Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Europa komt met certificering als maatregel tegen slechte beveiliging apparaten

Door , 52 reacties

De Europese Commissie zal later dit jaar maatregelen aankondigen om de slechte beveiliging van internet-of-things-apparaten, zoals met internet verbonden camera's en digitale videorecorders, aan te pakken. De Commissie ziet de slechte beveiliging van dergelijke apparaten als een probleem.

Eurocommissaris Andrus Ansip zegt in een woensdag gepubliceerd statement dat Europese landen moeten samenwerken om deze nieuwe vorm van online bedreigingen het hoofd te bieden. Ansip verwees naar de ddos-aanvallen die gebruik maakten van een botnet met iot-apparaten, zoals die van Mirai.

Ansip gaf weinig details, maar zegt dat de Europese Commissie later dit jaar met een systeem van certificaten en labels zal komen om de beveiliging van iot-apparaten te waarborgen. Vermoedelijk zal de Commissie met standaarden komen waar apparaten op het gebied van beveiliging aan zullen moeten voldoen.

De malware die de iot-apparaten tot bots in een botnet maken, kunnen vaak vrijelijk hun gang gaan, omdat veel fabrikanten en consumenten nog nauwelijks aandacht hebben voor de beveiliging van dergelijke apparaten.

Arnoud Wokke

Redacteur mobile

Reacties (52)

Wijzig sortering
zegt dat de Europese Commissie later dit jaar met een systeem van certificaten en labels zal komen om de beveiliging van iot-apparaten te waarborgen.
Dat is wel een erg ruime vertaling van de tekst.
will present certification and labelling measures to make IoT devices more cyber ready.
De laatste twee woorden vind ik zo opvallend dat ze waarschijnlijk zorgvuldig gekozen zijn. Apparaten cyber ready maken is volgens mij niet hetzelfde als beveiliging waarborgen.

Klinkt meer als een situatie waar fabrikanten met een mooi labeltje mogen adverteren als ze er zelf voor kiezen om aan een paar simpele voorwaarden te voldoen. Bijvoorbeeld het meeleveren van een advies aan de klant om het fabriekswachtwoord aan te passen. Of de standaard configuratie van een product niet op de meest onveilige instellingen zetten zoals WEP bij wifi. Het zullen waarschijnlijk geen strenge eisen zijn, want consumenten moeten de eisen wel snappen om een keuze te kunnen maken.
Nee, dat is toch het hele idee van certificeringen? De consument hoeft de achterliggende tests en metingen niet te snappen, maar kan in 1 oogopslag zien hoe het gesteld is met het apparaat. Vergelijk het met een risico-inschatting bij een financiŽle bijsluiter: de consument snapt de gevolgen, maar heeft alsnog geen idee wat de risico's dan precies zijn.

Ik hoop dat ze er de update policy ook in meenemen. Als al die telefoons die 1 of geen update krijgen en na een jaar ook geen beveiligingsupdates meer ontvangen ineens een hele lage rating krijgen, zullen fabrikanten hun beleid toch wel graag aanpassen. De consument is zich daar nu van geen kwaad bewust, maar met een knalrood label F omdat het toestel na 1 jaar al vatbaar is voor beveiligingslekken zullen ze toch even informeren naar een toestel met label A of B.
dat is toch het hele idee van certificeringen? De consument hoeft de achterliggende tests en metingen niet te snappen, maar kan in 1 oogopslag zien hoe het gesteld is met het apparaat.
Daarom wijs ik op die woordjes cyber ready. Wat de doorgewinterde ITer als noodzakelijk ziet aan verplichtingen voor de markt kan hier mogelijk ver af staan van wat de Europese Commissie als oplossing ziet. Ik hoop niet dat ik gelijk krijg, maar het is belangrijk om niet in de verleiding te komen aan te nemen dat die zin het beste gelezen kan worden als wat we hopen dat het is, maar zoals het er staat verwoord. Ik vraag dus om een kritische blik bij het vertalen en het schrijven van een Tweakers artikel en geef de keerzijde aan.
Last year, we saw large-scale DDOS attacks, amplified by unsecured IoT devices. New security challenges mean that Europe needs to work even more together. Later this year:

