Code of Practice IoT Consumer Security 2018

Britse overheid introduceert security richtlijnen voor IoT-producten

by Redactie IoT Journaal15 oktober 2018

Terwijl in Nederland de regering het vooralsnog bij goede voornemens en Kamerbrieven houdt, heeft de Britse overheid gisteren richtlijnen uitgevaardigd voor fabrikanten van Internet of Things-producten bestemd voor de consumentenmarkt. In deze ‘Code of Practice for Consumer IoT Security‘ wordt beschreven aan welke beveiligingsvoorwaarden dergelijke spullen moeten voldoen. Producenten zijn overigens niet gedwongen om zich aan de Code of Practice te houden, de Britse overheid verplicht hen daar namelijk niet toe. De eerste marktpartijen hebben zich al aangemeld: het Amerikaanse Hewlett-Packard Inc. en het Britse energieconcern Centrica. Wie de Code of Practice for Consumer IoT Security eens op zijn gemak wil doorlezen, kan het via IoTJournaal downloaden (24 pagina’s, 471 Kb, PDF).

Het Britse ministerie van ‘Digital, Culture, Media & Sport‘, de bedenker van de Code of Practice, stelt dat het van toepassing is op apparaten zoals speelgoed, babyfoons, slimme televisies, IP-camera’s, slimme speakers en koelkasten met internettoegang. Het ministerie geeft in de Code of Practice twaalf richtlijnen voor producenten van consumenten IoT-apparaten.

Stop met standaardwachtwoorden. Consumenten nemen doorgaans niet de moeite om die te veranderen, waardoor hackers vrij spel hebben.

Geef openheid van zaken bij beveiligingslekken. Daar hoort ook bij dat consumenten de mogelijkheid krijgen om dergelijke problemen te melden bij de fabrikant.

Zorg voor regelmatige updates van ingebakken software. Daar waar een softwareupdate niet mogelijk is, zou de fabrikant de mogelijkheid kunnen bieden om het bewuste apparaat te vervangen.

Sla inloggegevens van gebruikers beveiligd in de apparaten op.

Versleutel gegevens die van en naar de apparaten gaan.

Verklein het aantal ‘mogelijke gaten’ in de apparaten.  Minimaliseer zaken als open netwerkpoorten en beperk de mogelijkheden van de ingebakken software tot het allernoodzakelijkste.

Check de integriteit van de ingebakken software. Dat kan bijvoorbeeld door een controlemechanisme in te bouwen dat elke keer bij het aanzetten van het apparaat de ingebakken software controleert.

Zorg ervoor dat persoonlijke gebruikersgegevens niet kunnen worden misbruikt. Dat geldt zowel voor de fabrikant zelf als derde partijen, zoals adverteerders.

Bouw de apparaten zo dat zij niet ‘bezwijken’ bij stroomuitval of het ontbreken van internettoegang.

Check of er met de verzamelde data (zoals temperatuur) is geknoeid.

Maak het eenvoudig voor gebruikers om hun persoonlijke gegevens te wissen.

Zorg ervoor dat de apparaten makkelijk te installeren en te onderhouden zijn.