In vrijwel elk huishouden zijn tegenwoordig meerdere smart devices te vinden. Vaak verzamelen, bewaren en verzenden deze apparaten gegevens van de gebruiker. Nog té vaak zijn deze apparaten echter standaard niet of niet voldoende beveiligd tegen hacks, datalekken en ander digitale dreigingen. Het Europees Telecommunicatie en Standaardisatie Instituut (ETSI) heeft daarom de standaard ETSI EN 303 645 ontwikkeld. Deze bevat eisen en procedures voor de cyberveiligheid van IoT-consumentenprodukten. Het gaat daarbij niet alleen om smart devices zelf, maar ook om sensoren en bedieningsonderdelen van deze apparaten.

Cyberveiligheid en privacybescherming

In de ETSI EN 303 645 hebben de deelnemers van het ETSI (fabrikanten, leveranciers van netwerkdiensten, overheden, telecomtoezichthouders en eindgebruikers) generieke, doelmatige eisen en best practices vastgelegd rondom cyberveiligheid en privacybescherming van consumentenelectonica met een internetverbinding. De standaard beoogt alle partijen die betrokken zijn bij de ontwikkeling en productie van een IoT-product te voorzien van richtlijnen voor de beveiliging van dat product. Hiervoor bevat de standaard essentiële beveiligingseisen op een aantal onderwerpen. Er zijn onder meer richtlijnen voor:

  • Rapportage van implementatie;
  • Wachtwoorden;
  • Mechanismen voor het rapporteren van kwetsbaarheden;
  • Communicatieveiligheid;
  • Software-integriteit;
  • Installatie en onderhoud van apparatuur;
  • De procedure voor het omgaan met persoonlijke data

Voor fabrikanten van IoT consumentenelektronica

Certificering door Kiwa volgens de ETSI EN 303 645 is van toegevoegde waarde voor ontwikkelaars en fabrikanten van consumtentenelektronica die verbonden kan worden met het web. Voorbeelden zijn onder meer babyfoons, slimme deurbellen, cameras, tv’s en speakers, wearable health trackers en connected huishoudelijke apparatuur als wasmachines en koelkasten. Produktontwikkeling volgens de ETSI EN 303 645 draagt bij aan betere veiligheid, updatebaarheid, transparantie , structuur, etc.

Vaak kunnen dergelijke apparaten ook bediend worden met een smartphone-app. De veiligheid van deze app wordt niet door de ETSI EN 303 645 afgedekt, maar als optionele service kan Kiwa aan de hand van het RARS-schema de veiligheid hiervan beoordelen.

ETSI EN 303 645-conformiteit

Het certificeringsproces resulteert in een testrapport. Als het product voldoet aan de eisen van de norm, ontvangt de fabrikant een certificaat van overeenstemming. Als de fabrikant een RED-certificaat heeft aangevraagd, wordt onformiteit met de ETSI EN 303 645 vermeld op het RED-certificaat. Hiermee kan de fabrikant aantonen dat het product voldoet aan basiseisen op het gebied van IoT en cybersecurity die steeds belangrijker worden. Zo wekt een fabrikant niet alleen vertrouwen bij de (potentiële) gebruikers van zijn product, maar kan hij zich ook onderscheiden van andere fabrikanten.