image

NIST: IoT-apparaten zijn geen gewone it-apparaten

donderdag 27 juni 2019, 10:58 door Redactie, 13 reacties

Internet of Things-apparaten verschillen van gewone it-apparaten als het gaat om werking, beheer, beveiliging en monitoring en organisaties moeten hier rekening mee houden, zo stelt het Amerikaansee National Institute of Standards and Technology (NIST) in een nieuw rapport over IoT-risico's (pdf).

NIST is een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid. In het rapport gaat het NIST in op de risico's die bij IoT-apparaten komen kijken en hoe organisaties hiermee kunnen omgaan. Volgens de standaardenorganisatie weten veel organisaties niet dat ze op grote schaal van IoT-apparaten gebruikmaken.

"Het is belangrijk dat organisaties hun gebruik van IoT begrijpen, omdat veel IoT-apparaten op een andere manier cybersecurity en privacyrisico's beïnvloeden dan bij gewone it-apparaten het geval is", aldus het NIST. Zo verschilt de manier waarop IoT-apparaten met de fysieke wereld werken. Best practices op het gebied van cybersecurity en privacy die voor gewone it-apparaten gelden, gaan bijvoorbeeld niet altijd op voor IoT-apparaten.

Het NIST stelt ook dat veel IoT-apparaten niet op dezelfde manier zijn te benaderen, beheren of monitoren zoals bij gewone it-apparaten kan. Hierdoor moeten medewerkers bijvoorbeeld voor een groot aantal IoT-apparaten handmatige werkzaamheden uitvoeren. Daarnaast kan de beschikbaarheid, efficiëntie en effectiviteit van cybersecurity- en privacymogelijkheden van IoT-apparaten verschillen ten opzichte van conventionele it-apparaten.

Bij het in kaart brengen van de cybersecurity- en privacyrisico's voor IoT-apparaten adviseert het NIST om met drie doelen rekening te houden. Het beschermen van de veiligheid van het apparaat, het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van de data en als laatste het beschermen van de privacy van het individu. Deze doelen dienen als basis voor beleid, processen en beveiligingsmaatregelen.

Image

Reacties (13)
27-06-2019, 12:32 door Anoniem
Veel IoT-apparaten gebruiken de Linux kernel als motor. En daar wordt héél slecht omheen geprogrammeerd om zo'n device werkend te krijgen. Security wordt vaak zwaar uit het oog verloren, en dat heeft zijn weerslag op de goede naam die Linux als veilig systeem had.

Veel mensen, waaronder een aantal posters hier, geven Linux de schuld van het falen van de security. Maar dat is dus niet zo. Het zijn de makers van zo'n device die hier zwaar aan het prutsen zijn en juist alles wat Linux veilig maakt eruit sloopt of dusdanig programmeert dat deze beveiligingslaag volledig of gedeeltelijk weg is.

Een gemiddelde Linux-distro is écht wel veilig, designwise. Daar sta ik zelfs voor in. Het updatebeleid, het patchbeleid en alle overige zaken met betrekking tot security is tot op heden dik in orde gebleken. Maar juist dit soort troep die op de markt gegooid wordt zorgt voor een slechte naam van Linux en Unix-achtige systemen.

Eigenlijk zouden ze de Linux kernel moeten beschermen tegen dit soort slechte rommel, in die zin dat Linux alleen ingezet wordt als je een verzoek indient bij diegene(n) die erover gaan, die je product checken of je de guidelines wel hebt gevolgd. Is dat in orde, dan mag je als fabrikant de Linux kernel gebruiken voor je device. Nu is er wildgroei en wil iedereen er dik aan verdienen. En daar gaat het altijd fout! IoT is een schoolvoorbeeld hiervan.

