Security-by-Design-principes zijn essentieel in de crisismodus

Met zoveel focus op de kortetermijnverstoringen van COVID-19, is er minder discussie geweest over de langetermijngevolgen voor de acceptatie van technologie.

Een waarschijnlijk scenario is dat de pandemie op de lange termijn leidt tot een toename van de automatisering en het beheer op afstand van activa, variërend van industriële machines tot verwarmingsventilatie- en airconditioningsystemen (HVAC) tot toeleveringsketens. In de gezondheidszorg is een langdurige stijging van virtuele zorg en telezorg waarschijnlijk. Hoewel veel organisaties met budgetdruk hun activiteiten hebben opgeschort, zal de pandemie de weg vrijmaken voor beter gepositioneerde organisaties om processen te automatiseren.

Begin maart begonnen bedrijven hun bedrijfsprocessen en andere activiteiten te heroverwegen nadat de Wereldgezondheidsorganisatie COVID-19 als een pandemie had geclassificeerd. Het meest duidelijk is dat er een "enorme toename is geweest van gerapporteerde gebruikers van Slack en Microsoft Teams voor samenwerking", zegt Chris Kocher, directeur van Gray Heron, een managementadviesbureau. Leveranciers van teleconferenties hebben ook snelle winsten geboekt. "Teladoc voor telezorg heeft ook een enorme groei doorgemaakt", voegde Kocher eraan toe.

[ IoT World is het grootste IoT-evenement in Noord-Amerika waar strategen, technologen en uitvoerders verbinding maken, waardoor IoT, AI, 5G en edge in actie komen in verschillende branches. Boek nu je ticket. ]

Volgens Shodan-gegevens is de toegang op afstand tot industriële controlesystemen (ICS) de laatste tijd ook toegenomen, na een afname in de afgelopen jaren. Alleen al in de VS zijn er nu bijna 50.000 ICS-apparaten verbonden met internet. Het gebruik van het remote desktop-protocol, waarmee Windows-gebruikers werkstations of servers op afstand kunnen beheren, is ook toegenomen, nadat het protocol eind 2019 uit de gratie begon te raken als gevolg van beveiligingsproblemen.

Veel industriële organisaties hebben al "op basisniveau monitoring op afstand", zegt Yasser Khan, CEO van One Tech. Dergelijke relatief eenvoudige mogelijkheden waren voldoende toen arbeiders machines nog persoonlijk konden inspecteren. Maar omdat veel faciliteiten zijn teruggebracht tot skeletbemanningen, zijn hun prioriteiten verschoven. Fabrieksmanagers zijn steeds meer op zoek naar "bepalen hoe ze op afstand meer inzicht kunnen krijgen in de gezondheid van hun machines", zei Khan.

Volgens Nitin Kumar, chief executive officer bij Appnomic, heroverwegen veel organisaties ook de planning voor rampenherstel. "Wat er gebeurt als een organisatie wordt getroffen door een natuurramp of een computervirus en de systemen ervan uitvallen, schakel je vaak over naar een soort handmatige modus", zegt Kumar. "De zaken gaan door, maar in een langzamer tempo." Maar COVID-19 is geen normale ramp. “Nu zijn je handmatige en vraagcapaciteit geraakt en is je systeemcapaciteit verstikt of ontoegankelijk. Je hebt dus meer systemen of automatisering nodig, niet meer personeel.” Organisaties die het zich kunnen veroorloven om de automatisering uit te breiden, zullen dit waarschijnlijk doen als ze hun rampenherstelplanning en bedrijfscontinuïteitsplanning heroverwegen.

De verspreiding van connectiviteit en automatisering is natuurlijk niets nieuws. In 2016 constateerde beveiligingsgoeroe Bruce Schneier dat menselijk ingrijpen steeds meer overbodig wordt. "Het internet voelt, denkt en handelt nu", schreef hij. "We bouwen een robot van wereldformaat en we beseffen het niet eens." Schneier concludeerde dat het van vitaal belang is om te overwegen wat hij een 'nieuwe wereldomspannende robot' noemde.

Hoewel de maatschappelijke rol van software al tientallen jaren groter wordt, kunnen de beveiligingsgevolgen van een wereld met wijdverbreide geautomatiseerde of semi-geautomatiseerde IoT-apparaten ingrijpend zijn. "Computers hebben een enorme kracht om ons leven te helpen en het beter te maken, maar hoe complexer het systeem, hoe meer dingen er mis kunnen gaan", zegt Kate Stewart, senior directeur strategische programma's bij de Linux Foundation. "We moeten proberen uit te vinden hoe we kunnen begrijpen wat er mis kan gaan, de schade kunnen beperken en de betrouwbaarheid van de software kunnen vergroten."

