Ondanks al hun voordelen zijn IoT-apparaten niet ontworpen met het oog op veiligheid. Dit kan tot enorme problemen leiden.
Het Internet of Things (IoT) heeft veel voordelen opgeleverd. Het heeft ook de manier veranderd waarop bedrijven en IT-risico's worden beheerd. In de afgelopen jaren zijn er berichten opgedoken over gekaapte camera's, gehackte medische apparaten en gecompromitteerde industriële controlesystemen. Het probleem zal alleen maar erger worden naarmate 5G mainstream wordt en embedded IoT-apparaten vaker voorkomen.
Het IoT voegt een extra beveiligingslaag toe aan bestaande beveiligingen. Dit is wat het zo moeilijk maakt. Omdat het IoT mogelijk alles binnen een onderneming raakt - en naar buiten toe naar partners en toeleveringsketens - gaat het om firmware, besturingssystemen, TCP/IP-stacks, netwerkontwerp, gegevensbeveiligingstools en nog veel meer.
Merritt Maxim is vice-president en onderzoeksdirecteur bij Forrester. "Kwetsbaarheden in dit brede ecosysteem zijn gemakkelijker over het hoofd te zien", zegt hij.
Dit is een serieus probleem. Het kan extreem moeilijk zijn om alle IoT-apparaten in een netwerk te identificeren. Dit is niet het einde.
Veel IoT-apparaten zijn niet ontworpen met het oog op beveiliging. "Mensen die IoT-systemen implementeren en opzetten, hebben niet altijd een uitstekend begrip van beveiliging. De toevoeging van meerdere apparaten van verschillende fabrikanten verhoogt de complexiteit", Joe Nocera, leider van het Cyber and Privacy Innovation Institute bij PwC.
Buiten controle
Elke discussie over IoT-beveiliging begint met een simpel feit: het internet der dingen verschilt fundamenteel van conventionele IT op het gebied van beveiliging. Veel IoT-apparaten hebben geen gebruikersinterface, dus aanvallen worden vaak direct op het apparaat uitgevoerd of via het apparaat om toegang te krijgen tot een bedrijfsnetwerk. Maxim wijst er ook op dat aanvallen een andere dynamiek kunnen hebben dan ransomware of andere aanvallen.
Hij zegt: "De motivatie is vaak voor een grotere schaal van verstoring."
Een aanval kan zelfs apparaten veroorzaken die niet kunnen worden gerepareerd of bedrijfsstoringen die financieel of politiek gemotiveerd kunnen zijn. In februari brak een hacker bijvoorbeeld een waterzuiveringsinstallatie in Florida binnen via een industrieel controlesysteem en probeerde hij de waterkwaliteit te manipuleren. In 2018 hackten cyberdieven een gokcasino in het VK via een met internet verbonden thermometer in een aquarium in de lobby. De klantgegevens van het casino zijn gestolen door dieven.
Fabrikanten creëren vaak hun eigen firmware, protocollen en ontwerpstandaarden. Ze doen niet altijd goed werk in het onderhouden en patchen van systemen. Veel IoT-apparaten zijn afhankelijk van oudere versies van Windows en Linux. Het IoT zorgt voor meer kopzorgen: industriële besturingssystemen en machines die niet bedoeld waren om met de wereld te worden verbonden, maken nu deel uit.
Bescherm jezelf
Opmerkelijk is dat 74% van de bedrijven die afgelopen juni door het Ponemon Institute werden ondervraagd, zei dat hun IoT-risicobeheerprogramma's geen gelijke tred hielden met de risico's van het alomtegenwoordige gebruik van IoT-apparaten.
Nocera van PwC stelt dat het kennen van de IoT-apparaten die op het netwerk draaien en welke gegevens ze hebben, de eerste stap is in het bouwen van een sterke bescherming.
Hij zegt: "Veel bedrijven weten het niet."
