A Human Prescription to Internet of Things-beveiliging
Terwijl Internet of Things (IoT)-technologie veel wordt besproken voor zijn transformerende bedrijfstoepassingen, vooral in de productie, zorgt de onheilspellende dreiging van cyberbeveiliging ervoor dat sommigen sceptisch kijken naar zo'n breed netwerk van apparaten, sensoren, software en connectiviteit. Een stroom van nieuwsberichten over massale datalekken bevestigt het gevaar dat inherent is aan IoT-uitdagingen.
Met schattingen dat verbonden apparaten in 2020 20 miljard tot 30 miljard zouden kunnen bedragen, een stijging van 10 miljard tot 15 miljard apparaten in 2015 Volgens McKinsey en Co. zal het risico zeker toenemen. In mijn IoT-gesprekken met IT-leiders van ondernemingen is beveiliging de belangrijkste zorg die ze uiten.
Maar digitaal gestuurde organisaties kunnen waardevolle stappen nemen om de gegevensintegriteit te behouden vanaf een bron via elk analyse- en beslissingspunt , zowel centraal als lokaal, om het vertrouwen dat gegevensactiva veilig zijn te vergroten. Verrassend genoeg hebben de belangrijkste stappen bij het aanpakken van de beveiliging van het Internet der Dingen misschien minder te maken met technologie en meer met de bedrijfscultuur en het gedrag van werknemers.
Dus, wat zijn enkele van de belangrijkste internet- of Things-beveiligingsmaatregelen die een fabrikant onmiddellijk kan implementeren om gegevens en netwerken beter te beveiligen? Laten we eens kijken naar de belangrijkste.
Kultuur beoordelen . De meest essentiële stap en een die weinig of geen extra kosten vereist, is een eerlijke culturele beoordeling. Stel open vragen, misschien met behulp van een tool die anonimiteit mogelijk maakt, over de praktijken die gebruikers gek maken en hen motiveren om de gevreesde 'schaduw-IT' te creëren.
Bijvoorbeeld als het vier weken duurt voor de IT-afdeling om een klantrapport voor de verzendafdeling te genereren, kan het verzendteam zijn eigen kopie van klantgegevens bewaren op een cloudopslagsite. Iedereen in het expeditieteam kan nu het klantgegevensbestand downloaden naar hun laptop om hun wekelijkse personeelsrapporten op tijd voor de personeelsvergaderingen klaar te krijgen. Maar denk eens aan het risico voor uw organisatie als een van die laptops zoek raakt of wordt gestolen.
Eerlijke statistieken . Kijk op dezelfde manier eens goed naar organisatorische statistieken en vraag welk soort gedrag ze aansturen dat contraproductief kan zijn voor de beveiliging. Als onderhoudsmonteurs aanwezig zijn en elk alarm, ongeacht de ernst, onderzoeken - zelfs als het om 2 uur 's nachts gebeurt - kunnen ze heel goed gemotiveerd zijn om een 4G-videocamera te installeren om de faciliteit vanuit huis in de gaten te houden. Deze schijnbaar onschuldige hack zou hen in staat stellen om "dingen te controleren" zonder midden in de nacht door de stad te rijden.
Het is echter mogelijk dat deze technici met slaaptekort IT niet informeren over deze tijdelijke oplossing. Een 4G-hotspot, of de camera zelf, kan zo worden geïnstalleerd dat hackers helaas een toegangspoort tot de rest van uw organisatie krijgen. Kijk holistisch naar uw organisatie en onthoud het menselijke element.
Shadow IT . De beste oplossing voor schaduw-IT-acties is een 'amnestieperiode' waarin gebruikers naar voren kunnen komen en hun niet-geautoriseerde technologie kunnen aangeven zonder negatieve gevolgen. Hun problemen kunnen dan worden aangepakt op een manier die in overeenstemming is met de beveiligingsstrategie van het bedrijf. Als dit eenmaal is voltooid en een sterke beveiliging is geïmplementeerd, kan het ook helpen om een 'witte hoed'-hackerorganisatie in te huren om te proberen de netwerkverdediging te doorbreken. Een ethische hacker zal denken op manieren die een insider niet zal doen. Te vaak hebben de gevonden zwakke punten meer te maken met menselijke factoren dan met de technologie zelf.
