Duitse overheid wil meer security-informatie op verpakking IoT-apparatuur
Fabrikanten en winkels moeten ervoor zorgen dat er meer security-informatie komt op de verpakking van Internet of Things (IoT)-apparatuur, bijvoorbeeld over ondersteuning met updates of wachtwoordgerelateerde informatie, zo wil de Duitse overheid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, heeft nu een adviesdocument voor fabrikanten en retailers gemaakt.
Het BSI deed onderzoek naar de verpakking van routers en ip-camera's en ontdekte dat er nauwelijks security-informatie is te vinden. Online is meer informatie te vinden, maar ook op de websites van fabrikanten is veel belangrijke informatie niet beschikbaar, aldus de Duitse overheidsdienst. Verder blijkt dat de informatie die wel beschikbaar is, lastig te vinden is en er niet uitgelegde afkortingen worden gebruikt. Daardoor is het lastiger voor niet-technische mensen om te zien dat dit met it-security te maken heeft.
Het BSI pleit dan ook voor een 'consumentvriendelijke' presentatie van security-informatie. "IT-security-informatie zou over het algemeen op een aparte, duidelijk zichtbare plek moeten worden geplaatst, geformuleerd in een duidelijke en begrijpelijke manier en eenvoudiger te classificeren door middel van vergelijkingen en uitleg." De Duitse overheidsdienst voegt toe dat het verstrekken van security-informatie ook concurrentievoordelen voor fabrikanten kan hebben, zoals het hebben van meer vertrouwen in het aangeboden product.
- alle gebruikte software is up-to-date en bevat geen bekende beveiligingsgaten
- alle ontwikkelcode, features & logins zijn verwijderd.
- Firewall staat ingesteld (indien van toepassing)
- Weigert standaard verbindingen van extern netwerk
- Wachtwoorden zijn per apparaat gegenereerd, dus niet hardcoded of per model.
- Publiek bekend is hoelang er ten minste updates worden uitgebracht. (+op de doos)
- Zwakke wachtwoorden zijn niet toegestaan. (moet >12 tekens, wachtzinnen als tip?)
- Apparaat kan met IPv6-only netwerken overweg. (availability valt ook onder security!)
- Optioneel: waarschuwingsfunctionaliteit in geval van problemen. (bij inlog na veel pogingen?)
Bevat wel/geen backdoors
Bevat wel/geen hardcoded password
Ook niet NA upgrade of in bedrijfsstelling
Etc...
Stel je eens voor hoe het zou gaan als een niet IT product zo slecht in elkaar zou zitten?
O, uw auto begint ineens te versnellen als u op het rempedaal duwt?
O, uw man is ernstig ziek geworden na het eten van onze taart?
O, uw kind is komen te overlijden omdat het speelgoed toch ingeslikt kon worden?
Etc., etc.
En de grote guru Elon M. en consorten ondertussen maar preken voor nog minder regelgeving.
MEER regelgeving! Ik verwacht van een overheid dat zij middels regelgeving zorgt voor een zo veilig mogelijke leefomgeving. en dus NIET naar de pijpen van een stel Tech-Miljardairs blijft dansen.
Klinkt als een goed idee, behalve dat dat label OVERAL op staat, en dus totaal genegeerd wordt.
https://jblbags.com/prop-65/
Het idee is goed. Er is een risico voor doorslaan.
Stel je eens voor hoe het zou gaan als een niet IT product zo slecht in elkaar zou zitten?
O, uw auto begint ineens te versnellen als u op het rempedaal duwt?
O, uw man is ernstig ziek geworden na het eten van onze taart?
O, uw kind is komen te overlijden omdat het speelgoed toch ingeslikt kon worden?
Etc., etc.
Je denkt zeker dat de situatie die je nu kent "altijd al zo geweest is" ?
Eerste auto 1885+ .
(massa publiek : T-ford, 1908)
Kreukelzones en 'safety cell' - pas sinds de jaren 70 .
(daarvoor werden auto's al tanks gebouwd . Auto OK in de botsing, passagiers niet)
Hoofdsteunen voorin : verplicht sinds 1997.
Speelgoed o wow.
Jammer dat ik te jong ben om de LEUKE chemie sets gekend te hebben.
https://www.youtube.com/watch?v=jvfsP1nc0ro
(joepie, nevelkamer en radioactief bronnetje )
pogo stick op benzine
https://www.youtube.com/watch?v=iyM0rkoO-XI
en meer :
https://www.youtube.com/watch?v=5izv9sOWkzI
En de grote guru Elon M. en consorten ondertussen maar preken voor nog minder regelgeving.
MEER regelgeving! Ik verwacht van een overheid dat zij middels regelgeving zorgt voor een zo veilig mogelijke leefomgeving. en dus NIET naar de pijpen van een stel Tech-Miljardairs blijft dansen.
rubbertegel watjes
https://www.etsi.org/technologies/consumer-iot-security
Sinds 2021 heeft de RED (Radio Equipement Directive) ook Security eisen in zich.
https://single-market-economy.ec.europa.eu/news/commission-strengthens-cybersecurity-wireless-devices-and-products-2021-10-29_en
De ETSI stanbdaard en de RED samen dekken wmb het grootste deel van de IoT security problematiek af.
Hoe je dat communiceert naar de koper is een interessant vraagstuk. Ik zou kiezen voor een QR code die je via de smartphone leidt naar een database waar de testresultaten in staan.
Zo kan er een afgewogen keuze gemaakt worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Hoofd Veiligheid
Dienst Justitiële Inrichtingen
Als Hoofd Veiligheid binnen de PI Leeuw-arden ligt de verantwoordelijkheid voor het waarborgen en verbeteren van het organi-satieonderdeel Veiligheid in jouw handen. Een unieke uitdaging met een grote impact. Die kans laat jij je niet ontnemen!
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.