image

ETSI publiceert Europese norm voor veilige IoT-apparaten

maandag 13 juli 2020, 13:34 door Redactie, 3 reacties

Het Europees Telecommunicatie en Standaardisatie Instituut (ETSI) heeft een Europese norm voor veilige Internet of Things-apparaten gepubliceerd die onder andere moet voorkomen dat op internet aangesloten apparaten onderdeel van een botnet worden of worden gebruikt om mensen in hun eigen woning te bespioneren.

ETSI is een standaardiseringsorganisatie voor de telecomindustrie in Europa. Met de norm "EN 303 645" wordt een beveiligingsbasislijn voor IoT-apparaten vastgesteld (pdf). Het gaat onder andere om babymonitors, met internet verbonden rookmelders, ip-camera's, smart tv's, gezondheidstrackers, domotica, alarmsystemen en "connected" witgoed, zoals wasmachines en koelkasten.

De standaard omschrijft dertien bepalingen die allerlei aanvallen op IoT-apparaten moeten voorkomen en een einde moeten maken aan veel voorkomende kwetsbaarheden. Het eerste punt dat in de norm wordt genoemd is een verbod op universele standaard gebruikersnamen en wachtwoorden. Elk IoT-apparaat moet over een uniek wachtwoord beschikken of over een wachtwoord dat de gebruiker kan instellen.

IoT-fabrikanten moeten verder een "vulnerability disclosure policy" publiceren, zodat onderzoekers gevonden kwetsbaarheden kunnen rapporteren. Ook moet alle software van het IoT-apparaat op een veilige manier kunnen worden geüpdatet. Voor gebruikers moet het eenvoudig zijn om een update toe te passen, waarbij er voor software-updates een automatische updatefunctie gebruikt zou moeten worden.

Daarnaast moeten zaken als root keys, credentials en andere "security parameters" op een veilige manier zijn opgeslagen, communiceert het IoT-apparaat alleen via een beveiligd kanaal, zijn alle ongebruikte interfaces standaard uitgeschakeld, maakt het apparaat gebruik van secure boot, is het eenvoudig voor gebruikers om gebruikersgegevens te verwijderen, is installatie en beheer van het apparaat eenvoudig en valideert het IoT-apparaat alle invoerdata.

Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, was bij de ontwikkeling van de norm betrokken en werkt nu met verschillende partners samen aan het opzetten van een testspecificatie, zodat de bepalingen van de nieuwe norm op gestructureerde wijze zijn te testen. Fabrikanten kunnen dan laten zien dat hun apparatuur aan de norm voldoet.

Reacties (3)
13-07-2020, 15:14 door Aad_SecureMe2
Op zich goed dat we deze richtlijnen ontwikkelen maar zolang we massaal IoT apparaten bestellen in China en prijs belangrijker vinden dan veiligheid zal er weinig veranderen. Preventie werkt niet voldoende bij veiligheid. Er is ook controle nodig en een sanctiebeleid. Er moet een grotere incentive zijn om het 'goede' te doen en om het 'foute' te laten. Geen incentive, geen verandering. Maar wellicht gaat de mensheid zichzelf verrassen en hebben we het over een paar jaar allemaal onder controle. We gaan het (misschien) meemaken...
13-07-2020, 16:28 door Anoniem
Daar staat :

" IoT-fabrikanten moeten verder een "vulnerability disclosure policy" publiceren, zodat onderzoekers gevonden kwetsbaarheden kunnen rapporteren. "

Dan denk ik :
Iets wat zo lek als adobe is, daar houden ze geen rekening mee.
Daar is geen beginnen aan, dat maken ze met opzet lek, zo zal dat hier ook gaan.

Dus dat word heel simpel : voeg deze regel toe :
Bij 10 keer een fout mag je niet meer meedoen, of 100 kan ook.
En ook niet even je type veranderen, nee, mag niet meer, failiet.
Direct sluiten, die updates voegen nieuwe nog complexere lekken toe.
13-07-2020, 16:56 door Anoniem
Door Aad_SecureMe2: Op zich goed dat we deze richtlijnen ontwikkelen maar zolang we massaal IoT apparaten bestellen in China en prijs belangrijker vinden dan veiligheid zal er weinig veranderen. Preventie werkt niet voldoende bij veiligheid. Er is ook controle nodig en een sanctiebeleid. Er moet een grotere incentive zijn om het 'goede' te doen en om het 'foute' te laten. Geen incentive, geen verandering. Maar wellicht gaat de mensheid zichzelf verrassen en hebben we het over een paar jaar allemaal onder controle. We gaan het (misschien) meemaken...
Het gaat er maar om hoe serieus de politiek dit oppakt. Bv. om dit als onderdeel van CE certificering op te nemen. Dan neem je als fabrikant de verantwoordelijkheid om te voldoen aan deze eisen en ben je aansprakelijk als je dat niet doet.

Dat zou daarmee meteen een einde moeten maken aan goedkope eindgebruiker items die onveilig zijn volgens de hierboven genoemde richtlijn. Dus geen goedkope camera's oid. want voldoen niet aan de veiligheidsnormen voor landen in de EU.
Je blijft dan waarschijnlijk wat rotzooi houden van kleine leveranciers, maar alle spul wat in Nederlandse/Europese winkels/webshops verkocht wordt moet dan voldoen, want je wilt als winkel niet aansprakelijk gesteld worden

Q
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.