De cyberrisico's van IoT verminderen en oplossingen vinden

Het afgelopen decennium heeft een ongekende ontwikkeling van het Internet of Things (IoT)-landschap plaatsgevonden, mogelijk gemaakt door nieuwe gedistribueerde netwerktechnologieën. McKinsey schat dat de wereld tegen 2025 50 miljard netwerkapparaten zal bezitten, 400% meer dan in 2010, en 11 biljoen dollar (10 biljoen euro) zal bijdragen aan de economie.

Hoewel deze proliferatie van IoT-apparaten in de afgelopen jaren opwindende kansen heeft gecreëerd voor bedrijven, overheden en individuele consumenten, heeft het nieuwe risico's gecreëerd die moeten worden beperkt. Met zo'n snelle ontwikkeling en implementatie van IoT-technologieën zijn bedreigingen en aanvallen een duidelijke zorg voor zowel individuen als organisaties wereldwijd.

Andrea Gaglione, IoT-expert en technologieleider bij Brit Insurance , onderzoekt de potentiële risico's van IoT en zijn collega, cyberverzekeraar Ben Maidment identificeert de stappen die gebruikers, ontwikkelaars en verzekeraars kunnen nemen om zichzelf hiertegen te beschermen.

Wat zijn de risico's?

Het is van cruciaal belang dat het begrip van de risico's en potentiële cyberkwetsbaarheden die verband houden met IoT nog steeds in ontwikkeling is - en om mitigerende maatregelen en oplossingen te implementeren, moeten deze potentiële risico's worden geïdentificeerd. Helaas wordt in veel gevallen steeds duidelijker dat deze zwakke punten pas worden gesignaleerd nadat er een inbreuk of cyberaanval heeft plaatsgevonden.

• Gegevensverlies

Beveiligings- en cyberbedreigingen groeien exponentieel, afhankelijk van de grootte van het potentiële 'aanvalsoppervlak' en netwerktoegangspunten, iets waar IoT-systemen daarom bijzonder gevoelig voor zijn. Uit recente gegevens blijkt dat in 2019 26,66 miljard IoT-apparaten actief waren en dat er elke seconde 127 nieuwe apparaten met internet worden verbonden.

Naarmate dit opschaalt, is de belangrijkste uitdaging het beheer en de bescherming van alle gegevens die IoT-apparaten vastleggen, gebruiken en verzenden, vooral in het licht van recente spraakmakende gegevensinbreuken en de bestraffende boetes in verband met de AVG-regelgeving (General Data Protection Rules) . Een primaire zorg, zoals bij de meeste cyberrisico's, is het verlies of het compromitteren van gegevens, met name klant- en persoonlijke gegevens. Voorbeelden van IoT-apparaten die grote hoeveelheden persoonlijke gegevens verzamelen die bijzonder kwetsbaar kunnen zijn, zijn slimme wearables die gezondheidsgegevens bewaken, verzamelen en verzenden.

• Onderbreking en onderbreking van de bedrijfsvoering

Naarmate toeleveringsketens en bedrijfsprocessen meer afhankelijk worden van netwerkapparatuur om meer efficiëntie te bereiken, lopen bedrijven meer risico op aanvallen. Aanzienlijke bedrijfsonderbreking, doordat apparaten door een hack offline worden gehaald, kan op korte termijn leiden tot een aanzienlijk verlies aan inkomsten, evenals tot reputatie en vertrouwen op de langere termijn.

Naast het misbruiken van de kwetsbaarheid van IoT-apparaten om een ​​netwerk binnen te komen, kunnen kwaadwillenden ook een reeks onbeveiligde IoT-apparaten gebruiken om gegevens om te leiden en Distributed Denial of Service (DDoS)-aanvallen uit te voeren. In 2016 hebben slechteriken meer dan 25.000 digitale videorecorders en CCTV-camera's gecompromitteerd en hun gegevens omgeleid om een ​​DDoS-aanval te lanceren die de servers van Dyn neerhaalde. , een grote Amerikaanse DNS-provider, die internetstoringen in de VS en Europa veroorzaakte, waardoor spraakmakende websites zoals Twitter, Netflix, GitHub werden platgelegd , en Reddit .

