Nieuws
image

KPN en Kiwa gaan samen Internet of Things-apparaten testen en certificeren

donderdag 4 november 2021, 12:52 door Redactie, 9 reacties

KPN en keuringsinstantie Kiwa hebben een samenwerkingsovereenkomst getekend om Internet of Things-apparaten te testen en certificeren. Er wordt onder andere gekeken naar encryptie, updatemechanismen, standaardwachtwoorden en andere belangrijke bescherming tegen aanvallen.

Fabrikanten en leveranciers kunnen hun IoT-apparaten laten toetsen aan de ETSI EN 303 645-standaard die eisen en procedures bevat voor de cyberveiligheid van IoT-apparaten. Onlangs heeft de Europese Commissie besloten dat er vanaf halverwege 2024 verplichte basisveiligheidseisen voor IoT-apparaten gaan gelden. De ETSI EN 303 645-standaard is volgens Kiwa één van de standaarden die gebruikt kan worden om te voldoen aan de aankomende verplichte eisen.

KPN zal op basis van de ETSI-standaard IoT-apparaten testen, waarna Kiwa het product certificeert. "Met het productcertificaat is de producent ervan verzekerd het product te mogen verkopen op de Europese markt en daarbuiten", aldus de keuringsinstantie. Die voegt toe dat gebruikers erop kunnen vertrouwen dat gecertificeerde producten voldoen aan de basisveiligheidseisen.

Reacties (9)
04-11-2021, 13:07 door [Account Verwijderd] - Bijgewerkt: 04-11-2021, 13:33
Ik ben een beetje bang dat er voor sommige mensen een stukje schijnveiligheid gaat komen, zoals ik ook al zie bij routers. "Ach, het heeft een keurmerk. Neerzetten en klaar". Niet eens de moeite doen even 5 minuten de stappen te volgen voor de veiligheid. Bij routers zijn deze vaak optioneel om het werkend te krijgen. Als een gebruiker nou verplicht wordt alles, maar dan ook alles, door te lopen, voordat het apparaat überhaupt werkt, dan pas zou ik tevreden zijn. Maar ja: wie ben ik om dat te zeggen.

Ben zeer benieuwd wat deze nieuwe regels gaan betekenen voor de cyberveiligheid de aankomende jaren.

Bewerkt (13:33): taalfouten
04-11-2021, 13:39 door Anoniem
Door GroetenVanTJ: Ik ben een beetje bang dat er voor sommige mensen een stukje schijnveiligheid gaat komen, zoals ik ook al zie bij routers. "Ach, het heeft een keurmerk. Neerzetten en klaar". Niet eens de moeite doen even 5 minuten de stappen te volgen voor de veiligheid. Bij routers zijn deze vaak optioneel om het werkend te krijgen. Als een gebruiker nou verplicht wordt alles, maar dan ook alles, door te lopen, voordat het apparaat überhaupt werkt, dan pas zou ik tevreden zijn. Maar ja: wie ben ik om dat te zeggen.

Deze nieuwe regels zijn juist bedoeld om te voorkomen dat er apparatuur in de handel komt waarbij veiligheid optioneel is.
Daar kan best op getest en gekeurd worden.
Natuurlijk betekent dat niet dat alle risico's de wereld uit zijn, maar het helpt toch wel als routers niet meer allemaal met
hetzelfde default wachtwoord komen, of een automatisch gegenereerd wachtwoord op basis van het MAC adres wat
tevens ook uitgezonden wordt door de WiFi, en meer van dat soort zaken.
Ook het default inschakelen van een auto-update van de firmware behoort daar toe. Alles om er voor te zorgen dat
degenen die geen aandacht voor veiligheid hebben, default veilig zijn. De betweters die het allemaal anders gaan
instellen blijf je toch niet voor.
04-11-2021, 13:48 door Anoniem
Schoot haast in de lach toen ik dit las.
KPN en KIWA want deze bedrijven hebben hun sporen voor wat betreft IT/ OT security wel verdiend.

Fijn dat dit soort instanties zichzelf belangrijker maken dan dat ze zijn en bijdrage aan de papieren schijnveiligheid.

