Developing a Framework for Cybersecurity Evaluation in the Consumer Internet of Things

Abstract

Fagfeltet IoT består av en mengde verktøy, teknologier og metoder som er under utvikling. Gjennom sensorer og bruk av applikasjoner, samler, prosesserer, genererer og forflytter enheten informasjon som kan være sensitiv ovenfor brukeren. Å sikre slike enheter har vist seg å være en utfordring ettersom de er bygget opp for å bruke minst mulig strøm og prosessorkraft. Som en del av denne oppgaven er det laget et rammeverk som beskriver en fremgangsmåte for hvordan sikkerheten av IoT-enheter kan evalueres. Basert på industristandarder fra blant annet ETSI og krav GDPR setter, har gruppen utviklet et sett av kriterier som vil kunne gi et inntrykk av sikkerheten til enhetene og hvilke sårbarheter de har. Gjennom en iterativ prosess er det utviklet og forbedret rammeverket ved å bruke og teste det opp mot IoT-enheter. Den endelige evalueringen er basert på risikostyrings-prosessen, hvor risiko blir satt som en sum av hvor godt kriteriet har blitt implementert og hvor alvorlig konsekvensen av satt kriterie kan bli. Satt sammen med rammeverket er beskrivelser av hvilke verktøy og metoder som er brukt for å monitorere og teste enhetene. Sluttresultatet av prosjektet er et rammeverk for hvordan man kan gå frem for å sikre enhetene i henold til den generelle sikkerheten og hvordan sensitiv og personlig data blir behandlet.

The field of IoT consists of a wide variety of tools, technologies and methods and is constantly under development. Through sensors and usage of application, the device collects, processes, produces and transfers information that could be sensitive to the user. Securing such devices is proven to be a challenge as they are made to utilize a minimum amount of processing power. As a part of this thesis the group made a framework that depicts an approach of how to evaluate the general security of an IoT-device. Based on industry security standards from ETSI, and requirements from GDPR have developed a set of criteria that gives an indication to how secure the device is and what weaknesses the device possesses. Through an iterative process the group have tested and improved the framework by using it to evaluate commonly used IoT-devices. Evaluation for each criteria is built upon the process of risk management, where the risk is estimated as a sum of how the criteria has been implemented and how severe the consequence could be, upon misuse of weakness in criteria. Accompanying the framework are descriptions of what technical tools can be used to test and monitor the behavior of the devices. The end result of the project was a framework on how to evaluate the security of IoT-devices in regards to general security measurements and how sensitive and personal data is treated.