Agentschap Telecom publiceert acht eisen voor veilige IoT-apparatuur
Het Agentschap Telecom heeft acht eisen voor veilige Internet of Things-apparaten gepubliceerd, waaronder het automatisch installeren van updates en een verbod op standaard wachtwoorden. De toezichthouder had eerder al vastgesteld dat de beveiliging van IoT-apparatuur te wensen overlaat.
Om IoT-gebruikers beter te beschermen liet de toezichthouder onderzoek uitvoeren, waarbij meer dan vierhonderd beveiligingsmaatregelen werden geëvalueerd. De beste maatregelen werden samengevat als minimum vereisten voor veilige IoT-apparatuur. Deze vereisten zijn makkelijk te implementeren, makkelijk te testen, duidelijk en zorgen voor een aanzienlijke verbetering van de digitale veiligheid van de apparaten.
Zo moeten wachtwoorden, wanneer gebruikt, voldoen aan de SP800-63b Digital Identity Guidelines van het Amerikaanse National Institute of Standards and Technology (NIST). Deze richtlijn stelt dat wachtwoorden minimaal uit acht karakters moeten bestaan. Ook verbiedt het bepaalde wachtwoorden, zoals een leeg wachtwoord of de gebruikersnaam als wachtwoord. Tevens moet de gebruiker wachtwoorden kunnen wijzigen.
Daarnaast mogen standaard wachtwoorden niet meer worden gebruikt. Na het configureren van het apparaat moet de gebruiker een eigen wachtwoord opgeven. IoT-apparaten mogen ook alleen na authenticatie toegankelijk zijn. Een andere eis is dat ongebruikte poorten en interfaces moeten zijn uitgeschakeld. Alleen poorten en interfaces die noodzakelijk zijn voor het functioneren van het apparaat mogen zijn ingeschakeld.
Wanneer het IoT-apparaat data uitwisselt moet dit via een versleutelde verbinding plaatsvinden, waarbij er alleen van gangbare protocollen gebruik wordt gemaakt, zoals TLS. Het Agentschap Telecom vindt ook dat IoT-apparaten updates automatisch moeten installeren en dat de integriteit van de update voor de installatie moet worden gecontroleerd. Dit moet installatie van kwaadaardige updates voorkomen. Verder moeten fabrikanten gebruikers uitleggen hoe ze het apparaat op een veilige manier moeten instellen en gebruiken.
"De acht eisen zijn niet uitputtend maar zorgen samen voor het grootste veiligheidseffect om als basisniveau te verplichten in de EU", aldus het Agentschap Telecom. Volgens Angeline van Dijk, directeur-hoofdinspecteur van de toezichthouder, is het een onaanvaardbaar risico dat er nog steeds geen veiligheidseisen zijn waar slimme apparaten aan moeten voldoen. "Met dit onderzoek nemen we als Nederland het voortouw om regels verankerd te krijgen binnen Europa", zo laat ze weten. Ook de onderzoekers adviseren om de acht eisen via regelgeving op te leggen.
Nu nog in een wet o.i.d. vervatten en dan vooral : handhaven,controle iets waar Nederland "niet goed in is"
Dus niet weer de slager zijn eigen vlees laten keuren.
Terwijl dit soort eisen daar ook op van toepassing zouden moeten zijn, de router is immers nog beter aan te vallen dan IoT apparaten.
Als ik het goed begrijp is het nu nog een aanbeveling en kijkt men naar een mogelijke verplichting. Een verplichting vind ik minder wenselijk, omdat er gegarandeerd producten zijn te bedenken waar deze eisen conflicterend zijn.
Voorbeelden:
a) Neem de Corona app (een draak, maar dat terzijde). Derde bullet: Netwerktoegang alleen na authenticatie. Hoe wil je dat doen? Om te registeren bij wie je in de buurt bent, moet er informatie uitgewisseld worden. Gaan we aan alle passanten vragen of ze zich even willen authenticeren? Bluetooth is immers een netwerk.
b) Los van de definitie: "wat is IoT", alle analoge telefoons kan je opruimen. Die voldoen aan geen van deze eisen. Nu kan je zeggen dat een telefoon geen IoT is, maar er zijn gegarandeerd soortgelijke zaken te vinden die wel IoT zijn.
c) Een noodknop die ouderen gebruiken om in geval van nood hulp in te roepen? Eerst authenticeren, dan pas hulp.
