Het IoT (Internet of Things) biedt enerzijds kansen door nieuwe technologische mogelijkheden. Anderzijds brengt het bedreigingen met zich mee, bijvoorbeeld op het gebied van cybersecurity en privacy. Om de kansen van het IoT te benutten en de bedreigingen te minimaliseren moet hier tijdig op worden ingespeeld. Om deze reden heeft het WODC, in opdracht van de Cyber Security Raad (CSR), een onderzoek uitgevoerd waarin de volgende vragen beantwoord worden. Wat behelst het IoT? Welke kansen en bedreigingen brengt het met zich mee? In deze lezing heeft dr. Susan van den Braak de resultaten van dit onderzoek toegelicht. Hierbij is uitgebreid stilgestaan bij de rol van wetgeving, regulering, toezicht en handhaving bij het in gebruik nemen en ontwikkelen van het IoT in Nederland.
De CSR is een onafhankelijk adviesorgaan van het Kabinet dat (ongevraagd) advies uitbrengt over cybersecurity gerelateerde onderwerpen. Een van de onderwerpen waar onderzoek naar is gedaan is het IoT. De CSR heeft zich bij dat onderzoek de volgende vragen gesteld: wat zijn de kansen en bedreigingen van het IoT en hoe kunnen verschillende stakeholders de ontwikkeling van het IoT in Nederland op een positieve manier beïnvloeden? Het IoT is een heel breed begrip en daarom zijn bij het onderzoek experts uit verschillende disciplines betrokken geweest
Het WODC formuleert de definitie van het IoT als volgt: “Een netwerk van objecten (vaak verbonden met het internet), die gegevens verzamelen over hun omgeving, deze kunnen uitwisselen en op basis daarvan (semi)autonome beslissingen en/of acties nemen die van invloed zijn op de omgeving”. Het is van belang om te weten dat niet alle apparaten die deel uitmaken van het IoT in dezelfde mate aan al deze kenmerken voldoen, soms wordt slechts aan een aantal kenmerken voldaan. Voorbeelden in deze zijn de smartphone en de slimme thermostaat. Andere voorbeelden van apparaten binnen het domein van het IoT zijn de Fit bit-armband of de zelfrijdende auto.
Het aantal apparaten dat is aangesloten op het IoT groeit exponentieel. De verwachting is dat het IoT binnen 5 tot 10 jaar is ingeburgerd in de maatschappij. Dat is ook de reden dat er een onderzoek is uitgevoerd door de CSR. Deze ontwikkeling betekent namelijk dat gegevens op grote schaal worden verzameld van gebruikers en dat deze worden geanalyseerd en gebruikt door apparaten om adviezen te geven of zelfstandig actie te ondernemen. Dat biedt kansen op economisch gebied maar brengt ook risico’s met zich mee op het gebied van privacy en (data)veiligheid.
Het IoT brengt kansen met zich mee op het gebied van welzijn, duurzaamheid, productiviteit en welvaart. Apparaten thuis kunnen taken van ons overnemen, denk aan een slimme tv die zelf overschakelt naar jouw favoriete programma’s of de slimme meter in combinatie met een slimme thermostaat. Daarnaast kunnen apparaten bijhouden hoe gezond je leeft en wat je nodig hebt. Ouderen zouden hierdoor bijvoorbeeld langer zelfstandig kunnen wonen. Al deze nieuwe producten en de diensten die daarmee geleverd kunnen worden zorgen voor een economische boost in de maatschappij.
Dit klinkt natuurlijk geweldig maar vaak gaan nieuwe mogelijkheden ook gepaard met risico’s. Er zijn risico’s op het gebied van veiligheid en privacy. Die springen het meest in het oog, maar ook de welvaart, de gelijkwaardigheid en onze autonomie staan op het spel. Wat de welvaart betreft kunnen bestaande sectoren worden verdrongen door applicaties (denk aan Uber die de taxibranche vervangt), waardoor banen kunnen verdwijnen. Op het gebied van gelijkwaardigheid kunnen verschillen ontstaan tussen verschillende bevolkingsgroepen: mensen die wel en niet (kunnen) profiteren van het IoT, bijvoorbeeld tussen hoog- en laagopgeleiden. Maar ook de ontwikkelingen in de stad, die sneller gaan dan die op het platteland, kunnen verschillen vergroten. Daarnaast bestaat de mogelijkheid dat we teveel vertrouwen gaan stellen in technologie en daardoor te afhankelijk worden van apparaten en kennis verloren kan gaan. Wanneer het internet nu een storing heeft is er niet zoveel aan de hand maar wanneer al onze apparaten daarvan afhankelijk zijn wordt dit een groot probleem. Daar moet iets op worden bedacht.
Een goede werking en de veiligheid van applicaties is cruciaal. Zij moeten zo goed mogelijk werken en de data die zij verzamelen moeten veilig zijn. Niemand wil dat zijn of haar gegevens in verkeerde handen vallen of vrij zijn in te zien. Dat raakt de privacyaspecten van het IoT. Denk bijvoorbeeld aan de verzekeraar die inzicht wil in gegevens van uw slimme koelkast om te kijken hoe gezond u leeft en wellicht uw premie daarop aan te passen. Hoe groter het IoT wordt hoe groter deze risico’s worden. Helaas zijn er verschillende voorbeelden van incidenten die laten zien dat de beveiliging van het IoT op dit moment ontoereikend is.
Er kan en moet veel worden gedaan om de beveiliging van het IoT te verbeteren. Op dit moment ontbreekt het aan kennis van en inzicht in het IoT en de beveiliging ervan. De beveiliging kan complex zijn en wordt daarom niet altijd juist of helemaal niet toegepast. Waar veel gegevens worden opgeslagen is dat risicovol, niet alle bedrijven en consumenten staan daar bij stil. Hetzelfde geldt voor beleidsmakers die niet altijd van de laatste ontwikkelingen op de hoogte kunnen zijn. Bijscholing en informatiecampagnes kunnen bijdragen aan een beter kennisniveau en een beter bewustzijn op dit gebied. Maar er zijn ook prikkels nodig: duidelijke regelgeving hierover ontbreekt of wordt niet voldoende gehandhaafd. Bedrijven willen allereerst zoveel mogelijk kosten besparen, wanneer duidelijke en dwingende regelgeving ontbreekt op bijvoorbeeld het gebeid van veiligheid zullen zij daar zo min mogelijk in investeren. Het is de taak aan de wetgever om te voorzien in duidelijke regelgeving waarin de zorgplichten, aansprakelijkheid en verantwoordelijkheid van partijen is vastgelegd. Wanneer daarbovenop voldoende capaciteit beschikbaar wordt gesteld voor toezicht en handhaving, zijn we weer een stap verder.
"(Verkeerd) verbonden in een slimme samenleving; het Internet of Things: kansen, bedreigingen en maatregelen" klik hier voor het volledige WODC-rapport.