Zephyrnet-logo

Generatieve data-intelligentie

AI

Hoe labels het IoT kunnen beveiligen | IoT Nu nieuws en rapporten

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 94

We hebben etiketten nodig. Persoonlijk is de aanwezigheid van labels absoluut cruciaal voor mijn gezondheid. Ik heb ze nodig om de voedingswaarde van het voedsel dat ik eet te begrijpen en om te bepalen hoeveel insuline ik moet nemen, zegt Mike Nelson, VP van Digital Trust, DigiCert.

We merken het misschien niet, maar productetikettering is vaak cruciaal voor onze persoonlijke veiligheid. Het is wat ons de voedingswaarde van ons voedsel laat zien, het is wat ons in staat stelt om de efficiëntie van onze elektrische goederen en de veiligheid van de gereedschappen en producten die we in ons huis gebruiken te kennen.

Etiketten stellen ons in staat om fundamenteel te begrijpen wat we kopen en op hun beurt verkopers ter verantwoording te roepen voor onze consumptiekeuzes. In de VS gelden straks dezelfde eisen voor IoT-apparaten. Sterker nog, de Witte Huis's Nationale Veiligheidsraad zal binnenkort nieuwe etiketteringsvereisten voor IoT-producten uitrollen.

Dit volgt op een uitvoerend bevel uit 2021 van het Witte Huis dat de Amerikaanse National Institute of Standards and Technology (NIST) om een ​​IoT-labelprogramma te maken.

De uitrol van deze nieuwe vereisten wordt in de komende maanden verwacht, maar er zijn nog maar heel weinig details bekend over wat dit IoT-labelprogramma nodig zou kunnen hebben.

Waarom dit zo belangrijk is

De reikwijdte van het potentieel van het internet der dingen is enorm, van toepassing zijnde use-cases variëren van stad-transformerende sensorarrays tot autonome voertuigen tot pratend kinderspeelgoed. Als gevolg hiervan nemen de wereldwijde apparaataantallen een hoge vlucht. Sterker nog, volgens IHS Markitzal het aantal apparaten in 125 oplopen tot 2030 miljard.

De ongelukkige realiteit van de explosie van IoT-apparaten is dat ze vaak zeer onveilig zijn. Kwetsbaarheden en onveilige ontwerpbeslissingen hebben het veld vanaf het begin achtervolgd en, ondanks een groeiend bewustzijn van de risico's, reproduceren veel van zijn zwakheden zich koppig in nieuwe apparaten.

Deze problemen waren grotendeels ondoorzichtig voor gebruikers, die blindelings IoT-apparaten hebben gekocht en in huis hebben gehaald, zich niet bewust van de potentiële risico's.

Dit is de reden waarom labels zo'n belangrijke stap kunnen zijn om het IoT veiliger te maken - het is een fundamentele uitbreiding van digitaal vertrouwen in de consumentenruimte. Labels stellen ons in staat om te begrijpen waar we mee bezig zijn, zonder de nodige technische kennis of het vermogen om ze zelf te beoordelen.

Etiketteringsvereisten

Concrete details over het labelingschema moeten nog worden vrijgegeven. NIST publiceerde hun aanbevelingen rond de minimale beveiligingsvereisten echter in februari 2022.

Cruciaal is dat ze IoT-apparaten zien als onderdeel van een systeem waarop alle etiketteringsoverwegingen betrekking moeten hebben. Dit omvat het IoT-apparaat zelf, maar ook de componenten en de systemen die het apparaat nodig heeft voor operaties, zoals mobiele apps of speciale netwerkhardware.

De aanbevelingen wijzen verder op een aantal basiscriteria die voor kwalificatie moeten worden gebruikt. De eerste daarvan is "Asset Identification", waarmee apparaten op unieke wijze kunnen worden geïdentificeerd door de klant en de relevante autoriteiten. Dit kan worden bereikt door Device Identity toe te wijzen tijdens de productiefase met digitale certificaten. Het voegt eraan toe dat het IoT-product elk onderdeel van het IoT-product moet identificeren en een actuele inventaris moet bijhouden.

Vervolgens beveelt NIST aan dat IoT-apparaten en de toepasselijke componenten configureerbaar zijn, zoals de mogelijkheid om te herstellen naar een standaard beveiligde instelling door een geautoriseerde persoon zoals de klant. Dit helpt gebruikers de beveiligingsinstellingen aan te passen aan hun eigen behoeften.

Gegevensbescherming is een andere belangrijke aanbeveling. Het rapport van NIST verklaart dat IoT-producten en de componenten ervan opgeslagen en verzonden gegevens beschermen tegen ongeoorloofde toegang. Dit kan met digitale certificaten om de vertrouwelijkheid, integriteit en beschikbaarheid van die gegevens te behouden.

Het rapport beveelt verder onder andere aan dat apparaten software-updates moeten kunnen ontvangen, verifiëren en toepassen met behulp van een veilig en configureerbaar mechanisme. Dit kan worden bereikt door middel van certificaten voor het ondertekenen van code, die kunnen helpen bij het verifiëren van geldige updates en het stoppen van kwaadaardige pakketten die zich voordoen als updates, een sleutelvector voor aanvallen op IoT-apparaten.

