Centraal Planbureau: overheid moet soms kunnen ingrijpen op markt voor iot

Het Centraal Planbureau pleit voor meer regels rondom internet-of-thingsapparatuur. Het CPB stelt dat de Nederlandse overheid er goed aan zou doen soms in te grijpen op de markt voor iot-apparaten, maar dat dat ingewikkeld is, want het beleid moet ook niet doorschieten.

Het Centraal Planbureau heeft een beleidsbrief geschreven waarin het onderzoekt of het wenselijk is dat de overheid kan ingrijpen op 'de markt voor digitale middelen'. Dat zou bijvoorbeeld kunnen door testfases of veiligheidsstandaarden te verplichten. Het CPB kijkt daarbij alleen naar de economische wenselijkheid van maatregelen. "Discussie over de maatschappelijke wenselijkheid van het gebruik van kunstmatige intelligentie of algoritmen, in bijvoorbeeld de rechtsspraak of opsporing, valt buiten de scope." Het CPB concludeert dat het in sommige gevallen nuttig kan zijn in te grijpen.

De Nederlandse economie loopt risico dat er schade ontstaat door slecht beveiligde apparaten en diensten. Het CPB wijst daarbij naar bijvoorbeeld de WannaCry-ransomware in 2017. Het risico is groot door het stijgende aantal iot-apparaten en internetdiensten, maar ook door het gebrek aan regels voor digitale middelen. Het CPB is niet de eerste partij die waarschuwt voor de risico's van internetapparatuur. Zo schreef de NCTV eerder dat er een grote kans is op 'digitale ontwrichting' van de samenleving.

Volgens het CPB is er op een vrije markt een te lage prikkel om meer dan gemiddeld betrouwbare apparatuur te maken. De kosten wegen door verschillende factoren vaak niet op tegen de baten, zoals de hogere prijs die een fabrikant kan vragen omdat het product betrouwbaarder zou zijn. "Vanuit maatschappelijk perspectief kan het investeringsniveau op een vrije markt te laag zijn", schrijft het bureau. Daardoor ontstaan vaak neveneffecten die moeilijk te voorspellen zijn. Iot-apparaten kunnen bijvoorbeeld worden gebruikt voor ddos-aanvallen of om ongelukken te veroorzaken met voertuigen zoals auto's en vliegtuigen.

Het CPB laat in het midden wat de beste oplossing is voor de problemen en wanneer die oplossing precies nodig is. "Aanvullend beleid voor betrouwbare digitale middelen is nodig als externe effecten of andere verstoringen zorgen voor onwenselijke marktuitkomsten", schrijft het bureau. Mogelijke oplossingen zijn bijvoorbeeld meer voorlichtingscampagnes houden over veiligheid of meer informatie verplichten, zoals dat ook bij voedsel en financiële producten gebeurt. Ook zou het afdwingen van Europese certificaten voor de veiligheid een oplossing kunnen zijn. Dat ingrijpen door de overheid soms nodig is, acht het bureau in ieder geval zeker. "Beleid is nodig voor de betrouwbaarheid van digitale middelen. Vanwege verschillende vormen van marktfalen is ingrijpen inderdaad legitiem."

Het CPB waarschuwt wel voor de moeilijkheid van maatregelen. Zo is er veel verschil in apparaten en software, waardoor uniform beleid moeilijk is. Het beleid kan bovendien doorschieten, waardoor de maatregelen leiden tot hogere kosten in de handhaving. Dat moet volgens het bureau wel opwegen tegen de voordelen van meer betrouwbaarheid.

Reacties (44)

RobbieB 29 april 2020 11:34

Niet alleen IOT, maar in alle technologische markten. Er moeten duidelijkere standaarden / certificeringen rondom secure software development komen in vergelijking met standaarden die we stellen aan bv. vervoersmiddelen of andere producten.

Het is te absurd dat bv. software als Zoom beschikbaar was waar fundamentele vulnerabilities in zaten. Een auto wordt ook niet zonder gordel of lampen geleverd. Om diezelfde reden moet software ervoor zorgen dat alle transmissies en opslag van data encrypt is met een publicly available en verified algoritme.

Zo zijn er voldoende security principes die in mijn ogen op dezelfde manier gehandhaafd moeten worden zoals we dat met andere veiligheidsprincipes doen in bv. gebouwen en voertuigen.

En voldoe je er niet aan? Dan moet je je product terugroepen of moet de overheid het van de digitale snelweg kunnen halen.

Het is te gek voor woorden dat we dit in andere branches wel op orde hebben maar na +30 jaar het internet voor consumenten nog steeds als een wilde westen beschouwen.

[Reactie gewijzigd door RobbieB op 24 juli 2024 18:04]

Anoniem: 310408 @RobbieB • 29 april 2020 11:48

of moet de overheid het van de digitale snelweg kunnen halen.

En hoe zie je dat voor je in het geval van Zoom?
Ik zie niets in de overheid die all (!) software moet gaan toetsen op veiligheid.

