Regulering zal veranderen hoe apparaten worden ontworpen, ingezet en beheerd gedurende hun levensduur en is een van de factoren achter ons IoT-beveiligingsraamwerk en de verdedig, detecteer en reageeer bepalingen. Het zorgt voor een scherpere focus op IoT-beveiliging voor OEM’s, Solution Providers en bedrijven. Met dat in gedachten zijn we verheugd om David Rogers, CEO van Copper Horse, te introduceren als gastblogger. Hij heeft een grote invloed gehad op het standaardiserings- en reguleringsproces in het VK, hoewel bijna identieke processen te zien zijn in de EU en de VS.
Het begin van de regulering van IoT-beveiliging
De beveiliging van het Internet of Things (IoT) houdt al enige tijd wereldwijd overheidsfunctionarissen bezig. De kwetsbaarheid van het Internet of Things werd al in 2016 geïdentificeerd in de National Cyber Security Strategy van het VK, waarin werd gesteld dat ‘het ‘Internet of Things’ nieuwe mogelijkheden biedt voor exploitatie en het potentiële impact van aanvallen vergroot, die fysieke schade, letsel bij personen en in het ergste geval zelfs de dood kunnen veroorzaken’. Het VK heeft zijn strategie geïmplementeerd met een gedragscode beveiliging van consumenten-IoT die in 2018 is gepubliceerd. Hierin stonden 13 op uitkomsten gerichte richtlijnen die zich bezighielden met ontwerpkwesties voor productbeveiliging en beste praktijken voor fabrikanten en aanbieders van IoT-oplossingen. Deze werden vervolgens naar het European Telecommunications Standards Institute (ETSI) gebracht en daar samen met de industrie en overheidspartners voortgezet en gestandaardiseerd, uiteindelijk resulterend in een Europese norm, ETSI EN 303 645 . Dit ging gepaard met een specificatie voor Conformiteitsbeoordeling ETSI TS 103 701.
Het werk heeft wereldwijd een brede acceptatie gezien, van Finland tot Singapore, van Australië tot India. Dit is uiteraard positief voor de algehele cybersecurity – een gemeenschappelijke basis om op voort te bouwen en cruciaal een gemeenschappelijk begrip van wat goed is. Dit voorkomt onnodige fragmentatie, wat op zijn beurt economische kosten en onzekerheid met zich meebrengt, aangezien fabrikanten verschillende eisen implementeren over de hele wereld. Er zijn andere normen ontwikkeld sindsdien, zoals de Amerikaanse NIST 8259- familie en normen uit specifieke landen over de hele wereld. Over het algemeen behandelen deze normen dezelfde gebieden en er is duidelijk sprake van een geest van afstemming.
De site voor het in kaart brengen van IoT-beveiliging van Copper Horse, ontwikkeld namens de Britse overheid, brengt deze verschillende vereisten en opkomende normen in kaart om te helpen begrijpen waar fragmentatie bestaat en waar er gemeenschappelijke afstemming is. De informatie is beschikbaar als open data, zodat bedrijven deze kunnen downloaden en gebruiken in hun eigen productontwikkelingsprocessen.
Conformiteit en ‘Certificering’
Met normen komt naleving en conformiteit. De huidige indicatoren uit het Verenigd Koninkrijk, Europa en de VS geven aan dat zelfverklaringsmechanismen zullen worden gebruikt – dat wil zeggen dat van producten wordt verwacht dat ze aan de gedefinieerde normen voldoen. Sommige testlabs in Europa, zoals TÜV SÜD bieden al tests aan volgens de Europese norm in de verwachting dat deze ook in heel Europa zal worden overgenomen via de nieuwe Cyber Resilience Act (CRA). Hoewel deze tests kunnen resulteren in een certificaat, is het belangrijk om uit te leggen wat dat betekent. De 13 vereisten van ETSI EN 303 645 zijn gericht op ‘beveiligd door ontwerp’. Dit betekent dat de benadering van de beveiliging van een product het belangrijkste is, niet bijvoorbeeld de afwezigheid van specifieke kwetsbaarheden en zeker niet een verklaring dat het product 100% veilig is. Dit weerspiegelt het feit dat dit gebied voortdurend in beweging is. We kunnen echter wel aangeven wat we niet in een product willen (standaard wachtwoorden zijn het duidelijkste voorbeeld), goede praktijken zoals een bedrijf dat kwetsbaarheidsdisclosure-processen adopteert om een duidelijke route voor het melden en oplossen van beveiligingskwetsbaarheden mogelijk te maken die worden ontdekt en gemeld aan IoT-fabrikanten. We willen ook dat een product de mogelijkheid heeft om beveiligingsupdates te ontvangen, veilig te communiceren en dat alle bijbehorende sleutels en gegevens veilig worden verwerkt en opgeslagen met hardware-ondersteunde beveiligingsfundamenten.
