De overheid overlegt over een wet voor de beveiliging van het Enterprise IoT. Wat gebeurt er nu?

Het Internet of Things (IoT) wordt vaak gezien als een technologisch geavanceerd ecosysteem van 'next-gen'-apparaten en back-endsystemen. De term werd eind jaren negentig voor het eerst gebruikt en veel zakelijke producten zijn eerder alledaags dan opvallend: denk aan printers en Network Attached Storage (NAS). Ze gaan vaak ook gepaard met beveiligingsproblemen.

Daarom komt de overheid haar belofte na om security by design te bevorderen in alle technologieën – met name die technologieën die zo belangrijk zijn voor de productiviteit en efficiëntie van bedrijven. Oproep tot het indienen van standpunten over de cyberbeveiliging van verbonden apparaten binnen bedrijven is slechts de eerste stap in een mogelijk lange reis om de basisbeveiliging van het IoT in bedrijven te verbeteren. De sleutel zal afhangen van wat er daarna gebeurt.

Hoe slecht is de beveiliging van IoT?

Om de noodzaak van beleidsinterventie te illustreren, heeft de overheid de NCC Group opdracht gegeven een kwetsbaarheidsbeoordeling van enkele veelgebruikte apparaten die met het bedrijf verbonden zijn. Het levert geen fraai leesvoer op.

In totaal beoordeelde de cybersecurityspecialist acht producten: een high-end en een low-end IP-camera, een NAS-apparaat, een vergaderruimtepaneel en een VoIP-apparaat. Van de 50 ontdekte problemen was er één met een kritieke ernst, negen met een hoog risico en 24 met een gemiddeld risico. Het kritieke probleem betrof een low-end NAS-apparaat waarvoor gebruikers bij het opstarten het standaardwachtwoord niet hoefden te wijzigen. NCC Group vond echter nog tal van andere problemen, waaronder:

• Verschillende “ernstige” kwetsbaarheden voor de uitvoering van code op afstand die ertoe kunnen leiden dat een niet-geverifieerde aanvaller het hele apparaat overneemt
• Verouderde software op verschillende apparaten, waaronder een high-end IP-camera-bootloader die meer dan 15 jaar oud was
• Geen bescherming tegen een aanvaller met fysieke toegang tot een apparaat die het wil compromitteren en een permanente achterdeur erop wil installeren
• De meeste apparaten draaien alle processen als 'root'-gebruiker, wat een aanvaller onbeperkte controle over een apparaat zou kunnen geven
• Onveilige configuratie van services, applicaties en functies
• Ongelijkmatige naleving van de NCSC-apparaatbeveiligingsprincipes en de ETSI EN 303 645-standaard

"Veel IoT-apparaten draaien processen die het risico op een volledige systeemcompromittering kunnen vergroten. We ontdekten dat deze beveiligingslekken vaak het gevolg zijn van overhaaste ontwikkeling, kostenbesparende maatregelen of pogingen om de complexiteit van monitoring te verminderen", vertelt Jon Renshaw, directeur beveiligingsonderzoek van de NCC Group, aan ISMS.online.

“De gevolgen van het bezuinigen zijn vaak verstrekkend en hebben een impact op de manier waarop organisaties hun IoT-oplossingen implementeren.”

Drie opties op tafel

Volgens het document met de oproep tot het indienen van standpunten van de overheid zijn er twee belangrijke uitdagingen op de markt voor zakelijk IoT. De eerste zijn de fabrikanten zelf. De overheid beweert dat de "bekendheid en acceptatie" van een best practice-gids met "11 principes" die in 2022 is opgesteld door het Department for Science, Innovation and Technology (DSIT) en het National Cyber ​​Security Centre (NCSC), "laag" is gebleven.

Het tweede probleem betreft IT-kopers. gegevens Uit een onderzoek van de overheid uit 2021 blijkt dat 58% van de Britse bedrijven geen "beveiligings- of inkoopcontroles" vereist bij investeringen in nieuwe verbonden apparaten. Hierdoor gebruiken ze apparaten met onveilige configuraties, verouderde software en ontoereikende beveiligingsfuncties, aldus de overheid.

Daarom stelt de overheid een tweefasenplan voor. Het eerste omvat de ontwikkeling van een gedragscode voor de beveiliging van verbonden apparaten in bedrijven, gebaseerd op het document met 11 principes. Dit zal fabrikanten helpen om veiligere producten te ontwerpen en te bouwen en potentiële kopers te helpen weloverwogen aankoopbeslissingen te nemen.

In de tweede fase vraagt ​​de overheid de meeste input van de industrie. De drie voorstellen voor 'beleidsinterventies' zijn:

1. Een vrijwillige belofte Fabrikanten van IoT-apparaten voor bedrijven zouden tekenen om de markt te bewijzen dat ze beveiliging serieus nemen. Hoewel het niet juridisch bindend is, zouden ondertekenaars zich er publiekelijk toe moeten verbinden om "meetbare vooruitgang te boeken" ten opzichte van de principes in de gedragscode "binnen een bepaald tijdsbestek".
2. Een nieuwe wereldwijde standaard Ontworpen om voort te bouwen op en aan te sluiten bij bestaande normen zoals ETSI EN 303 645 en de concept-ISO 27402. Deze norm zou ook gebaseerd zijn op de gedragscode en "werken aan het bereiken van internationale consensus over hoe best practices eruitzien". Dit valt echter eerder onder de "wortel"- dan onder de "stok"-benadering, aangezien naleving theoretisch gezien ook vrijwillig zou zijn.
3. Nieuwe wetgeving ontworpen om de 11 principes/gedragscode in de wet te verankeren. Dit zou de vorm kunnen aannemen van een uitbreiding naar de Wet op productbeveiliging en telecommunicatie-infrastructuur (PSTI) 2022 of een aparte wet. De overheid erkent dat, gezien het wereldwijde karakter van IoT-toeleveringsketens, wetgeving vaak de enige manier is om ervoor te zorgen dat fabrikanten best practices volgen.