IoT-producten moeten ook informatie vastleggen over de beveiligingsstatus van de apparaten en de componenten daarin, zodat klanten kunnen worden gewaarschuwd wanneer beveiligingsrisico's ontstaan.

Dit zijn belangrijke stappen die moeten worden genomen om IoT-apparaten te beveiligen, maar er zijn nog een aantal onbeantwoorde vragen over hoe het nieuwe labelsysteem van de VS zal verlopen.

Wat zal het label aangeven?

NIST heeft de mogelijkheid besproken dat labels op binaire basis worden uitgedeeld, wat betekent dat apparaten het label krijgen op basis van of ze in aanmerking komen. De VS is echter slechts de laatste van een paar landen die IoT-labeling initieert.

Voor zijn eigen IoT-labelprogramma heeft Singapore vier beoordelingsniveaus vastgesteld voor de apparaten onder zijn labelsysteem. De eerste en laagste geeft aan dat het apparaat voldoet aan de basisvereisten voor de ETSI EN 303 645-norm. De tweede laat zien dat het product veilige levenscyclusfuncties bevat en voldoet aan Secure-By-Design-functies. De derde geeft aan dat het apparaat Software Binary Analysis heeft ondergaan door een extern laboratorium en vrij is van bekende veelvoorkomende softwarekwetsbaarheden. De laatste en hoogste standaard binnen het systeem van Singapore laat zien dat het apparaat verdere penetratietesten heeft ondergaan om zijn weerstand tegen veelvoorkomende cyberaanvallen aan te tonen.

Statische versus adaptieve labels

Goede cybersecurity is een constant bewegend doelwit. Als zodanig zal een statisch label waarschijnlijk niet geschikt zijn voor dat hoge tempo als er nieuwe bedreigingen en kwetsbaarheden opduiken. Een adaptief label dat zo snel kan accommoderen, is waarschijnlijk de beste manier om vooruit te komen. Dat kan in de vorm van een QR-code, die gebruikers kunnen scannen om toegang te krijgen tot een webpagina die gemakkelijk de beveiligingsrisico's kan verklaren en indien nodig kan worden bijgewerkt.

Het accommoderen van IoT-diversiteit

Het IoT omvat een grote verscheidenheid aan use-cases, van slimme waterkokers tot slimme steden. Alleen al deze twee use-cases hebben hun eigen overwegingen en vereisten. Een labelstandaard zal die diversiteit aan apparaattypes en use-cases moeten kunnen accommoderen en flexibel genoeg moeten zijn om verschillende oplossingen voor verschillende apparaten te bieden.

Hoe zit het met de toeleveringsketen?

De particuliere sector heeft zijn eigen etiketteringsnormen opgesteld, die aanwijzingen kunnen geven over het uiteindelijke resultaat van het Amerikaanse plan. Materie is ontwikkeld tussen de Alliantie voor connectiviteitsstandaarden (CSA) en een reeks Silicon Valley-giganten, gericht op het introduceren van interoperabiliteit en veilige communicatie tussen slimme apparaten voor thuisgebruik.

Om in aanmerking te komen voor een Matter-label, moeten ontwikkelaars apparaten ontwerpen met een gelaagde benadering van beveiliging en een bepaald niveau van crypto-flexibiliteit. Wat Matter echter een echt voordeel geeft, is het gebruik van PKI en digitale certificaten in de IoT-toeleveringsketen.

Mike Nelson

Veel van de verschillende beveiligingsproblemen van het IoT komen voort uit de veelzijdige en complexe toeleveringsketen. De verschillende fabrikanten, ontwikkelaars en leveranciers hebben mogelijk geen beveiligingsachtergrond en daarom gebruiken velen mogelijk onveilige componenten en ontwerppraktijken of zien ze veel van de beste praktijken over het hoofd die apparaten anders veilig zouden houden. Om in aanmerking te komen voor het Matter-label, moeten IoT-apparaten worden ingebed met een apparaatidentiteit via een certificaat dat vervolgens kan worden geverifieerd in de hele toeleveringsketen en in de handen van de consument. Problemen in de toeleveringsketen zijn een belangrijke oorzaak van de onveiligheid van het internet der dingen en de plannen van de Amerikaanse regering zouden dienovereenkomstig hun eisen moeten vastleggen.

Hoewel veel van de details van de IoT-labelprogramma's van de Amerikaanse overheid nog onduidelijk zijn, zou de beslissing om IoT-labels te introduceren in 's werelds grootste consumentenmarkt algemeen moeten worden toegejuicht. Consumenten kopen al jaren IoT-producten, en vaak zonder enige kennis van de inherente risico's. Wanneer consumenten op basis daarvan beslissingen kunnen nemen, kunnen ze niet alleen marktprikkels creëren voor goede beveiliging, maar kan digitaal vertrouwen een belangrijke vereiste worden voor IoT-producten.

De auteur is Mike Nelson, VP van digitaal vertrouwen, DigiCert.

Reageer op dit artikel hieronder of via Twitter: @IoTNow_OR @RTLnieuws

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.