IoT-beveiliging:hoe digitale transformatie te stimuleren en risico's te minimaliseren

In slechts een paar jaar tijd heeft het Internet of Things (IoT) de manier waarop we leven en werken radicaal hervormd. Van de gadgets om onze polsen en in onze huizen tot de verbonden gebouwen en slimme fabrieken waarin we ons werkende leven doorbrengen, het maakt ons veiliger, gelukkiger en productiever en biedt nieuwe groeimogelijkheden voor organisaties. De technologie vormt de voorhoede van een digitale transformatierevolutie die de overgrote meerderheid van bedrijven nu al doordringt en hen helpt efficiënter, flexibeler en klantgerichter te maken.

Digitale expansie betekent echter ook een groter digitaal risico:de laatste cijfers laten een stijging van 100% jaar-op-jaar zien in IoT-aanvallen. De sleutel voor IT-teams is daarom om bedrijfsgroei te ondersteunen en tegelijkertijd deze cyberrisico's te minimaliseren door middel van best practice-beveiliging die is aangepast aan het nieuwe verbonden tijdperk.

Digitaal gaan

IoT heeft in relatief korte tijd een lange weg afgelegd. Gartner voorspelt dat er in 2019 14,2 miljard verbonden dingen in gebruik zullen zijn, met een totaal van 25 miljard in 2021. Met dit stijgende aantal apparaten is er een explosie aan data ontstaan. Cisco schat dat de totale hoeveelheid data die door alle apparaten wordt gecreëerd tegen 2020 600 Zettabyte per jaar zal bereiken, vergeleken met slechts 145 Zettabyte per jaar in 2015. Dit is een enorme hoeveelheid data – een enkele Zettabyte is het equivalent van 1 miljard Terabytes.

Waarom is het IoT de afgelopen jaren zo volledig doorgedrongen in zakelijke omgevingen? Een Forbes Insights-enquête onder 700 execs uit 2018 helpt dit te verklaren. Het constateert dat 60% van de bedrijven nieuwe bedrijfsactiviteiten uitbreidt of transformeert, een vergelijkbaar aantal (63%) nieuwe/bijgewerkte diensten aan klanten levert en meer dan een derde (36%) overweegt nieuwe zakelijke ondernemingen te starten. In de komende 12 maanden voorspelden bijna alle (94%) respondenten dat de winst dankzij IoT met 5-15% zou groeien.

IoT-sensoren, de verzamelde gegevens en verzonden naar de cloud voor analyse, bieden belangrijke nieuwe kansen om de klantervaring te verbeteren, complexe bedrijfsprocessen te stroomlijnen en nieuwe diensten te creëren dankzij de onthulde inzichten. Dit kunnen nutsbedrijven zijn die controleren op de vroege waarschuwingssignalen van waterlekken of stroomuitval, productiebedrijven die de operationele efficiëntie op de fabrieksvloer verbeteren en hardwarefabrikanten die nieuwe after-salesservices voor klanten bieden op basis van voorspellend onderhoud.

Risico is overal

De uitdaging voor elk bedrijf dat zijn gebruik van IoT en industriële IoT-systemen (IIoT) opvoert, is dat het het aanvalsoppervlak van het bedrijf in het proces zal hebben uitgebreid. Een snelle blik op OWASP's IoT Attack Surface Areas document illustreert hoeveel nieuwe mogelijke zwakke punten worden geïntroduceerd. Deze variëren van de apparaten zelf — inclusief firmware, geheugen en fysieke/webinterfaces — tot backend-API's, verbonden cloudsystemen, netwerkverkeer, updatemechanismen en de mobiele app.

Een van de grootste risico's voor dergelijke systemen is dat ze worden geproduceerd door fabrikanten die niet voldoende kennis hebben van best practices op het gebied van IT-beveiliging. Dit kan leiden tot ernstige systeemzwakheden en kwetsbaarheden die door aanvallers kunnen worden uitgebuit, van softwarefouten tot producten die worden geleverd met standaard fabrieksaanmeldingen. Het kan ook betekenen dat de producten moeilijk te updaten zijn en/of dat er geen programma is om zelfs maar beveiligingspatches uit te geven.

Dergelijke fouten kunnen in verschillende aanvalsscenario's worden uitgebuit. Ze kunnen worden gebruikt om bedrijfsnetwerken te doorbreken als onderdeel van een data-inval, of om belangrijke operationele processen te saboteren - ofwel om geld af te persen van de slachtofferorganisatie of gewoon om maximale verstoring te veroorzaken. In een vaker voorkomend scenario kunnen hackers het internet scannen op openbare apparaten die nog steeds alleen worden beschermd door de fabrieksinstellingen of gemakkelijk te raden/kraken wachtwoorden, en deze in botnets in te zetten. Dit is het model dat werd gebruikt door de beruchte Mirai-aanvallers en vervolgens werd aangepast in veel andere copycat-aanvallen. Deze botnets kunnen voor verschillende taken worden gebruikt, waaronder gedistribueerde denial of service (DDoS), advertentiefraude en het verspreiden van bancaire trojans.

