Bent u klaar voor de nieuwe IoT-beveiligingswet van Groot-Brittannië?

Bent u klaar voor de nieuwe IoT Security Act van Groot-Brittannië?

Door Phil Muncaster • 23 januari 2024

De Britse markt voor verbonden technologieën wordt al jaren overspoeld met onveilige kits. Dat is slecht nieuws voor consumenten en bedrijven, aangezien gecompromitteerde apparaten kunnen worden gebruikt om aanvallen tegen beide uit te voeren, terwijl het vertrouwen van de markt in nieuwe technologie wordt ondermijnd. Nu de gemiddelde Brit er toegang toe heeft ruim negen verbonden apparaten heeft de overheid te laat wetgeving ingevoerd om de basisveiligheidsnormen te verbeteren. Het werd van kracht in december 2023.

Hoewel niet perfect, de Wet op productbeveiliging en telecommunicatie-infrastructuur (PSTI) 2022 belooft het begin te zijn van een strenger nalevingsregime voor fabrikanten, distributeurs en importeurs van slimme producten.

Waarom hebben we de PSTI-wet nodig?

Het IoT-risico is nog niet begonnen met Mirai, maar het was de eerste grote bedreiging die de kwetsbaarheden blootlegde die inherent zijn aan verbonden technologieën. Bedreigingsactoren gebruikten de gelijknamige malware om te zoeken naar aangesloten IoT-apparaten die nog steeds de standaard gebruikersnaam en het standaardwachtwoord gebruiken waarmee ze de fabriek verlieten. Vervolgens logde het apparaat in om op afstand de eindpunten te kapen om een botnet voor DDoS, klikfraude, spamcampagnes en andere bedreigingen te bouwen.

Een ander veelvoorkomend probleem bij IoT-kits van zowel bedrijven als consumenten zijn kwetsbaarheden in de firmware zelf, die kunnen worden uitgebuit door bedreigingsactoren. Een recent onderzoek van de IoT Security Foundation (IoTSF) gevonden dat slechts 27% van de 332 beoordeelde IoT-fabrikanten voert zelfs programma’s uit om kwetsbaarheden openbaar te maken. Getroffen producten kunnen variëren van netwerkrouters tot medische en DVR's tot babyfoons.

Wat staat er in de PSTI-wet?

Dit is waar de PSTI-wet in beeld komt. Het zijn eigenlijk twee stukken wetgeving in één, maar het is de eerste helft, over “productveiligheid”, waarin we geïnteresseerd zijn. Het doel is simpel: IoT op consumentenniveau maken kits die in Groot-Brittannië worden verkocht, zijn standaard veiliger. Het schrijft voor dat fabrikanten, distributeurs en importeurs strikte regels voor IoT-producten moeten volgen. De opname van de laatste twee entiteiten is bedoeld om ervoor te zorgen dat organisaties de regels niet zomaar kunnen omzeilen door onveilige producten van buiten het land te importeren.

Dus wat verplicht het? Voortbouwend op de ETSI EN 303 645 (5.1 tot 5.3) standaard en, voor beveiligingsrapportage, ISO/IEC 29147, zijn er drie belangrijke elementen:

wachtwoorden:

Moet uniek zijn voor elk product of gedefinieerd zijn door de gebruiker. In de fabriek bepaalde wachtwoorden mogen niet gemakkelijk te raden of op te sommen zijn.

Openbaarmaking van kwetsbaarheden:

Er moet minimaal één aanspreekpunt zijn bij de fabrikant/distributeur/importeur, en wanneer zij een beveiligingsrapport ontvangen, moeten zij dit bevestigen en updates sturen totdat er een oplossing is bereikt.

Minimale periode van beveiligingsupdate:

Er moet informatie worden gepubliceerd over de updateperiode. Er is geen minimum gesteld, alleen dat het gepubliceerd moet worden. Er staat ook dat de periode niet kan worden ingekort, maar wel kan worden verlengd.

IoTSF-directeur John Moor vertelt ISMS.online dat deze vereisten deels technisch en deels procesgebaseerd zijn.

“Fabrikanten zullen producten moeten ontwerpen die 'out of the box' unieke en sterke wachtwoorden hebben, en gebruikers moeten deze kunnen wijzigen. Dit heeft duidelijke implicaties voor de manier waarop producten worden ontworpen. De tweede vereiste is een poging om ervoor te zorgen dat de veiligheid behouden blijft – dat bekende kwetsbaarheden ter plaatse kunnen worden verholpen of, in extreme situaties, kunnen worden teruggehaald. Dit betekent dat alle bedrijven een proces moeten hebben waarbij 'onderzoekers' of leken contact kunnen opnemen met de leverancier en beveiligingsproblemen kunnen melden”, voegt hij eraan toe.

