top of page

Het Internet of Things en de zorgplicht

In de Tweede Kamer zijn een reeks moties aangenomen die betrekking hebben op digitale veiligheid in het MKB. Een van de moties gaat over veiligheid met betrekking tot het zogenaamde Internet of Things. In deze post ga ik nader in op het onderwerp zorgplicht. Vooral omdat dit onderwerp op meerdere plaatsen warme belangstelling geniet. Een zorgplicht kan het MKB enerzijds veiliger maken. Anderzijds kan de plicht het productieproces raken en eisen hieraan gaan stellen.

Het Internet of Things

Het onderwerp komt niet helemaal uit de lucht vallen. Langzaam maar zeker zijn vele apparaten die wij dagelijks gebruiken voorzien van chips. Niet alleen om het apparaat te besturen, maar ook om contact te leggen met systemen van de fabrikant of toeleveranciers (van toeleveranciers) van de fabrikant. De chip legt dat contact via uw bedrijfsnetwerk. U kent de uitdrukking smartTV, smart lightbulb, smart koffiezetapparaat, etc., vast al. Maar wist u dat een gemiddelde auto tegenwoordig ca. 114 systemen heeft, die allemaal “naar huis inbellen”? Uw printer en (vroeger?) fax machine doen dat al jaren, net als uw smartphone, apps, laptop, etc. Hoe krijgt u anders ooit automatisch updates toegezonden? Dit is handig voor het onderhoud, maar niet zonder risico's en raakt aan, de veiligheid van, uw bedrijfsvoering.

Al deze apparaten “bellen naar huis” via uw bedrijfsnetwerk. Doorgaans zijn deze chips niet beveiligd of slechts met een elementair password als “beheer” of “12345”. Makkelijk voor de digitale onderhoudsmonteur, maar ook voor een hacker. Hij kraakt het wachtwoord binnen seconden en is bij u binnen. Dus u heeft zowel bedrijven die continue data over gebruik, locatie, storingen, etc. per minuut uitlezen, wellicht voor eigen gebruik, wellicht om door te verkopen, als onveilige chips die hackers in staat stellen uw apparatuur, in het voor persoonlijk gunstigste geval, te misbruiken voor kwade zaken tegen derden, zoals het verspreiden van malware of ransomware. In het voor u meest kwade geval leest de hacker uw vertrouwelijke bedrijfsinformatie uit en verkoop die aan de hoogste bieder.

Vandaar dat de Tweede Kamer de regering oproept werk te maken van de beveiliging van apparaten. Eerder dit jaar publiceerde de Cyber Security Raad een handreiking aan bedrijven onder de titel “Ieder bedrijf heeft digitale zorgplichten”. Ook de Europese Commissie onderzoekt momenteel welke stappen er genomen kunnen worden.

Tweede Kamerlid Hijink zei onder andere: “Veel consumenten zijn simpelweg niet bewust van de gevaren. Je kan dat bewustzijn wel vergroten, maar zolang fabrikanten producten op de markt brengen die voor de normale gebruiker onveilig zijn, schiet je daar niet zoveel mee op”. Hiermee benadrukt hij, dat, waar het digitale veiligheid betreft, het organiseren van veiligheid vooral op consumenten wordt afgeschoven. Dat geldt dus ook voor het MKB. Voldoende kennis en expertise zijn hier lang niet altijd aanwezig.

De zorgplicht

Kamerlid Hijink spreekt hier in feite over een zorgplicht. Deze spreekt fabrikanten aan op verantwoordelijkheden richting consumenten en gaat ook voor het MKB gelden. Wie smart producten maakt, kan beter nu alvast nadenken hoe hij de beveiliging ervan kan verbeteren, maar ook hoe hij er voor zorgt dat na de verkoop ontdekte fouten in de software gerepareerd kunnen worden.

Security by design is slechts één kant van het verhaal. Hiermee zorgt de fabrikant (en al zijn toeleveranciers) er voor dat een product standaard veilig op de markt komt. Niet de consument zoekt het uit, maar de fabrikant levert met digitale veiligheid ingebouwd het product af. Daarnaast zorgt hij ervoor dat de consument een aantal stappen door moet lopen die het apparaat veilig instellen, voordat deze het kan gebruiken.

Ondanks deze eerste stappen, kan de software in het apparaat fouten bevatten. Eigenlijk is dat nu de standaard. Eerst het product op de markt brengen en daarna verbeteringen aanbrengen. Alsof iemand een auto koopt en er zit geen rem ingebouwd. Komt u even terug naar de garage voor de update? Nu blijkt geregeld echter dat in veel apparaten chips zitten die niet kunnen worden upgedate. Dat maakt het product structureel onveilig. Een zorgplicht zal ongetwijfeld komen met eisen aan de veiligheid gedurende de levenscyclus. Dat is de andere kant van dit verhaal.

Ieder bedrijf vraagt zich af wat de levensduur is van een product en schrijft het vervolgens af. De vraag naar de levenscyclus komt tegenwoordig met een nieuwe vraag: hoe lang moet het product softwarematig ondersteund worden? Kan een samenleving het zich veroorloven als een producent van auto-onderdelen na vijf jaar zegt, “ik stop met ondersteuning” en de auto nog 15 jaar of langer onbeveiligd rondrijdt? Met een of meerdere softwarefouten in het remsysteem of de vergrendeling? Als de printer 10 jaar mee kan en updates na vijf jaar stoppen? Kijk naar de problemen rond Windows XP in ziekenhuizen en andere instanties die vaak nog met verouderde software werken. Microsoft patch al een aantal jaar niet meer. De zwakheden verdwijnen echter niet (uit zichzelf).

Conclusie: Tijd voor actie

Dit zijn vragen die iedere producent zichzelf moet gaan stellen. Vroeg of laat gaan deze aan hem gesteld worden of van hem geëist worden. Is het niet door de overheid, dan zeker door klanten die hogere eisen gaan stellen. Dat voor zijn, kan het verschil zijn tussen succesvol ondernemen en achterblijven. Het feit dat de Tweede Kamer de regering oproept maatregelen te gaan onderzoeken, betekent dat het moment voor serieuze aandacht aan deze uitdaging voor het bedrijfsleven is aangebroken.

Uitgelicht
Recent
Archief
Zoek op Tags
Volg ons
  • LinkedIn Social Icon
  • Twitter Basic Square
bottom of page