De roep om een securitykeurmerk voor IoT klinkt luid en duidelijk. Dat klinkt goed, maar lukt alleen als er een norm komt voor de beveiliging van dergelijke apparaten. Alles wat niet aan de securitynorm voldoet, mag hier de markt niet op. Hoe zou zo’n norm eruit moeten zien?
Over het algemeen zijn leveranciers van IoT-apparaten niet snel geneigd iets aan beveiliging te doen. Het gaat vaak om goedkope apparatuur met flinterdunne marges. Geld uitgeven aan beveiliging zit er dus niet in.
Bovendien vergt goede security tijd die ten koste gaat van de time-to-market. En dat kan in een concurrerende markt de doodsteek betekenen voor een product. Toch zal het moeten, want er is een duidelijk maatschappelijk belang als toestellen zoals een babyfoon kunnen meedoen aan een grootschalige aanval op de kritieke infrastructuur. De overheid zal de veiligheid moeten afdwingen, net zoals dat gebeurt voor elektrische apparaten en voedsel.
Consequenties
We hebben eerder te maken gehad met een vergelijkbaar probleem, zij het op kleinere schaal. In het begin waren draadloze toegangspunten voor thuisgebruik helemaal niet beveiligd, of hooguit met de beruchte admin/password-combinatie. Ook toen duurde het even voordat consumenten en fabrikanten doordrongen raakten van de consequenties. En toen werd de security snel op orde gebracht: veiliger protocollen en geen standaardwachtwoorden meer.
Dezelfde bewustwording moeten we nu voor IoT bereiken, onder meer door als security community druk te blijven uitoefenen. Ook politieke bewustwording is nodig. Ik verwacht dat consumenten wakker worden als ze de consequenties van onveilige it-apparaten ervaren. Wie zich realiseert dat iedereen naar zijn kind kan kijken via de internetbabyfoon zal direct een veilig apparaat eisen.
Geen omkijken
Het ideaal: een wereldwijde – of anders een Europese – norm voor apparaten die op internet worden aangesloten. Het eerste element van zo’n norm zou het verbod op een standaardwachtwoord moeten zijn. De norm zou bijvoorbeeld ook kunnen opleggen dat de IoT-apparatuur minimaal de standaardpenetratietest moet kunnen doorstaan.
Verder de garantie dat er nog twee jaar security-updates worden uitgebracht en dat die automatisch worden doorgevoerd. De consument heeft aan upgrades dan geen omkijken meer.
Stimulans
Compliancy werkt natuurlijk alleen als er verplichte controle is. IoT-producten zouden daarom gevalideerd moeten worden door een testinstituut, bijvoorbeeld door daarvoor gecertificeerde securitybedrijven.
Een andere incentive voor een fabrikant om het goed te doen, is negatieve publiciteit. Ook wordt er nu gesproken over een productaansprakelijkheid, die ook security omvat. Voor grote bedrijven zou dat wellicht werken, maar een klein bedrijfje uit het Verre Oosten heeft helemaal geen geld om eventuele schade te vergoeden. Als dergelijk kleine bedrijven op de Europese markt willen blijven, zouden ze goedkope IoT-producten kunnen produceren met een goedgekeurde securitymodule. De belangstelling is er ongetwijfeld, zodat de prijs kan laag kan blijven terwijl de beveiligingskwaliteit en ondersteuning van die module gewaarborgd is.
Voortouw
Gerenommeerde merken zullen kwaliteit willen bieden en alleen al vanwege hun reputatie de security op orde willen brengen. Zij zullen het online-veiligheidsaspect van meet af aan in het ontwerp meenemen, zoals Ikea heeft laten zien met de recent geïntroduceerde internetlamp.
Het is een voorbeeld, dat ongetwijfeld navolging krijgt. Maar wie zich realiseert dat er een gigantische stroom spotgoedkope IoT-spullen de EU binnenkomt, weet dat dit uitzonderingen blijven. De overheid zal dus het voortouw moet nemen en een securitynorm opleggen voor IoT-apparatuur. Apparatuur die niet aan die norm voldoet, mag hier gewoon niet verkocht worden. Dat dwingt de industrie in de juiste richting en draagt zo belangrijk bij aan een veilig IoT.
Frank Groenewegen, principal security expert bij Fox-IT