Hoe nuttig verbonden apparaten zoals videodeurbellen en slimme lampen ook zijn, het is verstandig om voorzichtig te zijn bij het gebruik van verbonden technologieën in uw huis, vooral na jarenlang lezen over hacks van beveiligingscamera’s, botnetaanvallen op koelkasten en slimme ovens die zichzelf aanzetten. Maar tot nu toe was er geen gemakkelijke manier om de beveiligingspunten van een product te evalueren. Een nieuw programma van de Connectivity Standards Alliance (CSA), de groep achter de Matter smart home-standaard, wil dat oplossen.
Deze week aangekondigd is de IoT Device Security Specification van CSA een kernstandaard en certificeringsprogramma voor cyberbeveiliging dat tot doel heeft één enkele, wereldwijd erkende beveiligingscertificering voor IoT-apparaten voor consumenten te bieden.
Fabrikanten van apparaten die zich aan de specificatie houden en het certificeringsproces doorlopen, mogen het nieuwe CSA Product Safety Mark (PSV) voeren. Als de beveiligingscamera of slimme lamp die u koopt het label draagt, weet u dat deze voldoet aan de vereisten ter bescherming tegen kwaadaardige hackpogingen en andere inbreuken die uw privacy kunnen aantasten.
“Het hebben van een wereldwijde IoT-beveiligingscertificering voor consumenten is een enorme stap voorwaarts. Het is veel beter dan het niet te hebben”, Steve Hanna, Infineon
“Uit onderzoek blijkt consequent dat consumenten beveiliging als een belangrijke drijfveer voor apparaataankopen beschouwen, maar niet weten waar ze vanuit beveiligingsperspectief op moeten letten om een weloverwogen aankoopbeslissing te nemen”, zegt Eugene Liderman, directeur mobiele beveiligingsstrategie bij Google. De rand. “Programma’s als deze zullen consumenten een eenvoudige, gemakkelijk herkenbare indicator geven waarnaar ze moeten zoeken.”
Liderman maakt deel uit van de CSA-werkgroep die de 1.0-specificatie voor het programma heeft gedefinieerd is ontwikkeld door meer dan 200 CSA-lidbedrijven. Daartoe behoren (samen met Google) Amazon, Comcast, Signify (Philips Hue) en verschillende chipmakers zoals Arm, Infineon en NXP.
Volgens Tobin Richardson, CEO van CSA, zouden PSV-gelabelde producten al dit kerstinkopenseizoen op de markt kunnen komen.
Eén cybersecuritylabel om ze allemaal te regeren
De aankondiging van CSA op 18 maart volgt op het nieuws van vorige week dat de FCC de implementatie heeft goedgekeurd van haar nieuwe cybersecurity-labelingprogramma voor IoT-apparaten voor consumenten in de VS. Beide programma’s zijn vrijwillig en het CSA-keurmerk concurreert niet met het Amerikaanse Cyber Trust Mark. In plaats daarvan gaat het nog een stap verder door alle Amerikaanse vereisten over te nemen en de basisprincipes van cyberbeveiliging uit soortgelijke programma’s in Singapore en Europa toe te voegen. Het eindresultaat is één enkel specificatie- en certificeringsprogramma dat in meerdere landen kan werken (zie kader).
Richardson zegt dat het doel is dat overheden het PSV-keurmerk van de CSA erkennen, zodat fabrikanten slechts één certificeringsproces kunnen doorlopen om op alle belangrijke markten te kunnen verkopen. Dit zou de kosten en complexiteit voor fabrikanten kunnen verminderen en mogelijk meer keuze voor de consument kunnen opleveren.
Het PSV-keurmerk wordt erkend door de Singaporese Cyber Security Agency, en de CSA zegt te werken aan wederzijdse erkenning met soortgelijke programma’s in de VS, de EU en het VK. ‘Het is zeer waarschijnlijk, en met sommigen ook [countries], dat is zeker”, zegt Richardson. “Het gaat vooral om het vastleggen van wat papierwerk.”
Om het PSV-keurmerk te ontvangen, moeten apparaten voldoen aan de IoT Device Security Specification 1.0 en een certificeringsprogramma doorlopen, inclusief het beantwoorden van een vragenlijst en het verstrekken van ondersteunend bewijsmateriaal aan een geautoriseerd testlaboratorium. Hoogtepunten van de toepassing zijn onder meer:
- Een unieke identiteit voor elk IoT-apparaat
- Er zijn geen hardgecodeerde standaardwachtwoorden
- Veilige opslag van gevoelige gegevens op het apparaat
- Veilige communicatie van veiligheidsrelevante informatie
- Veilige software-updates tijdens de ondersteuningsperiode
- Veilig ontwikkelingsproces, inclusief kwetsbaarheidsbeheer
- Documentatie over de openbare veiligheid, inclusief ondersteuningsperiode
Volgens de CSA is het vrijwillige programma van toepassing op de meeste verbonden slimme apparaten voor thuisgebruik – inclusief lampen, schakelaars, thermostaten en beveiligingscamera’s – en kan het met terugwerkende kracht worden toegepast op producten die op de markt zijn. Samen met het PSV-label geeft “een afgedrukte URL, hyperlink of QR-code op de draad consumenten toegang tot meer informatie over de veiligheidsvoorzieningen van het apparaat”, aldus CSA in haar persbericht.
