Het Europees Telecommunicatie en Standaardisatie Instituut (ETSI) heeft een Europese norm voor veilige Internet of Things-apparaten gepubliceerd die onder andere moet voorkomen dat op internet aangesloten apparaten onderdeel van een botnet worden of worden gebruikt om mensen in hun eigen woning te bespioneren.
ETSI is een standaardiseringsorganisatie voor de telecomindustrie in Europa. Met de norm "EN 303 645" wordt een beveiligingsbasislijn voor IoT-apparaten vastgesteld (pdf). Het gaat onder andere om babymonitors, met internet verbonden rookmelders, ip-camera's, smart tv's, gezondheidstrackers, domotica, alarmsystemen en "connected" witgoed, zoals wasmachines en koelkasten.
De standaard omschrijft dertien bepalingen die allerlei aanvallen op IoT-apparaten moeten voorkomen en een einde moeten maken aan veel voorkomende kwetsbaarheden. Het eerste punt dat in de norm wordt genoemd is een verbod op universele standaard gebruikersnamen en wachtwoorden. Elk IoT-apparaat moet over een uniek wachtwoord beschikken of over een wachtwoord dat de gebruiker kan instellen.
IoT-fabrikanten moeten verder een "vulnerability disclosure policy" publiceren, zodat onderzoekers gevonden kwetsbaarheden kunnen rapporteren. Ook moet alle software van het IoT-apparaat op een veilige manier kunnen worden geüpdatet. Voor gebruikers moet het eenvoudig zijn om een update toe te passen, waarbij er voor software-updates een automatische updatefunctie gebruikt zou moeten worden.
Daarnaast moeten zaken als root keys, credentials en andere "security parameters" op een veilige manier zijn opgeslagen, communiceert het IoT-apparaat alleen via een beveiligd kanaal, zijn alle ongebruikte interfaces standaard uitgeschakeld, maakt het apparaat gebruik van secure boot, is het eenvoudig voor gebruikers om gebruikersgegevens te verwijderen, is installatie en beheer van het apparaat eenvoudig en valideert het IoT-apparaat alle invoerdata.
Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, was bij de ontwikkeling van de norm betrokken en werkt nu met verschillende partners samen aan het opzetten van een testspecificatie, zodat de bepalingen van de nieuwe norm op gestructureerde wijze zijn te testen. Fabrikanten kunnen dan laten zien dat hun apparatuur aan de norm voldoet.
Deze posting is gelocked. Reageren is niet meer mogelijk.