IT-beveiliging: ETSI publiceert eerste standaard voor veilige smartphones


30 jaar nadat een Duitse chipkaartfabrikant ’s werelds eerste commerciële simkaart aan een Fins telecommunicatiebedrijf leverde, publiceerde het European Telecommunications Standards Institute (ETSI) de eerste standaard voor veilige mobiele apparaten met een wereldwijde focus. De ETSI TS 103 732 standaard bevat een beschermingsprofiel voor het consumentensegment (Consumer Mobile Device Protection Profile). Het doel is om beveiligings- en betrouwbaarheidseisen voor smartphones en tablets vast te stellen, potentiële aanvalsrisico’s te verminderen en de gegevensbescherming te verbeteren.

de bijna vijftig pagina’s specificatie Volgens het ETSI is het bedoeld om fabrikanten en serviceproviders over de hele wereld te helpen bij het beschermen van belangrijke gebruikersgegevens zoals foto’s, video’s, gebruikerslocatie, e-mails, sms, oproepen, wachtwoorden voor webservices en persoonlijke informatie zoals opnames van fitnesstrackers tegen ongeautoriseerde toegang. Het omvat “een breed spectrum van beveiligingsfuncties”.

Functies zoals ondersteuning voor encryptie, identificatie en authenticatie, beveiligingsbeheer, weerstand tegen fysieke aanvallen, veilig opstarten en betrouwbare communicatiekanalen zijn inbegrepen. Het gebruik van een speciale Trusted Platform Module (TPM) is niet uitdrukkelijk vereist.

Onderwerp van de in het kader van de standaardisatie uitgevoerde evaluatie zijn de hardware, het besturingssysteem en voorgeïnstalleerde apps met systeemautorisatie die bij het consumentenapparaat worden geleverd. De ETSI heeft alle applicaties “die worden gedownload door een menselijke gebruiker” uitgesloten van het toepassingsgebied van de standaard, evenals vooraf geïnstalleerde apps zonder systeemautorisatie die kunnen worden verwijderd. Verder blijven alle randapparatuur, inclusief alle data daarop en alle bijbehorende diensten zoals geheugenkaarten of cloudsystemen, achterwege.

Het beveiligingscomponent “Secure Element” is ook niet inbegrepen. Het kan gebruikersaanmeldingsgegevens bevatten voor mobiele en elektronische identiteiten (eID’s) worden opgeslagen.

Tot de belangrijkste beveiligingsfuncties behoren ook veilige update-opties van betrouwbare bronnen en opties voor het herkennen van betrouwbare services, bijvoorbeeld voor het delen van schermen of voor het gezamenlijk bewerken van documenten. Gebruikersgegevens moeten op verschillende beveiligingsniveaus worden beschermd. Zelfs bij officiële documenten die als vertrouwelijk zijn geclassificeerd, mag toegang alleen worden gegarandeerd door geautoriseerde personen op het “juiste apparaat in de juiste staat”.

Bovendien moet ervoor worden gezorgd dat apps alleen toegang hebben tot gebruikersgegevens en geleverde diensten “die essentieel zijn voor hun werking” en waarvoor de menselijke gebruiker of het besturingssysteem autorisatie heeft verleend. Trackingbescherming maakt ook deel uit van de specificatie: app-ontwikkelaars en adverteerders moeten een alias krijgen zodat ze slechts beperkte gebruikerssporen kunnen verzamelen. De gebruiker kan deze identifier vervangen door een andere om het aanmaken van een profiel verder te beperken.

Daarnaast definieert ETSI TS 103 732 de beveiligingseisen op basis van het beschermingsprofiel van de Common Criteria en is daarom ook bedoeld voor Certificeringsinitiatieven in het kader van de EU-cyberbeveiligingswet geschikt zijn. Het bevat ook een gemeenschappelijke methode voor het beoordelen van de beveiliging van mobiele apparaten. De standaard is gebaseerd op de bestaande ETSI-norm EN 303 645 vanaf 2020 voor de IT-beveiliging van apparaten in het internet der dingen. De instelling kondigde aan op basis hiervan in de komende 12 tot 18 maanden nadere specificaties met betrekking tot de cyberbeveiliging van digitale consumentenapparatuur vast te stellen en uit te geven.


(tiw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: