Onderzoekers ontwikkelen security- en privacylabel voor IoT-apparaten

[Captain Kirk]

Wie op dit moment een Internet of Things-apparaat koopt weet van tevoren vaak niet hoelang het apparaat met beveiligingsupdates wordt ondersteund of hoe er met wachtwoorden en het verzamelen van gegevens wordt omgegaan. Dergelijke informatie is niet op de verpakking te vinden. Aanleiding voor onderzoekers van de Carnegie Mellon University om een tool te ontwikkelen die security- en privacylabels voor IoT-apparaten genereert. Op deze manier kunnen gebruikers eenvoudig zien waar ze aan toe zijn als het om de privacy en security van hun potentiële nieuwe aanschaf gaat.

Voor het ontwikkelen van het security- en privacylabel werd met 22 security- en privacyexperts overlegd. Die konden aangeven wat in hun optiek de belangrijkste factoren zijn voor eindgebruikers die voor de aanschaf de privacy en security van IoT-apparaten willen vergelijken. Het eindresultaat werd vervolgens voorgelegd aan vijftien eindgebruikers die eerder al eens IoT-apparaten hadden aangeschaft.

De onderzoekers stellen dat er de afgelopen jaren tal van security- en privacyproblemen met IoT-apparaten aan het licht zijn gekomen. Iets waar particulieren zich ook zorgen over maken, zo blijkt uit verschillende onderzoeken. Deze onderzoeken laten ook zien dat particulieren graag meer informatie over de security en privacy van IoT-apparaten willen voordat ze een product aanschaffen. In de praktijk blijkt dat vaak features en prijs doorslaggevend zijn, maar dat is volgens de onderzoekers mogelijk te verklaren doordat particulieren niet over voldoende informatie beschikken om een weloverwogen keuze te maken.

Om eindgebruikers beter te informeren hebben verschillende landen voorgesteld om labels te introduceren. Hoe deze labels er precies moeten komen uit te zien en welke informatie ze moeten overbrengen is echter nog onbekend. Met hun onderzoek wilden de onderzoekers een dergelijk security- en privacylabel uitwerken. Volgens de onderzoekers werkt een label twee kanten op, waarbij ze de gezondheidslabels op voeding als voorbeeld noemen. De koper kan namelijk eenvoudig bepalen hoe gezond een product is en producenten worden aangemoedigd om gezondere producten aan te bieden.

De experts die werden ondervraagd noemen verschillende zaken die op het label moeten verschijnen, zoals hoelang het apparaat met beveiligingsupdates wordt ondersteund, wat voor data het apparaat verzamelt en hoelang, het soort sensoren waarover het apparaat beschikt, of het apparaat gesigneerde automatische beveiligingsupdates ontvangt, of er van standaardwachtwoorden gebruik wordt gemaakt en de garantieperiode.

Naast de directe informatie op het label zelf kwamen de onderzoekers ook met een tweede "informatielaag" die via een qr-code is op te vragen. Gebruikers krijgen door het scannen van de qr-code informatie over hoelang verzamelde gegevens worden bewaard, voor welk doel dit wordt gedaan, waar de data wordt opgeslagen, of een opt-out mogelijk is, of het apparaat ook zonder internetverbinding werkt, hoeveel stroom het verbruikt en verschillende andere zaken. De eindgebruikers die aan het onderzoek deelnamen blijken de labels goed te begrijpen. De onderzoekers hopen dan ook fabrikanten te vinden die het ontwikkelde label willen gaan testen (pdf).

 

bron: security.nl