Productbeveiliging FAQ

Wat is het doel van de Werkgroep Productbeveiliging?

Het doel van de Product Security Working Group is het ontwikkelen van een certificeringsprogramma voor productbeveiliging, gebaseerd op best practices op het gebied van beveiliging, technische mogelijkheden en bestaande productbeveiligingsregels, die worden gebruikt om de veiligheid van IoT-apparaten te garanderen en uiteindelijk een keurmerk te verlenen dat door consumenten wordt erkend dat de producten die zij gebruiken die ze gebruiken voldoen aan een basisveiligheidsdrempel en kunnen door toezichthouders worden onderschreven als voldoend aan de toepasselijke beveiligingsvereisten. Er worden geautoriseerde testlaboratoria ingezet om dit merk op grote schaal af te leveren.

Wat is productbeveiliging en waarin verschilt dit van protocolbeveiliging?

Normen zoals Zigbee en Matter eisen definiëren voor de beveiliging van netwerkprotocollen. De Product Security Working Group vult deze aan door een certificeringsprogramma op te zetten voor de beveiliging van producten als geheel, inclusief beveiligingsfuncties zoals veilig opstarten die inherent zijn aan het product maar geen deel uitmaken van een netwerkprotocol. Bovendien is dit programma beschikbaar voor producten die geen protocollen implementeren die zijn gestandaardiseerd door de Alliance.

Waarom hebben we de Product Security Working Group nodig als de andere? Alliance technologieën hebben al beveiligingseisen voor hun certificeringen?

Productveiligheidscertificering verschilt substantieel van de functionele en interoperabiliteitstests die door onze andere werkgroepen worden gebruikt. Bij productbeveiliging moeten testers niet alleen verifiëren dat een product goed functioneert en samenwerkt, maar ook dat het bepaalde vijandige aanvallen kan weerstaan. Productveiligheidscertificering vereist dus verschillende vaardigheden en methoden.

Een product met een bekend beheerderswachtwoord of een bekende backdoor kan bijvoorbeeld functionele en interoperabiliteitstests doorstaan, maar niet de productbeveiligingstests.

Waarom doet de Alliance Moet u een productveiligheidscertificering creëren?

Aanvallen op IoT-systemen blijven groeien, in aantal, verfijning en impact. Deze aanvallen maken misbruik van elke mogelijke kwetsbaarheid die verder gaat dan de traditionele reikwijdte van connectiviteitsprotocollen, die doorgaans beperkt zijn tot het beveiligen van inbedrijfstelling en gegevens tijdens de overdracht.

Nationale programma's voor cyberveiligheidscertificering/labeling beginnen op te komen (bijvoorbeeld in Singapore en Finland) en overheden reageren met normen en regelgeving; om er een paar op te sommen die al bestaan ​​of in de maak zijn:

• VS – NIST IR 8259, NIST IR 8425, NIST SP 800-213 en diverse wetten
• EU – Cyber ​​Security Act, herziene Radioapparatuurrichtlijn (RED) en Cyber ​​Resilience Act
• Verwijzend naar normen zoals IEC 62443 en ETSI EN 303 645
• VK – Product Security and Telecommunications Infrastructure Act 2022
• Singapore, Finland, China, enz.

De voortdurende divergentie van eisen en de proliferatie van verschillende certificeringsprogramma's zullen leiden tot hoge kosten en complexiteit bij het bewijzen van productveiligheid vóór marktplaatsing, vooral voor mondiale spelers. 

De AllianceDe ambitie van het bedrijf is om deze situatie te verhelpen door gebruik te maken van zijn sterke punten en expertise: het bieden van een door de markt gewaardeerd certificeringsprogramma dat is ontwikkeld in een op consensus gebaseerd standaardisatieproces, geïnformeerd door best practices op het gebied van beveiliging, technische mogelijkheden en bestaande productbeveiligingsvoorschriften.

Hoe doet de Connectivity Standards Alliance Productveiligheidscertificeringen hebben betrekking op nationale, regionale en internationale normen op dit gebied?

De Product Security-certificering is gebaseerd op de eisen die zijn opgenomen in nationale, regionale en internationale normen met betrekking tot IoT-productbeveiliging. Wij verwachten dat producten die de Alliance Productveiligheidscertificering zal ook aan deze andere normen voldoen, waardoor het certificeringsproces voor zowel productfabrikanten als consumenten wordt vereenvoudigd.

Hoeveel Alliance aangesloten bedrijven zijn betrokken bij de Product Security Working Group?

Ten tijde van de release van de Product Security 1.0 IoT Device Security Specification waren er bijna 200 Connectivity Standards Alliance Bedrijven die lid zijn van de promotor en deelnemer, vertegenwoordigd in de Product Security Working Group.

Wat zijn de beveiligingskenmerken en eisen die in de specificatie zijn opgenomen en die moeten worden gecertificeerd door de Alliance? Waar staat of houdt een veilig product onder dit keurmerk voor?

De IoT Device Security Specification van Product Security omvat tientallen specifieke productbeveiligingsbepalingen. Fabrikanten van IoT-apparaten moeten aantonen dat zij deze bepalingen naleven, door rechtvaardigingen en bewijsmateriaal te verstrekken aan een gecertificeerd geaccepteerd testlaboratorium met expertise op het gebied van veiligheidsevaluatie en ervaring met het certificeren van producten met betrekking tot deze specificatie.

• Specifieke vereisten omvatten
• Unieke identiteit voor elk IoT-apparaat
• Geen hardgecodeerde standaardwachtwoorden
• Veilige opslag van gevoelige gegevens op het Apparaat
• Veilige communicatie van veiligheidsrelevante informatie
• Veilige software-updates gedurende de gehele ondersteuningsperiode
• Veilig ontwikkelingsproces, inclusief kwetsbaarheidsbeheer
• Openbare documentatie met betrekking tot beveiliging, inclusief ondersteuningsperiode

Samen bieden deze vereisten de zekerheid dat aan fundamentele beveiligingsvereisten is voldaan.

Is het, indien gecertificeerd, verplicht om het Verified Mark for Product Security op het apparaat of de verpakking te vermelden?

Nee, het Geverifieerde merk is optioneel voor apparaatfabrikanten om op het apparaat of de verpakking aan te brengen. Ze kunnen het certificeringsprogramma doorlopen en certificering claimen zonder het merkteken te tonen.