- We will review the EU's 2013 cybersecurity strategy, since the threat landscape has changed so much since that time;

- We will present certification and labelling measures to make IoT devices more cyber ready;

- We will review the role of the EU's agency for network and information security ENISA to make sure it can help EU countries respond adequately.
Als je het hele stuk pakt, gaat het heel duidelijk over security. Om te zorgen dat unsecure IoT gadgets voor problemen zorgen geven ze drie punten aan, een daarvan is certificering. Het blijft natuurlijk gissen wat de daadwerkelijk bedacht wordt maar de intentie lijkt me duidelijk; het structureel verbeteren van de veiligheid van IoT apparaten.
Een certificering heeft alleen zin als deze continue wordt geŽvalueerd en kan worden ingetrokken wanneer een device niet meer voldoet. Daar lijkt het huidige voorstel niet in te voorzien. Iets wat nu veilig is is dat morgen mogelijk niet meer immers.

Aan een losse label ala " beste keus " of weer een keurmerk zonder toegevoegde waarde heeft echt niemand wat.

[Reactie gewijzigd door Bor op 10 mei 2017 19:43]

En dan, trekken ze de certificering in van een apparaat dat al lang niet meer in de handel is. Wat gebeurt er dan? Moeten alle eigenaren het dan verplicht inleveren of zo? Gaat niet gebeuren.
En dan, trekken ze de certificering in van een apparaat dat al lang niet meer in de handel is. Wat gebeurt er dan? Moeten alle eigenaren het dan verplicht inleveren of zo? Gaat niet gebeuren.
Dan is het in ieder geval verifieerbaar dat het betreffende product niet meer voldoet. Als je het niet intrekt creŽer je schijnveiligheid wat je ten alle tijde moet voorkomen.
Nu ook want er gebeurt dan in de praktijk niks mee.
Stel je mss voor dat de politie alle toestellen komt in beslag nemen?

Enkele bemerkingen: die inbeslagname moet door een deurwaarde gebeuren in veel landen = duur. En goedgekeurd door een rechter. De politie kan enkel in bepaalde gevallen iets tijdelijk afnemen (gevaar voor anderen bv).

Om te weten wie allemaal zon toestel heeft, zou je behoorlijk privacy-invasieve maatregels moeten nemen. Zoals registratie van alle electronische apparatuur.
Dat weet ik allemaal wel, en ik vind al die dingen ook veel te ver gaan. Maar het gevolg daarvan is dat die certificering beperkt gaat blijven tot wat voor de hand liggende dingen in het beste geval, en verder alleen maar meer regeldruk oplevert. Net als dat CE (China Export :) ) logo.
CE keuring gaat voor mij niet ver genoeg. Hoewel ik dus (lees hierboven) een niet-CE gekeurde telefoon heb (Intext Aqua Fish, omdat ik SailfishOS wil en dus niet Android of iOS).

Zonder CE-keuring waren de afgelopen jaren al tal van doden gevallen dankzij belachelijk achterlijk idiote magnetrons, frigo's of weet ik veel welk idioot-achterlijk de bedrijfswereld in elkaar zou geknutseld hebben dat letterlijk mensen zou kapot maken. Alles voor winst. Veiligheid van de consument? Fuck you zeggen ze. Tot CE keuring het OPLEGT.

Niet akkoord? Oprotten dan als bedrijf, uit heel onze West-Europese markt.

En zo hoort het ook. Gewoon oprotten met je rommel, dan.

ps. En wat die telefoon betreft zou ik het inderdaad hťťl graag hebben moest dat bedrijf wel een CE-keuring aanvragen en krijgen. De telefoon werkt nl. gewoon prima. Maar goed, ik doe natuurlijk niet dezelfde soort testen als dat de CE-keuring doet.

[Reactie gewijzigd door freaxje op 11 mei 2017 12:30]

Testen? Bij een CE keurmerk wordt er niks getest, dat mogen fabrikanten zelf op hun producten plakken als ze vinden dat het aan de eisen voldoet. De EU komt pas in actie als het mis gaat.
Dat is nog altijd beter dan niets. Zo geeft het bedrijf te minste aan dat het verantwoordelijk IS wanneer het misgaat.

