VrijdagmiddagVideo Domotica hackers

Agentschap Telecom neemt voortouw bij opstellen regels IoT-security

by Redactie IoT Journaal27 augustus 2020

Onveilige Internet of Things-apparaten voor thuis zijn al langer een doorn in het oog van de Nederlandse telecomtoezichthouder Agentschap Telecom (AT). De overheidsinstantie heeft gisteren daad bij woord gevoegd door het uitbrengen van acht securitymaatregelen waaraan fabrikanten van IoT-consumentenspullen zich zouden moeten houden. Het volledige (grotendeels Engelstalige) rapport van Agentschap Telecom is via IoTJournaal te downloaden (44 pagina’s, 834 Kb, PDF).

Agentschap Telecom heeft de Nederlandse cybersecurityspecialist Qbit opdracht gegeven om uit te zoeken wat de grootste (potentiële) kwetsbaarheden zijn van IoT-hardware in een ‘doorsnee huishouden’. En hoe kwaadwillenden daar gebruik van zouden kunnen maken. Dit alles om uiteindelijk tot een aantal maatregelen c.q. regels te komen die fabrikanten van dergelijke spullen in acht zouden moeten nemen. Uiteindelijk hoopt Agentschap Telecom dat de wetgever de resulterende acht maatregelen in regelgeving zal verwerken. “Het is een onaanvaardbaar risico dat er nog steeds geen veiligheidseisen zijn waar slimme apparaten aan moeten voldoen. Met dit onderzoek nemen we als Nederland het voortouw om regels verankerd te krijgen binnen Europa”, aldus Angeline van Dijk, directeur-hoofdinspecteur van Agentschap Telecom. De acht maatregelen op een rijtje:

  1. Alle wachtwoorden moeten voldoen aan de standaard NIST SP800-63b Digital Identity Guidelines.
  2. Na initiële configuratie moeten wachtwoorden uniek zijn voor elk apparaat, of opgegeven zijn door de gebruiker.
  3. Netwerktoegang tot een apparaat in functionele staat moet alleen mogelijk zijn na authenticatie.
  4. Het apparaat mag alleen poorten en koppelingen aanbieden die noodzakelijk zijn voor normale en bedoelde functionaliteit.
  5. Al het netwerkverkeer moet versleuteld en geauthentiseerd worden door middel van gangbare encryptie protocollen, zoals TLS.
  6. Fabrikanten moeten een update van de programmatuur in apparaten kunnen initiëren. Doormiddel van automatische updates, ofwel door het actief informeren van de eindgebruiker.
  7. Het apparaat moet de integriteit en authenticiteit van programmatuur controleren alvorens deze te installeren.
  8. De fabrikant moet duidelijke informatie verschaffen over de verantwoordelijkheden van de eindgebruiker om het apparaat veilig te gebruiken.

In 2019 heeft Agentschap domotica-spullen laten testen op cyber security-kwetsbaarheden door het onafhankelijke adviesbureau Strict. De uitkomst in een notendop: zeventien van de 22 bekeken apparaten waren niet afdoende beveiligd. Het grotendeels Engelstalige rapport van Agentschap Telecom is via IoTJournaal te downloaden (67 pagina’s, 1,52 Mb, PDF).

Consumenten VS: ‘fabrikanten los het op’

IoT-hardware, in de vorm van bijvoorbeeld tv’s met internettoegang of slimme spraakassistenten, is steeds meer in huis te vinden. Die trend is ook hackers en cybercriminelen niet ontgaan. Zij azen in toenemende mate op de slimme domotica-hardware. Al was het alleen maar om de spullen op te nemen in een botnet waarmee grootschalige cyberaanvallen zijn op te zetten. De beveiliging van IoT-in-huis-apparatuur wint daarmee aan belang. Maar bij wie ligt de verantwoordelijkheid daarvoor? Volgens een Amerikaans onderzoek, eind vorig jaar uitgevoerd in opdracht van de Israëlische security specialist Karamba Security, vinden consumenten dat het ‘t pakkie an is van de fabrikanten. Het volledige rapport is gratis te downloaden via IoTJournaal (13 pagina’s, 1 Mb, PDF).