Britse IoT-beveiligingsregelgeving moedigt consumenten aan om bewuster te zijn

De Britse regering gaat verder met haar plannen om regelgeving voor IoT-apparaten te creëren. De verhuizing volgt een brede wereldwijde trend om te proberen de snelgroeiende maar onveilige wereld van het IoT af te sluiten, zegt Mike Nelson, vice-president IoT Security bij DigiCert .

Al te lang zijn Internet of Things (IoT)-apparaten op de markt gegooid vol met kwetsbaarheden die vreemde nieuwe soorten catastrofes voor gebruikers bedreigen. Van aanvallen die gebruikmaken van de functionaliteit van een IoT-apparaat - zoals een hackbare auto of een pop die kan worden veranderd in een bewakingsapparaat op afstand - tot gebeurtenissen zoals de Mirai-aanvallen die de internetinfrastructuur op grote schaal bedreigden. Om die redenen is de Britse regering opgevoerd.

De regelgeving is bedoeld om voort te bouwen op de Gedragscode van 2018 – Secure by Design – die een aantal richtlijnen bood aan fabrikanten van IoT-apparaten, evenals aan consumenten, over het veilig bouwen en gebruiken van IoT-apparaten. Ze bevatten suggesties voor het veilig opslaan van referenties en andere beveiligingsgegevens, het minimaliseren van blootgestelde aanvalsoppervlakken, het waarborgen van de integriteit en continue updates van de software op IoT-apparaten en het waarborgen van veilige communicatie van en naar de apparaten.

De gedragscode voegde eraan toe dat deze werd uitgerold in de hoop dat mensen zich eraan zouden houden, en als ze dat niet deden, zou de overheid die richtlijnen verplicht gaan stellen. Het lijkt erop dat dat eindelijk is gebeurd en regelgevers zullen nu ten minste drie van die richtlijnen verplicht stellen.

Drie richtlijnen

Ten eerste moeten IoT-wachtwoorden uniek zijn en niet kunnen worden gereset naar de fabrieksinstellingen, waardoor een aanvaller dat wachtwoord alleen maar kan opzoeken.

Ten tweede moeten fabrikanten een openbaar geadverteerde contactpersoon hebben voor het bekendmaken van kwetsbaarheden, zodat bugs tijdig kunnen worden gemeld en verholpen.

Ten derde moeten fabrikanten duidelijk aangeven hoe lang het apparaat minimaal beveiligingsupdates zal ontvangen, zodat consumenten offboarding kunnen plannen of op basis daarvan andere beveiligingsbeslissingen kunnen nemen.

De apparaten die hieraan voldoen, kunnen met trots een stempel dragen dat aangeeft dat de overheid de beveiliging van dit specifieke product onderschrijft. Het lijkt misschien een simpele zet, maar het is er een die de relatie tussen IoT-beveiliging en de consument ingrijpend verandert.

IoT-beveiliging overgelaten aan fabrikanten

Hoewel IoT-beveiliging tot nu toe werd overgelaten aan fabrikanten en vervolgens misschien aan beveiligingsteams van bedrijven om dit achteraf op te lossen, legt het certificeringsschema van Secure by Design deze beveiligingsbeslissingen eindelijk in handen van de consument. Nu kunnen ze die beslissingen nemen voordat ze zwak beveiligde, kwetsbare apparaten in een verder veilig netwerk introduceren.

Nu consumenten rekening kunnen houden met beveiliging bij de aanschaf van IoT-apparaten, kan het een concurrentievoordeel worden. Fabrikanten hebben tot nu toe onveilige apparaten gemaakt, grotendeels omdat het voor hen goedkoper was om dat te doen. Er was geen marktvraag om veilige apparaten te maken en niet veel dat het winstgevend zou maken om dit te doen.

Het labelen van apparaten en het introduceren van beveiliging als concurrentievoordeel voor consumenten zal fabrikanten dwingen na te denken over hoe ze minder kunnen verliezen en meer kunnen verdienen door vanaf het ontwerpstadium na te denken over beveiliging. Zodra de consument erom geeft, gaan fabrikanten dat ook gaan doen.

Berekening te laat gemaakt

Het is een simpele rekensom die veel te laat is gemaakt. Te lang is het geld in feite overgelaten aan fabrikanten om hun IoT-producten te beveiligen, zonder een wortel of een stok om ze vooruit te helpen. Het lost niet alle beveiligingsproblemen op, maar het is een lovenswaardig antwoord op een probleem dat dit veld al heel lang achtervolgt. Overheden over de hele wereld beginnen stokjes te maken, maar het slimme van Secure by Design en zijn certificeringsschema is dat er ook een wortel bij zit.

De auteur is Mike Nelson, VP van IoT Security, DigiCert

Over de auteur

Mike Nelson is de VP van IoT Security bij DigiCert, een wereldwijde leverancier van digitale beveiliging. In deze rol houdt Mike toezicht op de strategische marktontwikkeling van het bedrijf voor de verschillende kritieke infrastructuursectoren die zeer gevoelige netwerken en Internet of Things (IoT)-apparaten beveiligen, waaronder gezondheidszorg, transport, industriële activiteiten en implementaties van slimme netwerken en slimme steden. Mike overlegt regelmatig met organisaties, draagt ​​bij aan mediaberichten, neemt deel aan instanties voor industriestandaarden en spreekt op brancheconferenties over hoe technologie kan worden gebruikt om de cyberbeveiliging van kritieke systemen en de mensen die erop vertrouwen te verbeteren.

Mike heeft zijn carrière in de IT in de gezondheidszorg doorgebracht, waaronder tijd bij het Department of Health and Human Services van de VS, GE Healthcare , en Leavitt Partners – een boutique gezondheidsadviesbureau. Mike's passie voor de industrie komt voort uit zijn persoonlijke ervaring als diabetes type 1 en zijn gebruik van verbonden technologie bij zijn behandeling.