27 juni 2022

‘Cyber security cruciaal voor veiligheid draadloze apparatuur’

Met de publiekscampagne “Stoor ik?” wil Agentschap Telecom consumenten bewuster maken van de gevaren van elektronische en draadloze apparatuur die niet voldoet aan de wet- en regelgeving van de Europese Unie. Santosh Sharman, cybersecurityexpert bij Kiwa, juicht het toe dat wordt geprobeerd om het bewustzijn op dit gebied te stimuleren, maar pleit tegelijkertijd voor meer aandacht voor de cyberveiligheid.

Agentschap Telecom wijst in de campagne “Stoor ik?” op de risico’s van het gebruik van modems, routers en “slimme” apparatuur zonder CE-markering. Dergelijke apparatuur kan onveilig zijn of het gebruik van andere apparaten verstoren. Het agentschap verwijst daarbij naar een onderzoek van de Consumentenbond, die constateerde dat elektronische artikelen die worden verkocht door websites uit onder meer het verre oosten regelmatig niet voldoen aan Europese eisen op het gebied van storingsgevoeligheid, frequentiegebruik en brandveiligheid. Agentschap Telecom roept consumenten op alleen producten aan te schaffen met een CE-markering en deze correct te installeren en gebruiken.

Gezondheidsrisico’s

Santosh Sharman vindt het een goede zaak dat consumenten worden gestimuleerd om kritisch te zijn bij de aanschaf van elektronica. ‘Hiermee verklein je het risico dat er dingen misgaan. Bij een product met CE-markering kun je er op vertrouwen dat het voldoet aan de verplichte wet- en regelgeving van de EU. Om een CE-markering aan te brengen dient te fabrikant immers te verklaren dat hij aan de wettelijke eisen voldoet. Bijvoorbeeld dat de elektromagnetische straling van een apparaat binnen de perken blijft en dus geen gezondheidsrisico’s oplevert voor mens en dier. Verder kun je ervan uitgaan dat ook de elektrische veiligheid van zo’n apparaat voldoet aan de Europese eisen.’

Cybercriminelen

Wat CE-markering volgens Sharman echter nog niet officieel afdekt, is de cyberveiligheid van een product. ‘De EU heeft weliswaar al cyber security eisen voor consumentenelektronica vastgesteld, maar deze zijn pas vanaf 1 augustus 2024 verplicht. Tot die tijd hebben fabrikanten te maken met een overgangsperiode waarin ze kunnen werken aan de cyberveiligheid van hun producten. Maar ook gedurende die overgangsperiode is cyberveiligheid natuurlijk belangrijk. Want een product mag dan radio- of elektrotechnisch veilig zijn, als de cyber security niet op orde is, lopen de eindgebruikers tóch gevaar. Ze worden dan weliswaar niet blootgesteld aan schadelijke straling of elektrische schokken, maar lopen wel risico op een datalek of dat ze het slachtoffer worden van cybercriminelen.’

Imagoschade

Ook voor fabrikanten is zo’n “cyberongeval” waarbij een van hun producten is betrokken natuurlijk verre van prettig. ‘Als jouw producten bijvoorbeeld gehackt worden kan dat leiden tot imagoschade, omdat het vertrouwen van consumenten in jouw apparatuur afneemt. Ook kan er, afhankelijk van het type cyberaanval, financiële schade ontstaan. Bijvoorbeeld bij een datalek waarbij persoonlijke informatie van eindgebruikers op straat komt te liggen. Dit vergt kostbare recovery-activiteiten en leidt misschien wel tot schadeclaims.’

Risicogebaseerde aanpak

Volgens Santosh Sharman is volledige cyberveiligheid een utopie. ‘De vraag is ook of je dat moet willen. Je kunt in technisch opzicht alles wel dichttimmeren, maar is het dan nog werkbaar? In mijn ogen is het veel verstandiger om je cyber security risicogebaseerd aan te vliegen en jezelf een paar kritische vragen te stellen. Waar loop ik als fabrikant gevaar, via mijn IT-omgeving, leveranciers, of eindproducten? Welke gevaren zijn er: phishing, datalekken, ransomware etc.? Hoe spelen we in op de gevaren? Welke processen moeten ingeregeld zijn? Welke standaarden moeten gevolgd worden? Moeten we regelmatig pentesten uitvoeren? Zijn de betrokkenen goed genoeg geïnformeerd om cybergevaren te herkennen?’

Basisniveau cybersecurity

Voor fabrikanten van consumentenelektronica gebruikt Kiwa de internationale standaard ETSI EN 303 645. Deze bevat requirements die fabrikanten helpen met het realiseren van een basisniveau van cybersecurity voor hun producten en diensten. ‘Deze standaard kan ook worden gebruikt om compliance aan te tonen voor de aankomende verplichte wetgeving voor de Europese Unie. Fabrikanten die er zeker van willen zijn dat hun producten tenminste een basisniveau van cyberveiligheid halen, kunnen deze standaard raadplegen.’

Meer informatie

Check onze themapagina cyber security voor meer informatie over cyberveiligheid en de verschillende manieren om dit te borgen. Voor meer informatie over de ETSI EN 303 645 voor consumenten IoT-producten kunt u terecht op de productpagina.