image

Agentschap Telecom publiceert acht eisen voor veilige IoT-apparatuur

donderdag 27 augustus 2020, 14:02 door Redactie, 9 reacties
Laatst bijgewerkt: 27-08-2020, 14:49

Het Agentschap Telecom heeft acht eisen voor veilige Internet of Things-apparaten gepubliceerd, waaronder het automatisch installeren van updates en een verbod op standaard wachtwoorden. De toezichthouder had eerder al vastgesteld dat de beveiliging van IoT-apparatuur te wensen overlaat.

Om IoT-gebruikers beter te beschermen liet de toezichthouder onderzoek uitvoeren, waarbij meer dan vierhonderd beveiligingsmaatregelen werden geëvalueerd. De beste maatregelen werden samengevat als minimum vereisten voor veilige IoT-apparatuur. Deze vereisten zijn makkelijk te implementeren, makkelijk te testen, duidelijk en zorgen voor een aanzienlijke verbetering van de digitale veiligheid van de apparaten.

Zo moeten wachtwoorden, wanneer gebruikt, voldoen aan de SP800-63b Digital Identity Guidelines van het Amerikaanse National Institute of Standards and Technology (NIST). Deze richtlijn stelt dat wachtwoorden minimaal uit acht karakters moeten bestaan. Ook verbiedt het bepaalde wachtwoorden, zoals een leeg wachtwoord of de gebruikersnaam als wachtwoord. Tevens moet de gebruiker wachtwoorden kunnen wijzigen.

Daarnaast mogen standaard wachtwoorden niet meer worden gebruikt. Na het configureren van het apparaat moet de gebruiker een eigen wachtwoord opgeven. IoT-apparaten mogen ook alleen na authenticatie toegankelijk zijn. Een andere eis is dat ongebruikte poorten en interfaces moeten zijn uitgeschakeld. Alleen poorten en interfaces die noodzakelijk zijn voor het functioneren van het apparaat mogen zijn ingeschakeld.

Wanneer het IoT-apparaat data uitwisselt moet dit via een versleutelde verbinding plaatsvinden, waarbij er alleen van gangbare protocollen gebruik wordt gemaakt, zoals TLS. Het Agentschap Telecom vindt ook dat IoT-apparaten updates automatisch moeten installeren en dat de integriteit van de update voor de installatie moet worden gecontroleerd. Dit moet installatie van kwaadaardige updates voorkomen. Verder moeten fabrikanten gebruikers uitleggen hoe ze het apparaat op een veilige manier moeten instellen en gebruiken.

"De acht eisen zijn niet uitputtend maar zorgen samen voor het grootste veiligheidseffect om als basisniveau te verplichten in de EU", aldus het Agentschap Telecom. Volgens Angeline van Dijk, directeur-hoofdinspecteur van de toezichthouder, is het een onaanvaardbaar risico dat er nog steeds geen veiligheidseisen zijn waar slimme apparaten aan moeten voldoen. "Met dit onderzoek nemen we als Nederland het voortouw om regels verankerd te krijgen binnen Europa", zo laat ze weten. Ook de onderzoekers adviseren om de acht eisen via regelgeving op te leggen.

Image

Reacties (9)
27-08-2020, 14:40 door Anoniem
Lijkt mij een goede zaak.
Nu nog in een wet o.i.d. vervatten en dan vooral : handhaven,controle iets waar Nederland "niet goed in is"
Dus niet weer de slager zijn eigen vlees laten keuren.
27-08-2020, 15:10 door Anoniem
Jammer dat er op die site en de documenten nergens een definitie te vinden is van wat men verstaat onder IoT apparaten of "slimme apparaten". Er staan wat voorbeelden zoals een TV, Thermostaat en horloge, maar of dit zich verder uitstrekt tot andere apparatuur zoals bijvoorbeeld een internetrouter ofzo dat blijft een beetje in de lucht hangen.
Terwijl dit soort eisen daar ook op van toepassing zouden moeten zijn, de router is immers nog beter aan te vallen dan IoT apparaten.
27-08-2020, 15:51 door Anoniem
In de basis een goed initiatief, maar ook een kanttekening.

Als ik het goed begrijp is het nu nog een aanbeveling en kijkt men naar een mogelijke verplichting. Een verplichting vind ik minder wenselijk, omdat er gegarandeerd producten zijn te bedenken waar deze eisen conflicterend zijn.

Voorbeelden:
a) Neem de Corona app (een draak, maar dat terzijde). Derde bullet: Netwerktoegang alleen na authenticatie. Hoe wil je dat doen? Om te registeren bij wie je in de buurt bent, moet er informatie uitgewisseld worden. Gaan we aan alle passanten vragen of ze zich even willen authenticeren? Bluetooth is immers een netwerk.
b) Los van de definitie: "wat is IoT", alle analoge telefoons kan je opruimen. Die voldoen aan geen van deze eisen. Nu kan je zeggen dat een telefoon geen IoT is, maar er zijn gegarandeerd soortgelijke zaken te vinden die wel IoT zijn.
c) Een noodknop die ouderen gebruiken om in geval van nood hulp in te roepen? Eerst authenticeren, dan pas hulp.

