NIST vindt bepalen veiligheidslabels IoT 'zenuwslopend' maar doet voorzet

Het Amerikaanse NIST heeft recent een voorstel gedaan voor richtlijnen, die nu verder uitgewerkt en bekrachtigd moeten worden door de toezichthouder FTC, signaleert ZDNet. In een NIST-blog leggen Katerina Megas en Michael Ogata - beiden betrokken bij het proces - uit hoe moeilijk het is om tot goede richtlijnen te komen in een zo uitgebreid werkterrein.

Een van de grootste problemen - Michael Ogata noemt ze zelfs zenuwslopend - is dat het heel lastig te bepalen is wat consumentensoftware is. Is de software in een auto consumentensoftware? En dezelfde vraag geldt voor een e-mailclient. Een videogame valt er wel onder, maar beoordeel je een mobiele game, een consolegame en een pc-game allemaal op dezelfde manier?

NIST heeft er uiteindelijk voor gekozen niet al te precies te zijn in de definities: 'Software normaal gebruikt voor persoonlijk, gezins- of huishoudelijk gebruik'. Bovendien moeten de labels een heel eenvoudige boodschap uitdragen: Dit product voldoet óf wel, óf niet aan de criteria op een gegeven moment. Verder mogen de labels consumenten niet vermoeien met technische termen.

De labels moeten ook duidelijk zijn over expliciete en impliciete claims. Ze moeten informatie bevatten over de periode waarbinnen de software beveiligingsupdates krijgt en duidelijk maken welke organisatie de claims maakt en wanneer deze zijn vastgelegd.

Geen dwingende regels

NIST heeft verder een set richtlijnen toegevoegd voor de ontwikkeling van de software, het NIST Secure Software Development Framework (SSDF), een verzameling 'best practices'.

In de blog leggen de twee verder uit dat het niet mogelijk is eenvormige richtlijnen voor IoT op te stellen. Ze hebben er de voorkeur aan gegeven om de leidende betrokkenen in de markt een basislijn te laten opzetten in plaats van vanuit de overheid harde regels op te leggen aan de producenten. Dat zou de ontwikkelingen in de markt te veel aan banden leggen.