Met de snelle groei van IoT-apparaten neemt de vraag naar een betere beveiliging van deze hardware snel toe. Inmiddels is er wetgeving op komst die minimale eisen stelt aan de fabrikant. Tijdens het D&E event, dit jaar in een digitale editie, zal security engineer Arne Padmos dieper ingaan op hoe er met deze eisen rekening kan worden gehouden.
Door: Dimitri Reijerman
Volgens Padmos is er met name veel meer aandacht voor de beveiliging van IoT-apparaten voor de consumentenmarkt gekomen. En dat is niet voor niets: “Tijdens mijn webinar zal ik aangeven wat er in het verleden verkeerd is gegaan. Denk bijvoorbeeld aan het Mirai-botnet, de talloze gehackte webcams of gekraakte speelgoedpoppen met microfoons waarbij informatie naar China wordt gestuurd. Ik zal ook de wetgeving nader belichten en de richtlijnen vanuit de overheid naar producenten toe over wat ze moeten doen. De huidige regelgeving voor IoT-apparatuur heeft nog onvoldoende effect gehad dus nu komt er meer wetgeving. Ook ga in op de vraag welke security requirements het precies gaat en welke technische en organisatorische maatregelen je als producent kunt nemen.”
Bij het aanscherpen van de regelgeving speelt Nederland ook een belangrijke rol. Padmos: “Als je in concreto gaat kijken is het Agentschap Telecom die zich vanuit Nederland heel sterk aan het maken is voor betere wetgeving binnen de EU, met name voor draadloze apparatuur. In de radio equipment directive wordt al wel gezegd: gij zult niet de ether vervuilen met radioverkeer die niet op de goede banden zit. Deze is in 2014 opgesteld en stelt eisen. Zo mag data niet weglekken en er moeten stappen worden genomen om zaken als randsomware en ddos-aanvallen te voorkomen. Verder wordt er door experts nog steeds gekeken naar de vraag welke regels er moeten gaan gelden voor firmware-updates. Duidelijk is dus dat er nieuwe wetgeving nodig is.”
Default passwords
Toch mist veel nieuwe regelgeving nog elementen die belangrijk zijn voor een solide beveiliging. Padmos geeft een voorbeeld: “Over het gebruik van standaard wachtwoorden is nog niets concreet gemaakt. De huidige EU-voorstellen zijn heel breed geformuleerd. Denk bijvoorbeeld aan de standaardisatie van telefoonopladers. Dat proces loopt nog steeds. En inmiddels is er draadloos laden. Daarvoor is nog weinig geregeld op het gebied van security. Wat je dus vaak ziet is dat de wetgeving achter de feiten aanloopt.”
Hij vervolgt: “Momenteel is de prognose dat een mogelijk verbod op het gebruik van default passwords in 2021 kan ingaan. Toch is alles nog onderhevig aan verandering en kan het langer gaan duren. Het Britse Security Center heeft in 2018 al wel dertien richtlijnen uitgebracht. Deze regels worden in het Verenigd Koninkrijk inmiddels verplicht gesteld.”
Inspelen op nieuwe regelgeving
Om in te spelen op strengere toekomstige EU- en nationale regelgeving dienen producenten van IoT-apparatuur stappen te ondernemen in het ontwerp- en productieproces. Padmos: “Ontwerpers van elektronica moeten in ieder geval rekening houden met de Europese norm 3.0.3-645. In de toekomst verwacht ik dat deze regels verder uitgebreid gaan worden. Maar die regels gelden dus alleen voor draadloze apparatuur. Mogelijk komt er in de toekomst meer overkoepelende regelgeving waar ook niet-draadloze apparatuur onder valt. En kijk dus alvast naar de Britse richtlijnen, waarin ook regels voor responsible disclosure staan beschreven. Dit beschrijft een proces hoe bedrijven white hat hackers een duidelijk contactpunt geven waar zij beveiligingsproblemen kunnen melden. Verder is belangrijk is dat je aan de consument duidelijk moet gaan maken hoe lang apparaten ondersteund zullen worden.”
De security expert sluit af met een stukje advies: “Dit zijn de minimale eisen waar je aan moet voldoen. De volgende stap is hoe je er precies aan kunt voldoen. Dit moet je tot in detail regelen. Op het gebied van security by design is belangrijk hoe je deze regelgeving in je ontwikkelproces meeneemt en bijvoorbeeld vastlegt in een nieuwe architectuur. Tijdens mijn webinar zal ik daar dieper op ingaan.”
Wilt u dit webinar op dinsdag 17 november bijwonen? Meld u kosteloos aan voor de digitale editie van het D&E event.