De wet ter verbetering van de cyberbeveiliging van het IoT:wat betekent het en hoe bereiden we ons ervoor voor?

Het doel van de IoT Cybersecurity Improvement Act van 2017 is om "minimale operationele standaarden voor cyberbeveiliging te bieden voor met internet verbonden apparaten die zijn gekocht door federale instanties en voor andere doeleinden."

Onder de voorgestelde wetgeving moeten leveranciers aan een aantal vereisten voldoen voordat ze contracten kunnen sluiten met overheidsinstanties, waaronder:

• Apparaten moeten vrij zijn van bekende kwetsbaarheden en defecten
• Apparaten moeten regelmatig software-updates kunnen ontvangen
• Apparaten mogen geen vaste of hardgecodeerde inloggegevens bevatten die worden gebruikt voor beheer op afstand, het leveren van updates of communicatie

Gezien de veiligheids- en economische implicaties van IoT-netwerken in particulier bezit, is het echter zeer waarschijnlijk dat dergelijke voorschriften verder kunnen worden uitgebreid dan overheidscontracten. Ted Koppel heeft gewaarschuwd dat een IoT-aanval op het Amerikaanse elektriciteitsnet een enorme stroomstoring zou kunnen veroorzaken, en toen onderzoekers in Israël een aanval simuleerden op "slimme gloeilampen" om lichten in een stadsblok met kantoren te bedienen, toonden ze aan dat dit niet louter alarmisme is .

Voor bedrijven kunnen dergelijke aanvallen existentiële bedreigingen vormen – DNS-provider Dyn een DDoS-aanval hebben meegemaakt die mogelijk 8% van zijn omzet heeft gekost. Dus hoewel we zeker meer regelgeving en industriestandaarden kunnen verwachten, moeten organisaties hun eigen proactieve stappen ondernemen om hun systemen te beveiligen.

Stappen die elk bedrijf zou moeten nemen

Het mag duidelijk zijn dat de standaardbenaderingen voor het beveiligen van een netwerk - patches, firewalls, spywaredetectie, het opleiden van werknemers enzovoort - niet voldoende zullen zijn om IoT-bedreigingen tegen te gaan. De combinatie van software-infrastructuur en op afstand geïmplementeerde apparaten voegt nieuwe dimensies toe aan beveiliging die een nieuwe manier van denken vereisen.

Er zijn echter een paar stappen die bedrijven moeten nemen om ervoor te zorgen dat ze niet alleen aanvallen kunnen voorkomen, maar ook kunnen voldoen aan de opkomende wetgeving:

• Versleutel de sleutels op elk afzonderlijk apparaat voor meer controle over het netwerk, aangezien elk afzonderlijk apparaat kan worden gecontroleerd en beheerd (in tegenstelling tot een gateway die een specifiek gebied/regio bestuurt)
• Gebruik alleen afgeleiden van coderingssleutels voor specifieke functies
• Draai de sleutels regelmatig zodat zelfs als een apparaat is gecompromitteerd, het slechts voor een korte tijd door een hacker kan worden gebruikt
• Centraliseer de zichtbaarheid en controle over het systeem, zodat u verdachte apparaten direct in quarantaine kunt plaatsen en kunt uitschakelen
• Maak gebruik van op hardware gebaseerde beveiliging, of bescherming die wordt geproduceerd door een fysiek apparaat in plaats van software die op een computersysteem is geïnstalleerd, een tactiek waarvan analist Patrick Moorhead heeft beweerd dat deze veiliger is dan software omdat deze niet kan worden gewijzigd en mogelijk voorkomen dat malware het besturingssysteem en de virtualisatielaag infiltreert

Volgens IDC , wordt verwacht dat de investeringen in IoT tegen 2021 in totaal $ 1,4 biljoen (€ 1,17 biljoen) zullen bedragen. IoT-systemen hebben al zo'n vijfentwintig miljard apparaten online genomen , en volgens een Hewlett Packard onderzoek kan 70 tot 80% geen versleuteling en voldoende wachtwoordbeveiliging hebben.

Dit zijn de belangrijkste doelwitten voor enkele van de ergste soorten cyberaanvallen die je je kunt voorstellen, en bedrijven moeten nu actie ondernemen om ervoor te zorgen dat ze worden beschermd. Met de juiste aanpak kunnen bedrijven IoT-netwerken bouwen die zeer veilig zijn, zodat het enorme economische potentieel van IoT tot wasdom komt.

De auteur van deze blog is Amir Haleem, CEO van Helium