Waarom we de beveiliging van het IoT in kritieke nationale infrastructuur niet kunnen uitstellen

Het is van cruciaal belang om de beveiliging van het elektriciteitsnet luchtdicht te houden.

Wanneer we het hebben over Internet of Things (IoT)-beveiliging, is het essentieel om eerst te erkennen in welke mate ons dagelijks leven steeds meer afhankelijk is van deze volledig verbonden systemen. Door IoT-apparaten te integreren in bedrijfskritieke industrieën, kunnen we niet alleen efficiënter worden, maar ook een voedingsbodem creëren voor nieuwe aanvalspunten. Deze netwerken zijn van vitaal belang, zegt Alan Grau, VP van IoT, Embedded Solutions bij Sectigo ; bescherming van de poort wordt een prioriteit.

Hoewel zelfs de leek zich realiseert hoe cruciaal het is om het elektriciteitsnet of de watervoorziening luchtdicht te houden, ontbreekt vaak één element in het gesprek, de centrale rol van het beveiligen van IoT-apparaten, inclusief authenticatie met behulp van digitale certificaten.

Het is nu noodzakelijk om alle verbonden zaken te authenticeren en certificaten lopen voorop bij het overwinnen van de kwetsbaarheden binnen onze kritieke nationale infrastructuur (CNI). En tijd is van essentieel belang. Het Ponemon Institute heeft onthuld dat 90% van de CNI-providers al te maken hebben met IoT-aanvallen. Waarschijnlijk heeft de andere 10% nog niet erkend dat ze ook worden aangevallen.

Aangezien een toenemend aantal gedistribueerde denial of service (DDoS) en ransomware-aanvallen zich blijven richten op onbeveiligde apparaten, moeten organisaties wakker worden en de inherente risico's van onbeveiligde eindpunten in ecosystemen aanpakken, van servers tot voertuigen tot elektriciteitsnetwerken.

Een groeiend aantal regeringen heeft onlangs wettelijke vereisten uitgevaardigd voor de beveiliging van consumentenapparatuur, maar de maatregelen zijn verre van wereldwijd; ze zijn ook niet alomvattend. Het is aan iedereen in het ecosysteem, van original equipment makers (OEM's) tot organisaties van eindgebruikers, om authenticatietechnologie in te bouwen en toe te passen die onze CNI beschermt.

De zorgsector veilig houden

De zorgsector staat voor de enorme uitdaging om met massa's gevoelige gegevens om te gaan. Of het nu gaat om het beheren van intellectueel eigendom, vertrouwelijke persoonlijke gezondheidsinformatie (PHI) of de configuratie van een aangesloten apparaat; gegevens zijn terecht het meest waardevolle bezit van de gezondheidssector en bijgevolg een van de moeilijkst te beschermen middelen.

Elk systeem of apparaat dat waardevolle patiënt-, onderzoeks- of organisatiegegevens bevat of verzendt, loopt gevaar. De bedreigingen, die afkomstig kunnen zijn van zowel interne als externe bronnen, variëren nu van malware, ransomware, IoT-botnets en diefstal tot phishing-pogingen, zakelijke e-mailcompromissen (BEC), afpersing en grootschalige datalekken.

Helaas blijven veel zorgorganisaties onvoldoende beschermd. De meeste hebben niet het hoge niveau van gegevenscodering dat nodig is om zowel gegevens in beweging als gegevens in rust te beveiligen. Velen maken nog steeds niet volledig gebruik van de voordelen die digitale identiteit kan bieden in verschillende gebruikssituaties.

Misschien nog zorgwekkender is het vaak over het hoofd geziene risico van onbeveiligde 'dingen' in de sector. De meeste zorgorganisaties met opkomende bedrijfsmodellen die afhankelijk zijn van het IoT, erkennen vaak niet dat hun aangesloten apparaten (biosensoren voor patiëntbewaking, wearables voor telegeneeskunde, pacemakers, pompen en dergelijke) een aanzienlijk beveiligingsrisico vormen.

De toenemende digitalisering van de patiëntervaring, in combinatie met een groeiende afhankelijkheid van gegevens (inclusief creditcardbetalingsgegevens), betekent dat het voor organisaties in deze sector absoluut noodzakelijk is om hun beveiligingsmogelijkheden voortdurend te versterken en potentiële kwetsbaarheden te dichten om bedreigingen voor te blijven.

Elk voertuig beveiligen

De komst van autonome voertuigen zal de potentiële bedreiging voor eigendommen en leven als gevolg van een IoT-aanval vergroten. In de niet zo verre toekomst zullen bestelauto's, bussen, taxi's en personenauto's autonoom zijn en een groot doelwit vormen voor cyberaanvallers. Autonome voertuigfabrikanten stellen dat de IoT-technologie waarmee deze voertuigen rechtstreeks met elkaar en met het verkeerssysteem van een stad kunnen praten, zal resulteren in een efficiënter en veiliger reissysteem.

