Geldende IoT wetgeving in Californië

Geldende IoT wetgeving in Californië Door: 4S Industrie B.V.

 De IoT apparaten, de smarthomes en de aangesloten apparaten moeten ons leven gemakkelijker maken. Dat klinkt heel goed voor iedereen en wie wil er nu niet op afstand de temperatuur in zijn of haar appartement via de pap instellen?

Systemen en apparaten met internettoegang zijn tegenwoordig een belangrijk IT veiligheidsrisico. De staat Californië in de Verenigde Staten is de eerste in dit land die een wet (SB-327) over IT-beveiliging voor het IoT (Internet of Things) heeft aangenomen die sinds 1 januari 2020 van kracht is.

Deze wet is van toepassing op alle apparaten die direct of indirect met het internet zijn verbonden en stelt een minimale eis aan de IT-beveiliging van het apparaat.

De wet SB-327 verplicht fabrikanten om zorg te dragen voor een adequate beveiliging en boven alles om vooral geen standaardwachtwoorden te gebruiken.

De interpretatie van MB connect line van deze wet is als volgt:

  1. Het veiligheidsniveau van het apparaat moet worden aangepast aan de toepassing of aan de use case. Voor een sensor die alleen gegevens aanlevert zijn bijvoorbeeld andere maatregelen nodig dan voor een remote access router die toegang geeft tot gevoelige gegevens. Voor dit doel is er bij de ontwikkeling en productie van onze apparaten gebruik gemaakt van de IEC 62443-4-2 in combinatie met het Teletrust-testschema.
  2. Het beveiligingsapparaat is bedoeld als bescherming tegen hackers die toegang willen krijgen tot het apparaat en het willen wijzigen. Het apparaat mag bijvoorbeeld geen gewijzigde firmware van derden accepteren en dient een veilig opstartproces te laten zien. Wij bij MB connect line signeren onze firmware en is de firmware met trust anchors fraudebestendig vastgelegd op het apparaat. Bovendien zijn alle veiligheidssleutels opgeslagen in een hardware secure element en zijn niet te bekijken door software.
  3. Als een apparaat toegankelijk is via het openbare internet, dan dient het apparaat ofwel;

    a) een individueel wachtwoord te hebben (zeker geen standaardwachtwoord zoals admin / admin of iets dergelijks) of;

    b) de gebruiker wordt gedwongen om een wachtwoord in te stellen tijdens de ingebruikname, onze systemen worden geleverd met veilige individuele wachtwoorden.

MB connect line voldoet met de apparaten mbNETmbNET.rokey en mbNETFIX voor 100% aan de wet SB-327. Meer informatie over de veiligheidskenmerken van onze apparaten vindt u hier.

Conclusie:

De geplande normen en standaarden, zoals IEC 62443, zijn van internationaal belang en hebben een toenemende invloed op toekomstige apparaten en oplossingen. Toch is het volgende nog steeds van toepassing:
Veiligheid is geen product, maar een proces dat je ook moet (be)leven. Californië laat hier zien dat je in ieder geval een normen moet gaan stellen. Minimale eisen, zoals het reguleren van veilige wachtwoorden door de wet, zijn in ieder geval geen slecht idee.