Internet of Things Security

Interview met Vlora Rexhepi-van der Pol, consultant bij NEN

Vlora Rexhepi - van der Pol

Vlora Rexhepi - van der Pol

Wil je meepraten, meer informatie over de normcommissie of op de hoogte blijven van de ontwikkelingen? Neem dan contact op met Vlora Rexhepi - van der Pol, consultant bij NEN, telefoon 015 269 318.

Er gebeurt veel rond Internet of Things, heel veel. Standaardisatie-organisaties werken aan normen en intussen komt er ook steeds meer wet- en regelgeving. Deze ontwikkelingen die zich razendsnel opvolgen en die over het algemeen grote consequenties hebben voor de beveiliging van IoT-netwerken, was voor NEN de reden om het initiatief te nemen voor de werkgroep ‘IoT Security’.

Waarom de werkgroep ‘IoT Security’?

Vlora Rexhepi, consultant bij NEN, legt uit waaruit de behoefte is ontstaan voor een werkgroep: “de werkgroep Internet of Things Security bestaat uit leden van de normcommissie Internet of Things en van de normcommissie Cybersecurity and Privacy, die interesse hebben in IoT security, omdat er een overlap is. Bijvoorbeeld de trustworthiness, de betrouwbaarheid: daaraan wordt gewerkt binnen de normcommissie IoT, maar dat is ook heel relevant voor cybersecurity. En bij Cybersecurity wordt gewerkt aan security en privacy guidelines voor IoT, en dat is natuurlijk weer van belang voor IoT. Er zijn verschillende standaarden in ontwikkeling, die niet onder hetzelfde comité horen. En daar komt ook nog bij wat er binnen wet- en regelgeving speelt. Vandaar dus de werkgroep; voor de nodige informatie-uitwisseling, zodat we veel beter kunnen inspelen op die ontwikkelingen, maar ook om invloed te kunnen uitoefenen. Bijvoorbeeld op de standaarden die van invloed zijn op de regelgeving.”

Kick-off

De kick-off van de werkgroep vond op 21 maart plaats, tijdens de NEN-bijeenkomst ´IoT Security en Privacy´. Tijdens deze bijeenkomst werden de laatste ontwikkelingen gepresenteerd, waarbij veel aandacht uitging naar de exponentieel toenemende veiligheidsrisico's. De Europese Commissie wil inspelen op deze risico’s met de Cyber Security Act, en een van de onderdelen van de Cyber Security Act is een Europees cyber security certificatiesysteem voor ICT producten. Dit is een zeer belangrijke ontwikkeling voor de toekomst van IoT. Een dergelijk certificatiesysteem zal worden gebaseerd op erkende internationale en Europese normen. Deze normen worden ontwikkeld binnen ISO, IEC en in Europa binnen CEN en CENELEC. Tijdens de bijeenkomst werd onder andere gesproken over de stand van zaken in Europa en in Nederland, internationale standaardisatie ontwikkelingen en het belang en de inbreng van Nederland.

Vanuit de industrie gaf Ben Kokx, Director Product Security bij Philips een samenvatting over wat er gaande is op Europees niveau maar ook mondiaal op het gebied van IoT security.
Jean-Paul van Assche, senior adviseur bij Agentschap Telecom gaf een overzicht van de ontwikkelingen die spelen op het gebied van de radioapparatuur richtlijn. Die richtlijn is van toepassing omdat veel van die IoT-apparaten een draadloze verbinding hebben; zelfs een koelkast valt onder de richtlijn. En het ministerie van Economische Zaken gaf een presentatie over de Cybersecurity Act; over wat er nu gaande is en welke verwachtingen er binnen de verschillende landen leven, voordat het straks in werking gaat.

Overzicht van de relevante normen in ontwikkeling

Binnen de normcommissie Cybersecurity:

  • ISO/IEC WD 27030: Information technology — Security techniques — Guidelines for security and privacy in Internet of Things (IoT)

Deze norm zal richtlijnen rond de risico’s, principes en het onder controle brengen van Internet of Things (IoT) oplossingen.

Binnen normcommissie ‘IoT’:

  • ISO/IEC 30147: Information technology — Internet of Things —Methodology for trustworthiness of IoT system/service1

Deze norm bevat een methode om de betrouwbaarheid in een IoT-systeem of -dienst te implementeren en te behouden. De methodologie is niet gericht op een bepaald toepassingsgebied van het IoT-systeem of -dienst, maar voor een generiek IoT-systeem of -dienst die voor verschillende toepassingsgebieden geldt.

  • ISO/IEC 30149 ED1: Internet of Things (IoT) — Trustworthiness framework

Deze norm zet kaders, inclusief processen en componenten, die kunnen worden gebruikt om organisaties te helpen bij het definiëren, implementeren, verifiëren, meten en onderhouden van betrouwbaarheid van IoT-oplossingen. Deze kunnen worden gebruikt door organisaties die IoT-oplossingen ontwikkelen en realiseren, door organisaties die deze in werking hebben en ondersteunen, of door organisaties die verificatieschema's willen definiëren of het beheer van IoT-organisaties of specifieke naleving van IoT-oplossingen willen meten.

Meer experts aan het woord

IoT vraagt om standaarden

De Nederlandse overheid maakt zich al sinds jaar en dag sterk voor normalisatie en standaardisatie. Het speelveld van Internet of Things, cybersecurity en privacy is daar geen uitzondering op. ir. Jean-Paul van Assche, senior adviseur bij Agentschap Telecom en Alexander van den Anker, beleidsmedewerker bij Ministerie van Economische Zaken en Klimaat, weten dat als geen ander. Zij zitten in de frontlinie als het gaat om beleid en toezicht bij de overheid.

Lees het interview


Complexiteit IoT vraagt om standaarden

Met zeventien jaar ervaring op het snijvlak van IT en de medische sector, mag Ben Kokx met recht een standaardisatieveteraan heten. Hij heeft zich bij zijn werkgever Philips de laatste vijftien jaar met name beziggehouden met vraagstukken rond security en standaardisatie. Het kwalificeert hem als geen ander om een onderbouwde visie te geven op het gebied van Internet of Things, security én standaardisatie.

Lees het interview