DearBytes: ‘vrijwillig IoT-keurmerk zorgt voor schijnveiligheid’

Securityspecialist DearBytes waarschuwt dat een vrijwillig keurmerk voor Internet of Things (IoT)-apparatuur kan zorgen voor schijnveiligheid. Vorige week pleitte het Agentschap Telecom voor zo’n keurmerk op vrijwillige basis. 

DearBytes roept de politiek op om snel te komen met een 1.0-versie van een keurmerk waar bedrijven in de EU wettelijk aan zijn gehouden. Producten met dit keurmerk zouden moeten voldoen aan in ieder geval basale securityeisen.

D66 pleitte al in 2016 voor een Nederlands keurmerk voor veilige IoT-apparaten, in afwachting van Europese regels voor de veiligheid van dit soort devices. In maart van dit jaar nam het kabinet een motie aan om op Europees niveau te pleiten voor verplichte certificering van IoT-apparaten. Deze voorstellen hebben vooralsnog tot niets geleid. De introductie van een Europees keurmerk dat alle securityaspecten afdekt, kost immers veel tijd.

Het Agentschap Telecom riep het bedrijfsleven daarom op om op korte termijn een vrijwillig keurmerk in te voeren voor veilige IoT-apparatuur. Volgens Erik Remmelzwaal, directeur bij DearBytes, zorgt zo’n keurmerk in de praktijk niet voor meer veiligheid.

“Met een vrijwillig keurmerk zijn onveilige producten niet van de markt te weren. Alleen wetgeving dwingt meer veiligheid af”, aldus Remmelzwaal. Daarom pleit hij voor een snelle introductie van een beperkte versie van een IoT-keurmerk. Die is niet volledig, maar kan al wel zorgen voor meer veiligheid. Met politieke druk zou het mogelijk moeten zijn om al in 2019 een 1.0-versie te lanceren.

DearBytes pleit voor een pragmatische aanpak. Omdat een keurmerk dat ieder IoT-securityrisico afdicht veel tijd in beslag neemt, stelt Remmelzwaal voor om te focussen op de punten waar het in de praktijk het meest fout gaat. Uit de vele voorbeelden in de media blijkt dat de meest basale veiligheidsaspecten niet goed geregeld zijn. Volgens DearBytes moet een keurmerk dan ook in eerste instantie deze ‘basics’ afdichten.

1. Standaardwachtwoord wijzigen verplicht
2. Versleuteling netwerkverkeer
3. Toegangscontrole bij cloudopslag
4. Automatische updates

De opname van deze vier checks in een keurmerk versie 1.0 zou volgens Remmelzwaal een enorme stap vooruit betekenen. Het keurmerk kan eventueel aangevuld worden met andere controles, bijvoorbeeld op basis van het IoT-project van OWASP: de IoT Security Guidance.