“De derde vereiste is om de consument te informeren over wat er kan worden verwacht op het gebied van beveiligingsonderhoud – dit heeft ook gevolgen voor de ontwerpfase – hoe worden beveiligingsupdates mogelijk gemaakt? Wat is het proces voor massa-updates?”

Organisaties die de wet overtreden, kunnen een boete krijgen van maximaal £10 miljoen of 4% van hun wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is. De PSTI-wet geeft de minister van Buitenlandse Zaken ook de bevoegdheid om stop- en terugroepbevelen uit te vaardigen.

Hoe verhoudt dit zich tot het Europese regime?

Het equivalente regime in de EU is het Wet Cyberweerbaarheid (CRA), dat zich nog steeds een weg baant door de wetgevende instellingen van het blok. Het lijkt erop dat de lat hoger wordt gelegd Als het gaat om IoT-beveiliging, worden verplichte IoT-producten geproduceerd met een standaard veilige configuratie, zonder exploiteerbare kwetsbaarheden, en beschikken ze over passende authenticatiemechanismen en, indien relevant, over gegevensversleuteling. Risico- en conformiteitsbeoordelingen zullen ook vereist zijn zolang ze niet in Groot-Brittannië zijn.

Voor de organisaties die actief zijn in Groot-Brittannië en de EU zou naleving niet moeilijk moeten zijn, zolang ze zich aan het strengere EU-regime houden.

“Gelukkig is er een voortdurende dialoog geweest met de Britse autoriteiten en hun respectieve tegenhangers in de EU. Voor zover wij weten, zullen bedrijven in staat zijn om de vereisten van Groot-Brittannië en de EU op elkaar af te stemmen zonder noemenswaardige overheadkosten”, zegt Moor.

“In bijlage 4 is vastgelegd hoeveel informatie minimaal in een conformiteitsverklaring moet worden vermeld. Fabrikanten zullen een minimale hoeveelheid informatie op hun conformiteitsverklaring moeten verstrekken en een handtekening moeten zetten om de conformiteitsverklaring officieel te maken. Een kopie van de verklaring moet minimaal tien jaar worden bewaard.”

De Britse PSTI Act wordt in april 2024 van kracht, terwijl de CRA waarschijnlijk pas eind 2025 zal landen, wat betekent dat fabrikanten en importeurs meer tijd hebben om zich voor te bereiden, vertelt Bridewell-hoofdadviseur Alan Blackwell aan ISMS.online.

Gaat het ver genoeg?

Er bestaat nog steeds enige discussie over de vraag of de PSTI-wet een gemiste kans is om een hogere lat voor IoT-beveiliging in te voeren. Blackwell legt uit dat het gebruik maakt van zowel ETSI EN 303 645 als een Britse Code of Practice for Consumer IoT Security, die in 2018 werd gepubliceerd.

“Maar alleen de drie belangrijkste [ETSI]-vereisten, van de in totaal dertien, zijn in de eerste versie van de regelgeving terechtgekomen. Een van de huidige omissies is bijvoorbeeld de noodzaak om veilige communicatie via internet aan te bieden”, voegt hij eraan toe. “In de loop van de tijd hopen we dat de wet voortbouwt op de eerste drie vereisten en er nog meer uit de Britse Code of Practice en ETSI in opneemt.”

De Moor van de IoTSF is het daarmee eens en beschrijft de wet als een “noodzakelijke eerste stap” die een basis zal bieden om op voort te bouwen.

“Regelgeving is een mooie evenwichtsoefening tussen het bereiken van de gestelde doelen en het vermijden van onbedoelde gevolgen – in dit geval niet het onderdrukken van innovatie”, betoogt hij. “De aanpak die de Britse regering heeft gevolgd is verstandig – zij stelt een minimumniveau aan eisen en zal deze in de loop van de tijd indien nodig evolueren.”

Blackwell van Bridewell beweert dat de handhaving van de wet uiteindelijk zal bepalen hoe effectief deze is bij het verbeteren van de basisveiligheid in de sector.

“We verwachten dat de regelgeving in het begin met een lichte aanraking zal beginnen, terwijl fabrikanten, distributeurs en importeurs zichzelf op orde krijgen. Maar traditioneel zien we bij dit soort cybersecurityregelgeving dat de handhavingsmaatregelen van de toezichthouder na een paar jaar beginnen toe te nemen”, besluit hij.

Toch mogen organisaties, nu de PSTI-wet van kracht is, geen tijd verspillen met het doorvoeren van de juiste technische en proceswijzigingen die nodig zijn om te voldoen.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster