Kabinet neemt motie aan om in Europa te pleiten voor certificering iot-apparaten

Staatssecretaris Mona Keijzer van Economische Zaken heeft woensdag een motie overgenomen om op Europees niveau te pleiten voor verplichte certificering van internet-of-things-apparaten. Een dergelijk advies bracht de Cyber Security Raad onlangs uit.

De motie is ingediend door D66-Kamerlid Jan Paternotte. Daarin wordt gevraagd dat de regering in de Europese Raad pleit voor 'verplichte certificering van op internet aangesloten apparaten'. Keijzer zei naar aanleiding van die motie dat deze past in de roadmap voor veilige hardware en software waaraan onder meer het ministerie van Economische Zaken en het ministerie van Justitie en Veiligheid momenteel werken en die in het voorjaar gepresenteerd moet worden.

Keijzer zei: "Het is mijn mening dat we uiteindelijk in de situatie terecht zullen komen waarin we voor apparaten die zijn aangesloten op internet over zullen moeten gaan tot verplichte certificering. Daarom zou ik de motie dan ook willen overnemen." D66 vermeldt in de motie dat de Europese Commissie een voorstel voor certificering heeft gepresenteerd dat uitgaat van vrijwillige certificering.

Halverwege januari bracht de Cyber Security Raad een aantal adviezen uit waarin werd geadviseerd om keurmerken en certificering voor internet of things-apparaten vast te stellen. Apparaten die onveilig zijn, zouden zo van de Europese markt geweerd kunnen worden. De raad noemde minimumeisen wat betreft de periode waarop de fabrikant ondersteuning biedt met beveiligingsupdates en de manier waarop die updates worden gedistribueerd, bijvoorbeeld automatisch of niet. Daarnaast noemde de adviesraad de eis dat het apparaat basaal kan blijven functioneren, ook al is er geen internetverbinding.

IT-banen

Reacties (102)

xbeam 7 maart 2018 18:08

Hoe kill je innovatie 😖

Veel kleine bedrijfjes die nu met een pi3 mooie custom Made iot oplossingen maken. Kunnen nu wel stoppen.

[Reactie gewijzigd door xbeam op 1 augustus 2024 02:45]

jpsch @xbeam • 7 maart 2018 18:19

Innovatie? Als straks je koelkast niet werkt, omdat er geen internet is en je koffiemachine staat te minen en je elektrische fiets de belastingdienst aan het DDoS'n is?

xbeam @jpsch • 7 maart 2018 19:28

Veel iot bedrijven zijn gewoon kleinen bedrijven die custom oplossingen maken voor boeren, fabrieken en gemeentes maken.

Die kunnen echt niet alles verplicht certificeren. En ja die gebruiken vaak ook custom Made pi en Adruino boards. Omdat het prima hardware is.

Koste certificering zijn tussen 6 en 30duizend euro.

https://www.iab-ingenieur...n-van-een-ce-markering-2/

[Reactie gewijzigd door xbeam op 1 augustus 2024 02:45]

MSalters

Politiek en recht
Europese unie

@xbeam • 8 maart 2018 16:47

IOT bedrijf hier, bezig met FCC certificering.

Certificering kan best. De kosten zijn voor je concurrenten hetzelfde. Als je gewoon een kastje met een CPU wil, koop dan een Intel NUC. Die is als doos gecertificeerd. En als je in de toekomst IoT certificaten nodig hebt, dan komt er ongetwijfeld een Windows 10 Embedded en een vergelijkbare pre-certified Linux distributie. Wil je zelf iets doen (in HW of SW), dan moet je zelf laten certificeren dat je het ook goed gedaan hebt. Het hele doel van certificering is om de hobby-projecten te scheiden van professionele producten.

player-x @MSalters • 10 maart 2018 11:30

Volgens mij is een NUC gebaseerde oplossingen en dergelijke niet de producten waar deze wetgeving speciaal bedoelt voor is, maar juist de massa geproduceerde geïntegreerde IoT oplossingen die mensen in hun dagelijkse leven gebruiken, zoals een koelkast, thermostaat, IPcamera en dergelijke, waar een CPU in zit en aan het net hangt.

Want zelfs die simpele apparaten, die die vergelijkbare CPUs hebben als bv een simpele Arduino UNO CPU kunnen als ze in een flinke swarm DDOSen behoorlijk schade doen.

En beiden vallen onder de noemer IoT.

player-x @xbeam • 8 maart 2018 00:24

Veel iot bedrijven zijn gewoon kleinen bedrijven die custom oplossingen maken voor boeren, fabrieken en gemeentes maken.

Dat is het probleem ook niet, een custom product waar een oplage van laten we zeggen minder dan bv 1000 of 5000 stuks hoeft zich op zich vast niet verplicht worden ge-certificeert, want daar ligt niet echt het probleem, en ik denk dat de wetgever daar ook wel rekening mee zal houden.

Het gaat nu over miljoenen, en straks miljarden slimme koelkasten, TV's, IPcam's, thermostaten en dergelijke die nu al en straks nog meer allemaal aan het net hangen, die een hacker veel makkelijk in zijn handen kan krijgen, dan een costum IOT apparaat, en waar vaak bedrijven tussen verschillende consumenten modellen de zelfde beveiliging structuur voor gebruiken.

Want laten we zeggen dat fabrikant A, dat veel verschillende consumenten producten maakt, en voor die producten een Arduino achtige IOT universeel platform maakt dat €0.50 to €2 kost afhankelijk van uitvoering, en ze plaatsen dat in nagenoeg al hun koelkasten, wasmachines en tot en met hun strijkbouten, en ze verkopen 50 of zelfs +100M/j producten met hun IOT platform, dat is dan een behoorlijk potentieel groot botnet!

Binnen kort zullen daar zoveel van zijn, dat een swarm van dergelijke IOT apparaten makkelijk een zwaardere aanval kunnen doen dan een bot netwerk van gehakte (veel zwaardere) PC's met LOIC achte aanval mogelijkheden.

Daarnaast is het ook moeilijker te verdedigen tegen zo een aanval, omdat er bijna alleen maar verschillende IP's gebruikt worden.

En ook voor IOT geld net als voor bv Windows, beveiliging moet niet iets zijn waar achteraf aan gedacht wordt, en dan ff snel in elkaar geknutseld moet worden, maar moet gewoon van dag 1 naast functie als een van de ontwikkelingsdoelen van de software/firmware planning zijn.

En dat gaat echt alleen maar gebeuren als bedrijven daar toe worden verplicht met zware sancties als men er niet aan voldoet.

[Reactie gewijzigd door player-x op 1 augustus 2024 02:45]

xbeam @player-x • 8 maart 2018 00:53

Ik snap waar het voor bedoelt is maar kan nergens uit de tekst opmaken dat project met kleine oplage gevrijwaard worden.

Die kleine bedrijven zijn kwa beveiling niet het probleem vaak beheren de iot omgeving ook voor de klant.

[Reactie gewijzigd door xbeam op 1 augustus 2024 02:45]

pepsiblik @xbeam • 8 maart 2018 07:24

Je kunt je ook focussen op de componenten van de custom oplossing. Dus zorgen dat Adruino en Pi de certificering hebben, alsmede de Linux distributie die gebruikt wordt.

EraYaN @xbeam • 7 maart 2018 20:13

Nouja een CE markering is meer een "We voldoen echt waar geloof ons".

Belangrijke zin: "Veel producten mag u als fabrikant zelf CE-certificeren."

Dat geld zeker voor consumenten elektronica.

totaalgeenhard @jpsch • 8 maart 2018 02:09

En hoe precies voorkomt certificering dat?

