IoT vraagt om standaarden

Interview met ir. Jean-Paul van Assche, senior adviseur bij Agentschap Telecom en Alexander van den Anker, beleidsmedewerker bij Ministerie van Economische Zaken en Klimaat

Spreker aan het woord: ir. Jean-Paul van Assche

Spreker aan het woord: ir. Jean-Paul van Assche

Werkaam als senior adviseur bij Agentschap Telecom. Tijdens de bijeenkomst zal ir. Jean-Paul van Assche een presentatie geven over de ontwikkelingen in de Europese cyber regelgeving - radio apparatuur richtlijn (RED) en ICT veiligheidseisen.

Spreker aan het woord: Alexander van den Anker

Spreker aan het woord: Alexander van den Anker

Werkzaam als beleidsmedewerker bij Ministerie van Economische Zaken en Klimaat. Tijdens de bijeenkomst ‘IoT Security en Privacy’ zal Alexander van den Anker de aanwezigen inlichten over de Europese Cyber Security Act.

De Nederlandse overheid maakt zich al sinds jaar en dag sterk voor normalisatie en standaardisatie. Het speelveld van Internet of Things, cybersecurity en privacy is daar geen uitzondering op. ir. Jean-Paul van Assche, senior adviseur bij Agentschap Telecom en Alexander van den Anker, beleidsmedewerker bij Ministerie van Economische Zaken en Klimaat, weten dat als geen ander. Zij zitten in de frontlinie als het gaat om beleid en toezicht bij de overheid. Beiden zijn keynote sprekers tijdens de NEN bijeenkomst IoT Security en Privacy’ op 21 maart 2019.

Jean-Paul van Assche heeft de nodige ervaring als het gaat om telecommunicatie, opgedaan tijdens zijn studie Electrical Engineering en bij werkgevers als TNO en Defensie. In zijn huidige rol als senior adviseur bij toezicht- en uitvoeringsorganisatie Agentschap Telecom (AT) heeft hij een aantal cruciale thema’s in zijn portefeuille: spectrum management, productregulering en normalisatie. AT is verantwoordelijk voor de uitvoering van de telecommunicatiewet in Nederland. De instantie houdt toezicht op het goede gebruik van radiofrequenties en ziet er verder op toe dat fabrikanten aan apparatuur eisen (met name voor draadloze communicatie) voldoen. AT heeft ook een toezichthoudende rol gekregen op het gebied van cybersecurity.

Daarnaast is Van Assche het hoofd van de Nederlandse delegatie bij de vergaderingen van de Telecommunication Conformity Assessment and Market Surveillance Committee (TCAM), een Europees overlegorgaan dat zich met telecommunicatie en cybersecurity bezighoudt. En hij is lid van de NEN-werkgroep 'IoT Security en Privacy'.

Zijn ‘overheidscollega’ Alexander van den Anker is na zijn studie rechten (met een master in informatierecht) bij de overheid gestart als Rijkstrainee, waar hij onder andere ervaring heeft opgedaan bij de permanente Nederlandse vertegenwoordiging in Brussel. Tegenwoordig is Van den Anker als beleidsmedewerker verbonden aan de Directie Digitale Economie van het ministerie van Economische Zaken en Klimaat. Daar houdt hij zich binnen het cluster continuiteit en internetveiligheid bezig met diverse dossiers op het gebied van cybersecurity. Een voorbeeld daarvan betreft de in november 2018 in werking getreden Wet Bescherming Netwerk- en Informatiesystemen. In die wet is onder andere bepaald dat organisaties ‘van groot maatschappelijk belang’ voor Nederland een zorg- en meldplicht hebben op het gebied van cybersecurity. Agentschap Telecom is recentelijk aangewezen als instantie voor het toezicht op en de uitvoering van deze regelgeving.

‘Veiligheidsniveau onvoldoende’

Zowel Jean-Paul van Assche als Alexander van den Anker zien nog de nodige verbeteringspunten voor fabrikanten als het gaat om de cybersecurity-aspecten van IoT-producten. Van Assche: “Het veiligheidsniveau is onvoldoende. Er zijn helaas voorbeelden te noemen van producten waarbij fabrikanten geen of te weinig rekening hielden met de digitale veiligheid daar van.

