16 september 2024

Top 5 meest voorkomende cyber non-conformiteiten

Door test- en certificeringsprojecten uit te voeren leren we veel, zoals welke aspecten bijdragen aan een snelle doorlooptijd van projecten en welke non-conformiteiten relatief vaak voorkomen. Van dat laatste vindt u hieronder een beknopt overzicht. Zorg ervoor dat deze niet bij u voorkomen!

  • 1

    Standaard wachtwoorden/eenvoudige generatiemechanismen

    Standaard wachtwoorden die op veel apparaten worden gebruikt, zijn zeer gebruikelijk. Veel normen en wetgevingen verbieden nu het gebruik ervan, omdat ze vaak ongewijzigd blijven. Alternatieven omvatten mechanismen die de gebruiker dwingen een sterk wachtwoord in te stellen vóór gebruik of het genereren van veilige, unieke wachtwoorden per apparaat.

  • 2

    Onvoldoende encryptie

    Met veel hackers die proberen verbindingen ‘af te luisteren’, is het niet verrassend dat encryptie een van de belangrijkste focuspunten van testen is. Hoewel encryptie niet altijd gemakkelijk is om te implementeren, is het erg belangrijk dat de risico's van ongecodeerde communicatie voldoende worden geëvalueerd en meestal betekent dit dat verbindingen versleuteld moeten worden.

  • 3

    Korte of geen ondersteuningsperiode

    Wanneer een klant een product koopt, verwacht hij dat het ondersteund wordt met zowel functie- als beveiligingsupdates. Om de verwachtingen van klanten op dit vlak te managen, is het belangrijk om vooraf een ondersteuningsperiode te definiëren. Deze datum is bijna altijd de minimale datum en uiteraard kunt u er altijd voor kiezen om uw producten langer te ondersteunen.

  • 4

    (On)veilige updates

    Het updaten van een systeem is meestal geen gemakkelijke opgave, vooral nu steeds meer firmware-updates ‘on air’ plaatsvinden. Om de veiligheid van een update-mechanisme te waarborgen, moet het apparaat de authenticiteit en integriteit van de update bewijzen voordat deze wordt geïnstalleerd. Hoewel er veel manieren zijn om dit te bereiken - zoals een veilige bootloader, checksums en ondertekeningsmechanismen - is dit een vereiste die vaak over het hoofd wordt gezien.

  • 5

    Actieve debugpoorten

    Ingenieurs hebben debugpoorten nodig, maar deze bieden ook een gemakkelijke toegang voor hackers om controle over een systeem te krijgen en aanvallen op andere systemen te automatiseren. Veel debugpoorten stellen hackers in staat om informatie over de firmware van het apparaat te verzamelen of om geheime gegevens, zoals persoonlijke informatie of cryptografische sleutels, te onthullen. Hoewel het uitschakelen van debugpoorten altijd de beste optie is, is dit niet altijd haalbaar. In dergelijke gevallen kunnen mitigerende maatregelen, zoals het versluieren van code of data (obfuscatie), helpen de beveiliging te verbeteren.

Informatie beveiliging - RED.jpg