Bedrijven Pas op:IoT-apparaten vormen een toegangspoort tot cyberaanvallen

Het internet der dingen biedt bedrijven een ongekend niveau van zichtbaarheid en controle over hun toeleveringsketens. Maar het opent ook de deur naar potentieel verlammende cyberaanvallen.

Een nieuwe studie van het Ponemon Institute onthult een sterke toename van datalekken veroorzaakt door onbeveiligde IoT-apparaten van derden. En het suggereert dat topbeveiligingsexperts niet genoeg doen om ze te stoppen.

De derde jaarlijkse studie van het instituut over IoT-risico's van derden heeft als ondertitel "Bedrijven weten niet wat ze niet weten". Onwetendheid over de gevaren van cyberaanvallen lijkt de kwetsbaarheid van veel bedrijven te hebben vergroot. IoT-gerelateerde inbreuken zijn sinds 2017 met minstens 26 procent gestegen, zo blijkt uit het onderzoek. (Het aantal kan zelfs nog hoger zijn, merken de auteurs op, omdat de meeste bedrijven niet op de hoogte zijn van elk onbeveiligd apparaat of elke applicatie op hun terrein die afkomstig is van externe leveranciers.)

In een tijd waarin datalekken endemisch worden, lijkt cyberbeveiliging voor veel bedrijven geen bijzonder hoge prioriteit te hebben, althans niet als het gaat om het investeren van middelen op dat gebied. Vooral het toezicht door het topmanagement ontbreekt. Volgens het onderzoek heeft minder dan de helft van de bestuursleden van bedrijven programma's goedgekeurd die bedoeld zijn om het risico van cyberaanvallen door derden te verminderen. Slechts 21 procent begrijpt de aard van dat risico volledig en is "zeer betrokken" bij de beveiligingsmaatregelen die nodig zijn om het aan te pakken.

Als het gaat om het anticiperen op cyberrisico's, lijkt de overheersende houding er een van fatalisme te zijn. Uit het onderzoek bleek dat 87 procent van de respondenten gelooft dat hun eigen organisatie de komende 24 maanden te maken zal krijgen met een cyberaanval veroorzaakt door onbeveiligde IoT-apparaten of applicaties. En 84 procent verwacht binnen diezelfde periode een datalek te krijgen.

De nieuwste versie van het onderzoek is gebaseerd op 600 gekwalificeerde respondenten en ongeveer 450 unieke bedrijven, volgens Larry Ponemon, mede-oprichter van het Ponemon Institute. In wat hij een 'eclectische maar interessante steekproef' noemde, waren onder de deelnemers experts op het gebied van IT, gegevensbescherming, technologie van derden en regelgeving.

"Derde partij" betekent het volledige scala aan leveranciers, contractanten, kanaalpartners en interne gelieerde ondernemingen van buiten de eigen IT van een bedrijf. milieu, merkt Charlie Miller op, senior adviseur van het Shared Assessments Program, een onderdeel van The Santa Fe Group dat gespecialiseerd is in het beoordelen van risico's van derden.

Externe IoT-apparaten hebben meestal de vorm van sensoren, slimme apparaten, printers, camera's, nestthermostaten, spraakgestuurde persoonlijke digitale assistenten - kortom alles met elektronica die verbinding kan maken met het bedrijfsnetwerk.

Ondanks dit arsenaal aan onveilige technologie, waarvan een groot deel via de persoonlijke apparaten van medewerkers in het netwerk wordt geïntroduceerd, beschouwt het management het niet als een enorm risico, zegt Ponemon. Miller voegt eraan toe dat het probleem wordt verergerd door een enorme toename van het aantal IoT-apparaten dat de afgelopen jaren op de markt is gekomen.

Elk van deze apparaten heeft een uniek IP-adres en vormt een potentieel kwetsbaar punt waardoor hackers of cyberdieven toegang kunnen krijgen tot bedrijfseigen gegevens. Voordat bedrijven een van deze apparaten in het netwerk kunnen introduceren, moeten ze precies begrijpen wat de apparaten moeten doen, wat voor soort gegevens ze moeten verzamelen en hoe die informatie wordt verzonden.

"Al deze dingen zijn fundamentele concepten die nog niet zijn uitgekristalliseerd in deze enorme IoT-ruimte", zegt Miller.

Waarom zijn bedrijven, in het licht van deze aanval van aanvallen, niet proactiever om ze te voorkomen? Ponemon suggereert dat het probleem ligt in een gebrek aan verantwoordelijkheid binnen organisaties. Bovendien zijn IoT-apparaten verleidelijk handig in gebruik, waarbij eigenaren weinig nadenken over hoe ze de bedrijfsbeveiliging in gevaar kunnen brengen.

Miller ziet enige tekenen van verlichting bij beveiligingsteams en -organisaties. Bepaalde industrieën, zoals fabrikanten van medische hulpmiddelen, zijn meer op dit probleem gefocust dan andere, voornamelijk omdat ze onderworpen zijn aan strenge regelgeving. (De Food and Drug Administration heeft bijvoorbeeld "strenge regels over apparaten die bij mensen moeten worden geïmplanteerd", zegt Miller.) Nieuwe wetgeving, zoals de California Consumer Privacy Act, legt beperkingen op aan het gebruik van consumentengegevens door verkopers voor marketingdoeleinden. Bovendien richten wetgevers zich op fabrikanten met maatregelen die hogere niveaus van ingebouwde beveiliging voor op IoT gebaseerde apparaten vereisen. (Verbied bijvoorbeeld het gebruik van eenvoudig te kraken standaardwachtwoorden, die veel gebruikers niet veranderen.)

Andere inspanningen om de cyberbeveiliging aan te scherpen worden aangevoerd door organisaties zoals het National Institute of Standards and Technology, waarvan de normen wereldwijd worden geaccepteerd, en de Monetary Authority of Singapore, de centrale bank van dat land. Vier van de vijf aanbevelingen van laatstgenoemde om de veiligheid te vergroten, zijn opgenomen in de Ponemon-studie.

"Je moet begrijpen wat de apparaten zijn die je binnen je eigen organisatie hebt en die door je derde partijen mogen worden gebruikt", zegt Miller. “En je moet ervoor zorgen dat de manier waarop de apparaten worden aangesloten gesegmenteerd is vanuit je productieafdeling. Dus als er een inbreuk is, is er isolatie voor een niet-productiesegment van uw netwerk.”

Educatie is van het grootste belang, zegt Ponemon, en benadrukt dat het bewustzijn van cyberrisico's moet lopen van elke individuele werknemer tot aan de executive suite, evenals aan externe supply chain-partners en klanten.

Miller zegt dat bedrijven use cases moeten ondernemen voordat ze zich verbinden tot het gebruik van IoT-apparaten, om het potentieel voor misbruik te bepalen. Met bewakingssystemen in moderne auto's kunnen hackers bijvoorbeeld op afstand de controle over het voertuig overnemen. "De transportsector kijkt hier heel serieus naar", zegt hij.

Uiteindelijk komt het neer op waakzaamheid van de kant van de gebruiker. "Cyberhygiëne is de verantwoordelijkheid van het individu", zegt Ponemon. “Dat is cruciaal. Het gaat niet alleen om IoT – het gaat om alles.”