Renoir @Anoniem: 310408 • 29 april 2020 12:00

Nou ja, zo'n gek idee is het toch niet? Voor medicijnen hebben we ook allerlei normeringen en testen, voor vervoersmiddelen ook, net als voedsel, elektronica enz. Dus waarom niet voor (bepaalde) software?

thetakman @Renoir • 29 april 2020 13:49

Heb je enig idee hoe lang dingen dan uitgesteld worden voor jij ze kan gebruiken? ¿ ?

En wie gaat dit betalen dan?
Denk je dat Apple een geheel test programma gaat opzetten om hun software voor de Iphone te laten testen voor de Nederlandse markt? Dit werkt enkel op Europees niveau en dan NOG is het de vraag wie dit gaat betalen en gaat testen.

In geval van jou vergelijking met medicijnen en vervoersmiddelen hebben we het over Jaren testen voor het gebruikt kan worden. Aangezien onze regering fantastisch is met ICT verwacht ik niet dat software testen heel veel sneller zal gaan.

Oftewel je krijgt dat Apple nu al de software schrijft die over 2 jaar pas uitgerold wordt met een beetje ongeluk. Laat staan wat een gemiddeld android device gaat doen die nu hier en daar mondjes matig updates krijgt.

Ik wil nog geen eens beginnen over hoe een kleinschalige maatwerk programmeur zijn eigen bedrijf moet laten testen per update of nieuwe versie.

Tuurlijk kun je roepen, ow we doen het Enkel voor bepaalde software. Maar dan krijg je al gauw een constructie dat de grote jongens overal mee weg komen en creeër je nog meer monopolie.

Dit zijn slechts een paar grepen uit me hersenspinsel wat er allemaal voor problemen kunnen ontstaan als je dit zo even doordrukt.

Renoir @thetakman • 29 april 2020 14:38

Lees mijn post en dan jouw post nog even een keer. Volgens mij heb je per ongeluk op "reageer" gedrukt.

Alex3 @Renoir • 29 april 2020 14:46

Nou ja, voor computers gebeurt het ook niet.

Renoir @Alex3 • 29 april 2020 14:54

Wel een CE markering.

Alex3 @Renoir • 29 april 2020 15:05

Die is al verplicht voor o.a. alle elektrische apparaten, maar heeft kennelijk geen betrekking op de software.

rud @Renoir • 29 april 2020 17:41

Helaas zijn steeds meer normen en testen overgelaten aan "de markt regelt het zelf" economie. Vroeger werden bouwplaatsen, restaurants en winkels regelmatig bezocht door keuringsdiensten. Dat gebeurt nauwelijks meer. Bedrijven zijn zelf verantwoordelijk dat zij aan de normen voldoen.

Stel je nu een bedrijf voor dat in geldnood zit. Waar wordt het eerst op bezuinigd?

Eisen voor medicijnen zijn ook zoiets. Die worden in bijvoorbeeld India gemaakt. Op papier klopt alles. In de praktijk blijkt er van alles mis waardoor bepaalde medicijnen niet meer geleverd mochten worden: er zaten kankerverwekkende stoffen in.

Leuk dat soort normen maar zonder intensieve keuringen en hoge straffen is het allemaal een lachertje.

TheekAzzaBreek @Anoniem: 310408 • 29 april 2020 14:21

Het hoeft de overheid niet te zijn die toetst, dat kunnen best certificerende bedrijven zijn. Dat gebeurt al op veel terreinen, CE-certificering, KEMA keur, TÜV, enzovoorts.

Het lastige is te bepalen wat de eisen zouden moeten zijn. @RobbieB's voorbeeld ligt wel voor de hand, maar er is natuurlijk wel meer nodig. Maar verzin maar eens criteria voor software of producten die nog niet verzonnen zijn.

En je wilt natuurlijk niet alle innovatie doodslaan, je kan ook teveel eisen stellen. Het is best een lastige afweging. Maar het zou goed zijn als de overheid (EU) normen zou stellen. Voor veel software gelden nu de eisen van de verschillende app stores, maar weet jij wat die zijn, of ze voldoende zijn en of ze gehandhaafd worden? En hebben de store boeren dezelfde belangen bij jouw privacy?

kodak

Beveiliging en antivirus
Nederland

@Anoniem: 310408 • 29 april 2020 13:42

Dat een product aan eisen moet voldoen wil gewoonlijk zeggen dat een bedrijf moet kunnen aantonen dat ze aan eisen voldoen. En mocht achteraf, bijvoorbeeld door klachten of bij steekproeven, blijken dat een bedrijf niet aan de eisen voldoet dan zijn ze daar ook zelf verantwoordelijk voor.

amigob2 @RobbieB • 29 april 2020 12:11

> Een auto wordt ook niet zonder gordel of lampen geleverd
Zo werkt de wereld dus niet.