Elke hindernis die je gaat invoeren kost geld en consument betaald dat.

En het helpt niet.

Begin eerst maar een het probleem van straks miljarden verouderde smartphones te adresseren.

Update verplichting helpt iets.

[Reactie gewijzigd door totaalgeenhard op 1 augustus 2024 02:45]

BoringDay @jpsch • 8 maart 2018 05:52

Een keurmerk maakt een apparaat niet veiliger, pak het dan bij de bron.

govie @jpsch • 19 maart 2018 17:26

Toch vind ik jouw gedachtegang te simpel. Certificering en keuren is echt een business waarin veel geld verdient wordt. Vaak zijn degene die het advies uitbrengen ook instanties die omzetgroei halen uit nog meer certificering. Het is echt in sommige gevallen een wc-eend verhaal. 2 Voorbeelden:

Het eerste mooie voorbeeld is het energielabel van woningen. Ik was destijds bij een bijeenkomst van installatieadviseurs inzake de richtlijn van het energielabel die door Europa was opgelegd. Hier was een of andere voorzitter van een landelijke belangenorgansatie van installatieadviseurs, die even vertelde dat de toekomstige omzet van onze sector gedeeltelijk was verzekerd dankzij het label en dat het veel werk zou opleveren, ook tijdens laagconjuctuur. Even voor de duidelijk, in andere landen kostte destijds een energielabel geen geld en gaat via een standaard calculatortje op het internet, gewoon ter indicatie zoals bijvoorbeeld in Portugal gebeurt als ik het goed heb onthouden.
Tweede mooie voorbeeld is het warmtepompkeurmerk in nederland. Het warmtepompkeurmerk was 7 jaar geleden zo duur, dat het voor de leverancier gewoon niet interessant meer was door de lage aantallen die in Nederland werden verkocht (dit was circa 7 jaar geleden zo). Dit komt omdat TNO hun hele lab wil inzetten om warmtepompen door te meten, die zagen er wel business in natuurlijk. In feite heeft TNO en de eigenaar van het warmtepompkeurmerk, de uitrol van minder vervuilende verwarmingstoestellen dus (bargoens gezegd tijdelijk) gestagneerd, waarvan akte. Het heeft ook met schaalgrootte te maken want als je de kosten van het behalen van een keurmerk of certifiering kunt verdelen over veel aantallen, dan is het wel om te doen maar voor een opkomende sector kan het echt hierdoor niet interessant worden voor nieuwe partijen om in te stappen. In feite hebben de grotere jongens in een sector door certificering ook wat minder wispelturige concurrentie denk ik. Ik zie namelijk certificering ook als een vorm van afbakening door schaalgrootte.

Ja, opzich niks mis met certiferen, maar de vraag blijft altijd: Certificeren we om nog meer te certificeren of echt voor het behalen van een doel van de maatschappij.

[Reactie gewijzigd door govie op 1 augustus 2024 02:45]

jpsch @govie • 19 maart 2018 17:33

Ging mij niet om de certificering, maar de regelgeving/garantie waardoor iot apparaten blijven werken zonder internetverbinding en geupdate kunnen worden, zodat je niet elke 2 jaar de oude apparatuur moet weggooien om nieuw te kopen.

t link @jpsch • 8 maart 2018 00:38

Je kan als bedrijf geen op maat gemaakte systemen meer leveren als je elke toepassing zal moeten certificeren. ik snap best dat ze er iets tegen willen doen, maar als dit geld gaat kosten is het niet de oplossing. verplicht mensen gewoon een raport op te stellen over wat ze doen om hun product te beveiligen, als er dan een aanval wordt gedaan en er is sprake van behoorlijke tekortkomingen of ze leven hun eigen raport niet na kan je ze alsnog een boete geven, zeker bij repeated offenders.

t link @VOODOO_WILLIE • 8 maart 2018 10:38

IOT is niet iets heel nieuws ofzo, het bestaat al heel lang in de industriele sector en het is geen melkgeldkoe. het is echt iets wat meer opleverd dan alleen een hip marketing woord. ik ken ook gewoon veel bedrijven die hun producten niet marketen als IOT maar ze zouden waarschijnlijk er wel onder vallen. denk aan climaat sensors door het hele pand of energy verbruik sensors in de stal met electrische verwarming en zonne panelen op het dak.

VOODOO_WILLIE @t link • 8 maart 2018 15:12

CO₂-uitstoot was ook niks nieuws.

Uiteraard snap ik best dat er regels en controle moeten zijn maar dit wordt gewoon geldklopperij.

Overigens mag van mij dat hele IOT ontploffen.

HooksForFeet @xbeam • 7 maart 2018 18:14

Bedrijfjes die producten verkopen die draaien op een standaard rpi3 zijn sowieso twijfelachtig bezig.

jorisvergeerTBA @HooksForFeet • 7 maart 2018 18:52

Goeie grap man.
Het zijn prachtige minicomputers waar ik met mijn startup een mooi product omheen gebouwd heb.

Ik zit dus echt niet te wachten op rompslomp die dit mogelijk op gaat leveren.

Edit:
Als startup is het bijna niet te doen om die certificering bij te houden (bron:ervaring). Je bent letterlijk al honderden euro's kwijt om überhaupt aan een pdf (ja digitaal) te komen die je dan maar 1x uit mag printen. Daarnaast heb je gewoon een fulltime persoon nodig die de normen, certificering en de kilo's aan documentatie (niet het soort documentatie waar je later iets aan hebt) bijhoud. Dat kun je als 4 persoons startup bijna niet bijhouden als er ook nog aan productontwikkeling, marketing en support gedaan moet worden.

[Reactie gewijzigd door jorisvergeerTBA op 1 augustus 2024 02:45]

HooksForFeet @jorisvergeerTBA • 8 maart 2018 08:33

Het zijn inderdaad prachtige minicomputers voor prototyping en educatiedoeleinden. Ze zijn echter veel te general purpose om een eindproduct op te bouwen. Daar zijn ze niet voor bedoeld. Als je het prototypingstadium voorbij bent ga je op zoek naar dedicated hardware om je product op te draaien. Doe je dat niet, dan verkoop je een prototype in een doos, waar een general purpose OS op draait dat véél te veel kan - en dat dus ontelbare attack vectors heeft.

Dit is precies wat zo'n keurmerk zou moeten inperken.

[Reactie gewijzigd door HooksForFeet op 1 augustus 2024 02:45]

Thomqa @jorisvergeerTBA • 7 maart 2018 19:27

Misschien is het ook niet wenselijk dat willekeurige start-up een (mogelijk viral) product kan uitbrengen dat niet voldoende beveiligd is. Als een startup niet de middelen heeft om de certificering voor mekaar te krijgen, waarom zou de consument dan moeten vertrouwen dat het product wel veilig genoeg is?

jorisvergeerTBA @Thomqa • 7 maart 2018 20:29

Omdat je bijvoorbeeld je product vanaf het begin met security in mind ontworpen en gebouwd hebt. Je gewoon je Debian updates bijhoud, firewalls dichtzetten en zorgt dat je geen standaard wachtwoorden gebruikt. Dan is het prima.

Verwijderd @jorisvergeerTBA • 7 maart 2018 21:27

En dan zal het niet moeilijk zijn om de certificieering te halen.

Wat jij echter opsomt kom ik bij nul komma nul nul nul nul nul nul en nul helemaal nul van de IoT toestellen tegen. Ze zijn allemaal véél rampzaliger.