Voortdurende cyberbeveiliging . Voor de langere termijn is het essentieel voor een organisatie om te begrijpen dat cyberbeveiliging een continu proces is en geen eenmalige exercitie. Gebruikers hebben de neiging om na verloop van tijd zelfgenoegzaam te worden, dus periodieke steekproeven zijn essentieel, net als reguliere formele beveiligingsaudits.
Met of zonder budgetbeperkingen is effectieve cyberbeveiligingstraining voor iedereen in de organisatie essentieel, net als het creëren van een cultuur waarin IT-beveiliging hoog in het vaandel staat. Geloof het of niet, maar sommige stafmedewerkers zijn zich nog steeds niet bewust van het gevaar van het klikken op een link die per e-mail is ontvangen.
Bovendien moeten bedrijfsleiders door hun eigen gedrag aantonen dat het normaal is en wordt verwacht dat ze vragen stellen dingen. Stel bijvoorbeeld voor hoe u vreemden in de gangen beleefd maar effectief kunt ondervragen over het doel van hun bezoek en wie hun contactpersoon bij de werknemer is - en loop ze vervolgens naar die werknemer toe. Begin elke vergadering met een beveiligingsherinnering om deze top of mind te houden, net zoals productiebedrijven al vele jaren doen op het gebied van fysieke veiligheid.
Hoewel het waar is dat de bovenstaande beveiligingsmaatregelen gelden voor alle technologie-implementaties – niet alleen voor IoT – geldt dit nog meer voor een onderneming met IoT-functionaliteit vanwege het brede bereik. De menselijke en culturele elementen kunnen uw IoT-beveiligingsstrategie maken of breken.
Met schattingen dat verbonden apparaten in 2020 20 miljard tot 30 miljard zouden kunnen bedragen, een stijging van 10 miljard tot 15 miljard apparaten in 2015 Volgens McKinsey en Co. zal het risico zeker toenemen. In mijn IoT-gesprekken met IT-leiders van ondernemingen is beveiliging de belangrijkste zorg die ze uiten.
Maar digitaal gestuurde organisaties kunnen waardevolle stappen nemen om de gegevensintegriteit te behouden vanaf een bron via elk analyse- en beslissingspunt , zowel centraal als lokaal, om het vertrouwen dat gegevensactiva veilig zijn te vergroten. Verrassend genoeg hebben de belangrijkste stappen bij het aanpakken van de beveiliging van het Internet der Dingen misschien minder te maken met technologie en meer met de bedrijfscultuur en het gedrag van werknemers.
Dus, wat zijn enkele van de belangrijkste internet- of Things-beveiligingsmaatregelen die een fabrikant onmiddellijk kan implementeren om gegevens en netwerken beter te beveiligen? Laten we eens kijken naar de belangrijkste.
Kultuur beoordelen . De meest essentiële stap en een die weinig of geen extra kosten vereist, is een eerlijke culturele beoordeling. Stel open vragen, misschien met behulp van een tool die anonimiteit mogelijk maakt, over de praktijken die gebruikers gek maken en hen motiveren om de gevreesde 'schaduw-IT' te creëren.
Bijvoorbeeld als het vier weken duurt voor de IT-afdeling om een klantrapport voor de verzendafdeling te genereren, kan het verzendteam zijn eigen kopie van klantgegevens bewaren op een cloudopslagsite. Iedereen in het expeditieteam kan nu het klantgegevensbestand downloaden naar hun laptop om hun wekelijkse personeelsrapporten op tijd voor de personeelsvergaderingen klaar te krijgen. Maar denk eens aan het risico voor uw organisatie als een van die laptops zoek raakt of wordt gestolen.
