bedrijven. Daarom is het essentieel dat het IoT veilig is en vertrouwd kan worden gebruikt. Dat gaat niet vanzelf. Basisveiligheidseisen aan producten op de Europese markt zijn een eerste stap, maar het blijft belangrijk om als consument en bedrijf ook jezelf digitaal te beschermen.’
De nieuwe regels gelden onder meer voor routers, beveiligingscamera’s, slimme thermostaten, koelkasten, verlichting en deurbellen. Het verbod op onveilige apparaten geldt eveneens voor producten als speelgoed en babyfoons: ook als die alleen binnen een thuisnetwerk communiceren. Er zijn naar schatting wereldwijd inmiddels al 35 miljard IoT-apparaten in gebruik.

Geen 0000 meer

Een groot probleem is dat veel apparaten gebruikmaken van slecht beveiligde verbindingen en standaardinstellingen die niet veilig zijn. Ook het uitvoeren van een update is vaak omslachtig, waardoor persoonlijke gegevens en wachtwoorden zijn te hacken. Het is zelfs niet ondenkbaar dat de besturing wordt overgenomen.
Als één van de aanvullende eisen geldt dat slimme apparaten de noodzaak krijgen om een sterk wachtwoord in te stellen voor ingebruikname. Dat zie je dat nu wel vaak bij financiële online diensten, waarbij een minimaal aantal tekens wordt verlangd met een combinatie van cijfers en speciale tekens, maar bij het beveiligen van het mobieltje kan (nog) worden volstaan met vier nullen. Verder moeten de producten straks onder meer software updates ondersteunen, getest zijn op veiligheidslekken, opgeslagen persoonlijke- en financiële gegevens afschermen en de consument de mogelijkheid geven om deze data te beheren en te verwijderen.

Verbetering

Nog even terug naar de opmerking van minister Blok over het tekortschieten van fabrikanten en importeurs op het gebied van cyberveiligheid. Heeft hij daar een punt? Volgens John van Vugt, vakspecialist Elektrotechniek bij Techniek Nederland, is het te kort door de bocht om alle apparatuur in alle toepassingen over één kam te scheren. Van Vugt: ‘Als je bijvoorbeeld kijkt naar IoT-apparatuur in business-to-business-toepassingen, dan worden er wel degelijk kritische cybersecurity-eisen gesteld. Voor een online apparaat dat je als consument aanschaft bij een elektroretailer zijn er waarschijnlijk minder zware eisen het geding.’
‘Als je het hebt over IoT-apparatuur zoals inbraakwerende rolluiken of apparatuur die brandgevaar detecteert, dan zit de cyberveiligheid evenmin altijd goed dichtgetimmerd,’ meent Van Vugt, hoewel het zijn observatie wel is dat er de laatste vijf jaar sprake is geweest van een duidelijke verbetering. ‘Waar nog een uitdaging in zit, is de cyberveiligheid als het gaat om protocollen en samenwerkingsafspraken tussen leveranciers van IoT-apparatuur. Van der Vugt: ‘Als mijn slimme verlichting thuis wordt gehackt dan kan dat niet veel kwaad, maar als er daarmee tevens een verbinding ontstaat naar het daaraan gekoppelde slimme slot, dan ben ik natuurlijk verder van huis. Je kunt ervoor kiezen om apparatuur bekabeld en zonder toegang tot internet aan te leggen, maar de realiteit is natuurlijk dat er steeds meer producten in huis komen met een toegang tot de buitenwereld. Dus dat er strengere regels komen voor ‘huis-tuin-en-keuken’-apparaten, valt dan ook wel te begrijpen.’

Ondergrens

Dat er een ondergrens gaat gelden voor een sterk wachtwoord bij ingebruikname, vindt Van Vugt toe te juichen, evenals de aanvullende eisen wat betreft de updates voor de security van het product. ‘Je kunt als fabrikant aangeven dat het aan te schaffen product voldoet aan de huidige kwaliteitseisen, terwijl dat in een later stadium wordt aangevuld met beveiligingsupdates. Als het product verouderd raakt en niet meer voldoet, dan dien je dat als fabrikant ook aan te geven. Dat gebeurt bijvoorbeeld ook met smartphones. Na jarenlang gebruik en vele updates later, wordt er gecommuniceerd dat het systeem niet meer wordt ondersteund door de fabrikant. Dat gaat dan straks ook gelden voor overige IoT-apparatuur.’

Hamvraag

Dat de overheid kritischer gaat toezien op de security van IoT-apparatuur is één ding, maar de hamvraag is natuurlijk vooral hoe de installateur daarvan kan profiteren, zijn klanten kan ontzorgen en meerwaarde kan bieden? Van Vugt: ‘Er bestaan wel degelijk interessante aanknopingspunten voor uitbreiding van de dienstverlening. Enerzijds kan de installateur zich laten zien als adviseur bij de aanschafkeuze van producten en systemen op basis van de getoonde behoefte. Hij kan daarbij de klant begeleiden bij de mate van veiligheid. En anderzijds kan dit ook een impuls zijn voor het bieden van securityondersteuning op afstand. Dan werpt de installateur zich niet alleen op voor advies voor de elektrische installatie, maar kan hij ook op afstand ondersteuning geven aan apparatuur die onderling of naar buiten toe communiceren.’
Daarbij komen volgens hem dan wel ook privacy-issues om de hoek kijken. ‘Daar moeten wel goed dichtgetimmerde afspraken over komen. Hiervoor is het nodig om de geldende regels op het gebied van privacy en regelgeving te kennen en toe te passen en deze vast te leggen in overeenkomsten. Voor installateurs die bezig zijn met home en building automation kent deze materie inmiddels geen geheimen meer. De strengere Europese regels kunnen voor andere installateurs nu een kans zijn om deze materie op te pakken.’
Cybersecurity wordt steeds meer onderdeel van de propositie van de installateur, omdat er steeds meer apparatuur bijkomt die met de buitenwereld communiceert. Van Vugt: ‘Daarnaast hebben we te maken met maatschappelijke trends die deze ontwikkelingen beïnvloeden. In de coronaperiode is het gros van de werknemers bekend geraakt met hybride werkvormen: op thuiswerkplekken is apparatuur bijgekomen om communicatie met de buitenwereld te vergemakkelijken. Ook de trend om tot op hoge leeftijd thuis te wonen, stimuleert het aantal IoT-apparaten.’

Steeds meer overlap

Waar Van Vugt ook aandacht voor wil vragen, is het steeds verder in elkaar grijpen van de business-to-business- en de consumentenmarkt. Die overlappen elkaar steeds meer, benadrukt hij. ‘Als je een slimme plug- & play-deurbel aanschaft en die uitsluitend gebruikt om met een cameraatje te kijken wie er voor de deur staat, dan is dat minder aan de orde, Maar als je diezelfde deurbel ook koppelt aan automatische verlichting die aan moet gaan, dan komt daar een stuk installatietechniek om de hoek kijken. Dat is meer het werk voor de professionele installateur.’
De installateur kan zich bij wijze van spreken opwerpen als leverancier voor security-as-a-service. Afhankelijk van de benodigde veiligheidseisen, het aantal producten of het schakelen van vermogens, is de installateur steeds vaker de aangewezen persoon om security in de woon- en werkomgeving te waarborgen.