Ik kan je een voorbeeld geven waar volgens mij was het Ford ( Pinto ), zelfs bewust geen terug roep actie deed. Maar het was toch wel heel gevaarlijk dat de rugsteun in de auto ook de benzine tank was en dat gebleken was dat bij ongelukken veel meer mensen in vlammen op gingen. En Ford had berekend dat het goed koper was alle schadde vergoedingen te betalen dan de auto's veiliger te maken.

En iets met 737MAX

[Reactie gewijzigd door amigob2 op 24 juli 2024 18:04]

RandomMens @amigob2 • 29 april 2020 12:57

De Ford Pinto had de benzinetank niet in de rugsteun zitten. Het probleem van de pinto was dat de benzinetank achter de achteras zat. De zone die alle moderne wagens nu als kreukelzone hebben. Gevolg is dat bij een accident de benzinetank direct geraakt is, terwijl de normale locatie de benzinetank boven de achteras zit (zeldzaam, vaak PHEV) of voor de achteras (bijna alle wagens hebbennde tank onder de achterbank zitten). Maar je referentie over dat Fors besloot dat het goedkoper was om de advkcaten te betalen dan een terugroepactie te doen dat klopt. Maar het haalt weinig uit in deze context: dat probleem stroomde uit de vrije markt waar crashtesten zwakker waren of niet verplicht waren. De reden dat we heden ten dage zo geen rampen tegenkomen is doordat er zoveel strenge normen en testen zijn alvorens een wagen verkocht mag worden. Dat probleem zou bij crashtesten direct gevonden worden.

Een betere referentie om het tegendeel te bewijzen is de Takata airbags. Die hebben alle noteringen gehaald en bijna elke fabrikant heeft ze in wagens gestoken. Maar wat bleek? Op lange termijn in bepaalde klimaten kon door vochtigheid de stoffen verantwoordelijk voor de ontsteking van de airbag, verklonteren. Gevolg is dat ze dus na productie en in meeste omstandigheden wel deftig werkte als airbags maar in bepaalde situaties waren ze waardeloos. Dat toont hoe de regels een vals gevoel van veiligheid opleveren

kodak

Beveiliging en antivirus
Nederland

@amigob2 • 29 april 2020 13:46

Je voorbeeld klopt niet. Het leveren van gordel en lampen is verplicht en zonder mag het niet verkocht worden en de weg op. Dat bedrijven of verkopers creatief zijn in het nemen van risico's wil niet zeggen dat het dus wettelijk mogelijk is of dat iedereen dat zal doen.

Vlad86 @RobbieB • 29 april 2020 14:15

Ik vind dat je hier een illusie schept dat als je een geverifieerd (open) standard gebruikt en een reeks aan certificeeingen dat het veilig is.

Alles is te hacken, wat je hier mee bereikt is een verhoogde hackbaarheids drempel tenkoste van verhoogde product kosten, verlaagde innovatie snelheid, vals veiligheids gevoel, rompeslomp en een hoop nieuwe hypster termen.

GertMenkel

Nederland
Beveiliging en antivirus

@RobbieB • 29 april 2020 14:09

Het is te absurd dat bv. software als Zoom beschikbaar was waar fundamentele vulnerabilities in zaten.

De kwetsbaarheden die in zoom zaten waren grotendeels het gevolg van mensen die domme dingen doen (ID's publiekelijk delen en dan raar opkijken als mensen die kunnen gebruiken) en fouten van de Windows kernel (als je op een link in je browser klikt je credentials in een eenvoudig te achterhalen manier naar het internet versturen). Ze gebruikten TLS voor encryptie, dus de data was onkraakbaar naar de server verzonden. End to end encryptie is extreem lastig aangezien Zoom daarmee iedereens upload keihard voltrekt en een groot deel van de wereld het nog steeds met minder dan een schamele 30mbps upload moet doen.

Als je denkt dat Zoom belangrijke kwetsbaarheden bevat, moet je eens kijken naar Windows/macOS/Linux/Android/iOS/Chrome/Firefox. Of Landrover, Nissan en Tesla, bijvoorbeeld. Simpel gezegd, praktisch alle software heeft wel ergens een verborgen kwetsbaarheid of ontwerpfout (alhoewel autofabrikanten buiten Tesla om het een sport lijken te hebben gemaakt om zo dom mogelijke fouten te maken).

Autofabrikanten hebben ook voldoende kwetsbaarheden in hun software gestopt en hebben genoeg defecte producten gemaakt waarvan de eigenaren zijn opgeroepen naar de garage te rijden om dit te repareren. De makers van software doen hetzelfde, alleen hoef je bij hun geen benzine te betalen om de fix toe te passen; je hoeft alleen de update te draaien.

Regelgeving voor software is niet per se slecht, maar de meeste software bedreigt geen levens als zich een fout voordoet zoals bij auto's. Ik zou maar al te graag een wettelijk bindend overzicht van minimale tijd tot de beveiligingsupdates stoppen bij ieder IoT-product, maar laten we niet gaan doen alsof een gehackte smart fridge je gezin vermoordt zoals een auto waar de remmen niet meer werken.

