Zomaar een berichtje vanmorgen: ‘Hackers zouden fabrieken kunnen opblazen met smartphone-apps’. We kijken er al nauwelijks meer van op. Ondertussen weten we heus wel dat het met forse beveiligingsbezwaren gepaard gaat om alles aan elkaar knopen via internet.

Maar ja, de voordelen wegen tot nu toe steeds op tegen de bezwaren: consumenten raken meer en meer verknocht aan het gemak en comfort dat smartphones, slimme thermostaten, televisies en auto’s bieden, het bedrijfsleven wordt in de mondiale concurrentiestrijd gedwongen om elke methode aan te grijpen die de operationele kosten kan verlagen, en bij de publieke instellingen staan budgetten continu onder druk.

De Cyber Security Raad, een onafhankelijk adviesorgaan voor het kabinet, heeft zich gebogen over de vraag hoe dit kan worden opgelost. In een rapport pleit de raad ervoor om te werken aan een Europees systeem van certificering en labeling om de problemen met iot-security het hoofd te bieden. Dat is een goed idee.

De vrijwilligheid voorbij

Want een ding is duidelijk: de markt gaat het probleem niet oplossen. Dat is niet per se een kwestie van onwil bij fabrikanten. Security kost nu eenmaal aandacht en tijd, en dus geld. De ‘goeden’ delven daardoor het onderspit in de concurrentiestrijd met leveranciers die het niet zo nauw nemen met veiligheid en privacy. Een race to the bottom is het gevolg.

Nu kan je beargumenteren dat consumenten of bedrijven het maar zelf moeten weten als ze een onveilig device willen gebruiken. Zo simpel ligt het echter niet. Ten eerste: hoe weet je of je device veilig is of niet? Van een goedkoop gadget uit het verre oosten kan je wel vermoeden dat het niet in de haak is, maar een dure variant is niet gegarandeerd beter. Het is een net als vraag of de kleding die je koopt door kinderhanden is gemaakt: zolang daar geen duidelijkheid over bestaat, kan de consument ook geen echte keuze maken - dus kiest die maar voor goedkoop.

Maar daarnaast is er het probleem dat het vaak niet de eigenaar is die het slachtoffer wordt van onveilige devices, maar een andere partij. Dit werd in 2016 pijnlijk duidelijk toen de Mirai-malware zeer grootschalige denial-of-service-aanvallen begon uit te voeren door beveiligingscamera’s, routers en andere iot-apparaten te infecteren. De eigenaars van die apparaten hebben er zelf niet zo veel last van, en daarmee ontbreekt de drijfveer om betere, duurdere apparatuur te kopen. Net zo goed heeft een bedrijf er zelf niet echt last van als de privacygevoelige gegevens van zijn klanten op straat komen te liggen.

Er gaan ook wel eens stemmen op om leveranciers gewoon aansprakelijk te stellen als het misgaat. Dat moet afschrikwekkend genoeg werken om fouten te voorkomen. Wellicht is dit iets dat vooral bij de claimcultuur in de VS past; nadat de Meltdown- en Spectre-aanvallen vorige week bekend werden, liepen er binnen 48 uur al drie class action lawsuits tegen Intel. Zo’n aanpak is echter niet zonder gevaar, want wie wil er nog iets ontwikkelen als elke potentiële fout een miljoenenclaim kan opleveren? Bugs horen nu eenmaal bij software.