Voor één of andere reden hebben zo goed als alle IoT fabrikanten besloten dat updates hélemaal niet iets is dat ze willen. Vermoedelijk heeft dat iets te maken met planned obsolescence gemengd met totale, volledige en tot in het beenmerg gaande incompetentie bij de mensen die aan IoT softwares werken.

Wat ik tegenkom in de IoT wereld is eigenlijk zo slecht dat ik bijna niet anders dan opzettelijkheid kan inbeelden.

Ik ben trouwens zelf al meer dan tien jaar professioneel bezig als software ontwikkelaar gespecialiseerd in embedded C/C++ op Linux, inclusief kernel ontwikkeling. Ik ben ook, in die open source wereld, maintainer van een aantal stukken software die, grote kans, op je GNOME desktop draaien. De kans is dus redelijk groot dat ik wel degelijk weet waarover ik het heb.

Moest het zo zijn dat die IoT fabrikanten gewoon-al, alleen-al, enkel-maar de updates van bv. de Ubuntu, Debian, Fedora of welke standaard distributie ook die ze gebruiken; zouden opzetten en toelaten, op het IoT toestelletje: DAT zou echt baanbrekend zijn in dat wereldje. DAT zou de security extreem hard ten goede komen.

Geef eens een lijstje van consument -IoT toestellen die zelfs maar in de buurt komen van dat?

Geloof me trouwens maar dat de wereld van open source ontwikkelaars de meeste IoT fabrikanten vrij belachelijk vinden. Van die open source ontwikkelaars nemen de meeste IoT fabrikanten ook alleen maar. Meestal en vrijwel altijd zonder al te veel terug te geven (noch sponsoring, noch contributies, noch het eenvoudig te maken /wat ze vaak verplicht is gezien licenties zoals de GPL/ aan de broncode te geraken, noch bugs rapporteren, noch om het even wat).

Wat je eerder merkt is geheimzinnigheid en geheimhouding bij de werknemers bij IoT fabrikanten. Zoals bv. werknemers die met privé E-mail adressen aan ons vragen komen stellen. Omdat ze hun bedrijfs E-mail adres niet mogen gebruiken daarvoor.

Die groep, van die groep, denk jij dat ze volledig uit zichzelf gaan beginnen standaard distributie updates op hun toestellen mogelijk te maken?

Helemaal niet. Ze haten dat zelfs. Want dan gaan die toestelletjes te lang mee. Als consument moet jij constant nieuwe kopen. Dus die moeten kapot gaan van de security fouten en crap en drollen. Dat vinden ze goed. Dan koop jij een nieuw model.

Wat wel zal helpen is wanneer de EU het hen verplicht.

Verwijderd @jorisvergeerTBA • 7 maart 2018 21:17

Van welk iot apparaat die nu verkrijgbaar is weet jij welke linux kernel het draait ?

Mijn slimme thermostaat is echt compleet dichtgetimmerd hoor voor mij.

Verwijderd @Thomqa • 7 maart 2018 21:44

Voldoende beveiliging kan je met heel weinig middelen ontwikkelen: gewoon de standaard distributie haar security packages uitrollen naar de IoT-toestelletjes die in bedrijf zijn en op de image van de toestelletjes die nog verkocht moeten worden.

Eigenlijk bijna letterlijk apt-get update && apt-get upgrade in een crontab zetten zou al voldoende kunnen zijn. Je kan bv. met dit hier eigen repositories beheren. Er zijn heel veel tools voor te vinden. Zelf zulke packages maken voor je eigen software maakt het via die methode ook mogelijk je eigen browsels uit te laten rollen.

Die packages, repositories en standaard package managers hebben ondersteuning voor cryptografische verificatie, transport over https, bittorrent, ftp, http, cdrom, usb-stick en zo verder. Je hebt ook de mogelijkheid om binary diff packages uit te rollen voor low-bandwidth netwerken (hierbij stuur je enkel de binaire verschillen door t.o.v. de reeds geïnstalleerde situatie, waardoor de package-size werkelijk extreem klein kan worden). Alles wat je maar wil. Allemaal standaard. Met goede bibliotheken en APIs zodat je er je eigen software rond kan schrijven als je dat wil.

Het probleem is dat de meeste IoT fabrikanten dit niet willen. Ze willen niet dat het toestelletje geupgrade wordt. Ze willen dat jij als consument denkt: "Hey, het werkt niet meer goed. Maar dat is normaal. Laat ik maar een nieuw model kopen." Onzin natuurlijk. De meeste hardware zou een decennia feilloos kunnen meegaan, als het maar regelmatige software updates, zoals beveiligingsupdates, geïnstalleerd krijgt.

MSalters

Politiek en recht
Europese unie

@Verwijderd • 8 maart 2018 17:02

Interessant - ik ben zelf bezig om zoiets op te zetten. Alleen het praktische probleem met je lijstje is dat ze in serieuze IoT context niet werken:

http(s) - publiek Internet is typisch niet toegankelijk vanuit IoT netwerk
bittorrent - zeker niet
ftp - zeker niet
cdrom - in een IoT product ?!
usb-stick - USB is meestal niet van buiten bereikbaar, zelfs als het IoT device fysiek toegankelijk is

Ikzelf zit te denken aan een PC applicatie die als HTTP mirror werkt, maar tools zoals debmirror maken een statische mirror. Ik heb eigenlijk een dynamische mirror nodig. Misschien zou een normale HTTP proxy op een gateway machine (met 2 netwerkkaarten) wel werken.

Verwijderd @MSalters • 8 maart 2018 19:28

Je kan ook zelf eigen apt-transport implementaties voorzien (in geval de basis van je distributie Debian is, m.a.w. zoals bij Ubuntu). Dit zijn de standaard geïmplementeerde zogenaamde "methods" (die komen overeen met apt-transport-$method packages, bv. apt-get install apt-transport-https).

/tmp/apt-1.4.8/methods$ ls
aptmethod.h basehttp.h CMakeLists.txt connect.h file.cc ftp.h http.cc http_main.cc https.h mirror.h rfc2553emu.h rsh.cc store.cc
basehttp.cc cdrom.cc connect.cc copy.cc ftp.cc gpgv.cc http.h https.cc mirror.cc rfc2553emu.cc rred.cc rsh.h
/tmp/apt-1.4.8/methods$

Het komt er op neer dat je aptMethod::Fetch(FetchItem* itm) moet implementeren en dus een aptMethod (die in aptmethod.h staat) moet overerven.

ps. FetchItem staat in apt-pkg/acquire-method.h

Success.

Verwijderd @jorisvergeerTBA • 7 maart 2018 19:40

Je bent letterlijk al honderden euro's kwijt

goh... je bedoeld dat startups eigenlijk hun werk goed zouden moeten doen door dingen te plannen, organizeren en te zorgen dat ze daar ook geld voor hebben. Waar komt dat idee toch vandaan...

Robbaman @jorisvergeerTBA • 7 maart 2018 20:32

Als je niet de capaciteit hebt om de know-how te verkrijgen die nodig is om een certificeringstraject te kunnen volgen, dan heb ik ook direct twijfels aan de capaciteit om volledig op de hoogte te zijn en blijven van de verschillende security vulnerabilities die je product kunnen raken.

Is absoluut geen bash op jou of jouw product, is meer een algemeen punt dat we misschien naar een situatie toe gaan/moeten dat de basis van de apparaten die aan het internet hangen gewoon gemaakt en onderhouden (moeten) worden door grote bedrijven die wel de capaciteit hebben en gedwongen worden hier werk van te maken.

govie @jorisvergeerTBA • 7 maart 2018 23:05

Misschien moet je dan nog een startup financieren die voor andere startups de documentatie regelt en beheert (tegen lagere kosten en stress).

xbeam @jorisvergeerTBA • 8 maart 2018 00:51

Dit bedoel ik dus. Extra kosten voor kleine iot projecten waardoor het voor kleine bedrijven onbetaalbaar wordt.

