|
, 7 juni 2018 13:09 'Leg keurmerk voor veilige IoT-apparatuur wettelijk vast'Agentschap Telecom heeft het bedrijfsleven opgeroepen een vrijwillig keurmerk in te voeren voor veilige Internet of Things (IoT)-apparatuur. Volgens securityspecialist DearBytes leidt zo'n keurmerk vooral tot schijnveiligheid, omdat er geen controlemechanisme aan gekoppeld is. Daarom roept DearBytes de politiek op om snel een beperkte en wettelijke 1.0-versie te introduceren in de Europese Unie. Producten met dit keurmerk voldoen in ieder geval aan de basale securityeisen.
Het IoT is populair en wordt ook in de industrie steeds vaker ingezet. Zo worden allerlei sensoren en machines met internet verbonden, waardoor deze op afstand kunnen worden uitgelezen en/of aangestuurd. Dit brengt echter ook risico's met zich mee. Doordat machines met internet te verbinden, worden deze ook kwetsbaar voor cybercriminelen. Zij kunnen de machines op afstand bereiken en proberen softwarefouten uit te buiten om toegang te verkrijgen tot de systemen.
Nederland keurmerk
D66 pleitte al in 2016 voor een Nederlands keurmerk voor veilige IoT-apparaten, in afwachting van Europese regels voor de veiligheid van dit soort devices. In maart van dit jaar nam het kabinet een motie aan om op Europees niveau te pleiten voor verplichte certificering van IoT-apparaten. Deze voorstellen hebben vooralsnog tot niets geleid. De introductie van een Europees keurmerk dat alle securityaspecten afdekt, kost immers veel tijd.
Het Agentschap Telecom riep het bedrijfsleven daarom op om op korte termijn een vrijwillig keurmerk in te voeren voor veilige IoT-apparatuur. Volgens Erik Remmelzwaal, directeur bij DearBytes, zorgt zo'n keurmerk in de praktijk niet voor meer veiligheid. Met een vrijwillig keurmerk zijn onveilige producten niet van de markt te weren. Alleen wetgeving dwingt meer veiligheid af, aldus Remmelzwaal. Daarom pleit hij voor een snelle introductie van een beperkte en agile versie van een IoT-keurmerk. Die is niet volledig, maar kan al wel zorgen voor meer veiligheid. Met politieke druk zou het mogelijk moeten zijn om al in 2019 een 1.0-versie te lanceren.
Pragmatische aanpak
DearBytes kiest voor een pragmatische aanpak. Omdat de introductie van een keurmerk dat ieder IoT-securityrisico afdicht veel tijd in beslag neemt, stelt Remmelzwaal voor om te focussen op de punten waar het in de praktijk het meest fout gaat. Uit de vele voorbeelden in de media blijkt dat de meest basale veiligheidsaspecten niet goed geregeld zijn. Volgens DearBytes moet een keurmerk dan ook in eerste instantie deze 'basics' afdichten.
De opname van deze vier checks in een keurmerk versie 1.0 zou volgens Remmelzwaal een enorme stap vooruit betekenen. Het keurmerk kan eventueel aangevuld worden met andere controles, bijvoorbeeld op basis van het IoT-project van OWASP: de IoT Security Guidance.
Adoptie versnellen
Remmelzwaal beseft dat ook het introduceren van een agile wetgeving de nodige tijd gaat kosten. Daarom is hij van mening dat het bedrijfsleven wel degelijk ondersteuning kan bieden. Hij geeft twee voorbeelden:
Eisen aan producten niet realistisch
"Dagelijks gaan talloze onveilige IoT-apparaten over de toonbank. De aanvalsruimte voor kwaadwillenden groeit daardoor snel. Dat ondermijnt onze veiligheid, privacy en uiteindelijk de gehele kenniseconomie", stelt Remmelzwaal. "Ingewikkelde wetgeving die fabrikanten allerlei eisen oplegt, is niet realistisch. Het beter informeren van de consument is dat wel. De consument moet met een simpel keurmerk zo snel mogelijk het kaf van het koren kunnen scheiden. Door dat eerste keurmerk zo simpel mogelijk te houden en snel te introduceren, ontstaat ademruimte voor verdere aanvullingen."
Foto's: Security (beeld: Pixabay / TheDigitalWay) © Aandrijvenenbesturen.nl |