Dat is bij IoT bugt momenteel niet waar.

Dus laat maar komen, die CE keuring voor IoT bugt. Zodat producenten gaan moeten betalen gelijk een beest wanneer het mis gaat.

Zo zal security verbeteren. Zoals we het nu aanpakken, niet.

Betalen zoals een geslagen beest. Tot het goed is. Dat is helaas het enige dat werkt bij het management van ontwikkelteams, om prioriteit te geven aan waar ze eigenlijk atijd al prioriteit aan hadden moeten geven (maar totaal, totaal niet gedaan hebben).

Dat zegt een programmeur (ik).
Alle andere CE richtlijnen werken anders prima.
Vind je? Volgens mij waren die van de Hema met CE keurmerk niet in orde.

nieuws: NVWA: ruim helft van 41 geteste usb-laders voldoet niet
Dat dit het nieuws haalde en de USB laders dus niet langer verkocht gaan mogen worden toont toch aan dat het CE keurmerk net wel werkt?
Dat zogenaamde CE keurmerk waar je het over hebt, kun je gewoon stickers van kopen op internet. Tot zover dat keurmerk...
Dat kan je proberen als je een bedrijf bent dat actief is in Europa. Maar zodra men dit door heeft gaat de douane actief je product opspeuren aan de grenzen en wordt je product vlak af en brutaal uit de handel gehaald.

Concreet voorbeeld is de Intext Aqua Fish. Een telefoon die met Sailfish OS preinstalled komt en in IndiŽ beschikbaar is. Hij heeft geen CE keuring Als je de forums op Jolla wat leest zijn er tal van mensen die hem proberen te bestellen over DHL. In vooral Duitsland en BelgiŽ wordt de telefoon door de douane gewoon er tussen uit gehaald. De consument mag daarna voor de kosten opdraaien en de telefoon komt niet aan.

ps. Ik heb het ook gewaagd en geluk gehad. Ik ben toch sterk voorstander van CE keuring. Maar je kan letterlijk bijna geen telefoons vinden zonder Android of iOS in West-Europa. En ik wil die besturingssystemen niet. De telefoon werkt voorts prima.

ps. De fabrikant plakt er ook geen stickertje op, of zo. Zo onnozel is eigenlijk vrijwel geen enkel serieus bedrijf.

[Reactie gewijzigd door freaxje op 11 mei 2017 12:28]

Het CE keurmerk werkt nogal bijzonder. Er zijn een hoop regels maar er is geen controle per product. Als je een product ontwikkelt mag je claimen dat je aan de CE regels voldoet en een CE logo op je product zetten. Proefsgewijs komt er iemand langs om dit te controleren. Als je dan niet aan de regels voldoet ben je flink de sjaak, maar de kans dat iemand echt langs komt voor controle is laag.

NB.

Dit verschilt wel per categorie. Voor sommige kritieke categorieŽn, zoals medische apparatuur wordt een apparaat wel altijd eerst gekeurd.

[Reactie gewijzigd door roy-t op 11 mei 2017 09:22]

Nog beter, dat als een reeds verkocht product waarvan je mag verwachten dat deze veilig is, en dat niet is, dat deze verplicht vervangen moet worden en dat de leverancier na melding van 1 klant of na kennisneming op een andere manier aansprakelijk is voor de gevolgschade tot op het moment dat deze kostenloos door hem ter plaatsen is vervangen. De consument dient die gelegenheid binnen 14 dagen na aanbod te bieden.
Eindelijk.

Hopelijk scharen ze hier dan ook apparaten zoals Smart TVs onder en komt er druk op leveranciers te liggen om die dingen van security patches te blijven voorzien gedurende hun verwachte levensduur. (Wat zo'n 10 - 15 jaar zou mogen zijn voor een TV.)
Ook apparaten met default password zoals admin admin.

Mooi klote als je cctv zichzelf heeft gereset en je naar boven mag klimmen omdat je het wachtwoord niet meer weet van je ip-camera.
Dat is meer je eigen slechte administratie lijkt mij?
Ja, ik kan mij voorstellen dat je het thuis nog te overzien is.