Kortom: Je kan niet 8 eisen de wereld inslingeren en zonder context roepen dat alle IoT apparatuur daaraan moet voldoen. De context is relevant om de - in de basis overigens prima eisen - van toepassing te verklaren.
In mijn ogen zouden ze beter naar een certificering / keurmerk kunnen werken waarmee de consument weet dat het een veilig product is. Met een certificering kan de certificeringsinstantie ook de context waarbinnen de regels worden toegepast meenemen.
Als ik het goed begrijp is het nu nog een aanbeveling en kijkt men naar een mogelijke verplichting. Een verplichting vind ik minder wenselijk, omdat er gegarandeerd producten zijn te bedenken waar deze eisen conflicterend zijn.
Voorbeelden:
a) Neem de Corona app (een draak, maar dat terzijde). Derde bullet: Netwerktoegang alleen na authenticatie. Hoe wil je dat doen? Om te registeren bij wie je in de buurt bent, moet er informatie uitgewisseld worden. Gaan we aan alle passanten vragen of ze zich even willen authenticeren? Bluetooth is immers een netwerk.
b) Los van de definitie: "wat is IoT", alle analoge telefoons kan je opruimen. Die voldoen aan geen van deze eisen. Nu kan je zeggen dat een telefoon geen IoT is, maar er zijn gegarandeerd soortgelijke zaken te vinden die wel IoT zijn.
c) Een noodknop die ouderen gebruiken om in geval van nood hulp in te roepen? Eerst authenticeren, dan pas hulp.
Kortom: Je kan niet 8 eisen de wereld inslingeren en zonder context roepen dat alle IoT apparatuur daaraan moet voldoen. De context is relevant om de - in de basis overigens prima eisen - van toepassing te verklaren.
In mijn ogen zouden ze beter naar een certificering / keurmerk kunnen werken waarmee de consument weet dat het een veilig product is. Met een certificering kan de certificeringsinstantie ook de context waarbinnen de regels worden toegepast meenemen.
Corona App hangt Niet aan het internet, dus verkeerd voorbeeld.
Heb je het artikel wel begrepen?
ETSI EN 303 645 is in juni gelanceerd:
https://www.etsi.org/newsroom/press-releases/1789-2020-06-etsi-releases-world-leading-consumer-iot-security-standard
Analoge telefoons hangen Niet aan het internet, dus verkleed voorbeeld.
Corona App hangt Niet aan het internet, dus verkeerd voorbeeld.
Heb je het artikel wel begrepen?
Eerst zin van het artikel onder de inleiding: "Slimme apparaten zijn apparaten die met elkaar of met internet zijn verbonden"
Met elkaar of met het internet.... Het gaat dus niet uitsluitend over internet. Misschien moet je eerst zelf eens kritisch lezen voordat je verwijten aan anderen maakt.
Analoge telefoons hangen Niet aan het internet, dus verkleed voorbeeld.
Corona App hangt Niet aan het internet, dus verkeerd voorbeeld.
Heb je het artikel wel begrepen?
Eerst zin van het artikel onder de inleiding: "Slimme apparaten zijn apparaten die met elkaar of met internet zijn verbonden"
Met elkaar of met het internet.... Het gaat dus niet uitsluitend over internet. Misschien moet je eerst zelf eens kritisch lezen voordat je verwijten aan anderen maakt.
En de corona App is geen ding, die ergens aanhangt, misschien kan je opzoeken op internet, wat de betekenis is van iets ergens aanhangen.
ETSI EN 303 645 is in juni gelanceerd:
https://www.etsi.org/newsroom/press-releases/1789-2020-06-etsi-releases-world-leading-consumer-iot-security-standard
Ik heb deze standaard nog niet gelezen, maar als deze goed in elkaar zit (bij ETSI meestal wel het geval), hoef je inderdaad geen eisen meer te noemen. Voor het normenkader kan je dan verwijzen naar deze ETSI standaard.
Maar dit is een standaard, dus nog geen verplichting of certificering. Uit het artikel maak ik op dat men naar een verplichting toe wil werken. Zoals ik eerder schreef: verplichten zonder context van het product mee te nemen lijkt me niet verstandig. Ik zou eerder aan een keurmerk of certificering denken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
