Het beveiligen van IoT-apparaten voor consumenten:waarom een ​​wereldwijde standaard nodig is

Voor consumenten betekent de groei van het Internet of Things (IoT) dat steeds meer objecten in hun huis nu zijn gekoppeld aan internet en mogelijk het risico lopen op cyberaanvallen of het onthullen van persoonlijke gegevens bij privacyschendingen.

De afgelopen jaren zegt Alex Leadbeater, voorzitter van ETSI Cyber ​​Security Technical Committee (TC CYBER), zijn er steeds meer meldingen van dit soort IoT-problemen voor consumenten. Zo ontdekten beveiligingsonderzoekers onlangs dat ZipaMicro , een slimme thuishub, gebruikte dezelfde privésleutel in elke hub, hardgecodeerd in de apparaten. In combinatie met versleutelde wachtwoorden die ze op internet vonden, konden de onderzoekers sloten openen die door de hub werden bestuurd.

Apparaten die gevaar lopen, zijn onder meer aangesloten speelgoed, dat mogelijk camera's en microfoons bevat die op afstand toegankelijk zijn. Naast aanvallen via internet gebruiken sommige speeltjes nu Bluetooth, wat een potentiële zwakte is. Slimme luidsprekers, zoals Amazon ’s Echo, zijn ook kwetsbaar voor hackers die privégesprekken afluisteren.

Dit soort problemen worden meestal snel opgelost door apparaatverkopers zodra ze op de hoogte zijn gesteld van nieuwe producten, maar dat kan te laat zijn en er is een inconsistente benadering om producten die al op de markt zijn, te repareren of terug te roepen. Regeringen proberen wetgeving in te voeren om hogere normen op te leggen - het VK raadpleegt bijvoorbeeld nieuwe wetten, die verplichte etikettering van producten en minimumnormen kunnen omvatten. De VS lopen niet ver achter, waarbij Californië al generieke standaardwachtwoorden verbiedt. Wat betreft gegevensbescherming zijn er wetten zoals de AVG van de EU die van toepassing zijn op alle opgeslagen persoonlijke informatie.

Maar dit kan het leven van productverkopers moeilijk maken. Hoe kunnen ze ervoor zorgen dat ze op een kosteneffectieve manier voldoen aan verschillende eisen in verschillende landen, in een snel veranderende markt waar nog steeds regelgeving wordt gedefinieerd?

Standaard biedt beveiligingsaanbevelingen

Om dit probleem aan te pakken, heeft ETSI onlangs ETSI TS 103 645 aangekondigd, de eerste wereldwijde standaard voor IoT-beveiliging voor consumenten. De nieuwe norm is bedoeld om een ​​benchmark vast te stellen voor de manier waarop bedrijven consumentenproducten die met internet worden verbonden, moeten beveiligen en om beste praktijken te promoten.

Tegelijkertijd is het geschreven met een focus op resultaten in plaats van specifieke methodologieën, wat betekent dat er voldoende flexibiliteit is om bedrijven in staat te stellen te innoveren en de beste oplossing voor hun specifieke producten te vinden. De norm is bedoeld om tegemoet te komen aan de behoeften van een breed scala aan verbonden apparaten, waaronder speelgoed, draagbare fitnesstrackers, slimme thuisassistenten, smart-tv's, deursloten en domoticasystemen.

Laten we eens kijken naar het advies in de nieuwe standaard van ETSI en hoe het verbonden consumentenapparaten veiliger zal maken.

Apparaatvereisten

Ten eerste zegt de standaard dat alle apparaatwachtwoorden uniek moeten zijn - het overwinnen van het probleem dat tegenwoordig veel producten worden verkocht met een standaard gebruikersnaam en wachtwoord, die gebruikers vaak niet veranderen. Het zegt ook dat het onmogelijk zou moeten zijn om het wachtwoord terug te zetten naar een standaardwaarde. Het is verrassend dat veel producten op de markt niet al voldoen aan deze of andere meer basisvereisten in de nieuwe norm.

Bescherming van persoonsgegevens is een belangrijk onderdeel van de standaard en vereist dat alle gevoelige informatie veilig wordt opgeslagen - zowel op apparaten zelf als in gerelateerde services, zoals in de cloud. Apparaten mogen geen inloggegevens hebben die hard gecodeerd zijn, omdat deze relatief eenvoudig te ontdekken zijn.

De producten moeten het voor consumenten gemakkelijk maken om hun persoonlijke gegevens te verwijderen wanneer ze dat willen, met duidelijke instructies. Evenzo moet de installatie en het gebruik van IoT-apparaten eenvoudig en goed gedocumenteerd zijn. Gegevens moeten ook worden beschermd en versleuteld wanneer ze worden gecommuniceerd. Apparaten moeten passende bescherming bieden tegen aanvallen op encryptie.

Alle aangesloten apparaten moeten goede praktijken op het gebied van beveiligingstechniek volgen, zoals het sluiten van ongebruikte software en netwerkpoorten om het risico op aanvallen te minimaliseren. Alle ingevoerde gegevens moeten worden gevalideerd om misbruik te voorkomen, zoals het gebruik van waarden die buiten het bereik vallen. Apparaten moeten ook in staat zijn om hun software te verifiëren met behulp van een soort op hardware gebaseerd beveiligd opstartmechanisme en om eventuele stroom- of netwerkstoringen met succes af te handelen.

Naast eisen aan de apparaten zelf, stelt de ETSI-standaard specifieke eisen aan productleveranciers. Deze omvatten het snel opsporen van en reageren op kwetsbaarheden.

En apparaatsoftware moet gemakkelijk en veilig kunnen worden bijgewerkt.

Consumentenvertrouwen opbouwen

Consumenten maken zich terecht zorgen over IoT-beveiliging. De nieuwe standaard is een onschatbare manier voor leveranciers om het vertrouwen bij hun klanten te herstellen. Door de richtlijnen op te volgen, kunnen fabrikanten ervoor zorgen dat hun producten voldoen aan de juiste niveaus van beveiliging en privacy. Dit betekent dat klanten worden beschermd en dat bedrijven kostbare inbreuken en de impact van negatieve publiciteit kunnen voorkomen.

Wat nog belangrijker is, de ETSI-standaard is een stapsgewijze verandering voor consumenten, waardoor ze erop kunnen vertrouwen dat hun veiligheid, privacy en beveiliging niet in gevaar worden gebracht door het gebruik van verbonden apparaten.

U kunt de ETSI-standaard hier lezen

De auteur is Alex Leadbeater, voorzitter, ETSI Cyber ​​Security Technical Committee (TC CYBER).