Blog: Een veilig internet of Security Things

​​​​​​​

We vinden het normaal dat aangekochte apparatuur op het internet aangesloten moet worden om te kunnen functioneren én om ons ‘comfort’ te bieden. Dat geldt voor huishoudelijke apparaten, maar ook voor vitale systemen, zoals procesinstallaties en beveiligingsapparatuur en -systemen. Die internetverbinding maakt vitale techniek wel gevoelig voor cybercrime (ongenode inbreuken als DDOS, ransomware, etc.) en dat is iets waarmee vaak te weinig rekening gehouden wordt. Als de gebruiker zelf voor de beveiliging moet zorgen, komt daar in de regel weinig van terecht. Niet vanwege onwil, maar vanwege onbekendheid met de dreigingen, de risico’s. Een fabrikant, leverancier of installateur behoort die dreigingen, risico’s en de bijbehorende maatregelen wel te kennen, maar komt daar niet altijd mee naar voren als de klant ‘er niet om vraagt’.


De EU wil deze situatie veranderen en fabrikanten verantwoordelijk maken voor goede (lees: betere) (cyber)beveiliging van hun producten. Zoals er nu al een verplicht CE-keurmerk is, zodat mensen zich bijvoorbeeld niet makkelijk kunnen verwonden aan een product. De dit jaar aangenomen 'Delegated Act' gaat er vanaf 2024 voor zorgen dat onveilige producten niet langer in de EU verkocht mogen worden. Deze 'Delegated Act' is een uitbreiding van de Radio Equipment Directive (RED) (2014/53/EU), de Europese wetgeving voor radio- en andere zendapparatuur. In de artikelen 3.3 sub d, e en f van de RED wordt geregeld dat producten geen nadelig effect hebben op het netwerk waarop ze worden aangesloten, dat ze geen persoonlijke gegevens van de gebruiker kunnen ‘lekken’ en dat ze criminelen geen kans geven om de gebruiker op te lichten of te hacken.


De 'Delegated Act' is zeker ook van toepassing op beveiligingsapparatuur. De laatste jaren is de beveiliging daarvan steeds beter geworden, maar er zijn nog altijd duizenden bewakingscamera’s die ‘beveiligd’ zijn met een fabriekswachtwoord. Met die standaard wachtwoorden zijn beelden makkelijk door derden zijn te bekijken of openbaar te maken. De website www.insecam.org geeft voldoende voorbeelden. Het gaat om camera’s uit de bouwmarkt, maar soms ook om professionele systemen die door de installateur beveiligd hadden moeten worden. Enkele fabrikanten hebben inmiddels geregeld dat hun producten pas functioneren nadat een sterk wachtwoord is ingesteld. Fabrikanten die dat nog niet hebben gedaan, hebben daar nog tot medio 2024 de tijd voor. 


Wat mij betreft mag ook verplicht worden dat bestaande installaties bij klanten worden aangepast. Voor onze sector is de nieuwe regelgeving eigenlijk nog niet streng genoeg. De EU gaat uit van slimme deurbellen, thermostaten en wasmachines. Natuurlijk is het vervelend als deze gehackt worden, maar bij beveiligingsapparatuur heb je met professionele tegenstanders te maken en met vergaande consequenties als die tegenstanders slagen in hun opzet. Een extra goede beveiliging, zoals in het elektronisch betalingsverkeer, zou voor wat betreft beveiligingsapparatuur dus passender zijn. Zeker als het gaat om high risk-objecten, maar een zwak beveiligd camerasysteem in een sauna is ook beslist onwenselijk. 


Maar alles op zijn tijd. De eerste stap naar een veiliger Internet of Things is in ieder geval gezet, al moet de nieuwe wetgeving nog wel goedgekeurd worden door de Europese Raad en het Europees Parlement. Ik schat de kans echter zeer klein in dat dit - niet - zal gebeuren. Er dienen nog wel andere zaken geregeld te worden. Zo is nog harmonisatie van de conformiteitsbeoordelingsnormen nodig. Voorlopig zijn de ETSI EN 303 645 of IEC 62443 -4- -2-normen van toepassing. Fabrikanten die nu al willen dat hun producten ‘2024-proof’ zijn, kunnen deze conform deze normen laten toetsen door onafhankelijke test-, inspectie- en certificeringsinstanties. Ik beveel van harte aan om daar niet tot 2024 mee te wachten. Want als iets ‘cyber secure’ moet zijn is dat toch wel beveiligingsapparatuur bij bedrijven, overheden en particulieren. Bij u en mij!


Boele Staal

Algemeen Voorzitter Federatie Veilig Nederland


November 2021

Bezoekadres
Zilverstraat 69, 2718 RP Zoetermeer
Postadres
Postbus 840, 2700 AV Zoetermeer
Telefoon
079 - 203 50 15
E-mail
info@federatieveilignederland.nl
 
 
volg ons

Technologie in brandveiligheid & beveiliging