Je kunt zelf de software in de juiste richting duwen door alleen software waarvan de broncode aan jouw beschikbaar is (dat kunnen nog steeds betaalde producten zijn!) te gebruiken. Op die manier kan de maker van het product de details van een kwetsbaarheid, als die gevonden wordt, niet verbergen, kunnen kwetsbaarheden sneller gevonden worden (waardoor de maker van de software sneller geneigd zal zijn veilige standaarden aan te houden) en wordt software weer net een stukje beter.

Er is al wetgeving dat persoonsgegevens voldoende moeten worden beschermd volgens goede, huidig beschikbare technologie. Volgens de meeste interpretaties houdt dat al encryptie in, en ik ken eigenlijk geen encryptie die openbaar geverifieerd is. Misschien dat Iran en het Amerikaanse leger een variant van AES hebben ofzo, maar alle bedrijven waar we in aanraking mee komen hebben de eis al dat ze zorgvuldig met persoonsgegevens omgaan.

Maar als je denkt dat de overheid morgen een droomwereld maakt waar alle software 100% geverifieerd veilig is, ben je naïef. Softwareverificatie is alleen mogelijk voor bedrijven met gigantische bedragen op de bank zoals Apple en Google gezien de enorme hoeveelheid tijd en mankracht die validatie van software kost.

Ook zullen bedrijven geen implementatiedetails over de manier waarop hun data wordt beveiligd prijs gaan geven als ze ook in Amerika opereren, want ze zijn dan direct een doelwit voor patent trolls en andere ongein. Ook nu zeggen ze al puur dat "gegevens veilig worden opgeslagen" in plaats van "gegevens worden versleuteld met AES in CBC modus". Ze zullen alles zo vaag houden als de wet toestaat, de waarheid verdraaien en een gevoel van veiligheid creëeren waar dat niet gegrond is, puur om aan de eisen te voldoen. Kijk naar Zoom, waar mensen oprecht niet leken te weten wat end to end encryptie is. Veel waarschijnlijker is dat ze gewoon iedereen uit Nederland/de EU blokkeren.

Softwareveiligheid is belangrijk maar je kunt Microsoft Word niet tegen een muur aan laten rijden, beoordelen of de inhoud van je bestand nog heel is en dan goedkeuren.

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

29 april 2020 11:27

Mogelijke oplossingen zijn bijvoorbeeld meer voorlichtingscampagnes houden over veiligheid of meer informatie verplichten, zoals dat ook bij voedsel en financiële producten gebeurt.

Dat gaat niet helpen. Het probleem ligt voornamelijk aan de kant van het aanbod. Een vraag naar (langdurig) veilige apparatuur zal er nooit zijn op grote schaal. Een campagne gaat niet helpen als er geen aanbod is.

Ook zou het afdwingen van Europese certificaten voor de veiligheid een oplossing kunnen zijn.

De oplossing moet inderdaad op EU niveau gezocht worden. Alleen dan heb je een markt groot genoeg om bij fabrikanten zaken af te dwingen.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 18:04]

Maurits van Baerle @The Zep Man • 29 april 2020 12:40

De vraag is een beetje hoe je dat vorm geeft. Ik zou het liefst een soort Europese ondergrens hebben waar producten aan moeten voldoen maar je wil tegelijkertijd ook niet dat je die regels ieder jaar moet herzien omdat de technologie voortgeschreden is.

Als je bijvoorbeeld in de regels vastlegt dat gegevens met encryptie over de lijn moeten dan zou een bedrijf bij wijze van spreken nog met ROT13 encryptie weg kunnen komen. Aan de andere kant, als je vastlegt dat er minstens AES met 128bit key moet worden gebruikt dan moet je misschien regelmatig je regels herzien.

Nou moet ik wel zeggen, de Amerikanen hebben de PCI DSS standaard voor betalingsverkeer die met enige regelmaat herzien wordt en hier in de EU hebben we de Euro emissiestandaarden die regelmatig herzien worden dus het kan misschien wel.

Je zou een soort ‘Euro IoT 1’ standaard kunnen ontwikkelen met wat basis eisen. Over twee of drie jaar wordt die dan opgevolgd door de ‘Euro IoT 2’ standaard die strenger is. Het eerste jaar is zo’n standaard dan niet verplicht (maar kunnen consumenten al wel vast hun keuze er op baseren) maar na een jaar moeten alle nieuwe producten op de markt er aan voldoen.

Misschien is de allereerste stap wel regels dat fabrikanten verplicht de gebruikte encryptiemethoden voor datatransmissie moeten publiceren zodat mensen dat mee kunnen wegen in hun aanschaf. De fabrikant van mijn Tado smart thermostat zegt bijvoorbeeld op hun site bij de specificaties:

Data encryption:
TLS 1.2 (SSL), 2048-bit Extended Validation Certificate / TLS 1.2 (SSL), 256-bit elliptic curve encryption / AES-CCM encryption

https://www.tado.com/gb/p...rt-thermostat-starter-kit

Door fabrikanten te dwingen dat te publiceren worden ze min of meer gedwongen dat serieus te nemen omdat een deel van de klanten dat mee zal nemen in hun aanschafoverwegingen en reviewers het eerder zullen benoemen.

