Hoe vooruitgang en innovatie onze beveiliging weer jaren terugdraait
Iedereen is verrukt over de mogelijkheden van het Internet of Things (IoT). Toch zorgt de gebrekkige beveiliging van IoT-apparaten voor een zorgwekkende en mogelijk zelfs levensbedreigende situatie. Met het toenemen van het aantal aan internet gekoppelde devices, stijgt ook het aantal mogelijkheden voor hackers om ons kwaad te doen.
Steeds meer apparaten kunnen via internet, op basis van hun IP-adres, worden benaderd. Niet alleen de traditionele kantoorapparatuur zoals computers, printers, beamers en televisies. Ook minder voor de hand liggende apparatuur zoals een koelkast en de koffiemachine. Bovendien wordt ook apparatuur als het klimaatsysteem, bewegingsmelders en verlichting in toenemende mate van IP-adressen voorzien. Met de komst van Industrie 4.0 worden ook steeds meer machines in fabrieken uitgerust met IoT-technologie. Vergeet daarnaast persoonlijke apparatuur zoals smartphones en slimme horloges niet. Onderzoekers verwachten dat in 2020 het aantal actieve, draadloze, op internet aangesloten apparaten de 40 miljard overstijgt.
Angst regeert weer
Al deze apparatuur biedt een toegangspunt waarmee cybercriminelen zich toegang kunnen verschaffen tot het bedrijfsnetwerk. Het is dan ook urgent dat organisaties zich realiseren dat IoT-devices moeten worden meegenomen in de security strategie. Peter Vermeulen, analist bij PB7 Research, ziet dat bedrijven zich beginnen te realiseren welke gevaren op de loer liggen. “De angst regeert weer. Waar voorheen organisaties juist bezig waren om klanten meer vrijheid te geven, hebben de berichten over ransomware en grote hacks ervoor gezorgd dat bedrijven weer op hun hoede zijn. Door de meldplicht datalekken zijn de gevaren veel zichtbaarder geworden. Organisaties worden bang. De manier waarop beveiliging nu wordt ingestoken verandert en dat remt innovatie.”
IoT-apparatuur slecht beveiligd
Ook James Lyne, directeur bij de onderzoeksafdeling van Sophos, ziet het gevaar. “We gaan minstens tien jaar terug in de tijd als het gaat om de security van IoT-apparatuur. De beveiliging is onrijp en basaal vergeleken met moderne platformen. Dat komt doordat producenten niet ontwikkelen met security in hun achterhoofd. De beveiliging van IoT-apparatuur moet in de design-fase al meegenomen worden. Dat gebeurt nu nauwelijks tot niet. Met zulke slechte beveiliging is het slechts een kwestie van wachten totdat zich een ramp voordoet.”
Fatale gevolgen
Een ramp die zelfs mensenlevens kan gaan eisen. Je kunt je vast het bericht van vorig jaar nog wel voor de geest halen van de Fiat Chrysler die gehackt werd en waarbij de beveiligingsonderzoekers op afstand zelfs de remmen konden bedienen. Maar stel je ook eens voor dat in een ziekenhuis overal IoT-apparatuur word gebruikt. Helemaal geen vreemde gedachte, want buiten alle medische apparatuur, kunnen ook de eerder genoemde verlichting en klimaatcontrolesystemen op internet worden aangesloten. Voeg daarbij het personeel dat smartphones en tablets gebruikt en een nachtmerrie komt angstwekkend dichtbij. Wat als hackers een ziekenhuis en alle apparatuur plat leggen? Het is niet moeilijk voor te stellen dat dit fatale gevolgen kan hebben. “Zonder gedegen beveiliging geven we cybercriminelen vanuit de digitale wereld ongeëvenaarde mogelijkheden in onze fysieke wereld”, stelt Lyne.
Complexe uitdaging
Het grootste probleem is wat Lyne al aangeeft: producenten van IoT-apparatuur hebben security onvoldoende op hun netvlies staan bij de ontwikkeling van hun producten. Veel apparatuur wordt zo goedkoop mogelijk geproduceerd. Ze wordt uitgerust met de meest basale software die vaak niet kan worden geüpdatet. Hoewel dit met periodieke firmware-updates inmiddels in sommige gevallen wordt ondervangen, kunnen veel IoT-apparaten niet worden geïntegreerd in de conventionele IT-hardware- of software-bescherming waarmee veel organisaties zichzelf beschermen tegen aanvallen vanaf het internet. De diversiteit van het aantal IoT-devices zorgt voor een enorme stroom aan nieuwe data op het bedrijfsnetwerk. Die moet worden beheerd en beveiligd. Maar door de enorme variëteit aan netwerkprotocollen die door deze devices worden gebruikt, is dat een complexe uitdaging.
In kaart brengen
Het is belangrijk dat organisaties de persoonlijke apparaten integreren in hun security strategie. Veel aanvallen op bedrijven starten namelijk via een specifieke, individuele werknemer. Wanneer een bedrijf niet in beeld heeft welke apparaten allemaal data uitwisselen met het netwerk of het internet is het onmogelijk om een adequate security strategie te bepalen. Het is dus cruciaal om dit goed in kaart te brengen. Al deze netwerk-apparatuur moet meegenomen worden in pen-tests, zodat duidelijk wordt welke data zij het internet op sturen.
Straks is het te laat
Niet alleen de devices zelf zijn mogelijke kwetsbaarheden voor een bedrijf. Ook de gateways waarmee deze apparaten op het bedrijfsnetwerk of het internet worden aangesloten vormen een risico. IoT-devices zijn namelijk altijd aan en hebben altijd verbinding. In tegenstelling tot apparaten die door mensenhanden worden bediend, hoeven ze slechts eenmalig een authenticatieproces te doorlopen. Daarmee worden het dankbare infiltratiebronnen tot het bedrijfsnetwerk. Door de gateways beter te beveiligen, kan dit risico worden verkleind. Ook moet de markt werken aan security-standaarden voor IoT-apparatuur, vinden deskundigen. Lyne onderschrijft dit. “We moeten ons nú heel goed gaan verdiepen in de beveiliging van al die IoT-devices, voordat het straks te laat is.”
Pieter Lacroix, Managing Director Nederland bij Sophos