"In tegenstelling tot consumenten hebben bedrijven een grotere mogelijkheid om ervoor te zorgen dat belangrijke beveiligingsmaatregelen worden getroffen, zoals het inzetten van speciaal personeel om ervoor te zorgen dat beveiligingsupdates snel worden uitgerold om problemen op te lossen en een beter begrip van hun netwerk", aldus de overheid. "We zullen daarom overwegen om bedrijven en andere eindgebruikers specifieke verplichtingen op te leggen om specifieke maatregelen te nemen."

John Moor, directeur van The IoT Security Foundation (IoTSF), is blij met de interesse van de overheid om het bewustzijn rondom apparaatbeveiliging te vergroten en de sector te betrekken bij het uitzoeken "of het aanmoedigen of verplichten van bepaald gedrag het meest passend is voor de zorgplicht".

Hij vertelt ISMS.online dat de vrijwillige code weliswaar een "verstandig" idee lijkt, maar dat het creëren van nóg een beveiligingsgerelateerde standaard wellicht niet de juiste weg is, omdat dit waarschijnlijk de complexiteit zal vergroten. Moor is daarom voorstander van het uitbreiden van een bestaande standaard als alternatief. Hij is ook sceptisch over nieuwe regelgeving.

"Het lastige is hoe je de noodzakelijke verandering teweegbrengt: het vinden van de juiste balans tussen waarborgen en het niet onderdrukken van innovatie of het aanmoedigen van reactief gedrag dat tegen de bedoeling ingaat", betoogt Moor.

“Wat ik de afgelopen tien jaar heb geleerd, is dat het vrijwel onmogelijk is om dit soort regelgeving goed te krijgen – zelfs de PSTI-wet met drie eenvoudige vereisten is niet eenvoudig, en we zijn ons bewust van een aantal terechte zorgen vanuit de industrie.”

Moor beweert dat “er complicaties ontstaan ​​en de kosten snel oplopen door het nieuwe regelgevingsapparaat”, en dat nieuwe wetgeving daarom alleen als laatste redmiddel moet worden gezien, als alle andere opties zijn uitgeput.

Renshaw van NCC Group is positiever over regelgeving en beweert dat het gedragsveranderingen bij IoT-fabrikanten kan stimuleren.

"De wetgeving zou fabrikanten moeten verplichten om: onafhankelijke beoordelingen van hun producten door derden uit te voeren voordat deze op de markt worden gebracht; blijk te geven van de nodige zorgvuldigheid in hun toeleveringsketens; verantwoording af te leggen voor beveiligingsproblemen die van invloed zijn op hun producten; en de rollen en verantwoordelijkheden van fabrikanten en eindgebruikers/klanten duidelijk te maken", vervolgt hij.

"Als deze punten op elkaar worden afgestemd, zal de wetgeving gegevens in alle bedrijfsecosystemen beschermen en ervoor zorgen dat fabrikanten verantwoordelijkheid nemen voor de beveiliging van hun producten."

In de tussentijd

Geen van de drie bovenstaande opties sluit elkaar uit, en de overheid heeft de industrie gevraagd of er aanvullende maatregelen moeten worden overwogen. Maar dit zal tijd kosten. De oproep voor zienswijzen sluit op 7 juli, maar het tijdschema daarna is onduidelijk. In de tussentijd moeten IT-managers van bedrijven ervoor zorgen dat wat ze kopen en operationeel maken, veilig is.

"IoT-kopers moeten eerst hun behoeften beter begrijpen en deze vervolgens afstemmen op het marktaanbod. Zodra ze hun eisen begrijpen – wat doorlopend onderhoud gedurende de aangegeven levensduur moet omvatten – is het een kwestie van de beste leveranciers kiezen die aan die behoeften voldoen", aldus Moor.

Fabrikanten zouden getest moeten worden op hun 'secure by design'-aanpak en onderhoudsondersteuning. En kopers zouden minimaal om 'secure by default'-oplossingen moeten vragen.

Renshaw van NCC Group adviseert IoT-kopers om te kiezen voor leveranciers "met een sterke reputatie op het gebied van beveiliging en toewijding aan industrienormen". Hij voegt eraan toe dat continue ondersteuning en regelmatige firmware-updates ook belangrijk zijn. Hij stelt dat netwerkverdedigers daarbovenop "robuust kwetsbaarheidsbeheer", netwerksegmentatie en netwerkmonitoring moeten implementeren om risico's te beperken.

De IoTSF onderhoudt een handig IoT Security Assurance Framework die alle bestaande en nieuwe normen en regelgeving in kaart brengt, inclusief dit voorstel en de EU Cyber ​​Resilience Act (CRA). Zowel fabrikanten als kopers kunnen het gebruiken om inzicht te krijgen in het steeds complexere regelgevingslandschap.