En dat is dan alleen nog encryptie over de lijn. Hetzelfde zou je kunnen doen met het verbieden van standaard wachtwoorden. Het standaard bereikbaar maken van de managementinterface alleen vanaf een LAN adres. Dat bepaalde basisfunctionaliteit ook moet werken zonder internetverbinding (I'm looking at you Ring Doorbell!) etc. etc.

[Reactie gewijzigd door Maurits van Baerle op 24 juli 2024 18:04]

The Zep Man

Beveiliging en antivirus
Nederland
Politiek en recht

@Maurits van Baerle • 29 april 2020 13:00

De vraag is een beetje hoe je dat vorm geeft. Ik zou het liefst een soort Europese ondergrens hebben waar producten aan moeten voldoen maar je wil tegelijkertijd ook niet dat je die regels ieder jaar moet herzien omdat de technologie voortgeschreden is.

Je kan gewoon de adviezen van bestaande instanties overnemen. Bijvoorbeeld: encryptie moet voldoen aan de laatst gepubliceerde NIST aanbevelingen voor minimaal een '& beyond' categorie.

kaaijer 29 april 2020 12:53

Object Management Group timmert hard aan de weg om een overkoepelend framework voor IoT devices voor elkaar te krijgen.

https://www.omg.org/hot-topics/iot-standards.htm

Amerikaans bedrijf en hoop daarmee niet dat Nederland het wiel opnieuw probeert uit te vinden. Juist op het gebied van dergelijke globale ontwikkelingen hoor je op globaal niveau samen te werken.

kodak

Beveiliging en antivirus
Nederland

@kaaijer • 29 april 2020 14:43

Als de EU of NL met eigen standaarden komt wil dat niet perse betekenen dat het slecht is. Dat is ook niet het uitgangspunt bij eigen wetgeving.

Het uitgangspunt van OMG lijkt niet om echt naar alle behoeften te kijken maar te verwachten dat je member gaat worden en dan met hun spel mee doet om tot een framework van deelnemers te komen. Dat wil niet perse zeggen dat het dus een framework is dat past bij de rest van de wereld/EU/NL en het makkelijk aan te passen is. Dat gaat net zo op voor hun concurrenten.

kaaijer @kodak • 29 april 2020 17:03

Mmm, ben ik niet met je eens. Als elk land met hun eigen standaard en wetgeving komt, vormt dit een barrière voor interoperabiliteit. IoT devices zijn niet Nederlands, Frans of Chinees. Vergelijk het met het internet. Toegang voor iedereen. Dat is nou juist de kracht van IoT: connected anywhere, anytime.

kodak

Beveiliging en antivirus
Nederland

@kaaijer • 29 april 2020 17:13

Ik stel niet dat elk land met een eigen standaard gaat komen. Dat lijkt me zelfs niet realistisch in de EU. Maar het lijkt me ook niet realistisch dat het dus maar voort moet komen uit 1 bestaand initiatief omdat het al bestaat. Er zijn hoe dan ook al verschillende initiatieven en verplichtingen. Vermoedelijk zal er dus een tusssenweg nodig zijn. Misschien is de meest logische wel dat de EU niet de standaarden bepaalt maar eisen stelt dat fabrikanten die binnen de EU willen leveren deelnemen in de totstandkoming van standaarden.

jpsch 29 april 2020 11:33

Meeste apparatuur zou gewoon moeten kunnen werken zonder internet. Daar kunnen ze beter op ingrijpen.

MadEgg @jpsch • 29 april 2020 11:37

Ik zou wel voor een verplichting zijn voor dergelijke apparatuur om (correct en bewezen) volgens een open standaard te communiceren zodat je niet gebonden bent aan de servers van de leverancier, maar ook een alternatief kunt gebruiken of zelfs je eigen server.

Internet-of-Things zonder internet wordt een beetje lastig natuurlijk. Dan heb je gewoon weer things. Ook prima, maar die bestaan ook gewoon nog steeds.

[Reactie gewijzigd door MadEgg op 24 juli 2024 18:04]

amigob2 @MadEgg • 29 april 2020 11:48

Dat hoeft niet, ik wil gewoon niet dat die IOT apparaten, een connectie hebben met servers van de fabrikant. En wel om 2-3 redenen.
- Als de fabrikant de server stopt verlies je functionaliteit
- er moeten continue sequrity patch uitgebracht worden voor al die IOT apparaten, wat niet gedaan wordt
- en al die apparaten zijn dus een grote security risk

Mensen kunnen veel beter IOT hebben die alleen intranet zijn, en dan met een VPN naar je intranet connecten zodat je toegang hebt tot al je apparaten. En dan is je VPN een single point of sequrity, die wel goed onderhouden wordt door de fabrikanten van de routers.

