DearBytes-directeur Erik Remmelzwaal ziet het liefst dat de politiek snel een beperkte en agile versie van een Internet of Things-keurmerk introduceert. Met de politieke druk zou het mogelijk moeten zijn om al in 2019 een 1.0-versie te lanceren. Die is nog niet volledig, maar kan wel zorgen voor meer veiligheid.
Daarmee reageert Remmelzwaal op de oproep van het Agentschap Telecom, dat het liefst op korte termijn een vrijwillig keurmerk voor IoT-apparatuur ingevoerd ziet worden. Volgens DearBytes leidt zo’n keurmerk vooral tot schijnveiligheid, omdat er geen controlemechanisme aan gekoppeld is. Met een vrijwillig keurmerk zijn onveilige producten niet van de markt te weren, stelt Remmelzwaal.
De stap naar een keurmerk dat ieder IoT-securityrisico afdicht neemt veel tijd in beslag. Daarom stelt Remmelzwaal voor om te focussen op de punten waar het in de praktijk het meest fout gaat. Volgens DearBytes moet een keurmerk in eerste instantie de basics afdichten, verwijzend naar de aanvallen die aantonen dat de meest basale veiligheidsaspecten niet goed geregeld zijn.
Onderdelen
Voor het predicaat ‘veilig’ verwacht Dearbytes dat gebruikers in ieder geval worden gedwongen om tijdens de installatie van het product de gebruikersnaam en het wachtwoord te wijzigen. De standaard inloggegevens zijn namelijk ook voor aanvallers te achterhalen. Kwaadwillenden kunnen hier tevens volledig geautomatiseerd misbruik van maken.
Daarnaast draagt versleuteling van de communicatie tussen IoT-devices, de cloud en apps bij aan de veiligheid. Dit voorkomt dat hackers via een man-in-the-middle-aanval de inhoud onderscheppen. Een ander advies dat DearBytes geeft is om toegangscontrole in te zetten voor cloudopslag. Daardoor kunnen alleen de IoT-apparaten zelf of geautoriseerde apps bij de data. Tot slot is het toepassen van security-updates verstandig, zodat het apparaat beter beschermd is tegen de bedreigingen.
Deze vier punten opnemen in keurmerk versie 1.0 zou volgens Remmelzwaal een enorme stap vooruit beteken. Het keurmerk kan eventueel aangevuld worden met andere controles, bijvoorbeeld op basis van het IoT-project van OWASP: de IoT Security Guidance. Omdat het introduceren van een wetgeving de nodige tijd gaat kosten, is er ook een rol weggelegd voor het bedrijfsleven. Dit kan bijvoorbeeld door keuringsbevoegdheid te centraliseren en te communiceren over veilige IoT-apparaten.
1 uur geleden
