Vorige week kreeg ik de volgende stelling voorgelegd voor het Personal Computer Magazine (PCM):
‘Fabrikanten moeten altijd verantwoordelijk gehouden worden voor IoT-beveiligingsschade’.
In max. 100 woorden was mijn antwoord (met dank aan Joeri Toet voor suggesties): Nee, de fabrikant is in beginsel verantwoordelijk, dus niet altijd. Dat legt een duidelijke verantwoordelijkheid neer bij de partij die de beveiliging moet vormgeven. Er zijn echter gradaties. En beveiliging kost geld. Zo zijn er veilige en minder veilige auto’s. Er is echter wel een ondergrens. Je wiel mag er niet afvliegen na een maand. Iets vergelijkbaar geldt bij beveiliging: als beveiliging onder de ondergrens zit, is de fabrikant verantwoordelijk. De fabrikant moet verder zorgvuldig informeren en Security by Design toepassen. Zo zou een fabrikant niet mogen toestaan dat een apparaat in gebruik genomen wordt zonder een redelijk beveiligingsniveau, bijv. gedwongen standaardwachtwoord aanpassen.
Ook vroegen ze om een foto en dat evt. de fotograaf genoemd kon. Het is niet altijd mogelijk een naam op te nemen, reden waarom SOLV hier afspraken over heeft gemaakt dat het niet hoeft. Het mag natuurlijk wel. Ik gebruik regelmatig de SOLV foto, zonder de fotograaf te vermelden, bijv. in deze column/blog eerder van eerder dit jaar. Wel leuk om als daar de mogelijkheid voor is de fotograaf wel te noemen, zo ook hier: Bodine Koopmans.