MadEgg @amigob2 • 29 april 2020 11:52

Met mijn tweakers-pet op ben ik het daarmee eens. Echter betekent dat wel dat dit soort apparaten direct voor het overgrote deel van de mensen onbereikbaar blijft - die kunnen geen VPN opzetten en gaan ook niet iemand betalen om dat voor ze te doen. En als het in je eigen netwerk blijft kun je zonder verdere technische aanassingen er ook niet met een app bij - dan zul je een gateway moeten opzetten of poorten openen.

Met een open standaard kan de standaardinstelling zijn dat het naar de fabrikant gaat, maar kun je dit altijd eenvoudig herrouteren naar een server naar keuze, zoals op je eigen netwerk.

We zullen helaas rekening moeten houden met de minder technische mensen onder ons. Vanuit commercieel oogpunt is het volstrekt onhoudbaar om te eisen dat alles via een VPN oid gergeld moet worden.

amigob2 @MadEgg • 29 april 2020 12:03

Het opzetten van een VPN server hoeft niet heel moeilijk te zijn, met ondersteunende sofware, die er nu niet is, omdat alle router fabrikanten geen VPN server functionaliteit aanbieden. Maar een PC software die om een passphrace vraagt, sleutel setjes maakt, deze upload naar de router, en dan een complete ovpn file voor je telefoon maakt, moet toch niet zo moeilijk zijn. Het is er alleen niet. En je moet wel een redelijk fixed IP adres hebben.

jhnddy @MadEgg • 29 april 2020 12:09

Mhua. Het configureren van een modem hebben we inmiddels voldoende geautomatiseerd zodat elke leek met het wisselen van abonnement zelf zijn modem kan vervangen met een kleine handleiding.

Hetzelfde kan je ook doen voor het opzetten van een VPN. Alles wat daarvoor nodig is, kun je scripten en met een simpele interface leveren. Bijvoorbeeld een kastje die je op je modem aansluit + een app waar je mee connect.

Het nadeel is alleen dat bedrijven helemaal geen incentive hebben om dit te regelen. Die vinden het wel prima dat ze data kunnen verzamelen, in plaats van die extra ontwikkelkosten te maken.

[Reactie gewijzigd door jhnddy op 24 juli 2024 18:04]

jpsch @MadEgg • 29 april 2020 12:18

Mijn IoT tv, koffiezetapparaat, babyfoon, deurbel, vibrator moet toch gewoon kunnen blijven werken?
En fabrikanten kennende kun je dat soort apparaten binnenkort alleen maar met internetverbinding kopen.

MadEgg @jpsch • 29 april 2020 12:20

Mijn IoT tv, koffiezetapparaat, babyfoon, deurbel, vibrator moet toch gewoon kunnen blijven werken?
En fabrikanten kennende kun je dat soort apparaten binnenkort alleen maar met internetverbinding kopen.

Daar is dus wel een rol weggelegd voor de overheid. Behalve je IoT TV dan

Je kunt niet een IoT-apparaat kopen en vervolgens verwachten dat hij prima zonder verbinding werkt. De beschikbaarheid van alternatieven die dat niet vereisen mag best verplicht worden.

jpsch @MadEgg • 29 april 2020 12:26

Onzin, een tv is om tv te kijken.
Nu is de praktijk al dat een smart tv na 2/3 jaar niet meer ondersteund wordt voor apps. Als er geen regelgeving komt, zie ik 't gebeuren dat je ook geen tv meer kunt kijken na x-jaar.

MadEgg @jpsch • 29 april 2020 13:00

Ja, nu lopen er twee zaken door elkaar.

Van een connected device zoals een smart TV of een IoT-device (om de hypeterm er maar even in te houden) mag je niet verwachten dat deze (volledig) werkt zonder internetverbinding. Precies om die reden heb ik mijn huidige TV expliciet uitgezocht op het afwezig zijn van smart-tv-functionaliteiten.

Dat je mag verwachten dat deze gedurende een reële verwachte levensduur van het apparaat blijft werken lijkt me een goede zaak en daar gaat het nu vaak mis doordat fabrikanten failliet gaan of gewoon de stekker eruit trekken. Voor die situaties lijkt het mij dus een goede oplossing om te vereisen dat deze apparaten altijd op via een open standaard communiceren zodat je altijd (al dan niet collectief) een alternatief kan opzetten als de leverancier ermee ophoudt.

Eisen dat de leverancier tot in het einde der dagen de servers online houdt is niet reëel - die servers kosten gewoon geld en als 99% van je klanten het apparaat heeft vervangen is het niet echt kostendekkend meer om de servers online te houden. Natuurlijk is het in het belang van de leverancier om daarmee aan planned obsolescence te kunnen doen en het liefst zo snel mogelijk, en hier mag de overheid dus best ingrijpen wat mij betreft.

