Consumentenelektronica zoals routers zijn toe aan structureel patchbeleid. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Huis-, tuin- en keukenelektronica heeft hard een beter beveiligingsbeleid nodig. Niet alleen van de gebruikers, die soms weinig weet hebben van security, maar ook en vooral van de fabrikanten. Routers voor de thuismarkt en ook kleinzakelijke markt ontberen maar al te vaak updates die fouten repareren en gaten dichten. De bekende fabrikant Asus heeft in de VS geschikt in een grote rechtszaak van toezichthouder FTC over een massale routerhack in 2014.
De getroffen schikking omvat de verplichting voor Asus om de komende twintig jaar een uitgebreid securityprogramma te hebben. Daarbij wordt de Taiwanese fabrikant ook onderworpen aan onafhankelijke audits voor dat opgelegde beveiligingsinitiatief. Dit zouden veel meer fabrikanten moeten doen, al dan niet verplicht. Zoals Bill Gates ooit zijn Trustworthy Computing-initiatief afkondigde voor Microsoft. Want het huidige patchgebrek voor home-routers breekt beveiliging op, voor iedereen. Wat vind jij?
Ik vind het nog steeds, ook hier in Nederland, volkomen onbegrijpelijk waarom de overheid geen enkel beleid heeft betreffende verplichtingen aan IT producenten en dienstenleveranciers, te moeten voldoen aan minimale eisen van beveiligen.
In andere woorden, eenvoudige wetgeving die een producent van een I(o)T product of dienst, gewoon ondubbelzinnig verantwoordelijk maakt voor de beveiliging van dat product of dienst. Immers, kan ik eneco straks verantwoordelijk houden als inbrekers gebruik hebben gemaakt van de data door ‘Toon’ of de nieuwe meter geregenereerd, door criminelen opgevangen, geanalyseerd en gebruikt? Kan ik ziggo verantwoordelijkhouden voor het zeeflekke modem wat zij bij mij hebben geplaatst en waar criminelen met het grootste gemak toegang toe blijken te hebben?
Ga ik straks de leverancier van om het even welke I(o)T apparaat bij mij in huis, dat door een IT ‘kwajongen’, is benaderd en aangepast waardoor er schade is ontstaan aan eigendom en of goederen? Bedenk even dat het mogelijk is de koelkast of diepvries op afstand te laten ontdooien of dat de verwarming op afstand door kwaadwillenden torenhoog kan worden gezet.
regeren is vooruitzien en anticiperen op toekomstige mogelijke ontwikkelingen. We roepen wel om het hardst dat het fout kan gaan, dat het fout zal gaan, wat die of gene verantwoordelijk is voor…. edoch, ik zie weinig beweging in dit opzicht.
Overigens,
Mr. Bill Gates, with all due respect, enforcing your product upon consumers limiting their individual freedom because of the built in limitation of your product is simply called extortion, not Trustworthy computing.
Er is nog veel te doen in IT land, dat moge duidelijk zijn.
De vraag is hoe ver je wil gaan met de “verplichtingen”. Een oplossing bieden voor een beveiligingslek is één, maar hoe ga je die op alle apparaten krijgen?
Zelf vind ik het wel handig dat ik zelf kan beslissen of, en vooral wanneer, ik iets wil installeren. Hierdoor kan ik namelijk ook oorzaak en gevolg uit elkaar houden wanneer iets niet meer werkt na een update.
Als de updates op afstand automatisch geïnstalleerd worden door een derde partij, weet ik dat niet altijd, en werkt iets wellicht “spontaan” niet meer.
Ook de diverse combinaties van apparaten kunnen een uitdaging op zich worden. ALs we het ziggo modem van René helemaal dicht gaan zetten, kan zijn smart-tv dan nog wel detecteren dat er updates voor klaar staan en kan de router-fabrikant de router van zijn thuisnetwerk nog wel op afstand voorzien van een nieuwe update?
Nu kunnen de meesten van ons zoiets wellicht zelf nog wel oplossen, maar er zijn ook legio gebruikers die geen ICT achtergrond hebben, en al lang blij zijn dat hun thuisomgeving werkt.
Wat ik vaak mis in de verhalen is bewustwording bij de consument. Zo’n ‘Toon’ in huis is een leuk concept, maar op basis van (big-)data analyse kan Eneco straks op afstand zien wie er allemaal op vakantie zijn en wie niet. We gaan er maar gevoegelijk van uit dat hier geen misbruik van gemaakt wordt, maar hoeveel van de consumenten zijn zich hier van bewust.
(als ik vandaag de dag zie hoeveel mensen op bijv. facebook zetten dat ze op vakantie zijn/gaan denk ik dat ik het antwoord al wel weet)
@Pa Va Ke
Professioneel sta ik met één been in het veld van de IT professionaliteit dat ik de ruimte wil hebben zelf dingen in te richten en te onderhouden. Er zullen er meer zijn zoals jij en ik. Edoch, dat neemt niet weg, ik blijf het zeggen, dat IT professionals ook een soort ‘zorgplicht’ hebben naar hun klant toe dat ze na en door mogen denken over het aspect security. Je mag je klant er stelselmatig wel op wijzen dat sommige zaken in en met IT de nodige risico’s in zich dragen.
Aan de andere kant, en dat betreffende security, ook dat blijf ik zeggen, heeft de IT professional een verplichting oog te hebben voor veiligheid van hard en software. Dat maakt integraal onderdeel uit van je vakgebied. Niet zeggende dat ze meteen security expert zouden moeten worden, want dat is uiteindelijk ook weer een discipline op zichzelf.
Je kunt een opt-out in een contract opnemen dat indien je zelf ‘onderhoud’ pleegt aan een modem, een ‘garantie’ kan komen te vervallen. Ik zou daar zelfs geen moeite mee hebben.
Commercieel allemaal een leuk verhaal maar wanneer je het hebt over ’trustworthy computing’ zie ik dat liever als doordacht aanbieden en implementeren dan de individuele betrouwbaarheid per artikel of dienst. Dat zijn namelijk hele andere dingen. Kijk mijn product/dienst is betrouwbaar maar omdat jouw modem een vergiet is ….. heb je nergens meer garantie op.
Toch?
@René …. dan borrelt bij mij toch een gewetensvraag naar boven: beschouw je een leverancier als Ziggo als “IT professional” ? 😉
Ik kan me vinden in je “zorgplicht” wanneer ik beroepsmatig bij een klant een omgeving implementeer.
Maar als iemand vanuit huis via obscure goedkope internetwinkels zijn hardware bij elkaar sprokkelt, wie moet dan die zorgplicht op zich nemen?