Dan gaat het om bijvoorbeeld standaardwachtwoorden die gemakkelijk zijn te hacken, software updates die niet worden uitgevoerd en netwerkpoorten die onnodig open staan. Wij hebben in inmiddels gezien hoe dat fout kan gaan. Denk aan de makkelijk te hacken speelgoedpop My friend Cayla die een paar jaren geleden noodgedwongen uit de winkelschappen is gehaald. De industrie krijgt te weinig prikkels om aan cybersecurity-eisen te voldoen. Daar komt bij dat consumenten ook niet weten of een apparaat veilig is.”

Alexander van den Anker: “Het kabinet spant zich om de beveiliging van IoT-producten te verbeteren. Dit komt ook naar voren in het Nederlandse Digitaliseringsstrategie en de Roadmap Digitaal Veilige Hard- en Software. Een van de genoemde maatregelen betreft de verplichting om op internet aangesloten apparaten verplicht te certificeren op Europees niveau. Nederland heeft tijdens de onderhandelingen inzake de Cybersecurity Act (CSA, red.) hiervoor ingezet. Weliswaar heeft de CSA vooralsnog geen verplichtend karakter als het gaat om certificering, maar in 2023 wordt door de Europese Commissie geëvalueerd welke certificatieschema’s wel of niet een verplicht karakter krijgen. Dan heeft de industrie geen keuze meer. Verder zet het kabinet er zich toe in om via (een mogelijke wijziging) van de Radio Equipment Directive al verplichte basiseisen te stellen aan apparatuur op het gebied van digitale veiligheid.”

‘Convergentie van normen noodzakelijk’

Het is al even aan de orde gekomen: certificering en normalisatie. Volgens zowel Van Assche als Van den Anker zijn het twee zaken die van groot belang zijn bij het borgen van veilige IoT-producten en -diensten. “Op Europees niveau vormen de Cybersecurity Act en de Radio Equipment Directive goede hulpmiddelen voor fabrikanten om aan te tonen dat zij aan bepaalde veiligheidseisen voldoen”, constateert Van Assche. “Tegelijkertijd zie ik dat er op dit moment echter nog wel erg veel standaarden bestaan. Er loopt ook een behoorlijk aantal initiatieven voor normalisatie op dit gebied. Wat mij betreft, behouden wij uiteindelijk alleen die normen die er toe doen. Convergentie is noodzakelijk: van meer naar minder normen. Het verlaagt de kosten voor fabrikanten en vergroot het vertrouwen bij de consument.”

‘Brede aanpak’

De overheid, op nationaal en Europees niveau, heeft een belangrijke rol te spelen bij certificering en normalisatie. Zowel bij het opstellen van regelgeving als het toezicht houden op de goede naleving ervan en het creëren van bewustwording bij bedrijfsleven en burgers. “De overheid pakt dit actief op: zij wijst bijvoorbeeld op de noodzaak om tot een brede aanpak van IoT en veiligheid te komen”, zegt Van Assche. “Dat is terug te zien in de Roadmap Digitaal Veilige Hard- en Software die het ministerie van EZK in april 2018 heeft gepubliceerd. Daarin staan diverse uitgangspunten: van een productielevenscyclus-benadering tot een cybersecurity-onderzoek en het monitoren van digitale veiligheid van producten. De Roadmap besteedt ook de nodige aandacht aan het belang van standaarden en certificering.”

De brede aanpak van de Nederlandse overheid wordt ook door Van den Anker benadrukt: “Het is goed om bij het komen tot normalisatie zoveel mogelijk belanghebbenden te betrekken: fabrikanten, telecomoperators, consumenten en zakelijke afnemers. De overheid heeft zijn uiterste best gedaan om cybersecurity op de agenda’s te krijgen en te adresseren. Dat is inclusief verplichtingen: als apparaten niet voldoen, dan moeten zij uit de handel worden genomen. Het traject (dat betrekking heeft op de Radio Equipment Directive) is twee jaar geleden ingezet en heeft zich succesvol getoond.”

‘Digitalisering in een stroomversnelling’

Beide heren voorzien dat de aandacht voor cybersecurity in de IoT-markt de komende jaren alleen groter zal worden. Alexander van den Anker: “De digitalisering zit in een stroomversnelling, met IoT als één van de speerpunten. Dat biedt mooie kansen, maar brengt ook grote risico’s op het gebied van security en privacy voor bedrijven en consumenten met zich mee. Het betekent dat het publiek belang voor (verplichte) certificering van IoT-producten groter kan worden. De aandacht van de overheid voor certificering en normalisatie zal hierdoor alleen toenemen. Overigens kan ik mij voorstellen dat ondernemingen dat willen. Zij krijgen dan de mogelijkheid om zich gunstig te onderscheiden door het kunnen tonen van een veiligheidscertificaat.”

Jean-Paul van Assche ziet nog wel wat uitdagingen in de toekomst als het gaat om IoT en cybersecurity: “De convergentie van normen en certificatieschema’s, zowel nationaal als internationaal, is noodzakelijk. Maar dat betekent ook dat je daar keuzes in moet maken. En dat is best lastig. Er zou voor alle fabrikanten sowieso minimaal één verplicht veiligheidsniveau voor IoT-producten moeten komen. Als er dan vanuit de markt behoefte is om daarboven hogere veiligheidsniveaus te hebben, dan zou dat eveneens mogelijk moeten zijn. Een andere belangrijke kwestie is die van het goed informeren van de burger en het bedrijfsleven over de certificatieschema’s. Zodat iedereen uiteindelijk in staat is om tot een goede keuze te komen.”

Bijeenkomst

‘IoT Security en Privacy’

De diversiteit van Internet of Things (IoT) toepassingen leidt tot vele uitdagingen op het gebied van security en privacy. De risico’s die het koppelen van allerlei apparaten aan het internet met zich meebrengt zijn groot. De Europese Commissie heeft al aantal maatregelen aangekondigd.

Het ‘Internet of Things’ (IoT) biedt in diverse domeinen veel kansen voor automatisering, nieuwe producten, diensten en nieuwe verdienmodellen. De opmars van IoT toepassingen leidt tot een snelle groei van het aantal verbonden apparaten. De veiligheidsrisco’s nemen ook exponentieel toe.

Met de Cyber Security Act wil de Europese Commissie inspelen op deze risico’s. Een van de onderdelen van de Cyber Security Act is een Europees cyber security certificatiesysteem voor ICT producten. Dit is een zeer belangrijke ontwikkeling voor de toekomst van IoT.

Tijdens de bijeenkomst ‘IoT Security en Privacy’ op 21 maart 2019 zal ir. Jean-Paul van Assche een presentatie geven over de ontwikkelingen in de Europese cyber regelgeving - radio apparatuur richtlijn (RED) en ICT veiligheidseisen. Alexander van den Anker licht de aanwezigen in over de Europese Cyber Security Act.

Inschrijven

Meer experts aan het woord

Complexiteit IoT vraagt om standaarden

Met zeventien jaar ervaring op het snijvlak van IT en de medische sector, mag Ben Kokx met recht een standaardisatieveteraan heten. Hij heeft zich bij zijn werkgever Philips de laatste vijftien jaar met name beziggehouden met vraagstukken rond security en standaardisatie. Het kwalificeert hem als geen ander om een onderbouwde visie te geven op het gebied van Internet of Things, security én standaardisatie.

Lees het interview

Samen werken wij aan het tot stand laten komen van internationale standaarden

Vlora Rexhepi-van der Pol is de Standardization Consultant bij NEN die nagenoeg vanaf dag één Internet of Things (IoT) hoog op de agenda heeft staan. Zij kan bogen op een rijke ervaring in de standaardisatiewereld, zowel bij NEN als in de telecommunicatiemarkt, met werkgevers als Ericsson en Nokia. “Wij kijken al vanaf het begin hoe wij alle versnipperde standaardisatie initiatieven van publieke en private partijen bij elkaar kunnen brengen.”

Lees het interview