Kortom: Je kan niet 8 eisen de wereld inslingeren en zonder context roepen dat alle IoT apparatuur daaraan moet voldoen. De context is relevant om de - in de basis overigens prima eisen - van toepassing te verklaren.

In mijn ogen zouden ze beter naar een certificering / keurmerk kunnen werken waarmee de consument weet dat het een veilig product is. Met een certificering kan de certificeringsinstantie ook de context waarbinnen de regels worden toegepast meenemen.
27-08-2020, 20:17 door Anoniem
Door Anoniem: In de basis een goed initiatief, maar ook een kanttekening.

Als ik het goed begrijp is het nu nog een aanbeveling en kijkt men naar een mogelijke verplichting. Een verplichting vind ik minder wenselijk, omdat er gegarandeerd producten zijn te bedenken waar deze eisen conflicterend zijn.

Voorbeelden:
a) Neem de Corona app (een draak, maar dat terzijde). Derde bullet: Netwerktoegang alleen na authenticatie. Hoe wil je dat doen? Om te registeren bij wie je in de buurt bent, moet er informatie uitgewisseld worden. Gaan we aan alle passanten vragen of ze zich even willen authenticeren? Bluetooth is immers een netwerk.
b) Los van de definitie: "wat is IoT", alle analoge telefoons kan je opruimen. Die voldoen aan geen van deze eisen. Nu kan je zeggen dat een telefoon geen IoT is, maar er zijn gegarandeerd soortgelijke zaken te vinden die wel IoT zijn.
c) Een noodknop die ouderen gebruiken om in geval van nood hulp in te roepen? Eerst authenticeren, dan pas hulp.

Kortom: Je kan niet 8 eisen de wereld inslingeren en zonder context roepen dat alle IoT apparatuur daaraan moet voldoen. De context is relevant om de - in de basis overigens prima eisen - van toepassing te verklaren.

In mijn ogen zouden ze beter naar een certificering / keurmerk kunnen werken waarmee de consument weet dat het een veilig product is. Met een certificering kan de certificeringsinstantie ook de context waarbinnen de regels worden toegepast meenemen.
Analoge telefoons hangen Niet aan het internet, dus verkleed voorbeeld.
Corona App hangt Niet aan het internet, dus verkeerd voorbeeld.
Heb je het artikel wel begrepen?
27-08-2020, 22:03 door Anoniem
Too little and too late:
ETSI EN 303 645 is in juni gelanceerd:
https://www.etsi.org/newsroom/press-releases/1789-2020-06-etsi-releases-world-leading-consumer-iot-security-standard
28-08-2020, 08:22 door Anoniem
Door Anoniem:
Analoge telefoons hangen Niet aan het internet, dus verkleed voorbeeld.
Corona App hangt Niet aan het internet, dus verkeerd voorbeeld.
Heb je het artikel wel begrepen?

Eerst zin van het artikel onder de inleiding: "Slimme apparaten zijn apparaten die met elkaar of met internet zijn verbonden"

Met elkaar of met het internet.... Het gaat dus niet uitsluitend over internet. Misschien moet je eerst zelf eens kritisch lezen voordat je verwijten aan anderen maakt.
28-08-2020, 15:03 door Anoniem
Door Anoniem:
Door Anoniem:
Analoge telefoons hangen Niet aan het internet, dus verkleed voorbeeld.
Corona App hangt Niet aan het internet, dus verkeerd voorbeeld.
Heb je het artikel wel begrepen?

Eerst zin van het artikel onder de inleiding: "Slimme apparaten zijn apparaten die met elkaar of met internet zijn verbonden"

Met elkaar of met het internet.... Het gaat dus niet uitsluitend over internet. Misschien moet je eerst zelf eens kritisch lezen voordat je verwijten aan anderen maakt.
Ik reageerde op de voorbeelden, die genoemd werden, misschien moet je dat even nalezen!
En de corona App is geen ding, die ergens aanhangt, misschien kan je opzoeken op internet, wat de betekenis is van iets ergens aanhangen.
28-08-2020, 15:52 door Anoniem
Door Anoniem: Too little and too late:
ETSI EN 303 645 is in juni gelanceerd:
https://www.etsi.org/newsroom/press-releases/1789-2020-06-etsi-releases-world-leading-consumer-iot-security-standard

Ik heb deze standaard nog niet gelezen, maar als deze goed in elkaar zit (bij ETSI meestal wel het geval), hoef je inderdaad geen eisen meer te noemen. Voor het normenkader kan je dan verwijzen naar deze ETSI standaard.

Maar dit is een standaard, dus nog geen verplichting of certificering. Uit het artikel maak ik op dat men naar een verplichting toe wil werken. Zoals ik eerder schreef: verplichten zonder context van het product mee te nemen lijkt me niet verstandig. Ik zou eerder aan een keurmerk of certificering denken.
01-09-2020, 08:58 door Anoniem
Zou mooi zijn als je met een Bring Your Own Identity (BYOI) zou kunnen inloggen. Dus dat je bijvoorbeeld een social login (zoals Facebook of Google) of een Self-sovereign identity (zoals waar RvIG nl aan het onderzoeken is) kunt gebruiken om in te loggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.