Internet of Things-standaarden voor consumenten

Aangezien steeds meer apparaten verbonden worden aan het internet, is de beveiliging van het Internet of Things (IoT) een groeiende issue. Mensen vertrouwen hun persoonlijke data toe aan een groeiend aantal online apparaten en services. Zodoende moeten deze IoT-apparaten ontworpen worden met cybersecurity in het achterhoofd.

Tekst gaat verder onder de afbeelding.

sleutel veilig veiligheid beveiliging security

Security-richtlijnen voor het IoT

ETSI, de Europese standaardisatieorganisatie op het gebied van internet en telecommunicatie, introduceert een reeks security-richtlijnen. Deze richtlijnen zijn bedoeld voor partijen die zich bezighouden met IoT-oplossingen voor consumenten. Het gaat echter niet alleen om leveranciers van hardware en software. Volgens ETSI moeten alle partijen in het IoT-ecosysteem (waaronder operators en aanbieders van cloud-platformen) er gebruik van maken. Door gebruik te maken van de richtlijn zorgen producenten er ook voor dat hun producten voldoen aan de algemene verordening gegevensbescherming.

Wat zijn IoT-consumentenapparaten?

Zoals gezegd, worden er in het document bepalingen gespecificeerd voor de beveiliging van IoT-consumentenapparaten. Denk daarbij aan: slim speelgoed en verbonden babyfoons, verbonden veiligheidsproducten zoals rookmelders en deursloten, slimme camera’s, tv’s en luidsprekers, draagbare gezondheidstrackers en andere wearables, verbonden domotica– en alarmsystemen, smart home-assistenten en andere slimme consumentenproducten zoals slimme wasmachines en koelkasten.

De richtlijnen voor verbonden apparaten

Voor deze apparaten ziet ETSI graag dat de volgende richtlijnen gehanteerd worden:

  • Geen standaardwachtwoorden. Alle wachtwoorden van IoT-apparaten moeten uniek zijn en moeten niet worden gereset kunnen worden naar standaard fabrieksinstellingen.
  • Bedrijven moeten meldingen kunnen ontvangen. Er is een openbaar aanspreekpunt nodig, zodat onderzoekers en anderen problemen kunnen melden. Vervolgens moeten deze openbaar gemaakte kwetsbaarheden tijdig worden aangepakt.
  • Bedrijven moeten voortdurend toezicht houden op beveiligingsproblemen van producten en diensten die zij verkopen en/of produceren.
  • Software moet up-to-date gehouden worden. Alle softwarecomponenten moeten veilig kunnen worden bijgewerkt.
  • De consument moet door de fabrikant of dienstverlener op de hoogte gebracht worden dat een update vereist is.
  • Er wordt een beleid gepubliceerd waarin expliciet de minimale duur wordt vermeld waarin een apparaat software-updates ontvangt. Dit beleid wordt op een toegankelijke manier gepubliceerd die duidelijk en transparant is voor de consument.
  • Updates moeten eenvoudig te implementeren zijn.
  • De herkomst van updates moet worden gegarandeerd.
  • Updates moeten via een beveiligd kanaal worden geleverd.
  • Apparaten waarvan de software niet bijgewerkt kan worden, moeten te isoleren zij. Ook moet de hardware vervangbaar zijn. De reden voor het ontbreken van software-updates, de periode van ondersteuning voor hardwarevervanging en een end-of-life-beleid moeten worden gepubliceerd op een toegankelijke manier die duidelijk en transparant is voor de consument.
  • Gegevens worden veilig opgeslagen. Gegevens worden tijdens verzending versleuteld.
  • Ongebruikte netwerkpoorten worden gesloten.
  • De gebruikte code moet worden geminimaliseerd tot de functionaliteit die nodig is om de service/het apparaat te laten werken.
  • Als er ongeautoriseerde wijzigingen in de software worden gedetecteerd, moet het apparaat de consument en/of beheerder waarschuwen en geen verbinding maken met bredere netwerken dan die welke nodig zijn om de waarschuwingsfunctie uit te voeren.
  • Fabrikanten en dienstverleners verstrekken duidelijke en transparante informatie over de wijze waarop persoonsgegevens worden gebruikt, door wie en voor welke doeleinden voor elk apparaat en elke dienst. Dit geldt ook voor derden die hierbij betrokken zijn, zoals adverteerders.
  • Toestemming voor dataverwerking wordt op geldige wijze verkregen. Ook kunnen consumenten hun toestemming altijd intrekken.
  • Apparaten en diensten moeten zodanig worden geconfigureerd dat gegevens gemakkelijk kunnen worden verwijderd wanneer er sprake is van eigendomsoverdracht, wanneer de consument deze wil verwijderen, wanneer de consument een dienst van het apparaat wil verwijderen en/of wanneer de consument het apparaat wil wegdoen.
  • Consumenten moeten duidelijke instructies krijgen over het verwijderen van hun persoonsgegevens. Consumenten moeten een duidelijke bevestiging krijgen dat persoonsgegevens zijn verwijderd.
  • Maak de installatie en het onderhoud van apparaten eenvoudig. Consumenten moeten ook worden voorzien van richtlijnen over hoe ze hun apparaat veilig kunnen instellen.

Al deze richtlijnen vind je (uitgebreid) terug in het rapport van ETSI over de beveiliging van IoT-apparaten.

Meer lezen over dit onderwerp?

Misschien vind je deze artikelen ook interessant:

Wat doe je met babbelzieke IoT in je huis?
De privacygevaren van het Internet of Things (IoT)
Sensoren op de werkvloer: vragen over ethiek en privacy
De grootste beveiligingsrisico’s voor het Internet of Things

nl_NLNederlands