Cyberbeveiliging en het internet der dingen:toekomstbestendige IoT-beveiliging

Het internet der dingen verandert de manier waarop we leven en werken. Niet alleen de industrie zal hiervan profiteren:het internet der dingen verandert nu al de manier waarop we allemaal omgaan met objecten in ons dagelijks leven. Maar de benadering van IoT-beveiliging is momenteel zeer gefragmenteerd en in bepaalde gevallen onbestaande.

Er is behoefte aan gemeenschappelijke normen om ervoor te zorgen dat het IoT wordt voorzien van basisbeveiliging. Er moet aandacht worden besteed aan op identiteit gebaseerde cryptografie met openbare sleutels, die vanwege zijn kenmerken een sectoronafhankelijke basisbeveiliging kan bieden, van slimme huizen tot industrieel IoT, zegt Roderick Hodgson, directeur,Secure Chorus .

Dit was het thema van een recente lezing die ik hield voor het European Telecommunications Standards Institute (ETSI) Security Week gehouden op het hoofdkantoor van ETSI in Sofia Antipolis, Frankrijk. Ik sprak als directeur met speciale verantwoordelijkheid voor technisch toezicht op Secure Chorus, een non-profitorganisatie die thought leadership, gemeenschappelijke normen en tastbare mogelijkheden biedt voor de cyberbeveiligingsindustrie.

Ik heb ook gemeld dat de industrie als geheel momenteel een jaarlijkse toename van 600% ziet in IoT-cyberaanvallen, waarbij commerciële en industriële elektronica, nutsbedrijven, medische apparatuur, auto's en transport het meeste risico lopen omdat ze voorop lopen bij de acceptatie van IoT .

Het IoT is geen apparaat of technologie, maar een raamwerk voor het inbedden van connectiviteit en intelligentie via een reeks apparaten. Het verzamelen van en reageren op gegevens in realtime is de belangrijkste mogelijkheid die door het IoT tot leven wordt gebracht. Gegevens kunnen worden verzameld op een reeks apparaten en kunnen worden geopend en geïnterpreteerd via nieuwe computertechnologieën.

Cloudcomputing, analyse-engines en big data-oplossingen zorgen voor een enorme innovatie in combinatie met het IoT. Door de staat gesteunde aanvallen, massale economische sluiting en pogingen om wijdverbreide chaos te veroorzaken zijn allemaal plausibele risico's in een wereld waar IoT-systemen groter zijn dan de som der delen.

Hoewel het IoT geen nieuw fenomeen is, worden steeds meer apparaten verbonden en slimmer. Deze trend doet zich voor in alle sectoren, waaronder sommige die als kritieke nationale infrastructuur (CNI) worden beschouwd, waardoor cyberbeveiliging een belangrijk punt van zorg is. Catastrofale storingen in nucleaire, luchtvaart en essentiële diensten moeten worden overwogen door fabrikanten, gebruikers van industriële IoT, natiestaten en regelgevers.

De IoT-implementaties worden geconfronteerd met kritieke cyberbeveiligingsrisico's:

1. Het aantal te beveiligen apparaten is veel groter dan in de traditionele zakelijke en industriële IT-omgevingen;
2. Apparaten en systemen die in het IoT worden gevonden, zijn zeer gevarieerd. Terwijl sommige oplossingen afhankelijk zijn van een laag stroomverbruik en een lage databandbreedte, zijn andere gericht op het uitvoeren van veel meer berekeningen via hogesnelheidsnetwerken;
3. IoT-apparaten worden gebruikt in een breed scala van omgevingen, die elk uitdagingen met zich meebrengen die worden veroorzaakt door verschillen in verwerkingscapaciteiten, gebruiksscenario's, netwerkmogelijkheden en fysieke locaties; en
4. IoT-apparaten worden onderdeel van systemen die rechtstreeks van invloed zijn op gezondheid en veiligheid.

Het probleem van het gelijktijdig aanpakken van authenticatie- en beveiligingsuitdagingen in IoT-systemen kan worden opgelost door het gebruik van 'identity-based public-key cryptography', waarbij de cryptografische sleutels direct worden gekoppeld aan de identiteit van een IoT-apparaat of sensor.

Het toegevoegde gebruik van Key Management Servers (KMS) vereenvoudigt het sleutelbeheer, biedt schaalbaarheid naar aantal en compatibiliteit met de grote verscheidenheid aan apparaten en sensoren, terwijl er tegelijkertijd voor wordt gezorgd dat partijen vertrouwen kunnen krijgen in de apparaten die ze beheren, buiten de perimeter van een enkel systeem of organisatie.

Secure Chorus heeft de ontwikkeling mogelijk gemaakt van een ecosysteem van Secure Chorus Compliant Products (SCCP) dat zorgt voor het volgende:

• Gegevensbeveiliging – Dit wordt bereikt met end-to-end-codering om ervoor te zorgen dat alle gegevensverwerkingsactiviteiten kunnen worden uitgevoerd zonder de gegevensbeveiliging in gevaar te brengen.
• Eigendom van gegevens – Dit type cryptografie omvat een Key Management Server (KMS), waardoor de systeemeigenaar volledige controle heeft over de systeembeveiliging.
• Op identiteit gebaseerde cryptografie met openbare sleutels vereist geen dure en complexe ondersteunende infrastructuur voor het distribueren van inloggegevens, waardoor implementatie op schaal mogelijk is. Dit betekent een substantiële innovatie op het gebied van cryptografie.

Een van de grootste uitdagingen bij het beveiligen van IoT is het vinden van een oplossing die werkt voor apparaten met een laag stroomverbruik, en die tegelijkertijd veilig genoeg is voor kritieke infrastructuursystemen. Gegevensbeveiliging, authenticatie en vertrouwen worden het best bereikt in een IoT-omgeving door het gebruik van het op identiteit gebaseerde cryptografieprotocol met openbare sleutels.

MIKEY-SAKKE is zo'n op identiteit gebaseerd cryptografieprotocol met openbare sleutels, dat effectieve authenticatie, sleuteldistributie en intrekking biedt in verschillende implementatiescenario's. Secure Chorus en zijn leden hebben MIKEY-SAKKE gekozen als onze open cryptografiestandaard, waardoor we interoperabiliteitsstandaarden kunnen ontwikkelen voor op MIKEY-SAKKE gebaseerde multimediacommunicatieoplossingen.

De auteur van deze blog is Roderick Hodgson, regisseur, Secure Chorus

Over de auteur

Roderick Hodgson is een technoloog en innovatiestrateeg die toezicht houdt op alle technologische aspecten van Secure Chorus, inclusief technisch beheer, het bepalen van de technische strategie en het extern vertegenwoordigen van de technologie.