image

FTC: Het eisen van perfecte IoT-beveiliging hindert innovatie

maandag 18 juni 2018, 11:13 door Redactie, 7 reacties

Het verplicht stellen van een "perfecte beveiliging" voor Internet of Things-apparaten hindert innovatie, zo stelt de Amerikaanse telecomtoezichthouder FTC. Volgens de overheidsorganisatie moeten fabrikanten wel "redelijke stappen" nemen om hun apparatuur tegen ongeautoriseerde toegang te beschermen.

Aanleiding voor de mening van de FTC is een hoorzitting en een verzoek tot informatie van de Consumer Product Safety Commission (CPSC) over de veiligheid van IoT-apparaten. De CPSC stelt dat onveilige IoT-apparaten gebruikers kunnen blootstellen aan schokken, vuur, brandwonden, verwondingen, kneuzingen en chemische stoffen. De veiligheid van persoonlijke data en privacyproblemen met betrekking tot IoT-apparaten ziet de CPSC niet als productrisico's die het moet aanpakken.

Volgens de organisatie is het nodig voor de veiligheid van IoT-apparaten dat er een "framework van best practices" wordt opgesteld. Iets waarvoor de CPSC feedback van geïnteresseerde partijen zocht. Die konden tot 15 juni hun meningen opsturen. De FTC heeft dit ook gedaan en de eigen mening online gezet. De telecomtoezichthouder richt zich op drie punten, namelijk best practices voor het voorkomen van beveiligingsproblemen, ervoor zorgen dat gebruikers zich voor beveiligingsinformatie en terugroepacties registreren en de rol van de overheid in het bevorderen van IoT-veiligheid.

Als het gaat om het voorkomen van beveiligingsproblemen vindt de FTC dat IoT-fabrikanten het updateproces moeten stroomlijnen, tijdig beveiligingsupdates moeten uitbrengen en beveiligingsupdates niet met feature-updates moeten combineren. Wat betreft de rol van de overheid en het opstellen van wetgeving pleit de FTC voor een technologieneutrale aanpak die flexibel genoeg is zodat die niet overbodig wordt als de technologie verandert.

Reacties (7)
18-06-2018, 11:17 door Anoniem
Perfecte beveiliging krijg je nooit maar er is absoluut ruimte voor verbetering. Duidelijke handleidingen, services standaard uit, geen onveilige/unencrypted services, geen standaard wachtwoorden om maar eens wat te noemen.

Dat hoeft de innovatie niet te remmen en bevorderd het bewustzijn bij mensen wat je juist weer als een innovatie kunt zien ....
18-06-2018, 12:49 door Anoniem
Er is een verschil tussen perfecte IoT beveiliging en de security drekzooi die nu op de markt wordt gebracht. Het lijkt erop alsof de IoT leveranceriers de problemen en risico's waar bedrijven als Microsoft al decennia mee worstelen nog eens een keer opnieuw uitvinden en van scratch af aan moeten beginnen. De risico's van een koelkast vallen wel mee, totdat je besluit zo'n ding aan het internet te hangen. Op dat moment krijg je een risicoprofiel waar IoT leveranciers vaak niet goed over nadenken of niet goed adresseren. Want we hebben het allemaal inmiddels kunnen lezen:

(1) Slecht patchwerk
(2) Slechte authenticatie
(3) Slechte code
(4) Plaintext communicatie
(5) Slechte privacy-bescherming
(6) ...

En dat zal de komende tijd niet veranderen, want de programmeurs weten niet beter en de producten worden gekocht. Daarnaast is beveiliging niet meer dan een non-functional requirement dat een goedwillende medewerker in het DevOps team "erbij doet", dus in het land der blinden is een-oog koning. Nee, dat IoT gaat nog een mooie cashcow worden. Voor de security clubjes onder ons dan, om de shit op te ruimen die anderen maken.
18-06-2018, 13:01 door Anoniem
Ik snap niet waarom ze beveiliging niet als een innovatie punt willen zien, noch waarom een veilig product als een probleem wordt gezien. Veiligheid zien ze kennelijk als 'after thought' terwijl het in het design en test proces moet zijn opgenomen.
18-06-2018, 16:18 door Anoniem
Perfecte IOT beveiliging bestaat sowieso niet, en beveiliging is geen bedreiging voor innovatie maar juist een katalysator!

Als je voortdurend een goed evenwicht weet te bereiken tussen security-functionality-usability dan vullen beveiliging en innovatie elkaar aan en ze versterken elkaar juist.

Wat heb je aan een innovatief produkt dat niet veilig genoeg is? Dat produkt zal een heel korte levencyclus beleven (te kort om de investering eruit te halen iig, lees: NROI -no return on investment-).
18-06-2018, 20:55 door Anoniem
Als innovatie afhankelijk is van ondermaatse veiligheid, dan maar geen innovatie...
19-06-2018, 09:54 door Anoniem
Door Anoniem: Als innovatie afhankelijk is van ondermaatse veiligheid, dan maar geen innovatie...

ja het lijkt wel alsof innovatie gelijk staat aan hype-cycles volgen niet omdat het moet, maar omdat het kan. wel is het zo dat er steeds iemand rijk van wordt en de ander met de puin zit... wilde westen en snake oil als vanouds dus.
19-06-2018, 09:57 door Anoniem
Door Anoniem: Ik snap niet waarom ze beveiliging niet als een innovatie punt willen zien, noch waarom een veilig product als een probleem wordt gezien. Veiligheid zien ze kennelijk als 'after thought' terwijl het in het design en test proces moet zijn opgenomen.
Het zit in het woordje "perfect". Perfecte veiligheid bereik je pas als je kan garanderen dat er echt helemaal nooit iets misgaat, en dat is niet haalbaar. FTC stelt niet dat beveiliging maar helemaal overgeslagen moet worden, ze vinden dat er een redelijke inspanning gevraagd moet worden aan fabrikanten in plaats van perfectie te eisen.

Ze citeren dit uit een hoorzitting:
([T]he Commission has made clear that it does not require perfect security; that reasonable and appropriate security
is a continuous process of assessing and addressing risks; that there is no one-size-fits-all data security program; and
that the mere fact that a breach occurred does not mean that a company has violated the law.)
Ze eisen geen perfectie veiligheid omdat ze snappen dat beveiliging een doorlopend proces is. Hoe hoog ze de lat precies leggen weet ik niet, maar het lijkt me duidelijk dat een leverancier die het proces maar helemaal overslaat het niet goed genoeg doet voor de FTC. Ze zien het daarmee nadrukkelijk niet als een afterthought.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.