Certificering zal voor mij van geen enkele waarde zijn mochten ze dit snode plannetje echt tot uitvoering brengen, hopelijk is het (zoals we gewend zijn van de KPN) een proefballon die we nimmer mee terug zien.
04-11-2021, 14:07 door Anoniem
Door GroetenVanTJ: Ik ben een beetje bang dat er voor sommige mensen een stukje schijnveiligheid gaat komen, .....
De ETSI EN 303 645 is een goede norm voor IoT apparaten en, in tegenstelling tot ISO en NEN normen, gewoon te downloaden: https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf. Als er apparaten moeten worden ingekocht en ze hebben al een certificaat op deze norm, dan scheelt dat mij erg veel gedoe in de intake; dus ik juich dit zeker toe.
04-11-2021, 14:17 door Anoniem
Door GroetenVanTJ: Ik ben een beetje bang dat er voor sommige mensen een stukje schijnveiligheid gaat komen, zoals ik ook al zie bij routers. "Ach, het heeft een keurmerk. Neerzetten en klaar". Niet eens de moeite doen even 5 minuten de stappen te volgen voor de veiligheid. Bij routers zijn deze vaak optioneel om het werkend te krijgen. Als een gebruiker nou verplicht wordt alles, maar dan ook alles, door te lopen, voordat het apparaat überhaupt werkt, dan pas zou ik tevreden zijn. Maar ja: wie ben ik om dat te zeggen.

Ben zeer benieuwd wat deze nieuwe regels gaan betekenen voor de cyberveiligheid de aankomende jaren.

Bewerkt (13:33): taalfouten
Ach, het grootste probleem is de mens zelf. Wie zorgt ervoor dat een IoT apparaat zichzelf update? Volgens mij geen een. De mens moet het zelf updaten. Maar wanneer moet hij/zij/hun zo'n apparaat dan updaten? Zolang hij/zij/hun er geen melding van krijgt zal hij/zij/hun dat niet doen.

Daar ligt het probleem. Daar en ook dat de fabrikanten continue nieuwe "features" willen introduceren en die niet goed testen, en dan heb ik het niet eens over formele verificatie, maar gewoon testen.
04-11-2021, 15:21 door Anoniem
Door GroetenVanTJ: Ik ben een beetje bang dat er voor sommige mensen een stukje schijnveiligheid gaat komen, zoals ik ook al zie bij routers. "Ach, het heeft een keurmerk. Neerzetten en klaar". Niet eens de moeite doen even 5 minuten de stappen te volgen voor de veiligheid. Bij routers zijn deze vaak optioneel om het werkend te krijgen. Als een gebruiker nou verplicht wordt alles, maar dan ook alles, door te lopen, voordat het apparaat überhaupt werkt, dan pas zou ik tevreden zijn. Maar ja: wie ben ik om dat te zeggen.

Ben zeer benieuwd wat deze nieuwe regels gaan betekenen voor de cyberveiligheid de aankomende jaren.

Bewerkt (13:33): taalfouten

Keurmerken, ah de ‘we hebben potjes’ nodig oplichting.
04-11-2021, 16:00 door Anoniem
Door Anoniem:
Ach, het grootste probleem is de mens zelf. Wie zorgt ervoor dat een IoT apparaat zichzelf update? Volgens mij geen een. De mens moet het zelf updaten. Maar wanneer moet hij/zij/hun zo'n apparaat dan updaten? Zolang hij/zij/hun er geen melding van krijgt zal hij/zij/hun dat niet doen.

Daar ligt het probleem. Daar en ook dat de fabrikanten continue nieuwe "features" willen introduceren en die niet goed testen, en dan heb ik het niet eens over formele verificatie, maar gewoon testen.

Daarom moeten apparaten default zo ingesteld worden dat ze zichzelf voorzien van veiligheidsupdates, en fabrikanten worden verplicht om deze updates ook te leveren. Als ze met nieuwe releases komen met nieuwe features dan moeten die niet default geinstalleerd worden door automatische updates, maar veiligheidsupdates (bijvoorbeeld als er een exploit bekend wordt) wel.
04-11-2021, 18:03 door Anoniem
Het is maar wat je veilig vind.
Ik MITM graag mijn apparatuur om te controleren op malafide gedrag. Hierbij heb ik natuurlijk graag SSL, maar dan wel met mijn eigen ondertekend certificaat. Maakt een apparaat toch gebruik van een gesloten certificat-store, dan is het imho schijnveiligheid.
04-11-2021, 18:47 door Anoniem
Mijn ervaring met Kiwa: lijstjes-vinkers zonder enige inhoudelijke kennis. Maar goed, dat is op andere gebieden.
Hier wordt het vast heel veel beter!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search