S ecure door Design

Traditionele cybersecurity-concepten zoals security by design vallen soms buiten de boot wanneer organisaties zich in de crisisresponsmodus bevinden. COVID-19 zal "het naleven van 'secure-by-design'-principes een uitdaging maken", zegt John Loveland, global head of cybersecurity strategy bij Verizon. "Iedereen gaat heel snel." Naarmate organisaties tijdens de crisis de mogelijkheden voor werken op afstand en automatisering uitbreiden, is de kans groter dat ze fouten maken. “Je kunt de technologie of de nieuwe bedrijfsprocessen niet de achterliggende beveiliging laten overtreffen. U moet ervoor zorgen dat uw interne beveiligingsteam deel uitmaakt van elke beslissing die u neemt met betrekking tot nieuwe technologie, processen of manieren van werken.”

Experts raden aan om beveiliging in een zo vroeg mogelijk stadium in overweging te nemen bij het plannen van technologie-implementaties. "Zorg ervoor dat u de belanghebbenden, het bedrijf en de operators betrekt bij veiligheidsdiscussies", raadt Bob Martin aan, co-voorzitter van de Software Trustworthiness Task Group bij Industrial Internet Consortium.

"Je moet [beveiliging] beschouwen als een van de belangrijkste aspecten van elke oplossing en, net als de fundamenten van een huis, is al het andere daarop gebouwd", zegt Andrew Jamieson, directeur beveiliging en technologie bij UL. Organisaties die verzuimen om een ​​juiste fundering te bouwen, lopen het risico deze opnieuw op te bouwen of "in ieder geval veel tijd en moeite te steken in het repareren van iets dat veel gemakkelijker had kunnen worden verholpen eerder", zei Jamieson.

Toch is het onwaarschijnlijk dat security-by-design-principes bovenaan de prioriteitenlijst komen te staan, aangezien organisaties abrupt overstappen op werken op afstand, controle op afstand van activa en mogelijk uitbreiding van de automatiseringsmogelijkheden. "Dat is inderdaad een enorm beveiligingsprobleem, zelfs bij het gebruik van veilige technologieën, omdat er geen tijd is om ze veilig toe te passen", zegt Frank Hißen, een onafhankelijke beveiligingsadviseur.

Beveiligingsprincipes bevatten vaak een reeks hardware- en technologieonderdelen. Het in elkaar zetten ervan kan een puzzel zijn. "Soms hebben leveranciers die de 'puzzelstukken' verkopen" die deel uitmaken van een implementatie onvoldoende beveiligingsmaatregelen, zegt Chris Catterton, directeur solutions engineering bij One Tech. Door de reikwijdte van de mogelijkheden voor toegang op afstand van een IoT-implementatie uit te breiden, neemt de noodzaak toe om "beveiliging op zowel de eindpunten als op systeemniveau op te nemen, zowel via de cloud als on-premise systemen die toegankelijk zijn via VPN", aldus Catterton.

F Inding en hervinden van veiligheidssaldo

Hoewel het van vitaal belang is om beveiligingsfuncties in producten en processen in te bouwen, is het niet mogelijk om op elke mogelijke toekomstige dreiging te anticiperen. "Je kunt niet altijd vroeg in een project ontwerpbeslissingen nemen over beveiliging en deze geldig laten blijven", zei Jamieson.

Er is vaak een spanning tussen het toevoegen van nieuwe functies aan software en ervoor zorgen dat het veilig is voor gebruik en beveiligd. "Er zijn veel functies die op onze mobiele telefoons verschijnen die willekeurig crashen en de gevolgen, hoewel vervelend, zijn niet levensbedreigend", zei Stewart. "We zien steeds vaker dat open source wordt gebruikt in toepassingen waar, als de software niet betrouwbaar is, iemand pijn kan doen."

Uiteindelijk komt het beveiligen van systemen neer op veerkracht en wendbaarheid. "Als je alleen bouwt voor veerkracht, kom je in de problemen" wanneer nieuwe beveiligingsproblemen aan de oppervlakte komen", zei Jamieson. "Dus in de wereld van vandaag heb je ook wendbaarheid nodig:de mogelijkheid om snel systemen te veranderen, patchen, updaten of anderszins te refactoren wanneer dingen veranderen."

Wendbaarheid in beveiliging sluit ook aan bij security-by-design principes. "Je moet vanaf het begin beveiliging inbouwen en die beveiligingsaanpak moet aspecten van veerkracht en wendbaarheid omvatten", zei Jamieson. "Als je niet ontwerpt voor veiligheid, ontwerp je voor mislukking."