HooksForFeet @jorisvergeerTBA • 8 maart 2018 08:45

En tja, het is hard werken in een startup, dat weet iedereen. En het is niet allemaal leuk producten ontwikkelen en verkopen: Je krijgt ook met juridische, fiscale, reglementaire en weet ik veel welke andere zaken te maken waar je als techneut met een goed idee niet op zit te wachten. Maar dat is ondernemen nu eenmaal.

t link @HooksForFeet • 8 maart 2018 00:42

want? het is prima hardware die getest is en al veel in gebruik is, een hardware probleem is daardoor erg onwaarschijnlijk. netzoals gewoon een cheapo moederbord met BGA intel cpu gebruiken voor POS machines, niks mis mee op hardware niveau.

HooksForFeet @t link • 8 maart 2018 08:36

Niet voor prototyping en educatie nee. Om door te verkopen als eindproduct? Zeker wel. Of dacht je dat die POS machines standaard Ubuntu draaien en niet dichtgetimmerd zijn op hardware- en softwareniveau?

t link @HooksForFeet • 8 maart 2018 10:45

Nee die draaien gewoon dingen als odoo via een webbrowser. en odoo draait gewoon weer op een server ergens (en dan is het hopen dat dat via een VPN gaat als odoo extern gehost is). dichtgetimmert is nogal een breed woord, als ik een raspberry pi met een touchscreen scherm in een doos doe met een slot erop is het ook hardware matig dichtgetimmert. software matig is het niet meer dan een OS met browser via een lokaal netwerk, draai een autoupdate script en je bent al een heel eind kwa software, en als je je lokale netwerk goed beveiligd hebt heb je eigenlijk ook niet veel meer nodig.

Bij de ikea is de beveiliging nog vele malen lager, die isoleren nieteens clients op hun netwerk en de pc's die daar draaien voor personeel kan je gewoon usb sticks in drukken en uitlezen. POS systemen zijn meestal echt bagger kwa beveiliging, let gerust eens op in een restaurant, vaak gewoon toegankelijk voor iedereen die er langs loopt en als de fysieke poorten al niet direct zichtbaar zijn staat hij waarschijnlijk gewoon in een niet op slot kastje eronder.

[Reactie gewijzigd door t link op 1 augustus 2024 02:45]

t link @HooksForFeet • 8 maart 2018 10:55

Nee, ik heb nooit beargumenteerd dat het prima is om producten te verkopen met een berg attack vectors. Leuke strooiman. je hebt nogsteeds nul argumenten ingebracht over waarom een raspberry pi 3 precies slechter te beveiligen is dan bijvoorbeeld een zelf ontwikkelde pcb of een industriele computer oid. je zei zelf dat de POS machines dichtgetimmert zijn op hardware en software niveau, dat is gewoon heel vaak niet waar. en als dat al zo is is er geen reden waarom je niet dat zelfde niveau aan beveiliging kan berijken met een raspberry pi 3. dus stop alsjeblieft met eromheen lullen en vertel gewoon waarom jij denkt dat een raspberry pi 3 slechter te beveiligen is door limitaties van het hardware platform.

[Reactie gewijzigd door t link op 1 augustus 2024 02:45]

Egocentrix @xbeam • 7 maart 2018 18:13

Die snap ik niet. Hoe haal je innovatie onderuit door fabrikanten te vragen (vrijwillige certificering namelijk) om in plaats van een product te ontwikkelen een fatsoenlijk product te ontwikkelen?

edit: Ik moet iets beter lezen. Het huidige EC-voorstel beschrijft vrijwillige certificering, de D66-motie waar het om gaat wil het verplichten.

[Reactie gewijzigd door Egocentrix op 1 augustus 2024 02:45]

etiennebruines @Egocentrix • 7 maart 2018 18:33

Er wordt gepleit voor verplichte (en dus niet vrijwillige) certificering.

Firefox @Egocentrix • 7 maart 2018 19:46

Vrij simpel eigenlijk; IoT apparaten zijn, voor de massa, vrij goedkoop. Simpel gezegd gaat de doorsnee persoon geen consumenten speledingetjes kopen die duur zijn, terwijl het voornamelijk een hoog gadget gehalte heeft. De hakkie-takkie bedrijven die die prullen op de markt brengen moeten dus relatief goedkoop opereren. Een hele update en security design infrastructuur inrichten kost klauwen geld.

Een prulletje van 69,95 bij de lokale drogist, dat kan nog wel. Maar wil je die infra opzetten, dan kost datzelfde ding al gauw 700,-... en dan moet je wel evenveel blijven verkopen. Dat is geld waar de consument dan wel wat leukers mee zou doen.

En verkoop je minder, dan wordt het al snel nog veel duurder, en zijn alleen de koper verslaafde techies nog bereid er in te investeren. Daarmee is consumenten IoT deaud.

Zakelijk wordt het bij gebrek aan goedkope proeftuin dan ineens ook veel duurder. Maak dan nog maar de budinesscases voor IoT. Hij zal er zijn, maar een stuk lastiger en minder... en gaat dus ook die tak het moeilijk krijgen. Dus ook minder ontwikkeling, en daarmee minder innovatie.

Verleg de discussie een klein stukje:

Als alle fabrikanten verplicht gaan worden om binnen 2 weken de nieuwe Android patches naar álle toestellen van de afgelopen 5 jaar te distribueren overal ter wereld, dan is het heel snel gedaan met de budget toestellen. En aan zal de bulk van de mensen ineens niet meer elk jaar een nieuwe telefoon meer willen. Niet perse een slecht idee vanuit oogpunt van millieu, maar absoluut een factor in onze hedendaagse consumptie economie.

...

Dat betekent niet dat ik tegen IoT an-sich ben en evenzo ben ik een voorstander dat er gereguleerd wordt. Ik stel alleen vast, dat alles voorbij de basale schijn-veiligheid gewoon significant geld kost en daarmee dus defacto verdere ontwikkeling zal remmen.

EraYaN @Firefox • 7 maart 2018 20:15

Als alle fabrikanten verplicht gaan worden om binnen 2 weken de nieuwe Android patches naar álle toestellen van de afgelopen 5 jaar te distribueren overal ter wereld, dan is het heel snel gedaan met de budget toestellen. En aan zal de bulk van de mensen ineens niet meer elk jaar een nieuwe telefoon meer willen. Niet perse een slecht idee vanuit oogpunt van millieu, maar absoluut een factor in onze hedendaagse consumptie economie.

Ik denk dat dit onjuist is. Men zal gewoon hun aanpassingen op zo'n manier inrichten dat het testen van een nieuwe release niet zo veel geld meer kost. (Of natuurlijk gewoon niet moeilijk doen en stock Android draaien, hoef je alleen je drivers te verifiëren.)

Firefox @EraYaN • 8 maart 2018 09:08

Met het risico een tikkeltje off-topic te raken, maar dat zou een oplossing zijn zeg? Waarom zijn Fabrikanten niet gewoon meteen aan de slag gegaan met een stock Android om mee te beginnen? Was het nóg goedkoper geweest voor de bulk producenten...