Dit wordt bemoeilijkt door het feit dat sommige fabrikanten obscure namen of codes gebruiken die hun apparaten niet duidelijk identificeren. Nocera raadt u aan de verantwoordelijkheid toe te wijzen aan een groep en een inventarisatie uit te voeren om mogelijke faalpunten en risico's te identificeren. Soms heeft een organisatie een gespecialiseerde oplossing voor activabeheer of detectie nodig.
Het is cruciaal om zichtbaarheid en controle te krijgen over het hele IoT-landschap.
Nocera zegt: "Een organisatie moet in staat zijn om verschillende apparaten aan en uit te zetten en dienovereenkomstig te configureren."
Met de juiste tools is het mogelijk om ervoor te zorgen dat alleen noodzakelijke services op een apparaat draaien en dat alle andere apparaten zijn uitgeschakeld. Een ander probleem dat configuratiebeheeradressen ervoor zorgen dat apparaten geen standaardwachtwoorden of fabrieksinstellingen gebruiken.
Ulf Mattsson (hoofd beveiligingsstrateeg bij Protegrity) zegt dat wachtwoorden regelmatig moeten worden gewijzigd. Hij raadt het gebruik van tokens, gegevensanonimisering en multifactor-authenticatie (MFA) aan, evenals biometrische authenticatie. Gegevensversleuteling in beweging en in rust, firewalls van de volgende generatie en inbraakpreventiesystemen (IPS) zijn allemaal noodzakelijk. Hij zegt dat het cruciaal is om deze systemen up-to-date en gepatcht te houden.
Nocera merkt ook op dat netwerksegmentatie een ander handig hulpmiddel is. Het is belangrijk om belangrijke systemen zoals industriële controles, bedrijfsapplicaties en andere kritieke informatie te isoleren, zodat hackers geen netwerken kunnen hacken via IoT-apparaten.
Hij zegt bijvoorbeeld dat "als je een rederij en logistiek bedrijf bent, IoT-apparaten die worden gebruikt om je vloot te beheren misschien niet hoeven te praten met IoT-apparaten en andere systemen die in een magazijn worden gebruikt". apparaten worden gecompromitteerd, verliest u slechts één magazijn en niet al uw magazijnen.
Het is veilig om IT te spelen
Er zijn veel andere strategieën die kunnen worden gebruikt om een veerkrachtigere IoT-infrastructuur te bouwen. Deze strategieën omvatten het vergrendelen van cloudreferenties die vervolgens kunnen worden gebruikt om apparaten opnieuw te configureren. Functies uitschakelen die niet worden gebruikt. Regelmatig de IoT-infrastructuur controleren en onnodige apparaten buiten gebruik stellen. Bescherming tegen malware up-to-date houden en minder veilige apparaten vervangen. U moet zich ook bewust zijn van de invloed van 5G op een IoT-framework.
Maxim zegt dat het ook verstandig is om te zoeken naar nieuwere IoT-apparaten die gebruikmaken van veilige silicium- en root of trust-technologieën (RoT). Dit verkleint de kans dat het BIOS of het besturingssysteemniveau kan worden gewijzigd. Een ander aandachtspunt is het toenemende gebruik van connectoren, Application Programming Interfaces (API's), die gegevensbronnen en apparaten uitbreiden en soms maskeren.
Wilt u onze gededuceerde ontwikkelaars inhuren? Ontvang een gratis schatting
Een holistische benadering die gebruikmaakt van een reeks tools en strategieën om apparaten en gegevens te beveiligen, is de beste verdediging. Maxim stelt dat elk IoT-apparaat of -systeem dezelfde strenge beoordeling moet ondergaan als bedrijfsapplicaties en moet worden onderworpen aan strikte beveiligingsnormen nadat het is geïmplementeerd.
Hij voegt eraan toe dat het internet der dingen nieuwe en soms ernstigere risico's met zich meebrengt, die bedrijven kunnen verstoren of de dood kunnen veroorzaken.