In het donker

De moeilijkheid voor IT-beveiligingsteams is vaak het verkrijgen van inzicht in alle IoT-eindpunten in de organisatie, en sommige IoT-apparaten die worden gedetecteerd, kunnen vaak werken zonder medeweten van de IT-afdeling. Deze schaduw-IT-factor is in veel opzichten de opvolger van de BYOD-uitdaging voor ondernemingen - behalve dat in plaats van mobiele telefoons, gebruikers slimme wearables en andere apparaten gebruiken die vervolgens worden verbonden met het bedrijfsnetwerk, waardoor het cyberrisico toeneemt. Denk maar aan een smart-tv die door aanvallers wordt gekaapt om bijvoorbeeld bestuursvergaderingen te bespioneren, of een slimme waterkoker in een personeelskantine die als bruggenhoofd wordt gebruikt om een ​​datadiefstalaanval op het bedrijfsnetwerk te lanceren.

Nog erger voor IT-beveiligingsbazen is dat ze dit groeiende cyberrisico moeten beheren met minder bekwame professionals om een ​​beroep op te doen. Volgens een wervingsgroep is de vraag naar IoT-functies in het vierde kwartaal van 2018 met 49% gestegen ten opzichte van de voorgaande drie maanden.

Regelgevers halen achterstand in

De impact van elke grote IoT-gerelateerde cyberdreiging kan ernstig zijn. Gegevensverlies, uitval van IT-systemen, operationele verstoringen en dergelijke kunnen leiden tot financiële en reputatieschade. Alleen al de kosten van het onderzoeken en verhelpen van een beveiligingsinbreuk kunnen onbetaalbaar zijn. Een ernstige storing kan een grote investering van geld in overuren van IT-personeel vereisen. Wettelijke boetes zijn een andere steeds belangrijker kostenpost om in gedachten te houden. Niet alleen moet de AVG in overweging worden genomen voor problemen die van invloed zijn op de persoonlijke gegevens van klanten of werknemers, de NIS-richtlijn van de EU verplicht ook tot best practice-beveiliging voor bedrijven die actief zijn in specifieke kritieke sectoren. Op beide staan ​​dezelfde maximale boetes.

Dit regelgevend toezicht dringt door aan beide zijden van de Atlantische Oceaan. Een nieuw wetsvoorstel in de VS vereist dat het National Institute of Standards and Technology (NIST) minimale beveiligingsrichtlijnen voor IoT-fabrikanten opstelt en dat federale agentschappen alleen kopen van leveranciers die aan deze basisnormen voldoen.

Zichtbaarheid en controle

Indien aangenomen, zou deze Amerikaanse wetgeving goed kunnen voortbouwen op een Europese ETSI TS 103 645-norm, die zelf was gebaseerd op een door de Britse regering voorgestelde gedragscode voor de industrie. Het is zeker een goed begin en zal hopelijk de industrie ertoe aanzetten meer veiligheidsbewust te zijn, terwijl het consumenten en bedrijven in staat stelt om de veiligere producten op de markt te zoeken. Maar in werkelijkheid duurt het even voordat dergelijke stappen op de markt zijn doorgedrongen, en zelfs dan kunnen organisaties al duizenden onveilige verouderde IoT-eindpunten gebruiken.

IT-beveiligingsteams moeten nu handelen, door beter inzicht te krijgen in hun IoT-omgeving. Tools voor IT-activabeheer zouden hier moeten kunnen helpen door de allerbelangrijkste eerste stap te bieden:zichtbaarheid. Zorg er vervolgens voor dat de apparaatfirmware up-to-date is via geautomatiseerde patchbeheertools en dat dit proces wordt gecontroleerd om er zeker van te zijn dat het correct werkt - sommige beveiligingsupdates zijn diep begraven in de website van een leverancier en vereisen menselijke tussenkomst om ervoor te zorgen dat deze zijn ingeschakeld . Bovendien moeten IT-teams controleren of gebruikersnamen/wachtwoorden onmiddellijk worden gewijzigd in sterke en unieke inloggegevens. Nog beter, vervang ze door multi-factor authenticatie. Andere best practices zijn onder meer versleuteling van gegevens in transit, continue netwerkbewaking, identiteitsbeheer, netwerksegmentatie en meer. Vergeet tot slot het menselijke aspect van cyberbeveiliging niet:werknemers moeten worden geleerd de beveiligingsrisico's van IoT te begrijpen en hoe ze systemen en apparaten veilig kunnen gebruiken.

Dit is de manier om de meeste waarde te halen uit alle IoT-initiatieven, zonder de onderneming bloot te stellen aan onnodige extra risico's. Er is slechts één ernstige inbreuk op de beveiliging nodig om de door innovatie aangedreven groei te ondermijnen die zo essentieel is voor het succes van het moderne digitale bedrijf.