Zijn fabrikanten verantwoordelijk voor schade door IoT-security?

Stel: je beveiligingscamera blijkt onveilige software te hebben waardoor de beelden van jouw huiskamer op internet te zien zijn. Kun je de fabrikant daar verantwoordelijk voor houden? We vragen vier experts op het gebied van IoT-security naar hun mening.

Ot van Daalen, onderzoeker verbonden aan het Instituut voor Informatierecht

Foto via Rootlegal.net

© PXimport

“Ja, de fabrikant is een van de belangrijkste schakels in de productieketen, en het is dan ook verstandig om veel van de verantwoordelijkheid bij de fabrikant te leggen. Veel IoT-apparaten worden bijvoorbeeld met standaard-wachtwoorden verscheept die niet aangepast hoeven te worden na het opstarten. Dat is een groot beveiligingsrisico. "

"De fabrikant kan daar het beste wat aan doen. Soms zal dat geen recht doen aan wie echt schuld draagt, maar dat kun je met contracten afdekken. Het zal bijvoorbeeld soms zo zijn dat de fabrikant slechts software van derden gebruikt, en van hen afhankelijk is om kwetsbaarheden tijdig te verhelpen.”

Arno R. Lodder, hoogleraar internetrecht

Fotograaf: Bodine Koopmans

© PXimport

“Nee, de fabrikant is in beginsel verantwoordelijk, maar niet altijd. Er moet een duidelijke verantwoordelijkheid liggen bij de partij die de beveiliging moet vormgeven. Er zijn echter gradaties. En beveiliging kost geld. Zo zijn er veilige en minder veilige auto’s. Maar er is wel een ondergrens. Je wiel mag er niet afvliegen na een maand."

"Iets vergelijkbaars geldt bij beveiliging: als de beveiliging onder de ondergrens zit, is de fabrikant verantwoordelijk. De fabrikant moet verder zorgvuldig informeren en Security by Design toepassen. Zo zou een fabrikant niet mogen toestaan dat een apparaat in gebruik genomen wordt zonder een redelijk beveiligingsniveau te hanteren.”

Mahir Alkaya, SP-politicus

IoT-security

© PXimport

“Ja, gebruikers worden nu al verantwoordelijk gehouden voor de beveiliging van hun computers en smartphones, bijvoorbeeld door hun bank. Maar de beveiliging van veel internetapparaten is afhankelijk van de fabrikant. Denk aan televisies of beveiligingscamera’s."

"Momenteel is er geen verplichting om dit soort apparaten goed te beveiligen tegen hackers, waardoor gebruikers gevaar lopen (hun privacy bijvoorbeeld), maar ook onbedoeld bijdragen aan DDOS-aanvallen. Deze situatie is achterhaald."

"Om hackers te weren, wil de SP minimale veiligheidseisen stellen aan alle internetapparaten, vergelijkbaar met bestaande milieu-, gezondheids- en veiligheidseisen voor een Europese CE-markering. Als fabrikanten dan in gebreke blijven, zijn zij medeverantwoordelijk voor resulterende schades.”

Nick Vrugt, IT-jurist Lawfox

IoT-security

© PXimport

“Ja, dat is de manier om producenten te dwingen om de IoT-apparaten adequaat te beveiligen. Consumenten zijn snel aangetrokken tot IoT-apparaten, want ‘gemak dient de mens’. Voor producenten is het daarom aantrekkelijk om IoT-apparaten te produceren. "

"Beveiligingsissues kunnen echter grote gevolgen hebben voor de consument. Als één van de gekoppelde IoT-apparaten onveilig is, zijn ook de overige gegevens in het netwerk kwetsbaar. Producenten dienen daar rekening mee te houden door de IoT-apparaten adequaat te beveiligen en regelmatig updates uit te brengen. Indien een IoT-apparaat niet voldoende is beveiligd en er daardoor schade ontstaat, moet de producent daarop kunnen worden aangesproken.”

Deel dit artikel
Voeg toe aan favorieten