Britse overheid wil unieke wachtwoorden voor IoT-apparaten

[Captain Kirk]

Als het aan de Britse overheid ligt worden Internet of Things-apparaten straks met een uniek wachtwoord geleverd dat niet naar een universeel standaardwachtwoord is terug te zetten. Het Britse ministerie voor Digitale Zaken, Cultuur, Media & Sport is een internetconsultatie gestart over de veiligheid van IoT-apparaten voor particulieren. Het doel is om tot richtlijnen te komen voor fabrikanten, serviceproviders, ontwikkelaars en winkels.

Volgens het ministerie worden er op dit moment grote aantallen IoT-apparaten verkocht die zelfs de meest basale beveiligingsmaatregelen missen. Deze kwetsbare apparaten kunnen de achilleshiel van iemands netwerk worden en de privacy en persoonlijke veiligheid van de gebruiker ondermijnen. Gecompromitteerde IoT-apparaten zijn in het verleden voor grootschalige ddos-aanvallen ingezet. "Deze situatie is onhoudbaar", aldus het ministerie.

De Britse regering vindt dat IoT-apparaten met ingebouwde security moeten worden geleverd in plaats van dat wordt aangenomen dat de gebruiker verantwoordelijk is voor de beveiliging. In samenwerking met experts zijn er nu door de overheid drie regels opgesteld die als minimale basisbeveiliging moeten worden gezien. Deze regels moeten verplicht gaan gelden voor IoT-apparaten die in het Verenigde Koninkrijk worden aangeboden.

Als eerste moeten alle IoT-apparaten met een uniek wachtwoord worden geleverd dat niet terug te zetten is naar een universeel standaardwachtwoord. Fabrikanten moeten daarnaast een contactpersoon vermelden waar onderzoekers beveiligingslekken kunnen melden. Verder zullen fabrikanten aangeven hoelang een IoT-product beveiligingsupdates blijft ontvangen. Deze maatregelen zouden gebruikers tegen de grootste risico's moeten beschermen.

De maatregelen kunnen op verschillende manieren in de praktijk worden geimplementeerd. Zo kunnen winkels worden verplicht om alleen IoT-apparaten te verkopen die over een "security label" beschikken dat door de fabrikanten zelf wordt opgesteld. Een tweede optie is om winkels te verplichten dat ze alleen producten aanbieden die aan de drie regels van de overheid voldoen. De derde en laatste optie verplicht winkels om alleen producten te verkopen die aan dertien eerder gestelde regels voldoen.

De Britse overheid is van plan om later dit jaar een vrijwillig "security label" te lanceren totdat wetgeving van kracht wordt en de regering heeft beslist welke maatregelen onderdeel van deze wetgeving zijn. Via de internetconsultatie wordt nu om feedback gevraagd, bijvoorbeeld of de overheid zich met regelgeving voor IoT-producten moet bemoeien en of een security label gewenst is.

 

 

bron: security.nl