image

Duits DIN-instituut presenteert specificatie voor IoT-beveiliging

donderdag 9 mei 2019, 16:09 door Redactie, 8 reacties

Het Duitse normalisatie-instituut DIN heeft een specificatie voor de veiligheid van Internet of Things-apparaten gepresenteerd om zo gebruikers van dergelijke apparatuur tegen aanvallen te beschermen. De specificatie is bedoeld voor fabrikanten en ontwikkelaars van consumentenapparatuur zoals ip-camera's en smart-tv's.

De "minimale vereisten voor informatiebeveiliging" gaan over zaken als standaardconfiguratie en updates. Bij het opstellen was onder andere het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, betrokken. Volgens het BSI is de specificatie een belangrijke mijlpaal in de introductie van minimale veiligheidsstandaarden voor IoT-apparaten.

Hoewel de specificatie voor fabrikanten is bedoeld kan die ook als basis door certificeringsinstanties worden gebruikt. Het BSI is op dit moment bezig om productcertificering gebaseerd op de nieuwe DIN IoT-specificatie mogelijk te maken. Daarnaast overwegen het Duitse normalisatie-instituut en het BSI om de specificatie aan een Europees normalisatieproject over te dragen.

"In principe zijn alle op internet aangesloten apparaten, en dan met name in smart homes, een potentieel doelwit voor cybercriminelen. Deze specificatie kan het it-beveiligingsniveau van deze apparaten aanzienlijk verhogen", zegt BSI-directeur Arne Schönbohm.

Reacties (8)
10-05-2019, 07:56 door karma4
Gaat om: DIN SPEC 27072 is die nummering bewust gekozen?
10-05-2019, 10:36 door [Account Verwijderd]
Door karma4: Gaat om: DIN SPEC 27072 is die nummering bewust gekozen?

Wat maakt het nummer uit dan? Ik zou zeggen, mail ze eens...
10-05-2019, 10:37 door [Account Verwijderd]
In elk geval goed dat er een norm komt. Vraag is of de consument er naar kijkt als ie spul bij Alibaba koopt, ik betwijfel het.
10-05-2019, 12:20 door ph-cofi - Bijgewerkt: 10-05-2019, 12:21
Door Kili Manjaro: In elk geval goed dat er een norm komt. Vraag is of de consument er naar kijkt als ie spul bij Alibaba koopt, ik betwijfel het.
De EU wetgever moet de norm verplicht stellen voor toelating van IoT. Net als KEMA keur. Dan ook nog uitleggen welke voordelen het de consumenten biedt en welk gedrag van consumenten wordt verwacht, om de "geen cent teveel hoor" mentaliteit van wat tegenwicht te voorzien. Als e.e.a. wettelijk is geregeld, wordt ook de weg vrijgemaakt voor handhaving. Op een admin/admin vrije toekomst.
10-05-2019, 14:47 door karma4
Door Kili Manjaro:
Door karma4: Gaat om: DIN SPEC 27072 is die nummering bewust gekozen?
Wat maakt het nummer uit dan? Ik zou zeggen, mail ze eens...
Gewoon afwachten hoe het verder gaat. Ze willen het aanbieden als Europese norm.
Je komt dan bij https://www.iso.org/isoiec-27001-information-security.html ofwel informatieveiligheid ISMS.
Het nummer past prima in de reeks. Er sijn er nu al 25 in de reeks. Zoals je zit maakt het nummer wel degelijk wat uit.
11-05-2019, 00:48 door Anoniem
Door karma4:Gewoon afwachten hoe het verder gaat. Ze willen het aanbieden als Europese norm.
Je komt dan bij https://www.iso.org/isoiec-27001-information-security.html ofwel informatieveiligheid ISMS.
Het nummer past prima in de reeks. Er sijn er nu al 25 in de reeks. Zoals je zit maakt het nummer wel degelijk wat uit.
27000 reeks voldoet niet, IEC 62443 is meer geschikt. Is afgeleid van de IEC 27000 series.
11-05-2019, 12:23 door Anoniem
Door karma4: Gaat om: DIN SPEC 27072 is die nummering bewust gekozen?
Oog voor symmetrie? Het zal wel toeval zijn.
Maar waarom is het bewust zo gekozen dat je de .pdf niet zo evenjes makkelijk kan downloaden hoewel het gratis is?
Mannmannmannmannesmann. Gaat soms te ver hoor, die duitse gründlichkeit.
12-05-2019, 21:34 door karma4 - Bijgewerkt: 12-05-2019, 21:37
Door Anoniem:
Door karma4: Gaat om: DIN SPEC 27072 is die nummering bewust gekozen?
Oog voor symmetrie? Het zal wel toeval zijn.
Maar waarom is het bewust zo gekozen dat je de .pdf niet zo evenjes makkelijk kan downloaden hoewel het gratis is?
Mannmannmannmannesmann. Gaat soms te ver hoor, die duitse gründlichkeit.


Door Anoniem: 27000 reeks voldoet niet, IEC 62443 is meer geschikt. Is afgeleid van de IEC 27000 series.
De 27000 reeks is de basis voor vrijwel alles, lees ik https://en.wikipedia.org/wiki/Cyber_security_standards
"All ISA-62443 standards and technical reports are organized into four general categories called General, Policies and Procedures, System and Component.[12]
The first (top) category includes foundational information such as concepts, models and terminology.
The second category of work products targets the Asset Owner. These address various aspects of creating and maintaining an effective IACS security program.
The third category includes work products that describe system design guidance and requirements for the secure integration of control systems. Core in this is the zone and conduit design model.
The fourth category includes work products that describe the specific product development and technical requirements of control system products.
"

Dan is dat scada technische procesautomatisering bedrijfsmatig. Er wordt wel IOT genoemd maar de aanpak en doel is geheel anders. Als het afgeleid van de 27000 reeks zou zijn dan zou het in die nummering passen. Het ljkt met ISA99 een heel andere bron te hebben. Dat ze concepten gekopieerd hebben betekent niet dat het een afgeleide is.

Dit verhaal https://download.schneider-electric.com/files?p_enDocType=White+Paper&p_File_Name=998-20186845_GMA-US.pdf&p_Doc_Ref=998-20186845 gaat ook in de ICS richting.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.