Ontwikkelen van eigen user interfaces, customizations etc. kost immers geld. Wat is voor een budget merk , waar alle bijkomende kosten enorm tellen vanwege relatief dunne marges, dan nog de motivatie om te investeren? Het grote probleem is onderscheidend vermogen. Mensen gaan graag terug naar wat ze gewend zijn. Door een karakteristieke gebruikers ervaring te hanteren, proberen merken de consument aan zich te binden. Soms vanuit eigen kracht, soms meer vanuit het idee "als het maar bijna net zo als die ander is, maar veel goedkoper, dan kunnen we marktaandeel wegsnoepen"

En hoe ga je al die drivers testen die je nodig hebt? budget toestellen zijn juist budget omdat ze steeds van de goedkoopste patches aan hardware worden gemaakt. Dat resulteert er in dat op micro niveau die batches vaak niet het zelfde zijn, waardoor er juist ontiegelijk veel variatie ontstaat. Terwijl standarisatie en normalisatie de sleutelwoorden zijn voor security.

Verwijderd @Firefox • 7 maart 2018 21:53

De ftp.*.debian.org apt-mirrors zijn echt wel gratis te gebruiken hoor. Sterker zelfs, er zijn er massa's van wereldwijd. Zonder dat Debian een heel erg groot budget heeft.

ps. Vervang Debian door om het even welke populaire Linux distributie in de zin hierboven.

pepsiblik @Firefox • 8 maart 2018 07:37

zolang IoT apparaten niet veilig zijn en omhult worden door geheimzinnigheid, zullen consumenten die apparaten minder snel kopen. Wanneer apparaten in huis gebruikt kunnen worden om te spioneren (webcam van de tv is hackable, microfoons staan niet uit, ddos aanvallen, meters die verkeerde standen doorgeven, etc) willen mensen het niet en dat houdt innovatie pas echt tegen.

MSalters

Politiek en recht
Europese unie

@Firefox • 8 maart 2018 17:07

Een hele update en security design infrastructuur inrichten kost klauwen geld. Een prulletje van 69,95 bij de lokale drogist, dat kan nog wel. Maar wil je die infra opzetten, dan kost datzelfde ding al gauw 700,-...

Ik heb zo'n hele update infrastructuur opgezet. Niet de kleinste ook (TomTom). Voor onze eerste release ondersteunden we 2000 devices, en alhoewel die richting de 700 euro kostten was dat echt niet vanwege de update infrastructuur. Dat was toen al een stuk goedkoper. En toen we van de 2000 naar de 20 miljoen waren gegroeid, toen waren de marginale kosten nog veel lager. Dat kwam op minder dan een euro per device.

gjmi @xbeam • 7 maart 2018 18:37

Waarom zouden ze moeten stoppen? Kunnen ze niet voldoen aan zo’n certificering?

Verwijderd @gjmi • 7 maart 2018 19:38

Dan moeten ze echt verstand gaan hebben van wat ze doen... en dat word voor veel van deze rommel startups een probleem.

EraYaN @Verwijderd • 7 maart 2018 20:17

Misschien hebben ze dan wel gewoon geen recht van bestaan, als het ding iets te goed verkoopt hebben wel duizenden apparaten die niet veilig zijn erbij op het internet, lekker dat.

gjmi @Verwijderd • 7 maart 2018 20:50

Dat is dan toch goed? Geen rommel waar je nooit veiligheidsupdates van krijgt. Weet je hoeveel webcams, printers en videorecorders al gehacked zijn en dienst doen als bot voor ddos aanvallen en dergelijke? Dan wil je wel degelijk iets geregeld hebben.

https://motherboard.vice....s-ddos-botnet-brian-krebs

SuperDre @xbeam • 8 maart 2018 14:01

Die certificering is alleen nodig zodra je in productie gaat... En dan is het helemaal niet erg als deze apparaten aan strenge eisen voldoen om gebruikt te mogen worden. het is gewoon een extra investering waar je rekening mee moet houden, en dat is gewoon een onderdeel van standaard bedrijfsvoering.

HMC 7 maart 2018 18:11

Certificering lijkt mij persoonlijk minder belangrijk dan standaardisering. Maar mooie eerste stap.

Timmmeeehhh @HMC • 7 maart 2018 18:29

IOTA is druk bezig met proberen een open protocol daarvoor neer te zetten

https://iota.org/

.oisyn Moderator Devschuur® @Timmmeeehhh • 7 maart 2018 22:16

Jammer dat het team achter IOTA compleet incompetent is. Ze hadden een eigen hash functie verzonnen die broken leek (cryptography 101: Never roll your own cryptography

), je bent zelf verantwoordelijk voor het genereren van private keys ipv dat de software die voor je genereert op basic van cryptografische rng's, er is een vulnerability bekend die ze niet op gaan lossen omdat ze het maar onzin vinden, etc. En dan heb je nog dat gezever over ternary logic chips

Joest-J @.oisyn • 7 maart 2018 23:22

Jammer dat deze reactie compleet incompetent is.
-Hash functie is onmiddellijk vervangen na de vermeende vulnerability (waar echt bewijs nog niet voor geleverd is)
-Private key of bedoel je seed? Deze kan bij nieuwe wallet straks wel gegeneerd worden. Maar is niet moeilijk om zelf te genereren.
-Bekende vulnerability is een edge case die in de praktijk Niet zal voorkomen. Heeft dus geen prioriteit.
- Ternary software en hardware zijn veel efficiënter dan binary

[Reactie gewijzigd door Joest-J op 1 augustus 2024 02:45]

.oisyn Moderator Devschuur® @Joest-J • 8 maart 2018 08:03

-Hash functie is onmiddellijk vervangen na de vermeende vulnerability (waar echt bewijs nog niet voor geleverd is)

Irrelevant. De incompetentie komt af van het feit dat ze dachten dat ze het wel even zelf konden maken. Iedereen met een beetje ervaring in cryptografie weet dat je dat soort dingen niet zelf moet verzinnen.

Zoals Bruce Schneider zei:
In 2017, leaving your crypto algorithm vulnerable to differential cryptanalysis is a rookie mistake. It says that no one of any calibre analyzed their system, and that the odds that their fix makes the system secure is low.

Private key of bedoel je seed

Excuses, ik bedoel idd seed ja

Deze kan bij nieuwe wallet straks wel gegeneerd worden. Maar is niet moeilijk om zelf te genereren.

Het is wel moeilijk om hem goed en veilig te genereren. Het is simpelweg een verantwoordelijkheid die je niet aan je gebruikers moet overlaten. Ik kan er werkelijk niet bij dat ze dat niet gewoon in de
software hebben ingebouwd. Want dát is wat niet moeilijk is.

Ternary software en hardware zijn veel efficiënter dan binary

Een theoretische claim die in de praktijk simpelweg niet waar is. Er zit 60 jaar ontwikkeling in binaire electronica, ternaire chips zijn vooral esoterisch. En de claim dat ternaire software efficienter is mag je even uitleggen. En wat extra inefficient is, is de push naar ternaire berekeningen in software die vandaag de dag nog altijd op binaire hardware draait. Die conversie is ontzettend inefficient.

Weet je wat het suffe is? Het is gewoon een pet peeve van een van de ontwikkelaars, de ontwikkeling van IOTA staat er feitelijk compleet los van. Ze kunnen zich beter concentreren op de kern van de zaak ipv dat soort ongerelateerde bold statements bij te betrekken.

[Reactie gewijzigd door .oisyn op 1 augustus 2024 02:45]

Timmmeeehhh @.oisyn • 8 maart 2018 09:57

Ten eerste was het geen compleet eigen hashfunctie, maar gebaseerd op een bestaande hashfunctie en die was aangepast. De hashfunctie was al lang vervangen toen het extreem negatieve artikel van Neha gepubliceerd werd.