Het programma is specifiek gericht op apparaatbeveiliging – ervoor zorgen dat het fysieke apparaat zelf niet toegankelijk is – in plaats van op privacy. “Maar er is een nauw verband: je kunt geen privacy hebben zonder beveiliging”, zegt Richardson. Hoewel beveiliging van invloed is op de privacy, stelt dit programma niet veel eisen aan de manier waarop de fabrikant de gegevens gebruikt die het apparaat verzamelt. De CSA heeft een aparte werkgroep voor gegevensprivacy die zich met dat blik wormen bezighoudt.
Betere beveiliging, maar nog steeds niet perfect
De huidige versie van het programma is geen wondermiddel voor het oplossen van beveiligingsproblemen met IoT-apparaten. Steve Hanna van Infineon Technologies, een 25-jarige cybersecurity-onderzoeker en voorzitter van de CSA-taskforce van het programma, zei De rand Er is nog meer dat hij graag zou zien. “Maar we moeten kruipen, lopen en dan rennen”, zegt hij. “Het hebben van een wereldwijde IoT-beveiligingscertificering voor consumenten is een enorme stap voorwaarts. Het is veel beter dan het niet te hebben.”
Google’s Liderman wijst er ook op dat het voldoen aan de minimale beveiligingsnorm niet garandeert dat een apparaat zonder kwetsbaarheden is. “Wij zijn ervan overtuigd dat de sector de lat in de loop van de tijd hoger moet leggen, vooral voor gevoelige productcategorieën”, zegt hij.
CSA is van plan de specificaties bij te werken, waardoor bedrijven zich minimaal elke drie jaar opnieuw moeten certificeren. Bovendien zegt Richardson dat er een vereiste zal zijn voor een incidentresponsproces, dus als een bedrijf tegen een beveiligingsprobleem aanloopt – zoals de recente problemen van Wyze – moet het dit oplossen voordat het opnieuw kan worden gecertificeerd.
Met een API kan een smart home-platformtoepassing u waarschuwen voor de beveiligingsstatus van een apparaat voordat het zich bij uw netwerk kan aansluiten
Om de zorgen over misbruik van het label weg te nemen, zegt Hanna dat de CSA een database met alle gecertificeerde producten op haar website zal hebben, zodat u de beweringen van het bedrijf kunt vergelijken. Hij zegt ook dat er plannen zijn om de informatie beschikbaar te maken in een API, waardoor uw smart home platform-app u kan waarschuwen voor de beveiligingsstatus van een apparaat voordat het zich bij uw netwerk aansluit.
Hanna waarschuwt ervoor dat je niet te hoge verwachtingen stelt. “Sommige bedrijven zijn enthousiast over de erkenning van het werk dat ze al hebben gedaan, maar je moet niet verwachten dat elk product dit heeft”, zegt hij. Sommigen merken misschien dat ze problemen hebben waardoor ze niet gecertificeerd kunnen worden, zegt hij. “Als of wanneer overheden erom vragen, komt daar het rubber op de markt.”
Het vrijwillige programma lijkt misschien een teen in de dam, maar het lost twee fundamentele problemen op. Voor fabrikanten maakt dit het eenvoudiger om in één stap aan de regelgeving uit meerdere landen te voldoen, terwijl het voor consumenten de weg opent naar informatie over het soort beveiligingspraktijken waar een bedrijf zich aan houdt.
“Zonder een tag of label kan het voor een consument moeilijk zijn om een aankoopbeslissing te nemen op basis van veiligheid”, zegt Hollie Hennessy, IoT-cybersecurity-expert bij technologieanalistenbureau Omdia. Hoewel het vrijwillige programma een barrière zou kunnen vormen voor adoptie, zegt Hennessy dat uit het onderzoek van haar bedrijf blijkt dat mensen eerder geneigd zijn een apparaat met een privacy- en beveiligingslabel te kopen.
Uiteindelijk is Hennessy van mening dat een combinatie van dergelijke normen en certificeringen, samen met wet- en regelgeving, nodig is om de zorgen van consumenten over de privacy en veiligheid van verbonden apparaten weg te nemen. Maar deze stap is een grote stap in de goede richting.