Geen duidelijk pad richting veiligere IoT-apparaten

Abraham54

Beheerder
Forumleiding
Lid geworden
2 augustus 2016
Berichten
35.822
Waarderingsscore
6.980
Punten
113
Leeftijd
70
OS
Windows 11 Professional
AV
Microsoft Defender
FW
Windows Firewall
detail.png

Onderzoeker: geen duidelijk pad richting veiligere IoT-apparaten

zaterdag 16 mei 2020, 10:53 door Redactie, 9 reacties

De afgelopen jaren hebben tal van instanties, onderzoekers en beleidsmakers zich beziggehouden met de veiligheid van
Internet of Things-apparaten, maar ondanks voorstellen voor labels en acties die eindgebruikers en fabrikanten zouden
moeten uitvoeren is er geen duidelijk pad richting veiligere IoT-apparaten, zo stelt onderzoeker Alexander Vetterl van de
Universiteit van Cambridge.

Vetterl wijst naar drie onderzoeken die naar verschillende aspecten van de IoT-omgeving keken. Het eerste onderzoek (pdf)
keek naar het gedrag van mensen die IoT-apparatuur aanschaffen. Kopers zeggen privacy en security belangrijk te vinden,
maar vinden prijs en features nog belangrijker. Wel waren deelnemers aan het onderzoek bereid om tien tot dertig procent
meer voor hun IoT-apparaat te betalen als ze de garantie kregen dat hun security en privacy werd beschermd. Iets wat in
de praktijk lastig te meten valt, aldus Vetterl.

De onderzoekers bedachten daarop een veiligheidslabel zodat potentiële kopers konden zien of het om een veilig
apparaat ging. Hoewel deelnemers aan het onderzoek het label begrepen, gaven ze aan bekende merken zonder label
meer te vertrouwen dan onbekende merken met een dergelijk veiligheidslabel.

Updates

Het tweede onderzoek keek naar de manier waarop fabrikanten en gebruikers omgaan met beveiligingsupdates.
Voor het onderzoek werd het patchmanagement van zes fabrikanten geanalyseerd. Het ging om totaal 450 IoT-apparaten
die tussen 2006 en 2017 op de markt verschenen. Vijf van deze fabrikanten bleken tijdig met beveiligingsupdates te komen.
Fabrikanten maakten echter niet duidelijk aan hun klanten wanneer het om ernstige kwetsbaarheden ging.

Ondanks de beschikbaarheid van updates blijken eindgebruikers die niet altijd te installeren. Canonical vroeg tweeduizend
mensen hoe ze met beveiligingsupdates voor hun IoT-apparatuur omgaan (pdf). 31 procent installeert updates zodra ze
beschikbaar zijn. Veertig procent had sinds de aanschaf nog nooit een update voor hun IoT-apparaat geïnstalleerd en acht
procent wist niet wat een firmware-update is.

Adviezen

Als het om IoT-veiligheid gaat zijn er tal van adviezen en best practices te vinden, wat het onderwerp van
het derde onderzoek was. Voor dit onderzoek werd er naar 1014 adviezen, richtlijnen, aanbevelingen, standaarden en
best practices van overheden, academici en industrie gekeken. Daaruit kwam naar voren dat maar liefst 91 procent van de
onderzochte items niet eenvoudig is uit te voeren, maar eerder een overzicht van gewenste uitkomsten biedt.

Wanneer zelfs beveiligingsexperts de adviezen en richtlijnen lastig vinden uit te voeren is het onrealistisch om te
verwachten dat fabrikanten ze implementeren, aldus de onderzoekers. Verder bleek dat het grootste deel van de
onderzochte adviezen (706) door de fabrikant moet worden uitgevoerd, en er slechts 260 door de eindgebruiker zijn
op te pakken. Volgens de onderzoekers spelen fabrikanten dan ook een centrale rol in de veiligheid van IoT-apparaten.
Fabrikanten hebben echter onvoldoende prikkels om best practices door te voeren, aldus de onderzoekers, die stellen
dat het daarom beter is om eindgebruikers te onderwijzen en zo hun koopgedrag te beïnvloeden.

Weg voorwaarts

Volgens Vetterl laten de onderzoeken zien dat de IoT-omgeving complex is en er allerlei verschillende krachten spelen,
zoals economische prikkels, de verwachtingen en het gedrag van kopers en allerlei adviezen die niet eenvoudig zijn
uit te voeren en vaak buiten de mogelijkheden van de koper liggen. "Het is duidelijk dat zelfregulatie van de IoT-markt
grotendeels onsuccesvol is geweest, maar er is geen duidelijke weg voorwaarts", aldus de onderzoeker.

Moet er bijvoorbeeld een vrijwillige of verplichte ranking van IoT-fabrikanten komen en hoe moet die eruit zien zodat
eindgebruikers er ook gebruik van maken? Moeten beleidsmakers bijvoorbeeld verplichte updatelabels introduceren
en wat zullen de gevolgen zijn van strengere regimes voor productveiligheid en aansprakelijkheid, vraagt Vetterl zich af.
"Het onderzoeken en beantwoorden van deze vragen heeft niet alleen gevolgen voor het Internet of Things, maar ook
andere technologieplatformen", besluit de onderzoeker.

Bron:
 
Terug
Bovenaan Onderaan