TÜV SÜD: consumentendrones van DJI voldoen aan standaarden voor gegevensbescherming
Volgens de Duitse keurings- en certificeringsinstantie TÜV SÜD voldoen de meest populaire consumentendrones van DJI aan een aantal belangrijke Amerikaanse en Europese standaarden op het gebied van cybersecurity en dataprivacy. Dat meldt DJI in een persbericht. Tijdens een onafhankelijk onderzoek werden de DJI Mavic 3, Mini 2 en Air 2S onder de loep genomen, evenals DJI Fly voor iOS en Android.
Vermeende kwetsbaarheden
DJI is in de afgelopen jaren talloze keren onder vuur komen te liggen als het gaat om vermeende kwetsbaarheden op het vlak van cybersecurity en databescherming. De Chinese overheid zou mogelijk toegang hebben op systemen van DJI waar potentieel gevoelige gegevens van gebruikers worden opgeslagen, waaronder flight logs en beeldmateriaal. Om die reden wil het Pentagon dat Amerikaanse overheidsorganisaties geen Chinese drones meer gebruiken, en ook in Europa hebben diverse overheden hun zorgen geuit over het gebruik van drones van DJI.
Ondertussen doet DJI er alles aan om het vertrouwen van gebruikers te winnen. De drones uit de Enterprise-serie, waaronder de populaire Mavic 2/3 Enterprise en de Matrice-serie drones, zijn om die reden voorzien van de nodige cybersecurityfeatures, zoals een local data mode, onboard gegevensbeveiliging en versleutelde datacommunicatiekanalen. Al deze maatregelen moeten ervoor zorgen dat potentieel gevoelige gegevens niet kunnen weglekken.
Bevindingen TÜV SÜD
Naar nu blijkt bieden de meest populaire consumentendrones van DJI een hoge mate van bescherming tegen datalekken. De Duitse keurings- en certificeringinstantie TÜV SÜD heeft onlangs de DJI Mavic 3, Mini 2 en Air 2S onder de loep genomen. Ook werd de bijbehorende DJI Fly-app bestudeerd. Daaruit volgde dat de drones en apps voldoen aan belangrijke Amerikaanse en Europese standaarden op het gebied van cybersecurity en dataprivacy.
“Drones van DJI hebben uitgebreide beveiligingsfuncties op basis van veelgebruikte standaarden. Gevoelige informatie in het communicatieproces van de app DJI Fly v1.5.10 (iOS en Android), evenals flight logs, worden gecodeerd en verzonden via SSL, waarmee de meest voorkomende beveiligingsrisico’s kunnen worden vermeden”, concludeert het rapport. “De cyberbeveiligingsmogelijkheden en privacybeschermingsaspecten van DJI-drones voldoen aan de vereisten van NIST IR 8259 en ETSI EN 303645-normen die onder deze test vallen.”
TÜV SÜD heeft ook een afzonderlijke onafhankelijke beoordeling uitgevoerd van de DJI Matrice 300, de DJI Pilot-app en de DJI Assistant 2-computersoftware. Daaruit volgt dat ook deze producten uitgebreide beveiligingsfuncties bieden om gevoelige informatie te beschermen, en dat het systeem in dat opzicht voldoet aan de een aantal toepasselijke NIST- en ETSI-cybersecuritynormen.
Reactie DJI
Christina Zhang, directeur corporate strategie bij DJI, is blij met de uitkomsten: “DJI bouwt krachtige gegevensbescherming in al onze producten. Onze zakelijke klanten weten dat hun professionele drones en apps dusdanig zijn ontworpen dat hun foto’s, video’s en flight logs beschermd zijn. Met deze nieuwe TÜV SÜD-audit kan DJI dezelfde zekerheid bieden aan mensen over de hele wereld die onze consumentenproducten gebruiken. Of het nu gaat om een kleine drone in een achtertuin of een grote drone in een levensreddende veiligheidsoperatie: onafhankelijke experts hebben aangetoond dat DJI-producten hun gebruikers volledige controle over hun gegevens geven.”
(coverfoto: J. Barande, CC-BY-SA)
Dat DJI de privé-gegevens van de ploten beschermt tegen ongecontroleerd gebruik door derden is heel mooi, maar wat gaat DJI nu doen aan het aanpassen van de duizenden bestaande drones aan de Europese-regeleis dat vana 2024 de gegevens van de piloot op afstand uitleesbaar moeten zijn door controlerende insanties die hiertoe bevoegd zijn?
De Mavic 3 Classic is al te koop met het Europese C1 label, maar uiteindelijk zullen de data over de piloot zelf toch in deze drone opgenomen moeten zijn, en hoe moet dat dan?
Goeie vraag Rob. Ik dacht dat ADS-B dit zou ondervangen, maar dat blijkt alleen een receiver te zijn in de nieuwe DJI drones. Met Aeroscope kan het signaal natuurlijk opgepikt worden, maar dat is dus andersom. Wellicht dat er een identificatienummer en/of locatie van de piloot via GPS verstuurd kan worden?
Zou in principe allemaal via RemoteID moeten gaan straks. Zie ondersteunde modellen onderaan:
DJI’s initial approvals, as posted on the FAA website, cover seven of its newest and most popular drone platforms: Mini 3 Pro, Avata, Air 2S, Mavic 3, Mavic 3 Cine, M30 and M30T. Newly manufactured versions of those drones will comply with Remote ID rules with no further action required; customers who already own those drones will be able to comply with Remote ID rules by downloading a free firmware update at a later date.
Er wordt niet meer gezegd dan dat de correcte protocollen in de software zijn opgenomen. Dat betekent niet dat via andere plaatsen in de firmware en/of software gegevens naar China worden verzonden en dat is de grote zorg.
Data communicatie via Remote ID vindt plaats via andere kanalen en staat er los van.
Een gezond wantrouwen blijft op zijn plaats.
Er is hier sprake van 2 commerciële bedrijven, immers ook de TUV is in het verleden ‘aan de markt gebracht’ en betreft dus een commerciële speler. Bedrijven bieden zelf een te testen product aan en bekostigen de testprocedure zelf. Dat heeft o.a. als gevolg dat er voor de burger geen (belastings)kosten ontstaan. Ook voor bedrijven schijnen er bepaalde voordelen te bestaan, wat bijvoorbeeld een rol speelde in het destijds goedkeuren van een specifiek type borstimplantaten.
De gevolgen van deze TUV-uitkomst zijn dus goed beschouwd eigenlijk dat het Amerikaanse Blue UAS -programma gestopt kan worden en dat de Nederlandse defensie nu weer DJI-drones kan aankopen. Een goede uitkomst …
Ondertussen heb ik een Mavic 3 Classic aangeschaft die al een C1-kwalificatie heeft.
In de controller model met groot scherm heb ik zonder moeite mijn registratienummer en mijn naam kunnen inbrengen, waarom werd gevraagd!
Ik vermoed dat DJI voor alle bestaande drones een software-update zal verstrekken, waarna elke dronebezitter straks zijn eigen persoonlijke data in kan vullen, zodra de software gereed is gemaakt voor C1-kwalificatie.
De drone maakt mooie heldere en scherpe video-opnames.