Ten tweede waren de mensen achter dit artikel ook involved in zcash.. een cryptocurrency die heel toevallig ook hun eigen crypto gerolled heeft, maar daar hoor je dan weer niemand negatief over

IOTA komt voor uit de Jinn startup en die zijn al sinds ongeveer 2013 bezig met de ontwikkeling van een ternary chip die hoogstwaarschijnlijk dit jaar uit komt. Dus uit dat oogpunt is het toch zeker logisch dat ze ternary gebruiken. De overhead op binary is slechts een paar procent waar je met een native ternary chip aardig wat winst kan halen dus op huidige hardware maakt het ook niet heel veel uit.

Geen seed generator in wallet was inderdaad een fout want veel mensen hebben hierdoor seeds gegenerate op neppe sites waardoor hun funds gejat zijn. Maar in de trinity wallet die binnen 4/5 weken uitkomt ziet dit er wel in.

[Reactie gewijzigd door Timmmeeehhh op 1 augustus 2024 02:45]

.oisyn Moderator Devschuur® @Timmmeeehhh • 8 maart 2018 10:18

Ten eerste was het geen compleet eigen hashfunctie, maar gebaseerd op een bestaande hashfunctie en die was aangepast. De hashfunctie was al lang vervangen toen het extreem negatieve artikel van Neha gepubliceerd werd.

Dat artikel was helemaal niet extreem negatief. Maar dat past wel in de narrative van de vele iota proponenten. Jij lijkt hier dezelfde fout te maken als veel van de commenters onder dat artikel, in de zin dat je geen respect hebt voor het acedemische proces ivm security onderzoek. Onderzoek -> bekendmaking van de resultaten aan de developers -> tijd geven totdat het gefixed is -> publicatie.
In dit geval was de publicatie een maand na de fix. Zo lang is dat helemaal niet, maar natuurlijk roept iedereen meteen FUD want blijkbaar hebben ze dus liever dat er gepubliceerd wordt vóór de fix

.

Wat betreft het ternary verhaal, je lijkt te vergeten dat we leven in een binaire wereld. Leuk dat de chip zelf ternary is, maar communicatie verloopt nog steeds in binary, dus de omzetting blijf je houden.

En nogmaals, in theorie zijn ternary chips misschien efficiënter, maar dat wil niet zeggen dat dat geldt voor de eerste generaties. Een veel zinnigere roadmap is gewoon om dat hele ternary verhaal.apart te ontwikkelen en de overstap pas te doen als dat sense maakt.

[Reactie gewijzigd door .oisyn op 1 augustus 2024 02:45]

Timmmeeehhh @.oisyn • 8 maart 2018 19:47

Als je de geleakde emails had gelezen dan had je geweten dat Neha en Ethan amper reageerden op vragen vanuit de iota foundation, geen bewijs hebben geleverd van hun bevindingen, en hun vondsten hebben beplubliceerd zonder het te laten proeflezen en zonder akkoord van de iota foundation.
Dat is niet hoe je op een normale manier resultaten publiceerd.

Lees maar eerst even al die communicatie door, dan kunnen daarna verder praten. Ik heb alles gelezen en kan me niet voorstellen dat als je het zelfde doet dat je dan dezelfde mening houd.

http://www.tangleblog.com...tiative-iota-team-leaked/

.oisyn Moderator Devschuur® @Timmmeeehhh • 8 maart 2018 20:38

Weet je, ik geloof je voor het gemak maar even volledig op je woord, want het verandert helemaal niets

. Mijn mening is niet gebaseerd op het artikel van Neha, en de manier waarop het mogelijk gegaan is doet niets af aan het feit dat ze dus blijkbaar wel denken even een eigen hash functie te kunnen verzinnen. Ja, idd Zcash ook, vind ik ook een rukmunt, maar dat is whataboutism en niet waar het nu om gaat

. Dat, icm dat gekunstel met die seed, geeft voor mij aan dat ze weinig verstand hebben van security en cryptografie. En als ze zich dan ook nog eens concentreren op dat geleuter van ternary systems... Get your priorities straight, denk ik dan. Ik ben er ook helemaal niet van overtuigd dat de tangle gaat werken zoals ze het zelf voor ogen zien, en dat de coordinator altijd nodig blijft (en dus is het een gecentraliseerde coin)

[Reactie gewijzigd door .oisyn op 1 augustus 2024 02:45]

Timmmeeehhh @.oisyn • 8 maart 2018 22:24

Ze hebben een paar van 's werelds beste cryptograven in dienst, maar ok

Tevens is 1 van de founders de inventor van het proof of stake concensus algoritme. Je weet wel, iets wat bijna alle cryptos gebruiken tegenwoordig.

Maar als je het bij voorbaat al afschrijft: your loss.
Ik vind het een geweldig project en steun het volledig, los van wat dingen die ze beter zouden kunnen doen. Ik snap alleen de gigantische haat ook niet die sommige mensen er op schijnen te hebben want het lost gewoon heel veel problemen op die spelen in crypto.

Verwijderd @HMC • 7 maart 2018 19:41

IoT is allang gestandarizeerd. De standaard is namelijk dat je een shitbordje pakt, er een linux distro opzet, een stukje plastic erom heen en je dumpt het op de markt zonder je maar 1 minuut zorgen te maken om wat de impact ervan is.

Verwijderd @Verwijderd • 7 maart 2018 21:57

Je vergeet "tegen je marketing mensen zeggen dat het smart moet genoemd worden" voor de versie met niet witte plastiek, en "dat ze er een i voor moeten zetten voor de versie met wel witte plastiek."

t link @Verwijderd • 8 maart 2018 00:45

vergeet blockchain/cloud/AI niet.

Verwijderd @HMC • 7 maart 2018 18:12

Als die standaardisering op basis van open standaarden gaat zijn, dan geef ik je gelijk ja...

jabwd @HMC • 7 maart 2018 18:28

Het ligt er maar helemaal aan hoe die certificering werkt. Er zijn er zat die meer schijn-security doen dan echt security.

Gelukkig kan de amazon echo geen alarm klok afspelen als er geen wifi is of een andere storing. Want dit internet of shit is echt de toekomst

Verwijderd 7 maart 2018 18:11

Daar zijn ze dan een aantal jaar te laat mee. Maar dan nog: liever laat dan niet. Nu maar hopen dat deze certificering iets meer inhoudt dan het CE 'keurmerk' voor bijvoorbeeld speelgoed, waarbij de fabrikant _zelf_ verklaart dat een product voldoet aan de eisen.
Ik zou dan toch graag iets zien in de richting zoals bijvoorbeeld medische hulpmiddelen (en dan een van de lagere categorieën) worden gecertificeerd. Dan moet er wel degelijk een procedure ondergaan worden om een product op de markt te mogen brengen.
En dan nog zijn er nogal wat haken en ogen. IoT apparaten zijn over het algemeen sterk afhankelijk van software/firmware. Gaan de updates van deze software/firmware ook onder de certificering vallen?

uitdaging: alle Chinese IoT rommel met C(hina)E(export) markeringen uitbannen...

[Reactie gewijzigd door Verwijderd op 1 augustus 2024 02:45]

The Zep Man

Netwerk en systeembeheer
Security
Politiek en recht

@Verwijderd • 7 maart 2018 18:20

uitdaging: alle Chinese IoT rommel met C(hina)E(export) markeringen uitbannen...

Een urban legend.

Verwijderd @The Zep Man • 7 maart 2018 18:22

fair enough.... fixed..