R4gnax @MadEgg • 29 april 2020 14:04

Eisen dat de leverancier tot in het einde der dagen de servers online houdt is niet reëel - die servers kosten gewoon geld en als 99% van je klanten het apparaat heeft vervangen is het niet echt kostendekkend meer om de servers online te houden.

Als het echt zoveel geld kost om het voor die 1% online te houden, dan kunnen ze ook de restwaarde van de TVs van die 1% uitkeren als afkoopsom en alsnog goedkoper uit zijn.

Geef je ook gelijk netjes gehoor aan het confirmiteitsprincipe: gedeeltelijke restitutie voor weggevallen functionaliteit is een oplossing om non-conformiteit mee af te handelen.

[Reactie gewijzigd door R4gnax op 24 juli 2024 18:04]

MadEgg @R4gnax • 29 april 2020 14:07

Lijkt me een redelijke oplossing al wordt je daar als consument nog steeds niet echt blij van natuurlijk - je prima functionerende TV na 5 jaar afgekocht krijgen voor de dagwaarde (wat niet veel zal zijn), en daarna zeer beperkt overblijft zonder technische motivatie - alleen een financiële motivatie.

Ik zou liever zien dat je er zelf mee aan de slag kunt.

ari3 @MadEgg • 29 april 2020 15:05

Juist omdat leveranciers failliet kunnen gaan of het niet langer commercieel aantrekkelijk vinden om hun "smart" platform in de lucht te houden (Nog bedankt hé Panasonic voor het stukmaken van YouTube op mijn VT20...)

De overheid moet voor alle apparatuur met software en/of netwerkverbindingen eisen dat:
- het besturingssysteem en applicaties vernieuwbaar of vervangbaar zijn, ook door derden;
- zodra een leverancier failliet gaat of de software niet langer wil of kan onderhouden moet de broncode zonder restricties verplicht in het publieke domein geplaatst worden;
- vrijgegeven broncode strekt tot de meest ruime interpretatie, dus alle broncode van het BIOS, de bootloader, de firmware van Wifi/Modem chipsets, het besturingssysteeem, de applicaties en de firmware van GPUs, DSPs, PICs, PFGAs, MCUs, enz.

[Reactie gewijzigd door ari3 op 24 juli 2024 18:04]

MadEgg @ari3 • 29 april 2020 15:29

De overheid moet voor alle apparatuur met software en/of netwerkverbindingen eisen dat:
- het besturingssysteem en applicaties vernieuwbaar of vervangbaar zijn, ook door derden;

Hier ben ik het zeker mee eens.

- zodra een leverancier failliet gaat of de software niet langer wil of kan onderhouden moet de broncode zonder restricties verplicht in het publieke domein geplaatst worden;

Leuk, maar niet haalbaar. Het opensourcen van broncode kost nog behoorlijk wat tijd, daarnaast moeten licenties van andere bedrijven/software dan ook nagelopen worden, en dat kan geld kosten. Dat gaat dus niet gebeuren als het bedrijf failliet gaat - dat geld gaat naar de schuleisers. Als voorwaarde voor het op de markt brengen zou het meer kans maken - je zou dan bedrijven kunnen verplichten om broncode te open sourcen zodra ze het apparaat op de markt brengen maar deze open source kopie in beheer van een publieke organisatie geven die het vrijgeeft zodra het bedrijf ermee ophoudt. Maar goed, daar zitten ook weer talloze haken en ogen aan.

- vrijgegeven broncode strekt tot de meest ruime interpretatie, dus alle broncode van het BIOS, de bootloader, de firmware van Wifi/Modem chipsets, het besturingssysteeem, de applicaties en de firmware van GPUs, DSPs, PICs, PFGAs, MCUs, enz.

Tja, en daarbij ben je ook weer afhankelijk van vele externe partijen. Ik juich het van harte toe, maar het lijkt me niet een reële eis.

Het meest haalbare lijkt mij toch echt een verplichte open (of in ieder geval volledig gedocumenteerde) standaard waarbij exact vaststaat wat het apparaat op welke manier van welke bron opvraagt, zodat je dit altijd kunt onderscheppen en vervangen.

TheekAzzaBreek @jpsch • 29 april 2020 14:26

Mijn IoT tv, koffiezetapparaat, babyfoon, deurbel, vibrator moet toch gewoon kunnen blijven werken?
En fabrikanten kennende kun je dat soort apparaten binnenkort alleen maar met internetverbinding kopen.

Daar is dus een rol weggelegd voor jou als consument: niet kopen. Als er een markt is voor niet-connected apparaten zijn er heus wel partijen die daar in springen.

jpsch @TheekAzzaBreek • 29 april 2020 16:19

Moet er wel een keuze zijn.

Ootje70 29 april 2020 13:51

Zie als voorbeeld: https://tweakers.net/nieu...emo-netcam-producten.html net hierna geplaatst. Ik denk dat overheden de leveranciers zouden moeten kunnen aanspreken op hun verantwoordelijkheden en de gevolgen van dit soort besluiten voor consumenten. Heb je nog niet zo lang geleden je huis beveiligd met Belkin spul, kan het nu allemaal de vuilnisbak in!

