image

"EU-Raad wil standaard automatische updates voor IoT-apparaten"

vrijdag 17 maart 2023, 14:33 door Redactie, 11 reacties

De EU-Raad wil dat Internet of Things (IoT) apparaten standaard automatisch beveiligingsupdates ontvangen. Daarnaast moeten producten met digitale elementen langer dan vijf jaar met patches worden ondersteund. Dat blijkt uit een nieuwe tekst van de Europese Cyber Resilience Act (CRA), zo stelt Euractiv.

De Europese Commissie presenteerde afgelopen september de CRA, die voor veiligere hardware en software moet zorgen. Het wetsvoorstel verplicht leveranciers van hardware en software om cybersecurity-maatregelen te nemen om hun producten te beveiligen, waaronder het aanbieden van beveiligingsupdates. Oorspronkelijk werd hiervoor een maximale termijn van vijf jaar gehanteerd, maar in de nieuwe tekst is die termijn nu komen te vervallen.

Verder is er in de nieuw tekst opgenomen dat IoT-apparaten en andere "connected devices" standaard automatisch beveiligingsupdates moeten ontvangen. Fabrikanten moeten wel een duidelijk en eenvoudig opt-out-mechanisme aanbieden. De nieuwe tekst maakt ook duidelijk dat de CRA niet voor alle opensourcesoftware geldt. Iets waar eerder nog onduidelijk over was.

Nu is duidelijk gemaakt dat de CRA alleen van toepassing is op connected producten die op de Europese markt zijn uitgebracht om geld mee te verdienen. De voorwaarden waaronder het product is ontwikkeld spelen daarbij geen rol. Daardoor blijft de CRA wel geld voor opensourcesoftware zoals Android, aldus Euractiv. Deze week vond er overleg plaats over het voorstel. Daar kleven volgens critici ook allerlei bezwaren aan.

"Ondanks de kritiek gaan de ambtenaren nu verder met de volgende fase en alles wijst erop dat men niet van plan is het voorstel aan te passen", zegt beveiligingsexpert Bert Hubert tegenover Binnenlands Bestuur. "Het probleem is dat wetgevers die regels en documenten opstellen voor de veiligheid van staafmixers, nu ook opeens denken regels op te kunnen stellen voor hoe je veilige software schrijft. Ze hebben geen verstand van software en geven dat ook toe." Doordat het wetsvoorstel breed en vaag is geformuleerd en op overtredingen hoge boetes staan, zorgt dit volgens Hubert voor onzekerheid bij bedrijven.

Reacties (11)
17-03-2023, 15:30 door Anoniem
Never nooit automatisch updaten.

https://www.nu.nl/tech/6190029/aeg-combimagnetron-onbruikbaar-na-update-apparaat-denkt-stoomoven-te-zijn.html

En dat was dan alleen nog maar onbruikbaar geworden.
17-03-2023, 15:33 door Anoniem
Wel handig om de spionage software automatisch overal op te krijgen: het moet volgens de wet geïnstalleerd worden!
Het zoveelste idee van een stel digibeten die vinden dat ze de rest van de wereld moeten voorschrijven hoe te leven.
17-03-2023, 16:14 door Anoniem
Door Anoniem: Never nooit automatisch updaten.

https://www.nu.nl/tech/6190029/aeg-combimagnetron-onbruikbaar-na-update-apparaat-denkt-stoomoven-te-zijn.html

En dat was dan alleen nog maar onbruikbaar geworden.
Van de drones die in-flight updaten en dan rebooten en dan ter aarde storten... hoe verzin je het om zoiets ts maken
17-03-2023, 16:18 door Anoniem
Wat er niet is hoef je niet te updaten want als het er niet is is er ook geen veiligheidsprobleem.
17-03-2023, 16:21 door Anoniem
IOT updates via de verplichte check server van de NSA zeker?
Brakke wetgeving en vage begrippen en slecht omschreven termen zorgen voor ruis, onzekerheid en dus verlies van economie...
Dat zou je niet moeten willen... Is dat het probleem van een out-of-date wireless access point die niet rechtstreeks aan het internet hangt waard?
Zodra een device een niet RFC1918 adres krijgt, dan moet het misschien de meest recente update hebben...
(en voor degene die denken 'met portforwarding kan dat ook', dan is het probleem dat het port-forwardende device maar genoeg veiligheid moet hebben ingebouwd om portforwardetje te kunnen spelen op een veilige manier.
18-03-2023, 06:53 door Anoniem
Door Anoniem: IOT updates via de verplichte check server van de NSA zeker?
Brakke wetgeving en vage begrippen en slecht omschreven termen zorgen voor ruis, onzekerheid en dus verlies van economie...
Dat zou je niet moeten willen... Is dat het probleem van een out-of-date wireless access point die niet rechtstreeks aan het internet hangt waard?
Zodra een device een niet RFC1918 adres krijgt, dan moet het misschien de meest recente update hebben...
(en voor degene die denken 'met portforwarding kan dat ook', dan is het probleem dat het port-forwardende device maar genoeg veiligheid moet hebben ingebouwd om portforwardetje te kunnen spelen op een veilige manier.

Door de eerste zin meteen afgehaakt. Wat een onzin. Alsof er geen MI6, AIVD en FSB bestaat /s
18-03-2023, 06:56 door Anoniem
IoT-kpleveranciers moeten verplicht worden security patches te leveren voor de levensduur van hun apparatuur (in ieder geval totdat ze het product verkopen). Updates mogen niet geautomatiseerd toegepast worden.

De koper/gebruiker van die apparatuur moet verantwoordelijk worden gesteld als deze de security patches niet heeft toegepast en daardoor schade bij anderen wordt veroorzaakt.
18-03-2023, 13:04 door Anoniem
Ze moeten veel verder gaan
- support > 10 jaar,
- als je te veel loopt te klooien, moet compatibiliteit met opensource aanwezig zijn zodat iets als openwrt/linux geinstalleerd kan worden.
etc etc
19-03-2023, 13:58 door Anoniem
Door Anoniem:
Door Anoniem: Never nooit automatisch updaten.

https://www.nu.nl/tech/6190029/aeg-combimagnetron-onbruikbaar-na-update-apparaat-denkt-stoomoven-te-zijn.html

En dat was dan alleen nog maar onbruikbaar geworden.
Van de drones die in-flight updaten en dan rebooten en dan ter aarde storten... hoe verzin je het om zoiets ts maken
Dat hoeft geen probleem te zijn .. Maanlander computer is ook herstart tijdens de landing ( eerste maanlanding).
Dat is een kwestie van meenemen in de specs.
20-03-2023, 07:46 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Never nooit automatisch updaten.

https://www.nu.nl/tech/6190029/aeg-combimagnetron-onbruikbaar-na-update-apparaat-denkt-stoomoven-te-zijn.html

En dat was dan alleen nog maar onbruikbaar geworden.
Van de drones die in-flight updaten en dan rebooten en dan ter aarde storten... hoe verzin je het om zoiets ts maken
Dat hoeft geen probleem te zijn .. Maanlander computer is ook herstart tijdens de landing ( eerste maanlanding).
Dat is een kwestie van meenemen in de specs.

Ik denk dat er een verschil in prijsklasse is tussen een space hardened maanlander met een architectuur van verschillende onafhankelijke systemen die allemaal HA uitgevoerd zijn, en een simpel SoC IoT apparaat voor binnenhuisgebruik...
20-03-2023, 09:11 door Anoniem
Verplichten van updates is lastig. Ik heb liever dat er meer gewerkt wordt met standaard manieren om te updaten/update informatie. Maar misschien nog wel belangrijker. Automatische kunnen checken of software up to date is. Verplicht software bouwers om met een standaard (json/xml/yaml/txt) de versies/release notes/download urls/update instructies beschikbaar te maken. Zodat er makkelijker diensten kunnen komen die gebruikers kunnen informeren over het updaten van apparatuur.

Een beetje wat Tweakers nu ook kan met de meuktracker (tegenwoordig downloads/updates). Ik kan een mail krijgen over software die ik gebruik. Het nadeel van tweakers is dat het deels handwerk is. Maar als dit stuk al geautomatiseerd kan worden kan er software/websites komen waar je zelf software aan toe kunt voegen die dan ook netjes bijgewerkt wordt en jouw berichten kan sturen op manieren die voor jouw werken zodat je er ook iets mee gaat doen.

Luk raak updates pushen is leuk tot het een keer goed fout gaat en dan gaat iedereen het uitzetten en dan is het einde/vertrouwen zoek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.