Er zijn wereldwijd naar schatting 7,74 miljard met het IoT verbonden apparaten en dit aantal zal naar verwachting toenemen tot 29 miljard in 2030. De afgelopen maanden hebben we een aantal grote aankondigingen gezien in het streven om aangesloten apparaten weerbaarder te maken tegen cybercriminaliteit. Daartoe behoren de nieuwe wereldwijde norm van de Connectivity Standards Alliance (CSA) en het voorstel van de Europese Unie (EU) voor de Cyber Resilience Act. Maar hoe gaan deze inspanningen ervoor zorgen dat apparaten beter bestand zijn tegen cyberaanvallen?
Hoe gaat de Connectivity Standards Alliance (CSA) de beveiliging van apparaten wereldwijd uniform maken?
Tot nu toe was er geen vereenvoudigde, wereldwijd aanvaarde norm voor het verbinden van IoT-apparaten, wat ertoe heeft geleid dat consumenten thuis meerdere, verwarrende methoden hebben om ze te verbinden. De Connectivity Standards Alliance (CSA) wil dit veranderen en er tegelijkertijd voor zorgen dat nieuwe apparaten veilig zijn met een nieuwe wereldwijde norm. De norm, bekend onder de naam Matter, bevordert de interoperabiliteit tussen apparaten en platforms en ontwikkelt de toekomst van het slimme huis.
Lees ook: GlobalSign sluit zich aan bij de Connectivity Standards Alliance
Meer informatie over de beveiliging van IoT-apparaten
Wat is de Cyber Resilience Act?
Het voorstel voor de Cyber Resilience Act werd in september 2022 door de EU gepubliceerd en is een verordening die tot doel heeft de regels inzake cyberbeveiliging aan te scherpen om ervoor te zorgen dat de hardware- en softwareproducten op de EU-markt veiliger zijn.
Hardware- en softwareproducten worden steeds vaker het slachtoffer van cyberaanvallen, waarvan de kosten wereldwijd worden geschat op 5,5 biljoen euro. Momenteel bevat het EU-rechtskader geen regeling voor de cyberveiligheid van niet-ingebedde software en daarom werden in het voorstel twee hoofddoelstellingen vastgesteld:
- Hardware- en softwareproducten op de markt brengen met minder kwetsbaarheden, door voorwaarden te scheppen voor de ontwikkeling van veilige producten met digitale elementen en ervoor te zorgen dat fabrikanten de beveiliging gedurende de gehele levenscyclus van een product serieus nemen.
- Gebruikers in staat stellen rekening te houden met cyberveiligheid bij de keuze en het gebruik van producten met digitale elementen
Hoe zal de voorgestelde Cyber Resilience Act apparaten beveiligen?
Als eerste EU-wetgeving in zijn soort zal de Cyber Resilience Act verplichte cyberbeveiligingseisen invoeren voor producten met digitale elementen, gedurende hun hele levenscyclus. Dit zal naar verwachting zowel voor consumenten- als voor industriële producten gelden. De voorgestelde maatregelen omvatten een kader dat de hele waardeketen omvat, van planning, ontwerp en ontwikkeling tot onderhoud en voortdurende ondersteuning.
Bron: Factsheet Cyber Resilience Act
Wat zijn de verplichtingen van fabrikanten onder de voorgestelde Cyber Resilience Act?
- Er wordt rekening gehouden met cyberbeveiliging in alle fasen: planning, ontwerp, ontwikkeling, productie, levering en onderhoud.
- Alle cyberbeveiligingsrisico's worden gedocumenteerd
- Actief uitgebuite kwetsbaarheden en incidenten moeten worden gemeld
- Na verkoop moeten fabrikanten ervoor zorgen dat gedurende de verwachte levensduur van het product of gedurende een periode van vijf jaar (de kortste periode is van toepassing) doeltreffend wordt omgegaan met kwetsbaarheden.
- Duidelijke en begrijpelijke instructies voor het gebruik van producten met digitale elementen
- Beveiligingsupdates moeten ten minste vijf jaar beschikbaar zijn
Wanneer kan de Cyber Resilience Act van kracht worden?
De Cyber Resilience Act wordt momenteel herzien door het Europees Parlement en de Raad. Als het voorstel wordt aangenomen en van kracht wordt, hebben de marktdeelnemers en de lidstaten twee jaar de tijd om zich aan de nieuwe eisen aan te passen.
De verplichting om actief uitgebuite kwetsbaarheden en incidenten te melden geldt pas na één jaar.
Hoe kunnen verbonden apparaten nu worden beveiligd?
Hoewel de voorgestelde CRA een belangrijke ontwikkeling is, zijn er stappen die u kunt nemen om apparaten nu al te beveiligen met PKI-technologie (Public Key Infrastructure).
PKI levert een vertrouwde IoT-ervaring die wordt ondersteund door veilige digitale certificaten en met het IoT Identity Platform van GlobalSign wordt apparaatbeveiliging schaalbaar, flexibel en interoperabel.
