image

VS publiceert veiligheidsplan voor Internet of Things

woensdag 16 november 2016, 11:47 door Redactie, 5 reacties

De Amerikaanse overheid heeft een plan gepubliceerd om de veiligheid van Internet of Things-apparaten te verbeteren om zo te voorkomen dat kwaadwillenden er gebruik van maken, bijvoorbeeld voor het uitvoeren van ddos-aanvallen. "De groeiende afhankelijkheid van netwerkverbonden technologieën groeit sneller dan de middelen om ze te beveiligen", zegt Jeh Johnson, minister van Homeland Security.

Om de veiligheid te vergroten zijn nu de "Strategische Principes voor het Beveiligen van het Internet of Things" gepubliceerd (pdf). De principes richten zich op belangrijke onderwerpen, zoals de ontwerpfase, het uitrollen van beveiligingsupdates, omgang met kwetsbaarheden, het toepassen van bewezen security practices, het bevorderen van transparantie en het voorzichtig en bewust toevoegen van connectiviteit.

Geen standaardwachtwoorden

In de uitleg van de principes wordt onder andere aangeraden geen standaardwachtwoorden te gebruiken. "Zorg voor security by default door unieke, lastig te kraken gebruikersnamen en wachtwoorden." Volgens het ministerie van Homeland Security worden gebruikersnamen en wachtwoorden die fabrikanten voor Internet of Things-apparaten instellen bijna nooit gewijzigd en zijn ze eenvoudig te kraken. Ook wordt er voor gepleit dat belangrijke beveiligingsmaatregelen standaard staan ingeschakeld in plaats van uitgeschakeld.

Verder moeten fabrikanten de meest recente versie van het besturingssysteem aan de IoT-apparaten toevoegen. In veel gevallen worden verouderde Linux-versies gebruikt die kwetsbaarheden kunnen bevatten waardoor aanvallers toegang weten te krijgen. Een ander belangrijk punt dat wordt genoemd is het automatisch installeren van beveiligingsupdates en het opstellen van beleid voor het melden van en omgaan met beveiligingslekken. Verder wordt fabrikanten aangeraden duidelijk maken wanneer ze stoppen met het ondersteunen van IoT-apparaten en wat voor risico's dit voor gebruikers heeft.

Reacties (5)
16-11-2016, 15:09 door Anoniem
Zo is er nog wel een veiligheidsplan om het IOT te beveiligen:

Geen IOT accepteren maar simpelweg op grote schaal blokkeren door de netadmins.

IOT is vanuit beveiligingsoogpunt een nog dommere uitvinding dan WEP.
16-11-2016, 16:39 door Eric-Jan H te D
Nu maar hopen dat de Trump-administration zich wel bekommert om het internet-milieu.
17-11-2016, 11:06 door ph-cofi
Een certificeringsbeleid zou kunnen helpen. Apparaten zonder goedkeuring weren bij ISP's?
Ik mis in het NHS document iets over ongewenste protocollen en het recht van de consument om het aangekochte apparaat volledig te beheren (ook wel "freedom").
17-11-2016, 23:16 door Anoniem
"Volgens het ministerie van Homeland Security worden gebruikersnamen en wachtwoorden die fabrikanten voor Internet of Things-apparaten instellen bijna nooit gewijzigd en zijn ze eenvoudig te kraken."
Zo, de spuit-elven zijn ook weer uit hun winterslaap ontwaakt?

We hebben ondertussen al bergen praktijkbewijs daarvan gehad, dus ik kan het feit dat ze dat nog durven te melden niet-eens serieus meer nemen... geeft me enkel de indruk dat ze maanden al dan niet jaren achterlopen op de feiten.
18-11-2016, 14:08 door Anoniem
Door Eric-Jan H te A: Nu maar hopen dat de Trump-administration zich wel bekommert om het internet-milieu.
Well, he is planning to build a wall - let's hope it's a firewall ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.