Resumé: Linux is veilig bij design, IoT-devices is dat niet vanwege slecht programmeren en het eruit slopen van alles wat Linux bij design veilig maakt. Ik wilde dat wel even benadrukt zien.
27-06-2019, 18:51 door karma4
Door Anoniem: ...
Resumé: Linux is veilig bij design, IoT-devices is dat niet vanwege slecht programmeren en het eruit slopen van alles wat Linux bij design veilig maakt. Ik wilde dat wel even benadrukt zien.
Het tegendeel dat het "veilig By design" is is doir de slechte insteek met IOT niet vol te houden.
Daar wordt door de managers en verkopers stevig misbruik van gemaakt. Dat wordt verergerd doir de evangelisten die daarna blijven vasthouden. Waarmee de kring van in stand houden van slechte security rond is.
27-06-2019, 20:43 door [Account Verwijderd] - Bijgewerkt: 27-06-2019, 20:44
Door Anoniem: Veel IoT-apparaten gebruiken de Linux kernel als motor. En daar wordt héél slecht omheen geprogrammeerd om zo'n device werkend te krijgen. Security wordt vaak zwaar uit het oog verloren, en dat heeft zijn weerslag op de goede naam die Linux als veilig systeem had.

heeft.

Door Anoniem: Veel mensen, waaronder een aantal posters hier, geven Linux de schuld van het falen van de security.

Alleen de onvermijdelijke dommerikjes doen dat.

Door Anoniem: Maar dat is dus niet zo. Het zijn de makers van zo'n device die hier zwaar aan het prutsen zijn en juist alles wat Linux veilig maakt eruit sloopt of dusdanig programmeert dat deze beveiligingslaag volledig of gedeeltelijk weg is.

Tegen dat soort garantie tot de deur prutsers is bijna geen kruid gewassen.

Door Anoniem: Een gemiddelde Linux-distro is écht wel veilig, designwise. Daar sta ik zelfs voor in. Het updatebeleid, het patchbeleid en alle overige zaken met betrekking tot security is tot op heden dik in orde gebleken. Maar juist dit soort troep die op de markt gegooid wordt zorgt voor een slechte naam van Linux en Unix-achtige systemen.

Niet bij weldenkende mensen. Die kunnen dat onderscheid echt wel maken en beseffen dat de echt grote bedrijven (Google; Amazon; Twitter; Facebook; alle supercomputers) niet voor Linux zouden kiezen als er een kwaliteits- of veiligheidsprobleem zou zijn.

Door Anoniem: Eigenlijk zouden ze de Linux kernel moeten beschermen tegen dit soort slechte rommel, in die zin dat Linux alleen ingezet wordt als je een verzoek indient bij diegene(n) die erover gaan, die je product checken of je de guidelines wel hebt gevolgd. Is dat in orde, dan mag je als fabrikant de Linux kernel gebruiken voor je device. Nu is er wildgroei en wil iedereen er dik aan verdienen. En daar gaat het altijd fout! IoT is een schoolvoorbeeld hiervan.

(Free) Open source brengt ook vrijheid met zich mee en er zullen altijd partijen zijn die deze niet op de goede manier gebruiken.

Door Anoniem: Resumé: Linux is veilig bij design, IoT-devices is dat niet vanwege slecht programmeren en het eruit slopen van alles wat Linux bij design veilig maakt. Ik wilde dat wel even benadrukt zien.

Klopt helemaal en een weldenkend mens denkt er niet eens aan om hieraan te twijfelen.
27-06-2019, 22:17 door karma4 - Bijgewerkt: 27-06-2019, 22:20
Door En Rattshaverist:....
Kopt helemaal en een weldenkend mens denkt er niet eens aan om hieraan te twijfelen.
Daar vallen niet de evangelisten onder ook al beweren ze dat volwassen zijn en alles beter weten. Evangelisme gaat gepaard met een verblinding.

Wil je nu echt beweren dat het NIST iets onzinnig zegt.

Het probleem met de grote bedrijven google Amazon Facebook Apple is dat ze het niets uitmaakt of iets goed is of niet. Als er maar flink verdiend wordt en je vele makkelijke volgers hebt.
27-06-2019, 23:16 door Anoniem
Inpluggen en werken. Zo heeft de massa het immers graag.

We hebben toch niets te verbergen.

De pest is het.

Nadruk op gebruiksgemak en eenvoud.
Beveiliging ho maar.
28-06-2019, 08:30 door [Account Verwijderd] - Bijgewerkt: 28-06-2019, 08:30
Door karma4:
Door En Rattshaverist:....
Kopt helemaal en een weldenkend mens denkt er niet eens aan om hieraan te twijfelen.
Daar vallen niet de evangelisten onder ook al beweren ze dat volwassen zijn en alles beter weten. Evangelisme gaat gepaard met een verblinding.