Verwijderd 7 maart 2018 18:13

Als dit een onhafhankelijk keurmerk is dan lijkt me dat een goed idee. Alleen lijkt het me lastig met alle technologische ontwikkelingen een goed keurmerk neer te zetten wat ook tijdsproef is. Iets wat nu veilig lijkt, kan over een maand mandje lek zijn. Genoeg recente voorbeelden.

Egocentrix @Verwijderd • 7 maart 2018 18:15

Daarom moet je niet alleen eisen gaan stellen aan de gebruikte technieken, maar ook aan het updatebeleid. Dat is op dit moment de grootste drempel voor de toekomstbestendigheid van apparaten. (Android bijvoorbeeld, maar ook een hippe Samsung-koelkast die echt wel wat langer mee zou moeten gaan dan drie jaar.)

GarBaGe 7 maart 2018 18:35

Ik heb voor de veiligheid al mijn iot apparaten via VLAN gescheiden van mijn hoofd netwerk.
Zo weet ik niet of mijn nest protect rookmelders überhaupt security updates kunnen downloaden en installeren volledig autonoom.
Better safe than sorry.

Anonymoussaurus

Security

@GarBaGe • 7 maart 2018 18:39

Waarom zouden je rookmelders geen verbinding naar buiten kunnen maken? Ze kunnen alleen niet met een ander VLAN communiceren binnen jouw eigen LAN.

EraYaN @Anonymoussaurus • 7 maart 2018 20:19

Omdat deze man waarschijnlijk een firewall draait en de meeste firewalls een deny all als start hebben voor ieder nieuw netwerk/interface?

Anonymoussaurus

Security

@EraYaN • 7 maart 2018 20:20

Dan allow je ze toch 'gewoon'?

EraYaN @Anonymoussaurus • 7 maart 2018 20:20

Ik verwacht dat het nou juist het doel was dat niet te doen. Je kunt ze altijd handmatig nog een keer updaten.

Anonymoussaurus

Security

@EraYaN • 7 maart 2018 20:22

Ik bedoel dat je enkel de devices allowed naar buiten. Maar ja, dan is het nut van het afscheiden ook een beetje weg.. Alhoewel.. Als handmatig mogelijk is, is dat natuurlijk de beste optie.

jimmy_dg 7 maart 2018 18:16

Er moet haast wel iets gaan veranderen in de manier hoe men nieuwe wetsaanpassingen kan doorvoeren. Shodan.io bestaat al sinds '13 wat een hele grove indicatie geeft sinds wanneer dit "probleem" bij de en masse bekend is. Sindsdien zijn er telkens weer grotere blunders dan de vorige. Achteraf gezien is het makkelijk praten, maar toch jammer dat er geen één leider is geweest die dit heeft kunnen voorspellen.

elmuerte 7 maart 2018 18:31

Dit is gewoon misplaatst vertrouwen in certificaten. Een apparaat wat nu veilig is, is misschien over 1 maand niet meer veilig. Het certificaat doet daar niks aan, die staat al op de doos. Hoe zit het met apparaten die na een garantie periode onveilig worden omdat dan pas het lek gepubliceerd wordt. De "eigenaar" van het apparaat gaat dit niet zomaar vervangen op eige kosten.

Anonymoussaurus

Security

@elmuerte • 7 maart 2018 18:43

Daar gaat het niet om. Het gaat voornamelijk om de software-updates. Voorbeeld: een bedrijf brengt een beveiligingscamera op de markt die erg goedkoop is en veel bang-for-buck biedt, zo lijkt het. Waar echter dan op ingeleverd wordt, zijn de default-instellingen die lek ingesteld staan. Omdat de beveiligingscamera ook zo goedkoop mogelijk moet, is er geen budget meer om de softwareontwikkeling voor het apparaat te verlengen en wordt vermoedelijk dus al vroegtijdig gestaakt.

CopyCatz 7 maart 2018 19:50

Laat ze eerst maar eens definieren wat een "op internet aangesloten apparaat" is. Ik ben aan het programmeren voor Samsung's SmartThings, waarbij ze het constant hebben over IoT terwijk het feitelijk gaat over zwave of zigbee devices. Voor mij is dat ook geen IoT. Ok ze zijn via een hub verbonden met het internet, maar moeten die devices dan ook een certificaat?

Verwijderd 8 maart 2018 12:39

Dit lijkt mij een probleem dat men gewoon aan de markt kan overlaten. Overheidsbemoeienis is onwenselijk want het uitgangspunt is verkeerd. Wetgeving gaat alleen maar 'lijden' tot hogere kosten en vertraging van innovatie. Leuk voor corporaties die de kosten kunnen dragen en het liefst 10 jaar dezelfde techniek uitmelken voor winstmaximalisatie. Dom idee van x66...

twally @Verwijderd • 8 maart 2018 15:17

Ja, echt wel hoor. De markt zichzelf laten regelen. Dit loopt echt wel goed af...
Dat we nu met botnetten zitten die voor 90% bestaan uit IOT devices is het resultaat van de markt zichzelf te laten reguleren. Wat doen die dat goed zeg, dat zelf reguleren.

Verwijderd @twally • 9 maart 2018 09:53

Ga jij nu met droge ogen beweren dat ze bij de overheid verstand van ICT hebben?

Zoals altijd dempt men de put als het kalf verdronken is, put gedempt en het volgende probleem doet zich voor dat de overheid dan wel even zal gaan dempen toch?

Technologie loopt jaren voor op de wetgeving en dat zal altijd zo blijven, enkel de excessen komen noodzakelijkerwijs in aanmerking voor regulering. Je moet als technologiesector zien te voorkomen dat de wetgever onnodige beperkingen gaat opleggen ingegeven door een tijdelijke probleem.

twally @Verwijderd • 9 maart 2018 11:15

Ga jij nu met droge ogen beweren dat ze bij de IOT bedrijven zonder verplichting er voor zullen zorgen dat hun devices de nodige veiligheidsupdates en zulks blijven krijgen? Jij gelooft ook nog in sinterklaas zeker?
Zonder verplichting komt er niets van in huis. Want dat geeft extra kosten en dat betekent minder winst. Natuurlijk zullen er uitzonderingen zijn maar het goedkope spul daar stel ik me toch serieus vragen bij.

"Zoals altijd dempt men de put als het kalf verdronken is"
Het is toch logisch dat er pas gereageerd wordt als het fout loopt. Hadden ze moeten bijsturen op voorhand?

"Je moet als technologiesector zien te voorkomen dat de wetgever onnodige beperkingen gaat opleggen ingegeven door een tijdelijke probleem."
Dit is geen 'tijdelijk probleem' hoor. Als er niets aan gedaan wordt, wordt het enkel maar erger.

Verwijderd @twally • 9 maart 2018 11:48

Het is niet alleen een kwestie van geld, niet elk bedrijf is bezig met de race to the bottom. Er zijn klanten die een zekere kwaliteit eisen en dus gewaarborgd willen zijn tegen forseeable misuse. Die kunnen van hun leverancier eisen dat er een degelijke beveiliging aanwezig moet zijn.

Dat er klanten en leveranciers zijn die niet verder dan hun neus kijken en dan later met de brokken zitten is een kwestie van visie en strategie. Kwaliteit mag wat kosten en wie daar niet voor wil betalen wordt mogelijk geconfronteerd met ernstige problemen.

