Waarom de GDPR goed is en IoT als risico voor CA’s

Zoals woensdag al aangekondigd komt ISP Today vandaag even terug op het eerder deze week in Den Haag gehouden GSMA congres over privacy en security. Dit omdat in twee talks onderwerpen werden aangesneden die iedereen in de internet sector aangaan. Het zijn de GDPR en IoT.

GDPR is goed

Om met de GDPR te beginnen. Daar is veel om te doen. Afhankelijk van de bron lijkt 40% of meer van de bedrijven nog niet voorbereid op wat per mei 2018 gaat gelden. Er waren op deze conferentie ook juristen die beweerden dat niemand 100% compliant kan zijn. Toch was iedereen – on the record – positief over deze Europese maatregel. Ondřej Vlček, de EVP & GM Consumer Market van Avast, had daar de volgende verklaring voor. Plenair en achteraf – letterlijk on the record – vergeleek hij GDPR met Hipaa. Hipaa is het Amerikaanse regime voor het beschermen van medische gegevens (link).

Ondanks boetes gaat daar gewoon dagelijks het nodige mee fout. De reden daarvan is volgens Vlček dat het een compleet verouderd is en een te beperkend normenkader kent. Er staat beschreven wat een patiëntkaart is en moet bevatten, maar dat op basis van de papieren editie. Een update van Hipaa rekening houdend met het digitale domein is er niet. De term die hierbij hoort is “technisch neutraal”, Hipaa is dat niet. Dat is dan ook volgens Vlček het grote pluspunt van de GDPR, dat is geschreven met focus op technisch neutraal. GDPR is daarmee een stuk toekomstgerichter dan de dinosauriër Hipaa. Tegelijk is GDPR de methode om wetgeving in de EU met dezelfde fouten als Hipaa in een keer van de kaart te vegen.

IoT en CA’s

Een ander punt waar Vlček op wees was de rol van de CA’s in tijden van IoT. Dat verhaal kent twee aspecten. De eerste is dat niet elke CA in staat is kwaliteit te leveren. Voorbeelden daarvan zijn de lezers van ISP Today vast bekend, de huidige discussie over Symantec is wellicht een variatie op dat thema.

Stel dat IoT in de vorm van connected homes echt voet aan de grond krijgt, dan wordt de rol van een CA nog crucialer. Feitelijk bepaalt die dan wat er in het huis wel en niet kan connecten en daarmee als dienst worden afgenomen. Dat een vervalst certificaat levens in gevaar kan brengen is dankzij Diginotar al bewezen. Wat nu als een verrot certificaat voorkomt dat in de keuken alles het doet zoals gehoopt. Dat is in principe eveneens levensbedreigend. Het zet verder de deuren open voor cybercrime en overheidsbemoeienis (netjes geformuleerd).

Vlček maakte daarbij de opmerking dat de discussie over veilige IoT op dit moment vooral gaat om software, firmware en updates. Dat is naar zijn mening terecht, maar te beperkt. Laten we vooral niet vergeten dat betrouwbare bronnen daar key zijn. Helemaal omdat de meeste devices, toepassingen, die upgradebaar zijn dat zijn zonder uitgebreide interface.

Alleen al vanwege de “IoT uitdagingen” verwacht Vlček dat er het nodige zal veranderen bij de CA’s. Dat was best een provocerende en tegelijkertijd aannemelijke uitspraak. Dat een verandering in die sector ook de hosting partijen raakt begrijpt iedereen.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen