14 februari 2023 door: Jelle Verweij consultant bij Stratix
Met het aantal verbonden apparaten nemen ook de zorgen toe over mankerende cyberbeveiliging. De Europese Commissie komt in actie, signaleert Jelle Verweij.
Het is tegenwoordig moeilijk om een straat te vinden zonder slimme deurbellen. Nederlanders kopen babyfoons met een app en een slimme thermostaat die je na de vakantie in een warm huis thuis laat komen. Zulke apparaten zijn voor de hoofdprijs te koop bij gerenommeerde merken, maar vaak heel goedkoop te vinden op internet. Veel consumenten geven logischerwijs de voorkeur aan de goedkopere variant, maar zijn meestal niet bewust van de risico’s die hieraan kleven.
Goedkopere apparaten zijn vaak minder goed beveiligd of zelfs eenvoudig te hacken. Niet alleen particulieren, maar ook organisaties kopen regelmatig de goedkopere variant in en zijn zodoende vatbaarder voor bijvoorbeeld ransom-aanvallen. Je data wordt dan gegijzeld en hopelijk weer vrijgegeven na betaling van losgeld, vaak in bitcoin.
Het onderscheid tussen deugdelijke producten en, mogelijk, onveilige producten is niet altijd even duidelijk. Veel gebruikers zijn zich niet bewust van mogelijke beveiligingsrisico’s en zelfs organisaties binnen de overheid maken nog vaak de makkelijke, goedkope keuze.
Cyberveiligheid is grote kostenpost
Om consumenten beter te beschermen tegen dergelijke risico’s heeft de Europese Commissie de Cyber Resilience Act (CRA) voorgesteld, die moet zorgen voor veiligere hardware en software binnen de Europese Unie. De voornaamste reden om werk te maken van een wet omtrent cyberveiligheid is de kostenpost die cybercrime jaarlijks is. De jaarlijkse economische schade is voor 2020 geschat op maar liefst 5,5 biljoen euro.
Het Europees Parlement noemt deze kostenpost, maar stelt ook dat cybercrime de democratie beïnvloedt, vrede en veiligheid aantast en essentiële diensten en kritieke sectoren kwetsbaar maakt, zoals de energievoorziening.
Met een geschat aantal van 22,3 miljard op het internet aangesloten apparaten anno 2024 is er veel ruimte voor kwaadwillenden om data te stelen, data te gijzelen en apparaten te gebruiken voor DDOS-aanvallen. De CRA wil hier een einde aan maken, door veilige apparaten een keurmerk te geven en onveilige apparaten te weren.
Op dit moment zijn fabrikanten alleen verplicht zich te houden aan eisen omtrent zaken als brandveiligheid. Als een product aan alle (fysieke) veiligheidseisen voldoet krijgt het de CE-markering. Dit houdt in dat het product voldoet aan de geldende regels binnen de Europese Economische Ruimte.
Strengere eisen aan producten
De Cyber Resilience Act breidt geldende wetgeving uit om te zorgen dat alle internetapparaten en bijbehorende software ook voldoen aan maatregelen die cybercrime tegengaan. Producenten moeten de veiligheidsrisico’s in kaart brengen en beveiligingslekken snel melden aan gebruikers. Daarnaast moeten ze kunnen waarborgen dat de apparaten beveiligingsupdates krijgen gedurende de levensduur van het product.
Bij fabrikanten die zich niet aan deze regels houden, kunnen producten worden geweerd en kunnen boetes worden opgelegd door de daarvoor bevoegde overheidsinstanties. Het zal overigens nog even duren voordat de implementatie van de wet is afgerond.
Ondanks deze nobele doelstellingen, die in het belang lijken van iedereen, is er ook al kritiek op het voorstel. Zo gelden de regels alleen voor hardware en bijbehorende software en niet voor op zichzelf staande software en diensten.
De veiligheid van slimme apparaten is wellicht straks beter geregeld, maar het belang van die veiligheid is voor veel gebruikers niet duidelijk. De overheid (RDI) probeert dat bewustzijn wel groter te laten worden.
Daarnaast biedt de regulering geen oplossing voor de talloze bestaande apparaten. Zo blijft de kans aanwezig dat consumenten voorlopig hun goedkope videodeurbel van AliExpress bij de deur laten zitten. Pas wanneer ook die apparaten zijn vervangen zijn ze niet alleen slim, maar ook veilig.
Meer weten over de Cyber Resilience Act, slimme apparaten of cybersecurity? Neem contact met me op!