IoT-beveiliging – een belemmering voor implementatie?

Beveiliging heeft prioriteit als het gaat om de ontwikkeling en implementatie van het Internet of Things (IoT), met Gartner  voorspellen dat in 2020 IoT-beveiliging 20% ​​van de jaarlijkse beveiligingsbudgetten zal uitmaken.

Volgens Nick Sacke, hoofd Product en IoT, Comms365 ,  als potentiële remmer maken analisten, leveranciers en belanghebbenden zich zorgen over de potentieel significante beveiligingsrisico's die gepaard gaan met IoT-implementaties.

Deze zorgen spelen een rol bij de besluitvorming en bij het vertrouwen van de eindgebruiker bij het inzetten van IoT-diensten, met name als het gaat om het gebruik van bestaande netwerken waarvan bekend is dat ze kwetsbaar zijn, zoals wifi, en nieuwe netwerken die actief zijn in de spectrum zonder licentie, zoals LoRaWAN en Sigfox . Standaardisatie, of het gebrek daaraan, binnen de IoT-industrie vormt ook een barrière voor implementatie, aangezien oudere en nieuwere netwerken IoT inzetten, is meer standaardisatie met betrekking tot beveiligingsbeleid dringend vereist.

Gebrek aan informatie

Een probleem dat het vertrouwen van gebruikers ondermijnt, is het gebrek aan informatie over de beveiligingsregelingen die al zijn getroffen voor netwerken die ten grondslag liggen aan het IoT, zowel de gelicentieerde als de niet-gelicentieerde varianten. Low Power WAN (LPWAN) technologieplatforms zoals LoRaWAN en Sigfox gebruiken spectrum zonder licentie om IoT-sensoren op grote schaal in te zetten en er is zwaar gemeld dat dergelijke netwerktypes de traditionele beveiligingsmechanismen van mobiele netwerken missen, waarbij providers praten over een op een mobiel gebaseerd IoT-netwerk 'veiliger' omdat het verkeer op deze netwerktypen onder controle is van de betreffende provider.

Om het argument aan te pakken, is het belangrijk om onderscheid te maken tussen de soorten sensorverkeer die over deze netwerken gaan en hoe beveiliging op verschillende punten in het netwerk kan worden toegepast. Al het verkeer dat bijvoorbeeld via een LoRaWAN-netwerk van sensoren loopt, is niet gebaseerd op IP-protocollen, heeft 128-bits codering van bedrijfskwaliteit en vereist decodering via een applicatieserver die zich in een privécloudomgeving bevindt.

Dit contrasteert gunstig met op Wi-Fi gebaseerde sensornetwerken die kunnen worden gekoppeld aan openbare internetverbindingen, waarvoor ter plaatse zeer strenge beveiligingsvereisten gelden. Idealiter moeten openbare netwerken, hun providers en de apparaatfabrikanten elk element van hun ontwerp en implementatie bekijken om maximale beveiliging op elk niveau te garanderen en deze regelingen aan gebruikers te promoten.

Ondanks deze beveiligingsproblemen, is het belangrijk op te merken dat niet alle IoT-netwerken even gevoelig zijn voor beveiligingsinbreuken als andere. Vanuit een beveiligingsperspectief hebben de recente netwerken die op LoRaWAN worden geïmplementeerd inherent ingebouwde beveiliging vanaf het ontwerp, wat van het grootste belang is.

Dus, wie is er uiteindelijk verantwoordelijk voor het veilig houden van IoT? Moeten netwerkaanbieders een superveilig netwerk leveren? Ligt een deel van de verantwoordelijkheid bij de gebruiker om zijn lokale netwerk te beveiligen? Is het aan de fabrikanten van IoT-apparaten om de beveiliging van meet af aan rechtstreeks in het apparaat te integreren? Het antwoord is ja op alle drie de scenario's.

