Deze column staat in Het Financieele Dagblad van 14 januari 2022. Volg deze link voor mijn eerdere FD columns.
Het internet der dingen is slecht beveiligd en een bron voor cyberaanvallen. Invoering van een Europese wet die dit tegengaat is broodnodig. Maar de Europese Unie komt niet over de brug, schrijft advocaat Axel Arnbak.
Illustratie: Hein de Kort voor Het Financieele Dagblad
De brakke beveiliging van het internet der dingen (Internet of Things, IoT) is al tien jaar een urgent maatschappelijk probleem. Slecht beveiligde webcams laten criminelen achter de voordeur meekijken of u een dure auto, kunstwerk of tafelzilver bezit. Connected speelgoed blijkt eenvoudig hackbaar en daarmee afluisterbaar via ingebouwde microfoons. Bovendien verbouwen cybercrimegroepen en landen als Rusland al die honderdduizenden kwetsbare IoT’s op de markt tot krachtige digitale netwerken voor het lanceren van cyberaanvallen.
Truc
De Europese Commissie (EC) klaagt al jaren en bij herhaling dat de EU-lidstaten en de industrie pogingen tot serieuze cybersecuritywetgeving blokkeren. Daarom gaat de EC soms onder de radar en neemt zij het heft in eigen handen. Deze week gebruikte de EC stilletjes een oude Europese wet over radioapparatuur voor een eigenstandige beleidsbeslissing om alle draadloze internetelektronica die in Europa op de markt komt aan minimumvereisten voor cybersecurity te laten voldoen. De Commissie plakt met deze juridische truc een pleister op een deel van de markt, al geldt de maatregel pas vanaf medio 2024. Zij spreekt daarnaast wederom de hoop uit dat er ooit een volwassen cybersecuritywet komt die niet alleen in bepaalde sectoren, producten of technologieën geldt, maar voor alle apparaten en software.
Haar behendige trucje, dat ons nog 30 maanden niet verder helpt, staat daarmee ook symbool voor de onmacht van de Europese Unie om cybersecurity maatschappijbreed te reguleren en de informatieveiligheid van alle Europese burgers, bedrijven en overheidsinstanties te beschermen. Terwijl de blauwdruk voor zo’n cybersecuritywet er met de Europese verordening AVG al ligt.
‘Rusland staat erom bekend voorafgaand aan militaire acties eerst een internetkanon af te vuren op buurlanden’
Het was groot nieuws in 2017. De bluetoothverbinding, microfoon en andere sensoren van de populaire ‘slimme’ kinderpop My Friend Cayla bleken zó lek, dat hackers gesprekken met kinderen konden voeren en opnemen, en hun locatie konden uitlezen. De Duitse overheid raadde ouders aan de pop per direct te vernietigen (maar alsjeblieft niet ten overstaan van hun kinderen).
Onze informatiesamenleving is inmiddels overspoeld met connected speelgoed, horloges, fitbits, koelkasten, printers en andere apparaten die continu verbonden zijn met apps en elkaar. Bij iedere presentatie lukt het mij weer om vanaf mijn laptop bij iemand thuis de muziek aan te zetten, de verwarming uit te draaien of via de webcam te zien wat er zoal te halen is. Waarbij webcams soms zelfs gps-coördinaten meesturen om te vertellen in welk huis de buit te vinden is.
Internetkanon
Nog meer ontwrichtend voor de samenleving is de manier waarop geavanceerde cybercrimebendes en inlichtingendiensten het onveilige IoT al jaren weten om te vormen tot een internetkanon. Dat werkt zo: door duizenden lekke internetapparaten aan elkaar te rijgen en de controle daarover te bemachtigen, lukt het cybercriminelen de bandbreedte van die apparaten in te zetten om andere organisaties aan te vallen, of daarmee te dreigen. Een land als Rusland staat erom bekend voorafgaand aan militaire acties eerst zo’n internetkanon op buurlanden af te vuren, zodat energie, water en telecom in een land op kritieke momenten van Russische inmenging platliggen. Oekraïne heeft dat al eens in 2017 meegemaakt met de NotPetya-aanval, en zal zich nu weer schrap moeten zetten. Op het wereldtoneel heeft de EU er ook belang bij dat onze spulletjes geen Russisch wapentuig blijven.
In mijn proefschrift over de regulering van privacy en cybersecurity uit 2015, en in talloze FD-bijdragen sindsdien, bespreek ik de kern van dit probleem. Ten eerste laat alle empirische wetenschap zien dat de markt bij gebrek aan economische prikkels niet vanzelf informatieveiligheid levert. Ontwikkelaars concurreren op prijs en gebruiksgemak, niet zozeer op kwaliteit en cybersecurity. Liever snel een goedkope webcam op de markt, dan een veilige en dus dure. De ontwikkelaar ondervindt geen schade, maar degene die het apparaat aanschaft wel. Ten tweede leidt brakke beveiliging in het ene deel van die waardeketen tot cyberaanvallen in andere sectoren. Het internetkanon van de onveilige en ongereguleerde printer of koelkast wordt stelselmatig gericht op betalingsverkeer, telecom en andere gereguleerde sectoren. Ook al ben je linksom gereguleerd en investeer je in internetveiligheid, ben je rechtsom niet opgewassen tegen zo veel kwetsbaarheden en bandbreedte.
Dat ‘horizontale’ cybersecuritywetgeving er op EU-niveau moet komen, ongeacht sector, product of technologie, is al jaren een no-brainer. Zo’n algemene wet moet ontwikkelaars niet alleen basisprincipes en minimumvereisten voor cybersecurity opleggen. De wet moet ontwikkelaars ook tot transparantie en repareren verplichten als hun hard- of software kwetsbaar is. Zo’n wet moet bovendien boetes en aansprakelijkheden organiseren als ontwikkelaars beveiliging bewust ondermaats houden, of als bijvoorbeeld inlichtingendiensten te lang op een kwetsbaarheid blijven zitten omdat zij zelf de gelegenheid willen benutten om te hacken.
Pleisters plakken
De blauwdruk ligt er grotendeels al. Voor de bescherming van persoonsgegevens organiseert de strenge AVG precies die viertrapsraket: principes, vereisten, transparantie en aansprakelijkheid via handhaving door een toezichthouder of, in civiele procedures, bij de rechter. Maar in plaats van een goede wet plakt de Commissie over 30 maanden via een juridische truc en een oude radiowet een pleister op een deel van de markt. Naast de onacceptabele onveiligheid van het internet der dingen is de onmacht van de EU om een adequate algemene cybersecuritywet aan te nemen een gevaarlijk politiek probleem.