Maar in het bedrijfsleven waar veel apparaten verhuizen of vervangen worden best heel veel werk gaat genereren omdat allemaal bij te gaan houden.
Juist bij bedrijven mag je verwachten dat er een degelijke administratie is van alle apparaten, waarbij elk apparaat een uniek ID heeft met een stickertje op het apparaat. Dan is het een kleine moeite om naast de standaard informatie (zoals MAC voor netwerk spul) ook de default login te registreren.

[Reactie gewijzigd door Zaffo op 10 mei 2017 21:21]

Een apparaat waar een default password op zit mag niet het internet op. Punt uit. Kan alleen maar via een lokaal IP adres aangesproken worden.
Nooit en nergens standaard wachtwoorden op apparaten. Je wilt ook geen apparaten met default passwords binnen je lokale netwerk. Dat is namelijk niet heel veel veiliger dan het grote boze internet. Dan hoeft er maar net een apparaat binnen je netwerkt te zijn die een worm in zich heeft en de boel gaat er aan. De spelletjes PC van kind, laptop van buurvrouw/man of tante/oom die even op het wifi netwerk zit en een virusje heeft. Beveiliging begint bij bewustwording.
Gaat nooit gebeuren. Worst case krijg je na enkele jaren een update voor je smart TV die de netwerk interface gewoon uitschakeld.
Maar dan heb je toch recht op het hele aankoop bedrag omdat de tv niet meer doet wat geadverteerd was? Had Philips hier ook geen last van?
Philips maakt al lang geen tv's meer. Het is nu alleen een merknaam wat ze leasen aan een Chinese fabrikant.
Das natuurlijk niet helemaal redelijk, 99 procent van de televisie doet gewoon wat hij moet doen. Ik krijg ook mijn geld niet terug als de navigatie van mijn auto niet meer geupdate wordt.
maar jou navigatie werkt toch nog gewoon ook als hij niet geupdate wordt?

tuurlijk de kaarten zijn op een gegeven moment helemaal niet meer bruikbaar door enorm veel veranderingen. maar je apparaat kan nog steeds navigeren tot het kapot gaat

Als ik een telefoon koop en naar 3 jaar komt er een update dat ik niet meer ermee kan bellen i.v.m. de veiligheid

terwijl bijvoorbeeld het bellen met die telefoon geadverteerd werd dan mist het apparaat een feature die er wel inzit.

bij oude kaarten verliest jou navigatie geen features.
oh ik zie nu dat het niet om terug krijgen van het hele bedrag maar een vervanging van de features door een compensatieregeling

nieuws: Philips geeft klanten die smart-tv-functies verliezen Amazon-dongle -...

Dan is een tv waarin een upgrade standaard upgrade module kan mischien wel een goed idee, Vesa doe je ding :P
Zelfs je smartphone haalt de vijf jaar vaak niet eens :)

Maar dat dit nodig is deel ik wel.
Ja en wat dacht je van invertors, thermostaten, lamp-regel-units, surround systemen, afstandsbediening van auto's etc.
Het idee is goed maar ik vrees dat dit weer een gedrocht wordt waarbij certificering uiteindelijk nog weinig of niets zegt over de werkelijke veiligheid. De ervaring leert dat overheidsinstanties log zijn en snel achter de feiten aan gaan lopen waardoor nieuwe, goed beveiligde systemen mogelijk geen certificering krijgen omdat de instantie die dit regelt nog met oude standaarden werkt.
Och, ik kan een hoop standaardeisen verzinnen die nooit verouderen. Bijvoorbeeld een verbod op het versturen van gebruikersdata zonder encryptie of een verbod op het gebruik van standaard usernames en passwords bijvoorbeeld.
Het zal ook niet hangen om algemene regels, maar om specifieke eisen. Bij soortgelijke initiatieven bij andere sectoren zie je dat het jaren kan duren voordat nieuwe, vaak betere standaarden onderdeel worden van de certificering.
Het is compleet zinloos gezien de dynamiek van security, zeker gezien het feit dat de EU werkelijk geen idee heeft van digitale zaken..

