Vandaag is Internet of Things (IoT) booming business. Gartner schat dat tegen 2020 meer dan 50 miljard geconnecteerde toestellen op de markt zullen zijn. Alles wat een connectie heeft met het internet, kan een bedreiging vormen voor je bedrijf. Digital.security wil nu meer garantie bieden door middel van een IoT-label na een testprocedure.
Door de bliksemsnelle evolutie van IoT kunnen nationale en Europese overheidsinstanties niet volgen om tijdig een standaard te vormen waaraan producten zich moeten houden. Zo’n certificering ligt potentieel vijf tot tien jaar in de toekomst, wat de markt opent voor andere instanties die sneller schakelen. Digital.security is zo’n partij.
Zij lanceren nu een IoT-label (IQS of IoT Qualified as Secured) dat fabrikanten kunnen aanvragen. Dankzij een reeks van labotesten wordt het resultaat geanalyseerd. Bij een positief verslag, wordt het label uitgedeeld en kan de fabrikant dit commercieel uitspelen.
Econocom
Digital.security is een onderdeel van Econocom en telt in België en Luxemburg 21 werknemers. In Frankrijk is de hoofdzetel van het bedrijf. Daar telt het ongeveer 200 werknemers en ligt de focus op veiligheidsinterventies van digitale systemen. Dat geldt zowel voor IoT als OT (operationele technologie). Door de uitgebreide kennis binnen de groep werd een IoT-label in het leven geroepen om fabrikanten te incentiveren.
Thomas Gayet, hoofdverantwoordelijke CERT bij Digital.security, benadrukt dat ze met dit label niet hebben willen wachten tot Europa een gezamenlijke oplossing klaar heeft. “De kans is groot dat we daarop nog vijf of tien jaar moeten wachten. De IoT-sector groeit razendsnel, wat begeleiding belangrijk maakt. We hebben in totaal honderden oplossing geanalyseerd en het label is daarvan het resultaat.”
“De IoT-sector groeit razendsnel, wat begeleiding belangrijk maakt.”
“Alle oplossingen die worden getest, komen terecht in een IoT-labo in Parijs van 30 m². Digital.security wil met het label oplossingen belonen die op vlak van veiligheid goed werk leveren. Het doel is om een neutraal, betrouwbaar en onafhankelijk label te worden.”
Twee verschillende labels
Een IoT-toestel is volgens Gayet een object dat zijn service versterkt door middel van connectiviteit. Tijdens de ontwikkeling van het IoT-label kwamen vijf belangrijke fouten aan het licht:
- Gebrek aan versleuteling van het updatesysteem van het geconnecteerde toestel
- Standaardwachtwoorden en andere standaardprotocollen
- Gebrek aan versleutelde communicatie
- Gegevens op het geconnecteerde toestel zijn niet altijd beveiligd
- Open laten van de debug interface, via fysieke toegang tot chip bereikbaar
Het IoT-label is beschikbaar in twee smaken: standaard en geavanceerd. De standaardtest controleert 25 verschillende parameters. De hogere certificering voegt vijf extra testen toe. De resultaten worden door een onafhankelijk comité van drie personen geëvalueerd: twee onderzoekers en een journalist gespecialiseerd in radiocommunicatie.
Geautomatiseerd labo
“Vandaag wordt er nog heel wat manueel werk geleverd in het labo”, zegt Gayet. “De bedoeling is om heel wat technische testen te (semi-)automatiseren. Denk daarbij aan experimenten in een kooi van Faraday of radiocommunicatieprotocollen. Ons engagement is dat het label uiterlijk binnen drie maanden beschikbaar is na indiening van het product. Bij herkeuringen wanneer een ecosysteem wordt uitgebreid, kan dat sneller gaan.”
Jaarlijks zou het label blijven evolueren om de industrie te begeleiden en om veiligheid te sensibiliseren rond IoT. Het label zoals het vandaag beschikbaar is, draait voorlopig enkel om de essentie.
Het IoT-label van Digital.security oogt interessant en neemt Europa op snelheid, maar tegelijk valt het moeilijk in te schatten hoe breed het draagvlak is.
Het IoT-label van Digital.security oogt interessant en neemt Europa op snelheid, maar tegelijk valt het moeilijk in te schatten hoe breed het draagvlak is en hoe belangrijk zo’n label is bij fabrikanten om daarin te investeren. Wie na toekenning van het label toch in de fout gaat op vlak van cyberveiligheid, kan alleen maar het label verliezen, zonder dat er boetes aan hangen.
Lokale spelers kunnen mogelijk baat hebben bij deze certificering, maar voor internationale fabrikanten lijkt het een druppel op een hete plaat. Vandaag zijn er nog geen producten die het label dragen volgens Digital.security, maar in bètatest zijn er wel een paar fabrikanten die hun oplossingen zullen voorzien van het IQS-label.
Gerelateerd: België stemt wet voor cyberbeveiliging jaar na Europese deadline