Dat is niets nieuws, dus wie daar om gaat zitten huilen houdt zichzelf toch voor de gek? Moet de overheid daar als een babysitter op gaan passen? Want bij de overheid heeft men wel verstand van dit soort zaken en laat men zich nooit bij de neus nemen? Ik hoop serieus dat je vorige post niet heel serieus bedoelt was want hij geeft het beeld van iemand die vooral van het afschuiven en vingerwijzen is. Neem verantwoording voor de rommel die je maakt en ruim je kamer op, wie wacht totdat papa of mama boos wordt en gaan ingrijpen is gewoon niet volwassen.

De consument moet meestal eerst een paar keer goed op zijn muil gaan alvorens ze goedkoop is duurkoop verwisselen voor kwaliteit. Ach de economie vaart er wel bij, die spulletjes worden vroeg of laat weer vervangen voor iets nieuws met gerepareerde bugs en nieuwe 'features'.

Waarom vind jij regulering eigenlijk wel een goed idee? Heb jij zoveel vertrouwen in de wetgever? Heb je zo weinig vertrouwen in consumenten en fabrikanten?

twally @Verwijderd • 9 maart 2018 12:51

Ik zei toch dat er wel uitzonderingen zullen zijn die hun veiligheid wel op orde hebben.
Maar wat doe je dan met al die goedkope rommel die er zich geen snars van aantrekken. De mensen thuis zullen het niet merken dat hun IOT devices aan het ddossen gaan. Het 'device' zal zijn werk doen. Maar ondertussen kan het botnet serieuze schade veroorzaken.

"Dat er klanten en leveranciers zijn die niet verder dan hun neus kijken en dan later met de brokken zitten is een kwestie van visie en strategie."
Het zijn niet de klanten en de leveranciers die met de brokken zitten maar de personen die aangevallen worden door het botnet dat bestaat uit IOT devices.

"Ik hoop serieus dat je vorige post niet heel serieus bedoelt was want hij geeft het beeld van iemand die vooral van het afschuiven en vingerwijzen is."
Ik zou eerder stellen dat jij dat doet. Jij zegt het is de consument zijn fout om te goedkoop te willen kopen. Ga jij er dan van uit dat iedereen de gevaren kent van de IOT devices? Niet elke consument is een ICT'er of Tweaker. Terwijl ik de regulering steun waardoor de consument die er niet genoeg van kent tenminste kwaliteit zou kopen.

"Neem verantwoording voor de rommel die je maakt en ruim je kamer op, wie wacht totdat papa of mama boos wordt en gaan ingrijpen is gewoon niet volwassen."
Jammer genoeg nemen de meeste bedrijven de verantwoording niet en daardoor spreken ze nu over regulering.

"Ach de economie vaart er wel bij, die spulletjes worden vroeg of laat weer vervangen voor iets nieuws met gerepareerde bugs en nieuwe 'features'."
Ik weet niet hoor. De schade die berokkent wordt door het botnet, hoe vaart de economie daar wel bij?

Sorry maar er zijn in mijn ogen meer voordelen aan regulering dan er nadelen zijn.

Verwijderd @twally • 9 maart 2018 14:43

Ik denk dat regulering gewoon een slecht idee is, veel van de huidige problemen worden veroorzaakt door apparaten met slechte beveiliging. De oorzaak hiervan moet je zoeken in hoe die producten ontwikkeld worden. Goedkope chipsets, iedereen gebruik dezelfde code en de ontwikkelaar heeft enkel een focus op functionaliteit. Beveiliging? Niet aanwezig of van laag niveau. Dus omdat er met name uit oog van economie, time to market en onkunde een nieuwe klasse van 'met het internet verbonden' apparaten opkomt moet de wetgever meteen maar wetgeving gaan maken?

Hoe ga jij die klasse apparaten duidelijk definiëren? Wat is IoT anders dan een marktetingkreet? Ik vind elke ingreep van overheden op het internet onwenselijk want uiteindelijk remt dit innovatie en het verkleint onze vrijheden. Heb jij last van botnets? Nou dan moet je die maar voor lief nemen en daar de nodige maatregelen tegen nemen. Waar wil je nog meer wetgeving op maken? Een verbod van alle apparaten met internet toegang om deel te nemen aan een botnet? Wie gaat dat controleren? Wil je werkelijk dat elk apparaat met internet toegang een certificering moet doorlopen? Onhaalbaar, onwenselijk en het gaat in tegen het hele principe van een vrij toegankelijk wereldwijd netwerk.

kozue 7 maart 2018 18:24

Verplichte certificering klinkt voor mij meer als een begin om controle te krijgen over wat wel en niet het internet op mag. Het begint met IoT, totdat er iemand de vergelijking maakt met computers en telefoons, en dat die dan ook maar gecertificeerd moeten worden. En daarmee ook gelijk een vereiste introduceren dat je de software niet meer aan mag passen, want anders is de certificering niet geldig meer. Zouden MS en Google heel blij van worden, want dat is effectief gezien een verbod op Linux (tenzij het op het apparaat als OS meegelevert wordt), en natuurlijk op custom roms voor je mobiel, zodat je ook geen Google-loze versies meer mag gebruiken.
Ik vraag me af waar we staan over 10 jaar...

Verwijderd @kozue • 7 maart 2018 21:49

Een verbod op Linux terwijl vrijwel alles van dat Internet op meer dan talloze manieren dankzij Linux draait, zou wel vreemd zijn. Niet?

Verder. Facebook met Whatsapp bv. maakt het al vrijwel onmogelijk om dus, bv., te chatten met je vriendenkring tenzij je de standaard Whatsapp applicatie gebruikt. Dus om dat gesloten Internet te bekomen heb je helemaal geen certificieeringsorgaan nodig gehad. Dat bereiken de mastodonten helemaal zelf ook wel.

Verder werken overheidsinstituten zelden of nooit iets als bv. Linux tegen. Het zijn eerder de bedrijven die een monopolie verkrijgen in een bepaald marktsegment waar ik, als zelf open source ontwikkelaar, schrik voor heb.

Verwijderd @kozue • 7 maart 2018 22:18

Op zich is het een goed idee, maar de uitvoering lijkt mij er lastig. Wat staat er in die certificering en waar moet een apparaat aan voldoen?

Ik zou liever zien dat de NVWA de onveilige apparaten sneller verbiedt en de importeur dwingt om de apparaten kosteloos terug te nemen. Als het importeurs geld kost dan gaan ze pas echt opletten. Anders heb je de kans dat zo'n certificering net zo'n dode letter wordt als de 'CE' markering.

t link @kozue • 8 maart 2018 00:47

denk niet dat google blij zou zijn als linux verboden wordt, kunnen ze android ook schrappen.

Jefrey Lijffijt @kozue • 8 maart 2018 09:31

Je hebt gelijk, in de vorm zoals hierboven beschreven is het effectief een verbod op het gebruik van niet-gecertificeerde software. Dat kan natuurlijk niet de bedoeling zijn. Het idee erachter is natuurlijk om te voorkomen dat we straks miljarden lekke en niet-te-patchen apparaten op het web hebben, waar crimineleren intensief gebruik van maken om DoS attacks e.d. mee uit te voeren. Dit laatste heeft potentie het internet kapot te maken en is dus wel een goed idee om via wetgeving iets aan te doen. Hopelijk neemt er iemand de moeite een fatsoenlijke wet te schrijven.

MSalters

Politiek en recht
Europese unie

@kozue • 8 maart 2018 17:10

Het begint met IoT, totdat er iemand de vergelijking maakt met computers en telefoons, en dat die dan ook maar gecertificeerd moeten worden.

Telefoons moeten gecertificeerd worden.

Nu al. Computers met WiFi trouwens ook.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (102)

Sorteer op:

Weergave: