Home Security Afdwingen security voor IoT? Kan dat wel?

Afdwingen security voor IoT? Kan dat wel?

0
IoT

De roep om een security-keurmerk voor IoT klinkt luid en duidelijk. Dat klinkt goed, maar dat lukt alleen als er een norm komt voor de security ven dergelijke apparaten. Alles wat niet aan de securitynorm voldoet mag hier de markt niet op. Hoe zou zo’n norm eruit moeten zien?

Over het algemeen zijn leveranciers van IoT-apparaten niet snel geneigd zelf iets aan beveiliging te doen. Het gaat vaak om goedkope apparatuur met flinterdunne marges. Geld uitgeven aan beveiliging zit er dus niet in. Bovendien vergt goede security tijd die gaat ten koste gaat van de time-to-market. En dat kan in een zeer concurrerende markt de doodsteek betekenen voor een product. Toch zal het moeten, want er is een duidelijk maatschappelijk belang als toestellen zoals een babyfoon kunnen meedoen aan een grootschalige aanval op kritieke infrastructuur. Dus de overheid zal de veiligheid moeten afdwingen, net zoals dat gebeurt voor elektrische apparaten en voedsel.

Consequenties

We hebben eerder te maken gehad met een vergelijkbaar probleem, zij het op veel kleinere schaal. In het begin waren draadloze toegangspunten voor thuisgebruik helemaal niet beveiligd, of hooguit met de beruchte admin/password-combinatie. Ook toen duurde het geruime tijd voordat consumenten en fabrikanten doordrongen raakten van de consequenties. Toen werd de security snel op orde gebracht: veiliger protocollen en geen standaardwachtwoorden meer.

Dezelfde bewustwording moeten we nu voor IoT bereiken, onder meer door als security community druk te blijven uitoefenen. Ook politieke bewustwording is nodig, zoals het initiatief van Verhoeven laat zien. Ik verwacht dat consumenten bewuster zullen worden als ze met de consequenties van onveilige IT-apparaten worden geconfronteerd. Wie zich eenmaal realiseert dat iedereen naar haar kind kan kijken via de internetbabyfoon zal direct een veilig apparaat eisen.

Geen omkijken voor de consument

Het ideaal: een wereldwijde – of anders een Europese – norm voor apparaten die op internet worden aangesloten. Het eerste element van zo’n norm zou het verbod op een standaard wachtwoord moeten zijn. De norm zou bijvoorbeeld ook kunnen opleggen dat de IoT-apparatuur minimaal een standaardpenetratietest moet kunnen doorstaan. Verder de garantie dat er nog twee jaar securityupdates worden uitgebracht en dat die automatisch worden doorgevoerd. De consument heeft aan upgrades dan helemaal geen omkijken meer.

Stimulans om het goed te doen

Compliancy werkt natuurlijk alleen als er ook verplichte controle is. IoT-producten zouden daarom gevalideerd moeten worden door een testinstituut, bijvoorbeeld door securitybedrijven die daarvoor gecertificeerd zijn. Een andere incentive voor een fabrikant om het goed te doen is negatieve publiciteit. Ook wordt er nu gesproken over een productaansprakelijkheid, die ook security omvat. Voor grote bedrijven zou dat wellicht werken, maar een klein bedrijfje uit het Verre Oosten heeft helemaal geen geld om eventuele schade te vergoeden. Als dergelijk kleine bedrijven op de Europese markt willen blijven zouden ze goedkope IoT-producten kunnen produceren met een goedgekeurde securitymodule. De belangstelling is er ongetwijfeld, zodat de prijs kan laag kan blijven terwijl de securitykwaliteit en ondersteuning van die module gewaarborgd is.

Overheid, neem het voortouw!

Gerenommeerde merken zullen kwaliteit willen bieden en alleen al vanwege hun reputatie de security op orde willen brengen. Zij zullen het online veiligheidsaspect van meet af aan in het ontwerp meenemen, zoals Ikea heeft laten zien met de recent geïntroduceerde internetlamp. Het is een voorbeeld, dat ongetwijfeld navolging krijgt. Maar wie zich realiseert dat er een gigantische stroom spotgoedkope IoT-spullen de EU binnenkomt, weet dat dit uitzonderingen zullen blijven. De overheid zal het voortouw moet nemen en een securitynorm opleggen voor IoT-apparatuur. Apparatuur die niet aan die norm voldoet, mag hier gewoon niet verkocht worden. Dat dwingt de industrie in de juiste richting en draagt zo belangrijk bij aan een veilig IoT.

Frank Groenewegen, Principal Security Expert bij Fox-IT

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here