DearBytes roept politiek op om lancering IoT-keurmerk
D66 pleitte al in 2016 voor een Nederlands keurmerk voor veilige IoT-apparaten, in afwachting van Europese regels voor de veiligheid van dit soort devices. In maart van dit jaar nam het kabinet een motie aan om op Europees niveau te pleiten voor verplichte certificering van IoT-apparaten. Deze voorstellen hebben vooralsnog tot niets geleid. De introductie van een Europees keurmerk dat alle securityaspecten afdekt, kost immers veel tijd.
Zelfregulering werkt niet
Het Agentschap Telecom riep het bedrijfsleven daarom op om op korte termijn een vrijwillig keurmerk in te voeren voor veilige IoT-apparatuur. Volgens Erik Remmelzwaal, directeur bij DearBytes, zorgt zo'n keurmerk in de praktijk niet voor meer veiligheid.
Met een vrijwillig keurmerk zijn onveilige producten niet van de markt te weren. Alleen wetgeving dwingt meer veiligheid af, aldus Remmelzwaal. Daarom pleit hij voor een snelle introductie van een beperkte en agile versie van een IoT-keurmerk. Die is niet volledig, maar kan al wel zorgen voor meer veiligheid. Met politieke druk zou het mogelijk moeten zijn om al in 2019 een 1.0-versie te lanceren.
Pragmatische aanpak
DearBytes kiest voor een pragmatische aanpak. Omdat de introductie van een keurmerk dat ieder IoT-securityrisico afdicht veel tijd in beslag neemt, stelt Remmelzwaal voor om te focussen op de punten waar het in de praktijk het meest fout gaat. Uit de vele voorbeelden in de media blijkt dat de meest basale veiligheidsaspecten niet goed geregeld zijn. Volgens DearBytes moet een keurmerk dan ook in eerste instantie deze 'basics' afdichten.
1. Standaardwachtwoord wijzigen verplicht
Om in aanmerking te komen voor het predicaat 'veilig', moeten gebruikers in ieder geval tijdens de installatie van het product worden gedwongen om de gebruikersnaam en het wachtwoord te wijzigen. De door de leverancier ingestelde standaard inloggegevens zijn namelijk ook voor aanvallers te achterhalen. Kwaadwillenden kunnen hiervan zelfs volledig geautomatiseerd misbruik maken. Het Mirai-botnet is een goed voorbeeld van waar dat toe kan leiden.
2. Versleuteling netwerkverkeer
Zorg voor versleuteling van de communicatie tussen IoT-devices, de cloud en apps. Dat voorkomt dat hackers via een man-in-the-middle-aanval de inhoud onderscheppen.
3. Toegangscontrole bij cloudopslag
IoT-apparaten maken doorgaans verbinding met de cloud voor de opslag van gegevens. Regelmatig blijkt dat onbevoegden bij die data kunnen. Toegangscontrole kan dit voorkomen. Daardoor kunnen alleen de IoT-apparaten zelf of geautoriseerde apps bij de data.
4. Automatische updates
De apparaten in het IoT-domein zijn minicomputers en hebben net als 'gewone' computers af en toe securityupdates nodig. Zonder die updates wordt het apparaat kwetsbaar voor misbruik. Het is belangrijk dat de fabrikant updates niet alleen beschikbaar stelt, maar ze ook automatisch op het apparaat laat installeren.
De opname van deze vier checks in een keurmerk versie 1.0 zou volgens Remmelzwaal een enorme stap vooruit betekenen. Het keurmerk kan eventueel aangevuld worden met andere controles, bijvoorbeeld op basis van het IoT-project van OWASP: de IoT Security Guidance.
Adoptie versnellen
Remmelzwaal beseft dat ook het introduceren van een agile wetgeving de nodige tijd gaat kosten. Daarom is hij van mening dat het bedrijfsleven wel degelijk ondersteuning kan bieden. Hij geeft twee voorbeelden:
1. Centraliseren keuringsbevoegdheid
Zolang er nog geen officiële autoriteit is die kan beoordelen of apparaten een 'voldoende' scoren, kan het bedrijfsleven hier een rol in spelen. Deze beoordeling is een tijdrovend en specialistisch proces. Dit is het werk van bijvoorbeeld pentesters en ethical hackers.
Eén enkele partij kan deze klus niet klaren. Op dit moment testen securitybedrijven regelmatig IoT-apparatuur om kwetsbaarheden boven water te halen. Dit moet op veel gestructureerdere wijze gebeuren. Stichtingen zoals de IoT Academy en Cyber Central kunnen een centrale rol vervullen om testmethodes te beheren, trainingen te ontwikkelen en te registreren wie op basis waarvan een keurmerk mag toekennen.
2. Communiceren over veilige IoT-apparaten
Uiteindelijk gaat het erom dat consumenten een juiste afweging kunnen maken. Het predicaat 'veilig' moet duidelijk worden gecommuniceerd. De consument moet het aanbod van onder meer smart-tv's niet alleen kunnen filteren op het aantal HDMI-aansluitingen, schermresolutie en besturingssysteem, maar ook op de cyberveiligheid.
Hier is een rol weggelegd voor de grote (online) retailers die IoT-devices verkopen en beoordelingssites zoals Kieskeurig.nl. Laat met een groen vinkje of rood kruisje zien hoe het is gesteld met de cyberveiligheid van het apparaat.
Eisen aan producten niet realistisch
"Dagelijks gaan talloze onveilige IoT-apparaten over de toonbank. De aanvalsruimte voor kwaadwillenden groeit daardoor snel. Dat ondermijnt onze veiligheid, privacy en uiteindelijk de gehele kenniseconomie", stelt Remmelzwaal. "Ingewikkelde wetgeving die fabrikanten allerlei eisen oplegt, is niet realistisch. Het beter informeren van de consument is dat wel. De consument moet met een simpel keurmerk zo snel mogelijk het kaf van het koren kunnen scheiden. Door dat eerste keurmerk zo simpel mogelijk te houden en snel te introduceren, ontstaat ademruimte voor verdere aanvullingen."