Etikettering
Sommige landen hebben etiketteringsregelingen onderzocht. Het Verenigd Koninkrijk heeft dit verkend en ter publieke consultatie voorgelegd – wat hen ertoe bracht geen etiketteringsregeling in te voeren. Er zijn veel voorstanders van digitale of ‘live’ etikettering, met name in de VS. Dit kan de vorm aannemen van een QR-code die is gekoppeld aan het product, maar uiteindelijk is het een online database met informatie die de beveiligingsstatus van een product op elk moment weergeeft. Dit lijkt een zeer progressieve stap vooruit en opent veel interessante toekomstmogelijkheden met betrekking tot de manier waarop producten kunnen worden gecontroleerd op hun huidige status – bijvoorbeeld wat het huidige niveau van beveiligingsupdates is ten opzichte van de staat waarin het huidige apparaat is gepatcht. Het zal de wereld weghalen van statische productetikettering en certificering.
Wet- en regelgeving
Het Verenigd Koninkrijk heeft de Product Security and Telecommunications (PSTI) Act in december 2022 aangenomen, met verdere ontwerpregelingen voor het onderdeel productbeveiliging die in april 2023 zijn gepubliceerd. Dit werk heeft geleid tot verwijzingen en overname in andere gebieden, zoals het beveiligingsschema van The Electric Vehicles (Smart Charge Points) Regulations 2021 die in december 2022 van kracht werden. Zowel Smart EV als PSTI worden gereguleerd door het Office for Product Safety and Security (OPSS) . Daarnaast verwijst de Gedragscode van de Britse Telecommunications Security Act 2021 naar de vereisten die zijn uiteengezet in de PSTI Act, wat een samenhangende benadering van algehele cyberbeveiliging en de symbiotische beveiligingsrelaties die bestaan, aantoont. In de toekomst kunnen deze gemeenschappelijke basisvereisten gemakkelijk worden uitgebreid naar andere sectoren – ze kampen met gemeenschappelijke problemen.
Zoals hierboven vermeld, zullen naar verwachting tal van landen en regio’s eisen stellen dat verbonden producten veilig worden vervaardigd en gebruikt, dus de klok tikt voor fabrikanten. Het Verenigd Koninkrijk heeft verklaard dat het zal reguleren vanaf 29 april 2024, dus verbonden consumentenproducten zoals routers, webcams, koelkasten en ja, broodroosters, moeten allemaal op een conforme manier worden geproduceerd tegen die datum, anders mogen ze niet worden verkocht in het land. Een online aftelling is te vinden op: https://www.iotsecurity.uk/ .
Verbeterde IoT-beveiliging zal een wettelijke vereiste worden voor IoT-apparaten die door consumenten worden gebruikt, en een inkoopvereiste voor ondernemingen. Om bedrijven te helpen deze overgang te maken, heeft Wireless Logic een IoT-beveiligingsraamwerk gepublicieerd. Ons raamwerk behandelt de beveiliging door een IoT-connectiviteitsbril, hoewel het daar niet toe beperkt is, en vult andere toonaangevende normen (ETSI EN 303 645) en kaders (NIST, IoTSF) aan. Het is onze manier om over IoT-beveiliging te praten en het helpt onze klanten om compliant te zijn, veranderingen in mensen en processen door te voeren (opleiding en beleid) en hun risicobereidheid te beoordelen op basis van gevoeligheid van gegevens en de economie van hun oplossing. Het positioneert ook het relevante Wireless Logic-product en -diensten die extra beveiligingsvoordelen bieden op apparaat-, netwerk- en toepassingsniveaus.
Bezoek onze pagina over IoT-beveiliging voor meer informatie over onze beveiligingsmaatregelen voor verdedigen, detecteren en reageren en hoe een benadering van 360-graden nodig is om het risico van IoT-beveiliging te minimaliseren.
