IoT kan veiliger met deze 8 vereisten, van Agentschap Telecom

"De vereisten zijn makkelijk te implementeren, makkelijk te testen, duidelijk, en vergroten de cyberveiligheid van de producten aanzienlijk. We raden dan ook aan om de vereisten via regelgeving op te leggen voor alle consumenten IoT apparaten", schrijft het Agentschap Telecom in het vandaag vrijgegeven onderzoeksrapport. De voorgestelde basismaatregelen bestrijken een breed spectrum: van wachtwoorden, via verkleind aanvalsoppervlak en updatemogelijkheden, tot zelfcontrole en consumentenvoorlichting.

Meer dan 400 maatregelen

Het rapport, wat is opgesteld in opdracht van de Nederlandse marktbewaker, beschrijft diverse aanvalsscenario's voor en belangrijke beveiligingsproblemen met IoT-apparaten voor de consumentenmarkt. "Consumentenelektronica bestaat in toenemende mate uit computers die met het internet verbonden zijn, in de vorm van IoT apparaten. Deze apparaten zijn vaak onvoldoende beveiligd tegen cyberaanvallen", begint het rapport. De op basis van literatuuronderzoek opgestelde scenario's en securityproblemen "helpen bij het evalueren van meer dan 400 maatregelen, waarna de beste maatregelen samengevat worden als minimumvereisten".

Deze veiligheidsvereisten zijn volgens het Agentschap Telecom geschikt om aan fabrikanten op te leggen als regelgeving. "Naleving hiervan zal de veiligheid van huishoudelijke IoT apparaten aanzienlijk verbeteren." De 8 basiseisen voor IoT zijn de volgende. Alle wachtwoorden moeten voldoen aan de standaard NIST SP800-63b Digital Identity Guidelines. Na de initiële configuratie moeten wachtwoorden uniek zijn voor elk apparaat, of opgegeven zijn door de eindgebruiker. Netwerktoegang tot een apparaat in functionele staat moet alleen mogelijk zijn ná authenticatie.

Services, encryptie en updates

Verder mag een IoT-apparaat alleen poorten en koppelingen aanbieden die noodzakelijk zijn voor de normale en bedoelde functionaliteit. Daarbij moet al het netwerkverkeer versleuteld en geauthentiseerd worden door middel van gangbare encryptieprotocollen, zoals TLS. En fabrikanten moeten een update van de software in IoT-apparaten kunnen initiëren. Dat uitvoeren van een update moet hetzij automatisch kunnen, hetzet door de eindgebruiker actief te informeren dat er een (beveiligings)update is.

Vervolgens moet het apparaat de integriteit en authenticiteit van updates voor de eigen software controleren voordat die wordt geïnstalleerd. Ook moet de fabrikant duidelijke informatie verschaffen over de verantwoordelijkheden van de eindgebruiker om het apparaat veilig te gebruiken. Deze 8 vereisten die het Agentschap Telecom nu aandraagt, moeten op relatief makkelijke wijze ervoor zorgen dat het moeilijke onderwerp van IoT-security wordt aangepakt.

'Onaanvaardbaar risico'

Vorig jaar kwam uit onderzoek naar voren dat de cyberveiligheid bij slimme apparaten vaak niet op orde is. Om consumenten beter te beschermen tegen cyberaanvallen zouden daarom standaardfabriekswachtwoorden verboden moeten worden. Slechte beveiliging van IoT-apparaten ligt echter niet alleen aan wachtwoorden. Ook gebrek aan software-updates of installatiegemak daarvoor speelt mee.

"Het is een onaanvaardbaar risico dat er nog steeds geen veiligheidseisen zijn waar slimme apparaten aan moeten voldoen. Met dit onderzoek nemen we als Nederland het voortouw om regels verankerd te krijgen binnen Europa", stelt directeur-hoofdinspecteur Angeline van Dijk van het Agentschap Telecom.

Gebruikers van slimme apparaten kunnen volgens de waakhond zelf ook al veel doen om hun apparaten minder kwetsbaar te maken voor ongewenste toegang en cyberaanvallen. Voer bijvoorbeeld regelmatig updates uit, kies een sterk wachtwoord, deel zo min mogelijk informatie met het apparaat en koppel het apparaat niet onnodig aan een netwerk. Veel apparaten hoeven voor gebruik niet online te zijn, aldus het Agentschap Telecom.