Eerlijke statistieken . Kijk op dezelfde manier eens goed naar organisatorische statistieken en vraag welk soort gedrag ze aansturen dat contraproductief kan zijn voor de beveiliging. Als onderhoudsmonteurs aanwezig zijn en elk alarm, ongeacht de ernst, onderzoeken - zelfs als het om 2 uur 's nachts gebeurt - kunnen ze heel goed gemotiveerd zijn om een 4G-videocamera te installeren om de faciliteit vanuit huis in de gaten te houden. Deze schijnbaar onschuldige hack zou hen in staat stellen om "dingen te controleren" zonder midden in de nacht door de stad te rijden.
Het is echter mogelijk dat deze technici met slaaptekort IT niet informeren over deze tijdelijke oplossing. Een 4G-hotspot, of de camera zelf, kan zo worden geïnstalleerd dat hackers helaas een toegangspoort tot de rest van uw organisatie krijgen. Kijk holistisch naar uw organisatie en onthoud het menselijke element.
Shadow IT . De beste oplossing voor schaduw-IT-acties is een 'amnestieperiode' waarin gebruikers naar voren kunnen komen en hun niet-geautoriseerde technologie kunnen aangeven zonder negatieve gevolgen. Hun problemen kunnen dan worden aangepakt op een manier die in overeenstemming is met de beveiligingsstrategie van het bedrijf. Als dit eenmaal is voltooid en een sterke beveiliging is geïmplementeerd, kan het ook helpen om een 'witte hoed'-hackerorganisatie in te huren om te proberen de netwerkverdediging te doorbreken. Een ethische hacker zal denken op manieren die een insider niet zal doen. Te vaak hebben de gevonden zwakke punten meer te maken met menselijke factoren dan met de technologie zelf.
Voortdurende cyberbeveiliging . Voor de langere termijn is het essentieel voor een organisatie om te begrijpen dat cyberbeveiliging een continu proces is en geen eenmalige exercitie. Gebruikers hebben de neiging om na verloop van tijd zelfgenoegzaam te worden, dus periodieke steekproeven zijn essentieel, net als reguliere formele beveiligingsaudits.
Met of zonder budgetbeperkingen is effectieve cyberbeveiligingstraining voor iedereen in de organisatie essentieel, net als het creëren van een cultuur waarin IT-beveiliging hoog in het vaandel staat. Geloof het of niet, maar sommige stafmedewerkers zijn zich nog steeds niet bewust van het gevaar van het klikken op een link die per e-mail is ontvangen.
Bovendien moeten bedrijfsleiders door hun eigen gedrag aantonen dat het normaal is en wordt verwacht dat ze vragen stellen dingen. Stel bijvoorbeeld voor hoe u vreemden in de gangen beleefd maar effectief kunt ondervragen over het doel van hun bezoek en wie hun contactpersoon bij de werknemer is - en loop ze vervolgens naar die werknemer toe. Begin elke vergadering met een beveiligingsherinnering om deze top of mind te houden, net zoals productiebedrijven al vele jaren doen op het gebied van fysieke veiligheid.
Hoewel het waar is dat de bovenstaande beveiligingsmaatregelen gelden voor alle technologie-implementaties – niet alleen voor IoT – geldt dit nog meer voor een onderneming met IoT-functionaliteit vanwege het brede bereik. De menselijke en culturele elementen kunnen uw IoT-beveiligingsstrategie maken of breken.
Marcia Elaine Walker is de belangrijkste industrieadviseur voor productie bij SAS. Volg haar op LinkedIn of @MWEnergy op Twitter. Volg SAS-nieuws @SASsoftware op Twitter.
Internet of Things-technologie
- Breng blockchain naar het internet der dingen
- Het internet der dingen volgen
- Waarom het internet der dingen altijd een menselijke maat nodig heeft
- De beveiligingsuitdaging van het internet der dingen:deel 2
- De beveiligingsuitdaging van het internet der dingen:deel 1
- Cyberbeveiliging en het internet der dingen:toekomstbestendige IoT-beveiliging
- Het echte internet der dingen?
- Een jaaroverzicht:12 IoT-beveiligingsoverwegingen
- Het industriële internet der dingen beveiligen
- 3 grote uitdagingen bij de adoptie van het industriële internet der dingen (IIoT)
- Zijn bugs de toekomst van AI in het internet der dingen?