In vrijwel elk huishouden zijn tegenwoordig meerdere smart devices te vinden. Vaak verzamelen, bewaren en verzenden deze apparaten gegevens van de gebruiker. Nog té vaak zijn deze apparaten echter standaard niet of niet voldoende beveiligd tegen hacks, datalekken en ander digitale dreigingen. Het Europees Telecommunicatie en Standaardisatie Instituut (ETSI) heeft daarom de standaard ETSI EN 303 645 ontwikkeld. Deze bevat eisen en procedures voor de cyberveiligheid van IoT-consumentenprodukten. Het gaat daarbij niet alleen om smart devices zelf, maar ook om sensoren en bedieningsonderdelen van deze apparaten.

Cyberveiligheid en privacybescherming

In de ETSI EN 303 645 hebben de deelnemers van het ETSI (fabrikanten, leveranciers van netwerkdiensten, overheden, telecomtoezichthouders en eindgebruikers) generieke, doelmatige eisen en best practices vastgelegd rondom cyberveiligheid en privacybescherming van consumentenelectonica met een internetverbinding. De standaard beoogt alle partijen die betrokken zijn bij de ontwikkeling en productie van een IoT-product te voorzien van richtlijnen voor de beveiliging van dat product. Hiervoor bevat de standaard essentiële beveiligingseisen op een aantal onderwerpen. Er zijn onder meer richtlijnen voor:

  • Rapportage van implementatie;
  • Wachtwoorden;
  • Mechanismen voor het rapporteren van kwetsbaarheden;
  • Communicatieveiligheid;
  • Software-integriteit;
  • Installatie en onderhoud van apparatuur;
  • De procedure voor het omgaan met persoonlijke data

Voor fabrikanten van IoT consumentenelektronica

Certificering door Kiwa volgens de ETSI EN 303 645 is van toegevoegde waarde voor ontwikkelaars en fabrikanten van consumtentenelektronica die verbonden kan worden met het web. Voorbeelden zijn onder meer babyfoons, slimme deurbellen, cameras, tv’s en speakers, wearable health trackers en connected huishoudelijke apparatuur als wasmachines en koelkasten. Produktontwikkeling volgens de ETSI EN 303 645 draagt bij aan betere veiligheid, updatebaarheid, transparantie , structuur, etc.

Vaak kunnen dergelijke apparaten ook bediend worden met een smartphone-app. De veiligheid van deze app wordt niet door de ETSI EN 303 645 afgedekt, maar als optionele service kan Kiwa aan de hand van het RARS-schema de veiligheid hiervan beoordelen.

ETSI EN 303 645-certificaat

De IoT Security experts van Kiwa voeren aan de hand van de ETSI EN 303 645 testen uit en evalueren of een IoT- of smart toepassing voldoet aan de eisen die ervoor moeten zorgen dat het product door alle betrokkenen veilig gebruikt kan worden. Het product wordt hierbij onderworpen aan de eisen van de ETSI EN 303 645. Dit levert een testrapport op. Als het product aan de standaard voldoet, ontvangt de fabrikant een ETSI EN 303 645-certificaat. Hiermee kan hij aantonen dat het product voldoet aan de basiseisen op het gebied van IoT-veiligheid.