Waarom cyberbeveiliging essentieel is voor fysieke veiligheid

Het tijdperk van verbonden apparaten belooft veel:door digitale gegevens van voorheen niet-verbonden analoge systemen te combineren, kunnen we nieuwe inzichten en innovaties leveren om de efficiëntie en veiligheid in onze huizen en werkplekken te verbeteren. De eerste regel van innovatie moet echter zijn om "geen kwaad te doen", wat in het geval van het Internet of Things (IoT) betekent dat de basisprincipes van cyberbeveiliging eerst goed zijn.

Het momentum verschuift snel op het gebied van videobewaking en fysieke beveiliging. Hoewel de reis naar de cloud langzamer was dan in andere sectoren, worden steeds meer CCTV-, toegangscontrole- en audiosystemen met het netwerk verbonden en daarom geïntegreerd in IT-netwerken en -processen om intelligentere fysieke bescherming te bieden.

Maar deze overstap naar de cloud creëert ook veel meer zakelijke kansen. Realtime videogegevens van op het netwerk aangesloten camera's kunnen bijvoorbeeld worden gecombineerd met informatie van andere systemen om nieuwe bronnen van bedrijfswaarde te ontwikkelen via cloudanalyse.

Dit is te zien in winkels, die vaak netwerkbewakingscamera's inzetten om winkeldieven te voorkomen of te identificeren. Door diezelfde camera's aan een cloudanalysesuite te koppelen, kunnen winkelmanagers ook automatisch wachtrijen detecteren en waarschuwingen genereren, of een beter inzicht krijgen in de verkeersstroom rond een winkel.

Het altijd aanwezige risico van verbonden systemen

Maar als bedrijven op hun hoede zijn voor aangesloten camera's, hebben ze daar een goede reden voor. 'S Werelds grootste Distributed Denial of Service (DDoS)-aanval, die eind 2016 veel populaire internettoepassingen zoals Dropbox, Netflix, Uber en meer uitschakelde, werd gedeeltelijk gelanceerd vanuit honderdduizenden gecompromitteerde netwerkbewakingscamera's. De Mirai-malware die de aanval leidde, nam de controle over netwerkapparaten door veelvoorkomende standaard gebruikersnaam- en wachtwoordcombinaties te testen, zoals admin:admin.

Twee en een half jaar na deze grote incidenten is het nog steeds zo dat er te veel fysieke beveiligingsproducten van professionele kwaliteit worden verkocht met weinig tot geen aandacht voor best practices op het gebied van cyberbeveiliging, en dat basiscontroletests zoals standaardreferenties nog steeds niet slagen. De nadruk blijft liggen op speed to market en kostenreductie. Er wordt onvoldoende aandacht besteed aan kwaliteitscontrole, "secure by design" productontwikkeling en effectieve processen voor ondersteuning na de verkoop met firmware-updates en activabeheer.

Dit ondermijnt kritisch het potentieel van deze apparaten om te leveren. Als de belofte van IoT in fysieke beveiliging die van een betere, veiligere wereld is, kan deze niet worden waargemaakt als apparatuur nieuwe kwetsbaarheden in het netwerk van een klant kan introduceren.

OEM's moeten veel moeite doen om ervoor te zorgen dat apparaten geschikt zijn voor hun doel en kunnen worden vertrouwd voor innovatie. Het vereist interne investeringen in vaardigheden en processen, en duidelijke communicatie en transparantie in de hele toeleveringsketen. Voldoet elk onderdeel aan de strenge normen die een klant mag verwachten?

Minstens zo belangrijk is echter de investering die gedaan moet worden in de educatie van eindgebruikers. De markt is zeer prijsgevoelig en klanten hebben duidelijke begeleiding nodig om de risico's te begrijpen die gepaard gaan met het kopen van apparatuur van onbekende leveranciers die niet correct is geconfigureerd.

En verder moet het bewustzijn buiten de IT-afdeling worden gedreven. Iedereen in een organisatie moet het belang van correcte inkoopprocessen begrijpen, aangezien de dalende kosten en het gebruiksgemak van moderne IoT-apparaten het moeilijk maken ze te beheersen. Een CIO heeft misschien de beste strategie, maar als een bedrijfsmanager apparatuur op een creditcard koopt en deze toevoegt aan het bedrijfsnetwerk, wie is er dan verantwoordelijk voor dat de producten veilig zijn?

Regelgeving heeft het bewustzijn vergroot

Dat gezegd hebbende, worden bedrijven zich steeds meer bewust van de cyberbeveiligingsrisico's die op het netwerk aangesloten apparaten met zich meebrengen, en in 2018 is er veel veranderd in de regelgeving om de bedreigingen tegen te gaan. De Algemene Verordening Gegevensbescherming (AVG) begon te worden gehandhaafd, evenals de Richtlijn betreffende de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn).

Beide richtlijnen leggen dezelfde forse financiële sancties op bij niet-naleving. Hoge geldboetes kunnen bedrijven afzwakken, dus het is absoluut noodzakelijk dat de relevante bedrijven due diligence doen om aan hun vereisten te voldoen.

We zijn al getuige geweest van GDPR-boetes die werden opgelegd in het VK en de EU met betrekking tot de inzet van CCTV-systemen. Onlangs werd gemeld dat hackers in het VK inbraken in de CCTV-systemen van scholen en beelden van leerlingen live op internet streamden. Dit leverde begrijpelijkerwijs veel negatieve publiciteit op; we sturen onze kinderen tenslotte naar school in de verwachting dat ze veilig zullen zijn, en de beveiligingssystemen zijn er om ze te beschermen in plaats van ze in gevaar te brengen.

Het selecteren van de juiste technologiepartners is van cruciaal belang

In ons convergerende beveiligingslandschap was het selecteren van de juiste technologiepartner nog nooit zo belangrijk. Beveiligingsprofessionals moeten erkennen dat cyberbeveiliging niet alleen een IT-probleem is en de bijbehorende cyberbeveiligingsrisico's voor een bedrijf begrijpen die verband houden met de inzet van fysieke en elektronische beveiligingssystemen. Hoewel de digitalisering van fysieke beveiliging op dit moment een enorm opwindende ruimte is om door te gaan, moeten we als industrie het probleem van cyberbeveiliging beter aanpakken, en binnenkort.