Om IoT veilig te maken, van ontwikkeling tot implementatie, tot het gebruik van het verbonden IoT-apparaat, zullen alle betrokken partijen een gecoördineerde gezamenlijke inspanning moeten leveren. Afhankelijk van de keuze van netwerktoegangstechnologie, kunnen er al ingebouwde beveiligingsfuncties zijn, zoals die in Cellular LPWAN, maar er is geen reden waarom u geen vergelijkbare regelingen kunt hebben voor niet-gelicentieerde spectrum-IoT-netwerken, door het creëren van een privé netwerktype met end-to-end gelaagde beveiliging.

Hoe een stad het deed

Het Milton Keynes Smart City-project implementeerde eind vorig jaar een LoRaWAN-netwerk om dekking te bieden in centrale stadsgebieden voor verschillende gebruikssituaties, waaronder energie, parkeren en milieu.

Gegevens verzameld van de enkele duizenden LoRa-gebaseerde IoT-sensoren worden veilig verzameld via het low power wide area network (LPWAN) en opgeslagen in een speciaal gebouwde IoT-datahub, waarmee analyses kunnen worden uitgevoerd door een verscheidenheid aan belanghebbenden in een veilig bewaakt manier, die in overeenstemming is met de wettelijke kaders voor gegevensbescherming.

Bij dit soort projecten is beveiliging ongetwijfeld een topprioriteit vanwege de omvang van de implementatie en het aantal inwoners dat gebruik zal maken van het netwerk en de apparaten die erop zijn aangesloten.

Consumenten moeten erop kunnen vertrouwen dat de getroffen beveiligingsmaatregelen robuust zijn, niet alleen voor de software, maar ook voor de fysieke omgeving. Er zijn al initiatieven om een ​​veel diepere beveiliging te bieden via blockchain en andere platforms, om zelfs openbaar netwerkverkeer veiliger te maken. Misschien wel het meest kritieke onderdeel is de site waar de apparaten daadwerkelijk worden ingezet en ervoor zorgen dat ze niet lokaal kunnen worden gehackt.

Als iemand lokaal toegang heeft tot het apparaat en het kan storen, maakt het niet uit wat er op de rest van het pad van de sensorgegevens gebeurt, omdat het al is aangetast. Sabotagebeveiliging is daarom een ​​belangrijk kenmerk bij het bewaken van de gezondheid van een IoT-sensorimplementatie, van een eenvoudige versnellingsmeter tot temperatuurveranderingen, de analyses kunnen mogelijke sabotage aantonen of projecteren en apparaatinterferentie minimaliseren.

De onzekerheid voor bedrijven over beveiliging lijkt een belemmering te zijn voor implementatie, maar dat hoeft niet zo te zijn. Er zijn een aantal potentiële gebieden om te beveiligen binnen een IoT-implementatie, met name voor legacy-infrastructuur en oudere netwerken, maar door op elk punt beveiliging toe te passen; apparaat, edge, WAN en cloud, is er een veel betere kans om potentiële inval te voorkomen.

Fabrikanten hebben de mogelijkheid om bepaalde beveiligingsfuncties vanaf het begin in hun apparaten op te nemen en dat is iets waar de halfgeleiderindustrie al naar kijkt. Maar nogmaals, het is het algemene gebrek aan normen dat in de weg staat. Er zijn al een aantal beveiligingsstandaarden voor de software, maar hoe zit het met de hardware in termen van chips en andere delen van het halfgeleiderpakket, binnen het IoT-apparaat?

Fragmentatie is nog steeds een probleem, aangezien fabrikanten in zekere zin hun eigen ding doen, maar het is de onderlinge coördinatie tussen hen die het meeste verschil zal maken. Er zijn sterke argumenten dat implementatie en beveiliging geen probleem zouden moeten zijn, op voorwaarde dat u het juiste systeem van partners kiest. Er komen substantiële ontwikkelingen en verbeteringen op het gebied van beveiliging in alle soorten IoT om klanten het comfort te bieden dat ze met intensiteit en schaal kunnen implementeren.

De auteur van deze blog is Nick Sacke, hoofd Product en IoT,  Comms365