Wetgever moet veilige digitale infrastructuur afdwingen
Ook in Europa denken ze na over de beveiliging van onze digitale infrastructuur. Zo buigt het Europees Parlement zich op dit moment over de “Cybersecurity Act”. Het wetsvoorstel van de Europese Commissie is een aardig begin, maar kan veel scherper.
Foto: Michel Lebel
De Tweede Kamer praat vandaag met experts over de beveiliging van onze digitale infrastructuur. In Europa doen ze dat dus ook. En daar geven we ze het volgende mee...
Security by default
In de eerste plaats vragen we parlementariërs in te zetten op slimme standaarden: we moeten de drempel voor het veilig houden van onze computersystemen zo laag mogelijk maken. Fabrikanten zouden alleen nog apparaten op de markt moeten mogen brengen als ze kwetsbaarheden ook snel verhelpen. De installatie van beveiligingsupdates moet, zeker bij consumentenproducten, standaard automatisch gebeuren. Ook in meer professionele omgevingen moet hier aandacht voor zijn. Zo komt het voor dat bedrijven na installatie van een beveiligingsupdate eerst het hele systeem weer moeten laten certificeren voor het in gebruik mag worden genomen. Ook dat is een drempel naar optimale veiligheid.
Verplichte certificering van producten
Omdat we de veiligheid van onze kinderen belangrijk vinden, hebben we in Europa veel regels rondom productveiligheid. Speelgoed mag niet gemaakt zijn van giftige materialen of heeft minimumafmetingen zodat een kind er niet kan stikken. Gek genoeg bestaan er niet zulke regels om de veiligheid van onze digitale infrastructuur te waarborgen. Het gevolg is dat onze markt wordt overspoeld met producten die, in digitale zin, bijzonder onveilig zijn en waaraan grote risico’s kleven. Daarom pleiten we voor de introductie van een verplichte certificering, waarmee minimumeisen gesteld kunnen worden aan de beveiliging van digitale producten die je kunt kopen.
Aansprakelijk zijn voor kwetsbaarheden
Vrijwel altijd is de fabrikant van een fysiek product aansprakelijk voor de schade die is ontstaan door het gebruik van het product. Zulke schade kan zijn ontstaan als het product niet de veiligheid biedt die men eigenlijk mag verwachten. Maar die logica passen we alleen toe op fysieke producten en, zeg maar, fysieke schade. Niet bij software. Dat moet anders. Een connected device dat onvoldoende beveiligd is, moet gezien worden als een gebrekkig product en hier het regime van productaansprakelijkheid moeten gelden. Het risico van het op de markt brengen van een connected device dat onvoldoende beveiligd is moet bij de fabrikant ervan liggen, niet bij de eindgebruiker.
We moeten de drempel voor het veilig houden van onze computersystemen zo laag mogelijk maken.
Geen achterdeurtjes in encryptie
Het laatste punt dat we de Europese parlementariërs meegeven: encryptie is belangrijk voor de beveiliging van onze digitale infrastructuur. De toepassing van encryptie is daarmee essentieel voor de bescherming van onze democratische vrijheden en economische groei. Beleidsmakers moeten de ontwikkeling en het gebruik van encryptie dan ook zoveel mogelijk stimuleren. Ze moeten ver wegblijven van het verzwakken van encryptie en zich niet bezig houden met de introductie van achterdeurtjes.
Naschrift (15 februari 2018): de paragraaf over productaansprakelijkheid is herschreven omdat de oorspronkelijke tekst enkele onhandige formuleringen kende. Zo sprak de tekst over "nalatigheid" van fabrikanten in de zin dat fabrikanten soms slordig zijn met de beveiliging van hun producten. Die term "nalatigheid" heeft in een juridische context een bijzondere betekenis als het gaat om productaansprakelijkheid.
Glazenwasser
Die certificering klinkt leuk, maar gaat dat Vrije Software niet belemmeren?
Dat wil zeggen: ik vind dat die certificering alleen betrekking moet hebben op een combinatie van hardware en software (het volledige product, dus).
Als software los wordt beoordeeld, dan kan dat 1) een vertekend beeld geven van de veiligheid, en 2) Vrije Software belemmeren. Je moet bijvoorbeeld nog steeds in staat zijn om de software op het speelgoed van je kind zelf aan te passen.
Aan de andere kant: als de fabrikant een update voor het speelgoed uitbrengt, dan kunnen we denk ik wel eisen dat deze nieuwe combinatie van hardware+software wordt getest.
Hoe dan ook, het is iets om in het achterhoofd te houden bij het maken van deze wetgeving en de bijbehorende lobby.
Ana Alien
Het e-Wiel is al uitgevonden..:
Het draait Al jaaaren in Estland, EU.
Ad Bresser
Dit zijn terechte en vrij zichtbare punten. Er zijn ook een flink aantal veiligheidsproblemen in de Internet netwerk infrastructuur, waarvoor technische oplossingen bekend zijn, maar die niet geïmplementeerd worden en ook niet afgedwongen worden. De voortgang van de zelfcertificering MANRS (http://www.manrs.org/manrs/) gaat zeer langzaam. Enige stimulering hiervan zou de veiligheid van het Internet ook een stuk vergroten!
Overigens heb ik zelf een quickscan gedaan naar de maatregelen om het Internet op IP nivo veiliger te maken:
https://www.linkedin.com/pulse/measures-increase-routing-security-internet-ad-bresser/
Wouter Vos
Overheidsbemoeienis gaat de problemen alleen maar groter maken. Kijk naar de vereiste beveiliging voor online betalingen waardoor Zuid-Korea al sinds 1996 vast zit in IE6.