ETSI, het Europees Telecommunicatie Standaardisatie Instituut, heeft onlangs de norm EN 303 645 gepubliceerd, als baseline voor de cybersecurity van IoT-consumentenproducten.


ETSI heeft onlangs ETSI EN303 645 gepubliceerd. Deze norm voor cybersecurity in het Internet of Things (IoT) stelt een veiligheidsbaseline vast voor internetgeconnecteerde consumentenproducten en zorgt voor een basis voor eventuele toekomstige IoT-certificatieschema's. 

Naarmate meer apparaten in huis verbinding maken met het internet, wordt de cyberveiligheid van IoT een grotere bezorgdheid. Gebruikers vertrouwen hun persoonlijke gegevens toe aan een toenemend aantal online apparaten en diensten. Daarnaast worden producten en apparaten die van oudsher offline waren, nu met elkaar verbonden en moeten ze zo worden ontworpen dat ze bestand zijn tegen cyberbedreigingen. Slecht beveiligde producten vormen een bedreiging voor de privacy van de consument en sommige apparaten worden gebruikt om grootschalige DDoS (Distributed Denial of Service) cyberaanvallen te lanceren. 

EN 303 645 gaat in op deze kwestie en specificeert dertien bepalingen (zie tabel 1) voor de beveiliging van consumentenapparatuur met internetaansluiting en de bijbehorende diensten, evenals vijf bepalingen inzake gegevensbescherming. IoT-producten in het toepassingsgebied omvatten geconnecteerde veiligheidsrelevante producten zoals rookmelders en deursloten, geconnecteerde domotica en alarmsystemen, slimme camera's, TV's, geconnecteerde apparaten (bijv. wasmachines, koelkasten), geconnecteerd speelgoed en babymonitors. 

Tabel 1 : Cybersecurity provisions for consumer IoT

No universal default passwords

Implement a means to manage reports of vulnerabilities

Keep software updated

Securely store sensitive security parameters

Communicate securely

Minimize exposed attack surfaces

Ensure software integrity

Ensure that personal data is secure

Make systems resilient to outages

Examine system telemetry data

Make it easy for users to delete user data

Make installation and maintenance of devices easy

Validate input data

Download ETSI EN 303 645 “Cyber Security for Consumer Internet of Things: Baseline Requirements”