Nu maak je een cecertificeerd apparaat, uiteraard wordt ook dit apparaat gehacked, wat is dan het nut van het certificaat? Dat je kan aantonen dat het apparaat veilig was volgens de richtlijnen van een ambtelijke organisatie een paar jaar eerder?

Is het apparaat daarme minder gehacked?
Daar word ik wel blij van. Ik wil niet te vroeg juichen, maar met dit soort ontwikkelingen lijkt het er toch wel op dat de EU zich wil hard maken voor het individu, in tegenstelling tot wat er in de VS gebeurt. Of is dit complete onzin?
De EU heeft sowieso altijd al een hele andere visie dan de VS gehad op zaken als consumentenbescherming, kartelvorming, standaardisering en het neerleggen van bepaalde verantwoordelijkheden bij de fabrikant in plaats van de consument. Een initiatief als dit past prima in die lijn.
Leuk onderbuikgevoel hier weer, maar in werkelijkheid is het op dit vlak veelal juist andersom. UL-certificatie (en vergelijkbare US zaken) vergen daadwerkelijke goedkeuring van het apparaat; CE-keurmerk is een kwestie van stickertje plakken en het is goed - niemand die keurt of de apparatuur daadwerkelijk in orde is.
Ja, de EU is tegenwoordig ook aardig aan de weg aan het timmeren, maar dat is pas van de laatste paar decennia; daarnaast, tot voor (betrekkelijk) kort hebben wij juist ontzettend ge-freeload op de afschrikkende werking die van potentiŽle gevolgen voor de fabrikant van een laakbaar onveilig product uitging (volgende keer dat je iemand hoort jammeren over een 'claimcultuur' of iets dergelijks - bedenk je hťťl goed dat juist monsterlijk hoge bedragen en veelal punitieve schadevergoedingen het enige middel zijn wat voldoende diep in de bedrijfsvoering gevoeld kan worden).
Dat werd tijd zeg. Hadden we dit maar 20 jaar geleden gedaan, nu zit de wereld al vol met die troep.

De eerste versie van deze certificering zal wel een gedrocht zijn, overheid en IT gaat wel vaker moeilijk, maar daar moeten we ons niet door laten tegenhouden. Alles is beter dan niks doen. Laten we maar gewoon ergens beginnen en afspreken dat we het snel evalueren en aanpassen.

Van de eerste versies verwacht ik geen absolute veiligheid, voor zover dat uberhaupt bestaat, maar een paar eenvoudige controles op de meeste grote securityblunders zouden al veel verschil kunnen maken.
Kunnen ze het meteen gebruiken om verplichte overheidstoegang te eisen.
Nu nog een certificering voor privacy :)
Laat ze gewoon letterlijk de eisen overnemen die Apple stelt aan HomeKit apparaten, dan is er tenminste een richtlijn waar door deskundigen uitgebreid over nagedacht is...
Laat ze dan meteen maar ook een certificering maken voor gemeenten en andere openbaar bestuursorganen. Zie: https://www.autoriteitper...kken-eerste-kwartaal-2017
We hebben geen standaarden nodig. Verbied liever de verkoop van onveilige camera's en IoT apparaten als er lekken gevonden worden.

Ik krijg weer de indruk dat dit meer is om geld binnen te harken dan dat het echt iets uit maakt. Het CE merk stelt bijvoorbeeld ook niets voor als elke fabrikant zichzelf mag keuren.

[Reactie gewijzigd door ArtGod op 10 mei 2017 22:26]

We hebben geen standaarden nodig. Verbied liever de verkoop van onveilige camera's en IoT apparaten als er lekken gevonden worden.
Volgens welke regel hebben we dan het recht om de verkoop te verbieden? Volgens welke regels bedenken we dan of een camera veilig is? :+

Iets verbieden als het al gekraakt is lijkt me te laat. Dan zit je alweer met een gigantisch botnet.
De ACM en VWA kunnen nu ook al goederen verbieden als deze onveilig zijn. Het begrip 'onveilig' zou uitgebreid kunnen worden naar software functionaliteit.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*