Digitale veiligheid van slimme apparaten niet op orde | Klantcase Agentschap Telecom
door Strict op do 3 okt 2019
Voor Agentschap Telecom heeft Strict een onderzoek uitgevoerd naar de veiligheid van slimme apparaten. Hierin heeft Strict 22 apparaten getest op hun digitale veiligheid en op privacyaspecten. Naar aanleiding van dit onderzoek heeft Agentschap Telecom gepleit voor Europese regels en hebben ze een meldpunt geopend. In deze klantcase lichten we toe wat de rol van Strict is geweest binnen dit project en wat dit Agentschap Telecom heeft opgeleverd.
Welke vraag had Agentschap Telecom aan Strict?
Een van de missies van Agentschap Telecom is om toezicht te houden op betrouwbare communicatienetwerken. In het kader hiervan is Agentschap Telecom bezig met het ontwikkelen van Nederlandse standaarden en richtlijnen waar slimme apparaten aan moeten voldoen en verlangen ze een Europees keurmerk. Hiervoor was er eerst inzicht nodig in de veiligheid van dergelijke apparaten. Daarom heeft Strict voor Agentschap Telecom door middel van een steekproef diverse consumentenapparaten getest, waaronder routers, slim speelgoed, IP-camera’s, slimme sloten, babymonitors en slimme thermostaten.
Vanwege de actualiteit en de urgentie van dit onderwerp zat er een behoorlijke tijddruk op dit project. Ondanks die tijddruk, heeft het team met een hoge technische expertise dit onderzoek correct uitgevoerd en de resultaten op de juiste manier geïnterpreteerd. Een gave uitdaging voor ons cyber security team!
Hoe heeft Strict geholpen? Het plan
De ethical hackers van Strict waren verantwoordelijk voor de technische expertise en uitvoering. In totaal heeft het team 22 apparaten getest. De eerste stap was het opstellen van een rigoureus plan voor het testen van de apparaten. Want wat was precies belangrijk om te testen?
Na vele brainstormsessies heeft het team de belangrijkste facetten op een rijtje gezet. Deze waren het testen en controleren van de kwetsbaarheden van de apparaten, het toetsen van de veiligheidsmaatregelen aan moderne standaarden en het in detail kijken naar de veiligheid van de verschillende communicatiestromen. Zo is onder andere getest of kwaadwillenden gemakkelijk in een apparaat kunnen komen en zo het apparaat kunnen overnemen. Of dat ze bijvoorbeeld kunnen meekijken via de camera van het apparaat.
Met dit plan in handen hebben de experts zich vervolgens met elkaar in een lab opgesloten om in een representatieve thuisomgeving het onderzoek uit te voeren. Deze representatieve thuisomgeving was noodzakelijk omdat de geteste apparaten gericht zijn op consumenten. Zij installeren de apparaten thuis en kijken daarna meestal niet naar de instellingen. Om een goed beeld te krijgen van de privacy en veiligheid, moest het apparaat dus direct na installatie getest worden. Dit betekent dat de veiligheid van de standaardinstellingen van de thuisomgeving heel belangrijk waren. Hoe deze thuisomgeving er precies uitzag, is hieronder schematisch weergegeven.
Hoe heeft Strict geholpen? De uitvoering
In het lab hebben de onderzoekers geprobeerd om de apparaten te hacken. Dit is gedaan door naar kwetsbaarheden in de software te zoeken, naar de standaard instellingen te kijken en de communicatiestromen te onderzoeken. Daarna zijn de apparaten gecontroleerd op basis van moderne standaarden op het gebied van security. Hierbij kan gedacht worden aan een moderne en goed geconfigureerde versie van TLS en of bijvoorbeeld goed omgaan wordt met wachtwoorden.
Vervolgens hebben ook onze juridische experts de apparaten onder de loep genomen. Zij hebben getoetst of de communicatie met externe partijen voldoet aan de actuele privacywetgevingen, zoals de AVG. Hierbij hebben ze onder andere de volgende vragen beantwoord: wordt de data van de minderjarigen op de juiste manier verwerkt? Of wordt de data naar derde partijen gestuurd zonder medeweten of toestemming van de gebruiker?
Dankzij de cyber security consultants en hun verschillende expertises zijn zo alle slimme apparaten getest, binnen de tijdsdruk van dit project. De uiteindelijke resultaten mogen er dan ook zijn.
Het resultaat
Door middel van de juiste technische en juridische expertise, het goede contact met Agentschap Telecom en omdat Strict écht de handen uit de mouwen heeft gestoken, hebben we een mooi rapport kunnen opleveren. Uit het onderzoek is gebleken dat vier van de 22 apparaten bevindingen hadden die als ‘kritiek’ werden geclassificeerd. Respectievelijk vier en negen van de apparaten hadden bevindingen waarvan de ernst ‘hoog’ of ‘medium’ was. Voor slechts twee van de apparaten hadden we helemaal geen bevindingen.
Versleuteling en informatie-uitwisseling zijn onderdelen die nog verder verbeterd moeten worden, in het bijzonder waar de verwerking van persoonsgegevens plaatsvindt. Verbeteringen zijn ook nodig bij het oplossen van kwetsbaarheden door middel van (automatische) software-updates, aangezien dit in diverse gevallen niet veilig ingericht is. Verder zijn er bij verschillende apparaten onnodige en onveilige services aangetroffen, dit behoeft ook extra aandacht. In het onderzoek scoren met name connected toys en babyfoons slechter op het gebied van veiligheid.
Het rapport is op 25 september door Agentschap Telecom gepubliceerd en overhandigd aan Staatssecretaris Mona Keijzer (Economische Zaken en Klimaat). Dit onderzoek draagt bij aan de digitale veiligheid van Nederland en de doelstellingen van Agentschap Telecom. Op basis hiervan heeft Agentschap Telecom een meldpunt geopend voor onveilige slimme apparaten en zijn ze een stap dichterbij Nederlandse richtlijnen.
Over Agentschap Telecom
Agentschap Telecom is onderdeel van het ministerie van Economische Zaken en Klimaat. Agentschap Telecom houdt toezicht op betrouwbare communicatienetwerken en voert beleid uit op frequentiegebruik van radio en televisie, telefonie en allerlei radiozendapparatuur. Ook houdt het agentschap toezicht op veilig gebruik van internet en op meetapparatuur zoals weegschalen en benzinepompen. Want wie kan zich nog een samenleving voorstellen zonder telecommunicatie en internet?
- Technologie (128)
- Nieuws (66)
- 5G (64)
- Continuïteit (63)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Webinar (18)
- Klantcase (17)
- Blog (15)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- Innovatie (11)
- AI (9)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (5)
- augustus 2018 (6)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)