Wil je nu echt beweren dat het NIST iets onzinnig zegt.

Het probleem met de grote bedrijven google Amazon Facebook Apple is dat ze het niets uitmaakt of iets goed is of niet. Als er maar flink verdiend wordt en je vele makkelijke volgers hebt.

NIST zegt niets dergelijks over Linux of over Apple, Facebook, Google, Amazon in hun opmerkingen over IoT. Waarom zouden ze ook want dit heeft er duidelijk niets mee te maken.
28-06-2019, 08:58 door Anoniem
@karma4: Misschien een gek idee, maar wat zou er gebeuren als je ISO27K1 toe zou passen op IoT apparaten?
Het zijn immers ook een soort computers die IoT apparaten. Vele malen krachtiger als de mainframes uit de jaren tachtig. En ze worden ook gebruikt binnen bedrijven volgens NIST.
28-06-2019, 11:10 door Anoniem
Door Anoniem: @karma4: Misschien een gek idee, maar wat zou er gebeuren als je ISO27K1 toe zou passen op IoT apparaten?
Het zijn immers ook een soort computers die IoT apparaten. Vele malen krachtiger als de mainframes uit de jaren tachtig. En ze worden ook gebruikt binnen bedrijven volgens NIST.

Die norm gaat over informatie beveiliging binnen de gehele organisatie, niet over hoe je een ENKEL device moet maken of beveiligen.
28-06-2019, 15:44 door karma4 - Bijgewerkt: 28-06-2019, 15:46
Door Anoniem:
Door Anoniem: @karma4: Misschien een gek idee, maar wat zou er gebeuren als je ISO27K1 toe zou passen op IoT apparaten?
Het zijn immers ook een soort computers die IoT apparaten. Vele malen krachtiger als de mainframes uit de jaren tachtig. En ze worden ook gebruikt binnen bedrijven volgens NIST.

Die norm gaat over informatie beveiliging binnen de gehele organisatie, niet over hoe je een ENKEL device moet maken of beveiligen.

Dan zouden we mogelijk iets kunnen gaan bereiken.
Informatieveiligheid staat los van een os of hardware
29-06-2019, 07:37 door [Account Verwijderd] - Bijgewerkt: 29-06-2019, 07:38
Door karma4:
Door Anoniem:
Door Anoniem: @karma4: Misschien een gek idee, maar wat zou er gebeuren als je ISO27K1 toe zou passen op IoT apparaten?
Het zijn immers ook een soort computers die IoT apparaten. Vele malen krachtiger als de mainframes uit de jaren tachtig. En ze worden ook gebruikt binnen bedrijven volgens NIST.

Die norm gaat over informatie beveiliging binnen de gehele organisatie, niet over hoe je een ENKEL device moet maken of beveiligen.

Dan zouden we mogelijk iets kunnen gaan bereiken.
Informatieveiligheid staat los van een os of hardware

Je moet wel erg wereldvreemd zijn om (a) te denken dat fabrikanten die niet eens de moeite nemen om basale configuratie van het door hen gebruikte besturingssysteem op orde te brengen zich zouden gaan verdiepen in dat soort papierwerk en (b) te denken dat het gebruikte gereedschap niet het halve werk is.
29-06-2019, 10:20 door Anoniem
Door En Rattshaverist:
Door karma4:
Door Anoniem:
Door Anoniem: @karma4: Misschien een gek idee, maar wat zou er gebeuren als je ISO27K1 toe zou passen op IoT apparaten?
Het zijn immers ook een soort computers die IoT apparaten. Vele malen krachtiger als de mainframes uit de jaren tachtig. En ze worden ook gebruikt binnen bedrijven volgens NIST.

Die norm gaat over informatie beveiliging binnen de gehele organisatie, niet over hoe je een ENKEL device moet maken of beveiligen.

Dan zouden we mogelijk iets kunnen gaan bereiken.
Informatieveiligheid staat los van een os of hardware

Je moet wel erg wereldvreemd zijn om (a) te denken dat fabrikanten die niet eens de moeite nemen om basale configuratie van het door hen gebruikte besturingssysteem op orde te brengen zich zouden gaan verdiepen in dat soort papierwerk en (b) te denken dat het gebruikte gereedschap niet het halve werk is.

Het is de bedoeling, dat bedrijven het gebruik van hun IoT apparaten gaan certificeren. Met ISO 27001.

Als dit niet kan door beperkingen van specifieke IoT apparaten, dan zullen die niet gebruikt moeten worden binnen die bedrijven.

Dat is het punt wat ik wilde maken in 08:58.
29-06-2019, 18:37 door [Account Verwijderd]
Door Anoniem:
Door En Rattshaverist:
Door karma4:
Door Anoniem:
Door Anoniem: @karma4: Misschien een gek idee, maar wat zou er gebeuren als je ISO27K1 toe zou passen op IoT apparaten?
Het zijn immers ook een soort computers die IoT apparaten. Vele malen krachtiger als de mainframes uit de jaren tachtig. En ze worden ook gebruikt binnen bedrijven volgens NIST.

Die norm gaat over informatie beveiliging binnen de gehele organisatie, niet over hoe je een ENKEL device moet maken of beveiligen.

Dan zouden we mogelijk iets kunnen gaan bereiken.
Informatieveiligheid staat los van een os of hardware

Je moet wel erg wereldvreemd zijn om (a) te denken dat fabrikanten die niet eens de moeite nemen om basale configuratie van het door hen gebruikte besturingssysteem op orde te brengen zich zouden gaan verdiepen in dat soort papierwerk en (b) te denken dat het gebruikte gereedschap niet het halve werk is.

Het is de bedoeling, dat bedrijven het gebruik van hun IoT apparaten gaan certificeren. Met ISO 27001.

Als dit niet kan door beperkingen van specifieke IoT apparaten, dan zullen die niet gebruikt moeten worden binnen die bedrijven.

Dat is het punt wat ik wilde maken in 08:58.

Aha, op die manier. Had ik verkeerd begrepen. Dan dus goede suggestie, inderdaad.
02-07-2019, 13:03 door Anoniem
Door Anoniem: Veel IoT-apparaten gebruiken de Linux kernel als motor. En daar wordt héél slecht omheen geprogrammeerd om zo'n device werkend te krijgen. Security wordt vaak zwaar uit het oog verloren, en dat heeft zijn weerslag op de goede naam die Linux als veilig systeem had.

Veel mensen, waaronder een aantal posters hier, geven Linux de schuld van het falen van de security. Maar dat is dus niet zo. Het zijn de makers van zo'n device die hier zwaar aan het prutsen zijn en juist alles wat Linux veilig maakt eruit sloopt of dusdanig programmeert dat deze beveiligingslaag volledig of gedeeltelijk weg is.

Een gemiddelde Linux-distro is écht wel veilig, designwise. Daar sta ik zelfs voor in. Het updatebeleid, het patchbeleid en alle overige zaken met betrekking tot security is tot op heden dik in orde gebleken. Maar juist dit soort troep die op de markt gegooid wordt zorgt voor een slechte naam van Linux en Unix-achtige systemen.

Eigenlijk zouden ze de Linux kernel moeten beschermen tegen dit soort slechte rommel, in die zin dat Linux alleen ingezet wordt als je een verzoek indient bij diegene(n) die erover gaan, die je product checken of je de guidelines wel hebt gevolgd. Is dat in orde, dan mag je als fabrikant de Linux kernel gebruiken voor je device. Nu is er wildgroei en wil iedereen er dik aan verdienen. En daar gaat het altijd fout! IoT is een schoolvoorbeeld hiervan.

Resumé: Linux is veilig bij design, IoT-devices is dat niet vanwege slecht programmeren en het eruit slopen van alles wat Linux bij design veilig maakt. Ik wilde dat wel even benadrukt zien.


et feit dat je er om heen kan programmeren waardoor het onveilig word is al een teken dat het een slecht systeem is.
als de basis echt zo veilig is zou dat helemaal niet kunnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.