Overslaan en naar de inhoud gaan

NIST vindt bepalen veiligheidslabels IoT 'zenuwslopend' maar doet voorzet

Het National Institute of Standards and Technology (NIST) - vaak een voortrekker in de wereld - presenteert een voorzet voor een set regels voor labels die producenten van consumentengoederen moeten gebruiken om de IT-beveiliging duidelijk te maken. NIST volgt daarmee vergelijkbare initiatieven in andere landen, maar vindt de opdracht vanuit de Amerikaanse regering erg moeilijk.
nadenken
© Shutterstock
Shutterstock

Het Amerikaanse NIST heeft recent een voorstel gedaan voor richtlijnen, die nu verder uitgewerkt en bekrachtigd moeten worden door de toezichthouder FTC, signaleert ZDNet. In een NIST-blog leggen Katerina Megas en Michael Ogata - beiden betrokken bij het proces - uit hoe moeilijk het is om tot goede richtlijnen te komen in een zo uitgebreid werkterrein.

Een van de grootste problemen - Michael Ogata noemt ze zelfs zenuwslopend - is dat het heel lastig te bepalen is wat consumentensoftware is. Is de software in een auto consumentensoftware? En dezelfde vraag geldt voor een e-mailclient. Een videogame valt er wel onder, maar beoordeel je een mobiele game, een consolegame en een pc-game allemaal op dezelfde manier?

NIST heeft er uiteindelijk voor gekozen niet al te precies te zijn in de definities: 'Software normaal gebruikt voor persoonlijk, gezins- of huishoudelijk gebruik'. Bovendien moeten de labels een heel eenvoudige boodschap uitdragen: Dit product voldoet óf wel, óf niet aan de criteria op een gegeven moment. Verder mogen de labels consumenten niet vermoeien met technische termen.

De labels moeten ook duidelijk zijn over expliciete en impliciete claims. Ze moeten informatie bevatten over de periode waarbinnen de software beveiligingsupdates krijgt en duidelijk maken welke organisatie de claims maakt en wanneer deze zijn vastgelegd.

Geen dwingende regels

NIST heeft verder een set richtlijnen toegevoegd voor de ontwikkeling van de software, het NIST Secure Software Development Framework (SSDF), een verzameling 'best practices'.

In de blog leggen de twee verder uit dat het niet mogelijk is eenvormige richtlijnen voor IoT op te stellen. Ze hebben er de voorkeur aan gegeven om de leidende betrokkenen in de markt een basislijn te laten opzetten in plaats van vanuit de overheid harde regels op te leggen aan de producenten. Dat zou de ontwikkelingen in de markt te veel aan banden leggen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in