Embedded connected computers are installed in homes in increasing numbers in the form of consumer IoT devices. These devices are often insufficiently protected against cyberattacks. In this research report, we propose several security requirements for consumer IoT devices. These requirements are suitable for enforcement through legislation and will significantly improve consumer IoT cybersecurity when implemented.This research report, commissioned by the Dutch Radiocommunications Agency, describes a threat model and significant security problems, derived from literature research. These assisted in evaluating more than 400 security measures, after which the top measures were summarised into eight essential security requirements. These requirements are easy to implement, easy to test, unambiguous, and greatly improve the cybersecurity of the products. We recommend standardisation agencies to make these requirements mandatory for all consumer IoT devices.
MULTIFILE
In deze publicatie, met als subtitel 'de kracht van verbinding', wordt ingegaan op de onderzoekslijnen en -thema's die vanuit het lectoraat voor de komende jaren zijn vastgesteld, de lopende onderzoeken en de plannen die worden ontwikkeld. Deze aspecten staan centraal in hoofdstuk 2. Daarna wordt in hoofdstuk 3 dieper ingegaan op de invulling van deze plannen en de uitdagingen die daarbij spelen. Dit gebeurt in samenwerking met collega's van binnen en buiten het lectoraat, de onderzoeksgroep, studenten en het werkveld. Het is de overtuiging dat de problemen en uitdagingen op het gebied van digitalisering en veiligheid alleen adequaat kunnen worden aangepakt door middel van goede samenwerking, waarbij verschillende disciplines worden betrokken. Daarom wordt de nadruk gelegd op 'de kracht van verbinding'.
De constatering dat onderzoek naar de menselijke factor binnen cybercrime en cybersecurity nog in de kinderschoenen staat, terwijl er een grote vraag is naar evidence-based praktisch toepasbare kennis is de reden dat De Haagse Hogeschool (HHs) en het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) de handen ineengeslagen hebben voor de totstandkoming van dit lectoraat. Het lectoraat richt zich daarbij op een specifieke doelgroep: het midden- en kleinbedrijf (mkb). Het mbk is de backbone van de Nederlandse economie. Mkb’ers worden echter relatief vaak slachtoffer van cyberaanvallen en hebben niet de capaciteit om zich te weren tegen dergelijke aanvallen. Dit staat in schril contrast met het onderzoek dat wordt uitgevoerd op dit gebied. Onderzoek naar deze doelgroep ontbreekt bij de start van dit lectoraat nagenoeg compleet. Het doel van het lectoraat is om de kennispositie van het mkb op het gebied van cybercrime en cybersecurity te vergroten om zo het slachtofferschap en de impact van cyberaanvallen onder mkb’ers te verlagen. Omdat er nagenoeg geen studies zijn gedaan naar cybersecurity in het mkb zullen eerst basale vragen beantwoord moeten worden. Zo is inzicht nodig in slachtofferschap onder mkb’ers. Hoe vaak komen aanvallen op mkb bedrijven voor? Welke mkb bedrijven worden slachtoffer van cyberaanvallen en zijn er factoren die risicoverhogend of risicoverlagend werken? Wat is de werkwijze van criminelen? En van welke zwakke plekken maken criminelen gebruik om hun aanvallen uit te voeren? Tegelijkertijd moet worden onderzocht hoe mkb’ers zichzelf weerbaarder kunnen maken. Weten mkb’ers welke risico’s ze lopen, hoe ze aanvallen kunnen detecteren en afslaan? Welke factoren beïnvloeden de weerbaarheid? Welke interventiemogelijkheden zijn er om de weerbaarheid te verhogen? De bescherming van het mkb tegen cyberaanvallen ligt echter niet alleen bij het mkb zelf. Ook andere partijen hebben hierbij een rol. Daarom moet onderzocht worden welke rol politie en justitie nog hebben bij de aanpak van cybercrime gericht op het mkb.