L0g0ff

29 april 2020 14:44

Ik vind deze discussie moeilijk. Ja het is belangrijk dat alles goed gepatched is maar waar trek je de lijn?

Waarom iot alleen geldt dit niet voor alle software?

Maar dan de andere kant het internet is een grote aan elkaar geknoopt zootje. Dit is de kracht maar ook een valkuil van het internet. Als ik nu een mooie applicatie lanceer moet ik dan eerst een heel keuringsdienst door voordat ik deze applicatie online kan zetten?

En mag een losse Raspberry pi bijvoorbeeld met software die ik er zelf op zet wel, maar een kant-en-klare iot oplossing weer niet?

Ik vind het goed dat hier maatschapelijk over nagedacht wordt maar ik ben bang dat je niet uit deze discussie komt zonder het fundament van het internet opnieuw te definiëren.

cui bono 29 april 2020 16:45

'Volgens het CPB is er op een vrije markt een te lage prikkel om meer dan gemiddeld betrouwbare apparatuur te maken.'
Dat zegt eigenlijk alles. En dat zelfs een dergelijke instelling dat constateert is veelzeggend.
De vrije markt wil zeggen dat er niet op kwaliteit geconcurreerd zal worden maar op kwantiteit om vooral zoveel mogelijk marktaandeel te veroveren.
Ga je in dit systeem op kwaliteit concurreren dan kom je met dat product in een niche van de markt terecht.
Dit systeem hobbelt van crisis naar crisis en is intrinsiek chaotisch.
In het sovjet systeem met hun 5-jaren plannen is aanvankelijk ook geprobeerd om van kwantiteit (snelle behoeftebevrediging) over te gaan naar kwantitatieve kwaliteit maar door de apparatsiks met hun gammele en frauduleuze 'data' en de oorlogsindustrie is dat grandioos in de kiem gesmoord.
Toch zullen we naar een dergelijk systeem toe moeten want de samenleving wordt nu alleen maar kwetsbaarder.
Zie alleen al wat er bij de overheid misgaat en de versnippering in de gezondheidszorg waar een woud van diverse (apparaten en data-systemen) in ziekenhuizen, zorginstellingen en bij zorgverzekeraars plaatsvindt. Zelfs specialisten in 1 ziekenhuis'concern' hebben nog hun verschillende systemen en in een ziekenhuis kan de EH niet bij de gegevens komen van patiënten van datzelfde ziekenhuis.
Vanmorgen bij een wat ouder Nederlands echtpaar met Congolese achtergrond geweest. Taalzwak en geen internet laat staan Digid. Eén grote papieren administratieve chaos omdat steeds meer digitaal vereist wordt. Het groeit die mensen boven het hoofd. Willen nu dat alle vaste lasten automatisch gaat.
Blijkt dat menig 'nuts'bedrijf en/of verzekeraar zelfs geen formulieren meer heeft om dit te regelen en verwijst naar de FAQs op hun websites...... Alleen al de wachttijden om hun 'service'afdeling te kunnen bereiken.
En de overheid?........zoek het maar lekker uit. Dus zie het uitkeringen debacle. Zullen we het even gaan hebben over de bereikbaarheid en de er aan verbonden kwaliteit van de belastingdienst.
'Leuker kunnen we het niet maken.' Nee, beter, beter! Dat willen we!

mutley69 29 april 2020 21:15

Is de overheid wel altijd onze vriend? Die vraag moet je je ook durven stellen. Net zoals een bedrijf moet de overheid regelmatig als onbetrouwbare partij benaderd worden ter bescherming van uw eigenste privacy. Zo eenvoudig is 't. Zeker met politici die permanent vergeten wie hun verkiest - zetten vaak systemen op die een loopje nemen met onze rechten. En als uw rechten weg zijn - kost het herwinnen daarvan 10x meer energie dan dat u dat had voorkomen. We zijn veel te soft - we moeten meer revolutionaire drang ten toon stellen.
Anders stemmen - voor pragmatische verstandige mensen - die de rechten van de gewone burger wil vrijwaren. Ze lopen helaas heel dun gezaaid - de meesten hebben zelfs de kennis niet om tot dat besef te komen.

VisionMaster 30 april 2020 12:11

Er is een werkgroep actief die het normenkader hiervoor in kaart aan het brengen is, daar zitten juist ook relaties aan die hangen aan allerlei EU normenkaders. Waaronder te gebruiken technieken en support kwesties op IoT. Een teddybeer of slimme pop heeft toch een andere set aan security (en privacy) kaders nodig dan een industrieel gerichte toepassing. Wellicht dat men hier op zit voor te sorteren vanuit CPB.

Op dit item kan niet meer gereageerd worden.

Centraal Planbureau: overheid moet soms kunnen ingrijpen op markt voor iot

Lees meer

Reacties (44)

Sorteer op:

Weergave: