Complexiteit IoT vraagt
om standaarden

Interview met Ben Kokx, Director Product Security bij Philips

Spreker aan het woord: Ben Kokx

Spreker aan het woord: Ben Kokx

Werkzaam als Director Product Security bij Philips. Tijdens de bijeenkomst ‘IoT Security en Privacy’ gaat Ben Kokx dieper in op de ontwikkeling van Europese standaardisatie voor Cybersecurity en Data Protection: het zogenoemde ‘Framework for European Cybersecurity Certificates’.

Met zeventien jaar ervaring op het snijvlak van IT en de medische sector, mag Ben Kokx met recht een standaardisatieveteraan heten. Hij heeft zich bij zijn werkgever Philips de laatste vijftien jaar met name beziggehouden met vraagstukken rond security en standaardisatie. Het kwalificeert hem als geen ander om een onderbouwde visie te geven op het gebied van Internet of Things, security én standaardisatie.

“Eigenlijk ben ik al vijftien jaar bezig met product security bezig”, blikt Ben Kokx terug. “Destijds werd er door de directie van Philips besloten dat er binnen de diverse business units nog serieuzer naar de beveiliging en veiligheid van onze producten moest worden gekeken. Ik begon toentertijd met het opzetten van een product security beleid en werd vervolgens verantwoordelijk voor de ontwikkeling van security standaarden voor intern gebruik. Daarna heb ik verschillende internationale rollen binnen Philips’ service- en salesorganisatie vervuld.” Inmiddels houdt Ben Kokx zich met name bezig met de definitie van security processen en standaarden binnen het concern.

Ben Kokx zit in de centrale product security office van Philips, dat erop toeziet dat de gehele organisatie de verschillende processen en standaarden hanteren. “Het gaat daarbij niet alleen om interne standaarden, maar ook die door externe partijen, zoals ISO en IEC, zijn gedefinieerd”, legt hij uit. Vanuit die rol is hij tevens betrokken bij verschillende publiek/private initiatieven en overkoepelende industrie- en securityorganisaties. Het geeft hem een unieke inkijk in de grensoverschrijdende security problematiek in een brede zin des woords.

Nog veel mis in IoT-security

“Als ik kijk naar de huidige stand van zaken in de IoT-markt ten aanzien van security en privacy, constateer ik dat de grote namen hun zaken beter op orde hebben. Met ‘grote namen’ bedoel ik fabrikanten die IoT-producten onder de eigen merknaam verkopen. Hun klanten gaan er van uit dat zij kunnen vertrouwen op het bekende merk. Het wordt echter anders als het gaat om fabrikanten, veelal uit China, die er alleen op uit zijn om hun producten snel te verkopen. Die doen daar weinig tot niets aan. Ook kleinere bedrijven schieten vaak tekort op dat gebied. Dat geldt overigens zowel voor de consumenten markt als de zakelijke markt.”
Kokx geeft een voorbeeld: “Van een Chinese fabrikant hebben we enige tijd geleden een door hen geproduceerd automatisch deurslot getest. De beveiliging was echt om te huilen en zou door ons nooit zo op de markt worden gebracht. Het probleem zit hem vaak niet alleen in de wil om snel een product op de markt te brengen. Het begint bij het feit dat er te weinig wordt gekeken naar ‘security by design’, het inbouwen van security tijdens het ontwerpproces.”

Security by design

Security by design is een vereiste voor IoT-producten, stelt Ben Kokx. En daarvoor zijn standaarden en normalisatie onontbeerlijk. “Als je praat over IoT, dan is het niet alleen het product zelf. Het gaat ook over de benodigde infrastructuur - zoals het netwerk, de cloud platformen en de achterliggende data centers - én de backoffice van de producent. Daarom ben ik voorstander van de certificering op securitygebied van processen in plaats van alleen de eindproducten. Uiteindelijk heb je daar veel meer aan: het zorgt ervoor dat fabrikanten in staat zijn om monitoring en beheer van security kwesties uit te voeren. Denk bijvoorbeeld aan het op afstand patchen van firmware.” In de IoT-markt is de complexiteit groot, aldus Kokx. Niet alleen door de langgerekte (waarde)keten, zo zegt hij: “Je ziet dat bij IoT-oplossingen er vaak sprake is van een ecosysteem van samenwerkende partijen die elk een eigen rol hebben bij het tot stand komen van het eindproduct. Dat vergroot de noodzaak om tot goede standaarden te komen. Neem alleen de interoperabiliteit: zonder normalisatie is dat nauwelijks mogelijk.”

‘Kijk uit voor standaardisatie overkill’

Standaardisatie is een absolute noodzaak volgens Ben Kokx, zoveel is duidelijk. Toch waarschuwt hij voor een ‘overkill’ aan standaarden. “Er zijn op dit moment eerder teveel dan te weinig standaarden op het gebied van security en privacy. Ik deel het gebied gemakshalve even op in drie stukken: IT, Operational Technology en IoT. Zowel in de IT als de OT zijn de zaken over het algemeen goed op orde. In de IoT-markt hebben wij echter te maken met heel veel verschillende adviezen van heel veel verschillende organisaties. Er is daar bijna sprake van een explosie van standaarden. En dat maakt het voor iedereen – van fabrikanten tot consumenten, zakelijke afnemers en overheden – erg complex. Sommige van die standaarden worden door standaardenorganisaties geschreven, maar er komen ook heel veel uit de koker van anderen, ook door overheden.

Het veelvoud aan standaarden maakt het voor fabrikanten moeilijk om producten op de markt te brengen, stelt Ben Kokx vast. “Om een voorbeeld te geven: als wij een medisch apparaat willen introduceren, dan moeten wij rekening houden met Europese regelgeving, die van de EU-lidstaten én die van andere nationale overheden. Nog los van de verschillende standaarden en richtlijnen die door andere organisaties worden voorgeschreven. Dat maakt een dergelijke introductie een tijdrovende en kostbare zaak, aldus Kokx.

Harmonisatie standaarden nodig

Heeft Kokx een oplossing voor de wildgroei aan standaarden en regelgeving op het gebied van IoT security en privacy? “Harmonisatie. Dat is een voorwaarde om die wildgroei te stoppen en het voor fabrikanten, consumenten, zakelijke klanten en overheden eenvoudiger en inzichtelijker te maken. Daar spelen normalisatie- en standaardisatieorganisaties, zoals de NEN, een belangrijke rol in.”

Meer experts aan het woord

Samen werken wij aan het tot stand laten komen van internationale standaarden

Vlora Rexhepi-van der Pol is de Standardization Consultant bij NEN die nagenoeg vanaf dag één Internet of Things (IoT) hoog op de agenda heeft staan. Zij kan bogen op een rijke ervaring in de standaardisatiewereld, zowel bij NEN als in de telecommunicatiemarkt, met werkgevers als Ericsson en Nokia. “Wij kijken al vanaf het begin hoe wij alle versnipperde standaardisatie initiatieven van publieke en private partijen bij elkaar kunnen brengen.”

Lees het interview


Internet of Things Security

Er gebeurt veel rond Internet of Things, heel veel. Standaardisatie-organisaties werken aan normen en intussen komt er ook steeds meer wet- en regelgeving. Deze ontwikkelingen die zich razendsnel opvolgen en die over het algemeen grote consequenties hebben voor de beveiliging van IoT-netwerken, was voor NEN de reden om het initiatief te nemen voor de werkgroep ‘IoT Security’.

Lees het interview