• Cyberfysiek

Ten slotte is een opkomend risico van IoT (en inderdaad cyber in bredere zin) dat van cyber-fysieke, waarbij een cyberaanval kan leiden tot fysieke schade. Dit kan gaan van genetwerkte medische apparaten zoals pacemakers, tot zelfrijdende auto's of dure industriële processen. Een kwaadaardige hack van deze apparaten, die de controle over deze activiteiten overneemt, kan leiden tot kostbare en mogelijk fysieke schade of levensgevaar. Vorig jaar bijvoorbeeld, de Amerikaanse Food and Drug Administration heeft een waarschuwing afgegeven dat sommige insulinepompen kwetsbaar zijn voor hackers, die op afstand toegang kunnen krijgen tot de instellingen van de pomp en deze mogelijk kunnen wijzigen.

Hoe kunnen we het risico beperken?

• Beveiliging en privacy door ontwerp

Tot nu toe is er voor IoT-fabrikanten een waargenomen compromis tussen de snelheid waarmee een product op de markt wordt gebracht en de robuustheid en veiligheid van het systeem. Zoals we hebben gezien bij de eerste golf van IoT, werd beveiliging niet als een prioriteitsvereiste beschouwd, maar we hebben een groeiende focus op privacy gezien na spraakmakende datalekken en nieuwe gegevensregelgeving.

Naar onze mening moet beveiliging voorop staan ​​bij het ontwerpen van nieuwe IoT-apparaten en moeten er continue maatregelen worden genomen om de beveiliging van zowel nieuwe als bestaande apparaten te behouden en te verbeteren.

• Beste praktijken voor cyberbeveiliging

Gebruikers zelf, of het nu individuen, bedrijven of de publieke sector zijn, hebben de verantwoordelijkheid om de beste praktijken toe te passen als het gaat om cybergevaren, en bewustzijn en educatie zijn van cruciaal belang. Organisaties moeten een evenwicht vinden tussen het verlangen naar de connectiviteit en efficiëntie die IoT-technologieën bieden, met de risico's die dergelijke connectiviteit met zich meebrengt, vooral gezien het gebrek aan nadruk op beveiliging bij de ontwikkeling van dergelijke producten.

Net zoals ze een traditioneel besturingssysteem zouden beheren, moeten individuen een actieve rol spelen bij het vormgeven van het bedrijfsbeleid inzake IoT en verantwoordelijk en op de hoogte zijn van de bedreigingen waarmee hun bedrijf wordt geconfronteerd. Veel van deze maatregelen zijn een tweede natuur geworden in traditionele IT, maar worden langzaamaan aangenomen en overwogen bij het overwegen van IoT-apparaten.

Eenvoudige stappen die gebruikers kunnen nemen om het risico te verminderen (en de aansprakelijkheid in het geval van een cyberincident te beperken), zijn onder meer:​​het gebruik van sterke wachtwoorden en beveiligingssleutels, die regelmatig worden bijgewerkt; bewakingsapparatuur en -systemen om beveiligingsgebeurtenissen te detecteren en erop te reageren, en; de beveiliging van apparaten continu bijwerken met het downloaden van softwarepatches van de fabrikanten.

Welke oplossingen biedt verzekeringen?

Verzekeraars spelen een cruciale rol bij het verminderen van deze risico's door bedrijven op te leiden om de risico's te minimaliseren en financiële en andere ondersteuning te bieden als IoT-apparaten worden gecompromitteerd en leiden tot bedrijfsonderbreking, fysieke schade of de diefstal van gegevens.

Cyberverzekeringen kunnen de financiële en reputatiekosten van de eerste en derde partij dekken als gegevens of systemen zijn gestolen, beschadigd of gecompromitteerd. Eerstepartijdekking omvat de kosten van onderzoek naar en herstel van cybercriminaliteit, van inkomstenderving als gevolg van een bedrijfsonderbreking, reputatieherstel en -beheer tot afpersingsbetalingen aan hackers. Dekking door derden omvat schade en schikkingen, en de kosten van juridische verdediging tegen boetes als gevolg van een inbreuk.

De beste vormen van cyberverzekering zijn niet zomaar een product, maar een dienst die bedrijven helpt om verder te komen op het pad naar compliance en hun blootstelling aan risico's te minimaliseren. Een toenemend aantal verzekeraars – waaronder Brit – biedt een aantal pre-cyberincidentdiensten aan als onderdeel van hun polissen:klanten kunnen toegang krijgen tot online portals met procedures en plannen die kunnen worden geïmplementeerd om risico’s te verlagen, materiaal voor incidentresponsplanning en controle lijsten voor gereedheid.

De auteurs zijn Andrea Gaglione, technologieleider en Ben Maidment, cyberclass underwriter bij Brit Insurance.