Slimme apparaten moeten vanaf 2024 voldoen aan minimale beveiligingseisen. Doen ze dat niet, dan mogen ze niet op de Europese markt worden verkocht. Dit blijkt uit een recent besluit van de Europese Commissie. Carolien Nijhuis, EVP Internet of Things bij KPN, juicht de stap toe. “Gebruikers hebben recht op veilige IoT-producten.”
Slimme consumentenelektronica moet vanaf 2024 bijvoorbeeld zijn getest op veiligheidslekken en mag niet meer worden geleverd met een zwak standaardwachtwoord. Het updaten van de software moet zo eenvoudig mogelijk zijn. Dat geldt ook voor het beheren, beschermen en verwijderen van persoonlijke data. De leverancier moet bovendien een responsible-disclosurebeleid hebben, zodat een gaatje in de software op verantwoorde wijze gemeld kan worden. Deze minimale veiligheidseisen zijn ook vastgelegd in de ETSI EN 303 645-standaard.
“Het is wetgeving waar iedereen om heeft gevraagd, en waar iedereen op zat te wachten”, reageert Nijhuis. Volgens de EVP Internet of Things is de cyberveiligheid van IoT-apparatuur voor de meeste gebruikers nu nog iets ongrijpbaars. “Ze moeten er maar op vertrouwen dat de slimme thermostaat, interactieve deurbel of connected koffiezetmachine veilig is. Veilige apparaten zijn niet te herkennen aan een keurmerk. Deze nieuwe wetgeving brengt daar verandering in. Apparaten die niet aan de minimale veiligheidseisen voldoen, komen niet in aanmerking voor een CE-markering.”
Security niet ingebouwd
Volgens Nijhuis is de nieuwe wetgeving het juiste antwoord op de populariteit van het Internet of Things. Het IoT is bezig aan een fenomenale opmars. Nu al zijn er zo’n 35 miljard apparaten met het internet verbonden. Naar verwachting stijgt dat aantal naar 125 miljard in 2030. “We wonen, werken en leven in een wolk van IoT-apparaten die met de beste bedoelingen data over ons leven verzamelen en verwerken. Ze maken het leven makkelijker, leuker of duurzamer.
Deze stormachtige groei heeft echter ook een belangrijke keerzijde. Het vanaf het begin ‘inbouwen’ van security wordt bij de ontwikkeling van IoT-apparaten vaak vergeten. “Terwijl IoT-apparaten zeer gevoelige persoonsgegevens kunnen verzamelen, en inzicht kunnen bieden in bijvoorbeeld iemands hartslag of actuele locatie”, aldus Erno Doorenspleet, CTO van KPN Security. “Zonder beschermende maatregelen komt de privacy in het geding en kunnen er ernstige cyberincidenten plaatsvinden.”
Zo bestaat het risico dat cybercriminelen via babyfoons, kinderspeelgoed of smart-tv’s gesprekken afluisteren of gluren in de slaapkamer. Een onbeveiligde slimme deurbel kan hackers toegang bieden tot het thuisnetwerk en de data die daar te vinden zijn. Met een kopie van die data kunnen ze weer identiteitsfraude plegen. Ook kan onbeveiligde IoT-consumenten elektronica worden opgenomen in een botnet zoals Dark Nexus waarmee criminele organisaties DDoS-aanvallen uitvoeren.
Kiwa en KPN helpen
Hoewel de nieuwe wetgeving dus goed nieuws is voor de gebruikers van het IoT, wil dat volgens Doorenspleet nog niet zeggen dat het voldoen aan de wetgeving eenvoudig is. “Daar helpen we als KPN fabrikanten bij, met certificering en advisering. Door een product samen te ontwikkelen, en door de security al tijdens de ontwikkeling aan te brengen en niet achteraf. In ons state-of-the-art lab kunnen we de security van een werkend prototype ook aan grondige tests onderwerpen, om te kijken of het product voldoet aan de ETSI EN 303 645-standaard.”
Op het gebied van de certificering van IoT-consumentenelektronica heeft KPN Security een samenwerkingsovereenkomst gesloten met Kiwa dat is gespecialiseerd in testen, inspecteren en certificeren. Als onderdeel van deze overeenkomst accepteert Kiwa de testresultaten van KPN Security’s testlab voor het uitgeven van een productcertificaat. Met dit certificaat heeft de fabrikant de zekerheid dat het product in Europa mag worden verkocht. Voor de consument is het certificaat het bewijs dat het product veilig is te gebruiken.
Zo veilig mogelijke samenleving
Volgens Nijhuis zijn Kiwa en KPN logische partners van elkaar. “De slogan van Kiwa is ‘wij bouwen wereldwijd aan vertrouwen’. Dit sluit naadloos aan op de waarden van KPN. Fabrikanten van IoT-consumentelektronica kunnen vertrouwen op de kennis en ervaring die KPN IoT heeft opgedaan in de zakelijke markt. Samen werken we nu aan de oplossing van het maatschappelijke probleem dat onveilige IoT-producten vormen.”
“Security zit in het DNA van KPN”, besluit Doorenspleet. “De consument moet erop kunnen vertrouwen dat onze diensten en producten veilig zijn te gebruiken. We besteden dan ook veel tijd en geld aan de cyberveiligheid. De kennis die we daarbij hebben opgedaan, zit ook in onze KPN Security Policy (KSP) die we bij iedere nieuwe ontwikkeling als minimale standaard hanteren. Hierin staan onze ‘securityspelregels’. Die KSP stellen we gratis beschikbaar voor gebruik. Het is onze bijdrage aan de transitie richting een zo veilig mogelijke digitale samenleving.”
Meer weten over de onestopshop van Kiwa en KPN Security voor het onafhankelijk beoordelen, testen en certificeren van IoT-consumentenelektronica? Kijk dan op de speciale website van Kiwa.