'Beveiliging IoT vereist snel wetgeving en handhaving'

De oproep van het Agentschap Telecom aan de industrie om te komen tot een zelfregulering met betrekking tot de beveiliging van IoT-apparatuur, heeft bewezen weinig zin. "Zo'n keurmerk zorgt in de praktijk niet voor meer veiligheid", zegt Erik Remmelzwaal van directeur van IT-beveiliger Dearbytes.

Thijs DoorenboschMeer van deze auteur

IoT-octopus — © CC0 Public Domain via Pixabay

CC0 Public Domain via Pixabay

Hij pleit voor een nieuw IoT-keurmerk dat de politiek in Europees verband verplicht moet stellen. Het opstellen en invoeren van nieuwe Europese regelgeving kost echter veel tijd.

Daarom stelt hij voor heel pragmatisch te werk te gaan en een heel beperkte set eisen op te stellen om de meest voorkomende basale fouten te voorkomen.

1. Standaardwachtwoord wijzigen verplicht

Om in aanmerking te komen voor het predicaat 'veilig', moeten gebruikers in ieder geval tijdens de installatie van het product worden gedwongen om de gebruikersnaam en het wachtwoord te wijzigen. De door de leverancier ingestelde standaard inloggegevens zijn namelijk voor aanvallers te achterhalen.

2. Versleuteling netwerkverkeer

Zorg voor versleuteling van de communicatie tussen IoT-devices, de cloud en apps. Dat voorkomt dat hackers via een man-in-the-middle-aanval de inhoud onderscheppen.

3. Toegangscontrole bij cloudopslag

IoT-apparaten maken doorgaans verbinding met de cloud voor de opslag van gegevens. Regelmatig blijkt dat onbevoegden bij die data kunnen. Toegangscontrole kan dit voorkomen. Daardoor kunnen alleen de IoT-apparaten zelf of geautoriseerde apps bij de data.

4. Automatische updates

De apparaten in het IoT-domein zijn minicomputers en hebben net als 'gewone' computers af en toe securityupdates nodig. Zonder die updates wordt het apparaat kwetsbaar voor misbruik. Het is belangrijk dat de fabrikant updates niet alleen beschikbaar stelt, maar ze ook automatisch op het apparaat laat installeren.

Agile keurmerk

Van Remmelzwaal denkt dat met wat politieke druk de eerste versie van dit keurmerk al in 2019 kan worden ingevoerd. Het zou een keurmerk moeten zijn dat op een agile manier tot stand komt. In de loop van de tijd ligt verder uitbreiding met bijvoorbeeld met de voorwaarden die de IoT Security Guidance uit het IoT-project van OWASP voor de hand.

Het keurmerk moet voor de consument een heel duidelijk en makkelijk onderscheid maken tussen veilige en niet-veilige apparaten. "Ingewikkelde wetgeving die fabrikanten allerlei eisen oplegt, is niet realistisch. Het beter informeren van de consument is dat wel."

Stichtingen zoals de IoT Academy en Cyber Central kunnen een belangrijke rol vervullen bij het coördineren van de vele tests die verschillende securitybedrijven nu op eigen initiatief uitvoeren.