Deze communicatie vereist echter een perfecte, niet-gemanipuleerde informatiestroom tussen voertuigen om hun nauwe coördinatie te garanderen terwijl ze mogelijk met hoge snelheden rijden, slechts enkele centimeters van elkaar verwijderd.

Volgens de 2019 Consumentenwaakhond rapport 'Kill Switch', zal meer dan tweederde van de nieuwe auto's op de Amerikaanse wegen tegen 2022 online verbindingen hebben met hun veiligheidskritieke systeem, waardoor ze het risico lopen op dodelijke hacks op het 'hoofd'-systeem van voertuigen, dat voornamelijk wordt gebruikt voor infotainment, GPS-navigatie en andere functies.

Wat gebeurt er als een van deze voertuigen wordt gehackt, waardoor de communicatie wordt verlamd, zodat het niet kan coördineren met andere voertuigen? De hacker kan er minimaal voor zorgen dat het verkeer in de knoop raakt. In het slechtste geval kan de slechte acteur ernstige ongevallen veroorzaken, mogelijk resulterend in letsel en verlies van mensenlevens voor de passagiers en/of voetgangers in de buurt. Een andere reële dreiging is een massale ransomware-aanval op voertuigen. Beveiliging is duidelijk noodzakelijk voor geconnecteerde auto's.

Het elektriciteitsnet beschermen

De voordelen van IoT in de energiesector zijn duidelijk. De enorme verzameling sensoren en regelapparatuur zorgt voor de betrouwbaarheid van de voeding en kan uitval voorkomen door de stroomstroom op elk moment te beheersen. De modernisering van het systeem betekent ook een verhoogde energie-efficiëntie en minder behoefte aan menselijke tussenkomst, een kostenbesparend voordeel voor organisaties. Bovendien kan het smart grid, door een rijk aanbod aan gegevens op te halen, voorspellende onderhoudsmodellen creëren, waardoor de algehele veiligheid wordt vergroot.

Deze automatisering en collectieve intelligentie heeft natuurlijk een keerzijde. Talloze cyberaanvallen en white hat-incidenten in het afgelopen decennium onderstrepen zowel de kwetsbaarheid van de energie-industrie als de hoge waarde ervan als doelwit. Cybercriminelen begrijpen dit en blijven actief manieren vinden om kwaadaardige code in buitenlandse netwerken te implanteren om deze te misbruiken wanneer het tijd is om toe te slaan. Een voorbeeld hiervan is de Russische testaanval op het elektriciteitsnet van Oekraïne, waarmee wordt bevestigd dat het land in staat is om de lichten naar believen uit te doen.

Gezien de potentieel catastrofale gevolgen, is het nu belangrijker dan ooit voor de energie-industrie om van deze steeds wijdverbreide technologie een topprioriteit te maken.

Een oplossing ontwerpen vanaf de productievloer

De oplossing ligt niet alleen in handen van wetgevers, maar ook van fabrikanten van apparaten en andere partijen in de supply chain. Identiteitsbeheer moet zijn ingebouwd, geautomatiseerd zijn om fouten of sabotage te voorkomen, en regelmatig worden bijgewerkt gedurende de hele levenscyclus van elk apparaat.

Identiteitsverificatietools zijn een essentiële beveiliging voor het beschermen van kritieke infrastructuur en de vele apparaten. Digitale certificaten, veilige opstart- en beveiligde code-updates, ingebouwde firewalls en andere technologieën stellen gezondheidszorg, transport, energie en andere kritieke ondernemingen in staat om ongeautoriseerde verbindingen te detecteren en te blokkeren voordat ze het netwerk binnenkomen, waardoor de poort vanaf het begin gesloten blijft voor cybercriminelen .

Enterprise en embedded IoT-beveiliging zijn niet langer alleen de zorg van technologieleveranciers of netbeheerders. IoT-identiteit is een kwestie van nationaal belang geworden.

De auteur is Alan Grau, VP van IoT, embedded solutions bij Sectigo

Over de auteur

Alan Grau is VP van IoT, Embedded Solutions bij Sectigo, een wereldwijde leverancier van geautomatiseerd digitaal identiteitsbeheer en webbeveiligingsoplossingen. Alan kwam in mei 2019 bij Sectigo werken als onderdeel van de overname door het bedrijf van Icon Labs , een leverancier van beveiligingssoftware voor IoT en embedded devices, waar hij CTO en mede-oprichter was.