
Nederlandse regering maakt zich eindelijk druk over IoT
Regeerakkoord bevat hoopgevende passage over IoT-security.
Rutte III komt er eindelijk aan en een coalitie van VVD, CDA, D66 en CU heeft vanmiddag zijn regeerakkoord gepresenteerd. Daarin wordt meerdere malen gesproken over IT-zaken en één IT-issue wil ik hier even belichten: de passage over softwareaansprakelijkheid.

Nederlandse regering maakt zich eindelijk druk over IoT
Rutte III komt er eindelijk aan en een coalitie van VVD, CDA, D66 en CU heeft vanmiddag zijn regeerakkoord gepresenteerd. Daarin wordt meerdere malen gesproken over IT-zaken en één IT-issue wil ik hier even belichten: de passage over softwareaansprakelijkheid.
Zoals de meeste IT'ers weten, staat het niet zo goed met de beveiliging van internetverbonden apparaten. Dat is al vervelend voor eigenaars van pratende barbiepoppen en slimme buttplugs, maar het wordt een maatschappijbreed probleem. Een voorproefje zag je met het neerhalen van DynDNS door enkele tienduizenden IoT-bots, zoals veroverde smart-tv's, koelkasten, digitale videorecorders en andere apparaten die zijn 'beveiligd' met een standaardwachtwoord.
Daarbij gingen diensten als Netflix onderuit - en voor het eerst merkten politici een real-world effect van al die onbeveiligde apparatuur. Langzaam komt het besef dat onze infrastructuur afhankelijk is van dezelfde lijnen die praktisch gezien dichtslibben door hardware waarvan de beveiligingsimpact laag lijkt: consumentenapparatuur met het woord 'smart' in de naam.
Een van m'n stokpaardjes op Computerworld is dat de staat van IoT-security ertoe leidt dat we grote ellende gaan ervaren op het moment dat we steeds belangrijkere dingen gaan aansluiten op het internet. Slimme straatverlichting bijvoorbeeld, naast geldautomaten, stoplichten, medische apparaten en verschillende kritieke diensten - een trend die al langer aan de gang is.
Vorig jaar bespraken we hier bijvoorbeeld al uitgebreid of wetgeving nou wel zo'n goed idee is en waarom we waarschijnlijk veel te laat zijn om die ellende te voorkomen (zoals de legacy van nu die ons over 5 jaar nog parten speelt, een algeheel gebrek aan urgentie, geen gevoel van verantwoordelijkheid en tegenstrijdige belangen van politiek, markt en consument).
Daarom is het mooi om de volgende passage tegen te komen over software-aansprakelijkheid in het vandaag gepresenteerde regeerakkoord:
Er wordt een ambitieuze cybersecurity-agenda opgesteld met onder meer standaarden voor Internet-of-Things-apparaten, het stimuleren van bedrijven om veiliger software te maken via softwareaansprakelijkheid, het versterken van het Nationaal Cyber Security Centrum (NCSC) als aanspreekpunt van Computer emergency response teams (CERT) van alle sectoren, het stimuleren van cybersecurityonderzoek en het verbeteren van voorlichtingscampagnes op het gebied van cyberhygiëne.
Dat eerste stuk over IoT is waarschijnlijk grotendeels te danken aan D66'er Kees Verhoeven, die vorig jaar een notitie (PDF) indiende met suggesties voor IoT-beveiliging (en ook de bedenker van enkele amendementen die de angel uit de WIV zouden hebben gehaald).
Natuurlijk hebben we veel meer aan internationale afspraken en zou het fijn zijn als de EU - die vrijwel niks heeft betekend op dit gebied sinds een eerste aanzet in 2009 en pas vorig jaar opnieuw kwam met een voorstel - beter keek naar zaken als software-aansprakelijkheid. Maar ik denk dat omdat niemand beweegt - de techsector zelf zeker niet - het goed is als iemand in ieder geval een poging waagt.
Net als met netneutraliteit, dat uiteindelijk in een verwaterde vorm in de EU verscheen, kan het ons voorbeelden geven van wat werkt en wat niet. Denk aan de angst van ISP's dat netneutraliteit internet zou vertragen of dat de uitrol van 4G in gevaar kwam. Dat blijkt mee te vallen. Anderzijds kunnen we ook de mist in gaan - denk aan onze misser met de door ondergetekende zo verfoeide cookiewet - en ook die ervaring levert hopelijk betere internationale regels op.
Software aanspraakelijkheid. Dat gaat m niet worden, gezien de genoemde voorbeelden. Microsoft accepteert geen aansprakelijkheid voor ondeugdelijke software. Dan zullen er toch eerst standaarden moeten komen die definiëren wat deugdelijk is.
Misschien eerst maar eens een keer de motie van die andere Kees fatsoenlijk afwerken. Loopt al 15 jaar. ICT lobby in Nederland is net als de wapen lobby in Amerika
Reageer
Preview