Internet of things (IoT) en de daarmee gepaarde gaande veiligheidsrisico’s krijgen een enorme impact. Ondernemers in het midden- en kleinbedrijf moeten groter gaan denken: als grote bedrijven.
Dit zegt Tony Anscombe, security evangelist & industry partnerships ambassador van it-beveiliger ESET. Computable sprak met hem en zijn collega’s tijdens de recente Be Inside Technologie Summit (BiTS) in Tallinn. Volgens Anscombe wordt de uitdaging groter. Het begint al met de consument. Twee jaar geleden had die gemiddeld minder dan tien apparaten in huis die met internet waren verbonden. Momenteel zijn het er al meer dan twintig. Neem bijvoorbeeld de thermostaat die op afstand is te bedienen of de personenweegschaal met een internetaansluiting. Je vergeet snel dat die nieuwe generatie slimme apparatuur op het thuisnetwerk is aangesloten.
Misbruiken
Righard Zwienenberg, senior onderzoeker bij ESET, voegt toe: ‘Je hebt veel meer van dit soort systemen dan je denkt. Soms realiseer je je niet dat een bluetooth-luidspreker met een pc is verbonden en dus ook onbedoeld een verbinding naar buiten kan maken. Een aanvaller zou dat kunnen misbruiken.’ Dit betekent dat consumenten meer als mkb’ers moeten denken als het om de veiligheid gaat. En kleine bedrijven moeten op hun beurt weer dit probleem als grotere ondernemingen benaderen. Want mede door IoT neemt het aantal ‘connected’ apparaten hand over hand toe.
Anscombe: ‘Ondernemers staan voor een grotere uitdaging. Ze moeten elk apparaat met een ip-adres in de gaten houden. Zelfs bij kleine bedrijven zijn dat er tegenwoordig al gauw een paar honderd. Dit vereist andere vaardigheden dan tot voor kort voldoende was. Het beheer is complexer. Ook heb je andere beveiligingssoftware nodig. Elke organisatie, van klein tot groot, kan niet meer zonder software om al die apparatuur centraal te beheren. Anders loop je veiligheidsrisico’s. De eerste stap is software te gebruiken dat scant naar IoT-apparatuur. Je moet weten wat er allemaal op het eigen netwerk zit en met welke kwetsbaarheden dat gepaard gaat. Vervolgens is een paneel voor het beheren van het netwerk in huis geen overbodige luxe.
Kantoorkoelkast
Juraj Malcho, chief technology officer bij ESET, zegt: ‘Het gevaar zit niet zozeer in het apparaat zelf, maar in de ongeautoriseerde toegang die via die hardware naar belangrijke gegevens leidt. Via een IoT-apparaat is een aanvaller in staat een server binnen te dringen of de cloud.’ Een ongeluk zit volgens Malcho in een klein hoekje. Een koelkast op kantoor, koffiemachine, webcam of connected gloeilamp kan al de zwakke schakel in de keten zijn. Deze apparaten kunnen als het ware fungeren als toegangspoort tot grotere netwerken. Op den duur wordt het ondoenlijk al die aparte apparaten te beveiligen. Dan komt het zwaartepunt op de beveiliging van het netwerk te liggen.
Anscombe: ‘De eisen die in een mkb-bedrijf aan een firewall stelt, gaan naar die van een corporate firewall.’ Een probleem is dat niet al die kleinere bedrijven de juiste kennis in huis hebben. Het wordt helemaal lastig nu de it’ers in het mkb qua kennis op het niveau van een grote onderneming moeten gaan zitten. ‘Je zult vaker zien dat het mkb deze taken gaat uitbesteden aan een managed services provider’, voorspelt Anscombe.
Ondergeschoven kindje
Ook de fabrikanten van IoT-apparatuur moeten meer aan veiligheid denken. Volgens ESET-topman Malcho lappen sommige fabrikanten in hun haast om nieuwe producten op de markt te brengen, de veiligheid aan hun laars. Hij noemt goedkope routers als voorbeeld. Die zijn soms nauwelijks beschermd. Zwienenberg: ‘Ook veel starters willen zo snel mogelijk naar de markt. De veiligheid wordt dan een ondergeschoven kindje.’ Malcho: ‘Vooral simpele IoT-apparaten met firmware die geen update kent, vormen een gevaar. Onbeveiligde IoT-apparatuur is een nachtmerrie.’ Malcho verwacht dat straks vanuit de overheid regels worden uitgevaardigd. Die kunnen uitmonden in wetten. Hij vergelijkt de situatie met die in de luchtvaart. Na de eerste vliegrampen werden de veiligheidsgordels verplicht gesteld. Behalve fysieke bescherming van apparatuur ziet Malcho een toekomst voor gedragsmatige detectie. Afwijkend gedrag wordt dan eerder herkend. Het is bijvoorbeeld raar als een koffiemachine buiten de kantooruren regelmatig informatie opvraagt in de cloud.
Malware
Malcho denkt ook aan de toepassing van sensoren die waarschuwen bij onraad. Het IoT vormt voor ESET net als voor andere it-beveiligers een gebied dat de komende jaren veel aandacht zal krijgen. Apparatuur blijkt gemakkelijk van buitenaf te benaderen, zegt Zwienenberg. Malware als BlackEnergy liet eind 2015 in een deel van de Oekraïne de stroom uitvallen. Een jaar later gebeurde hetzelfde met Industroyer, de eerste malware die speciaal is ontwikkeld om energiebedrijven plat te leggen. Industroyer kan schakelaars en stroomonderbrekers op afstand omzetten. Zwienenberg: ‘Hetzelfde kan in principe ook in Nederland gebeuren. Industriële controlesystemen zijn kwetsbaar.’
De Stuxnet-worm toonde aan dat zelfs complete installaties fysiek zijn te vernietigen. De aanval met de ransomware Petya op energiebedrijven in de Oekraïne toont aan hoe wijd verspreid de gevolgen kunnen zijn. Ook westerse ondernemingen, zoals de Deense rederij Maersk, werden de dupe. Zwienenberg: ‘De les die we hieruit kunnen trekken is dat apparaten heel goed moeten worden afgeschermd tegen indringers van buitenaf.’
Gebruikerservaringen
Volgens Carlos van Beek (Coco Systems) is het nog een hele uitdaging om het mkb bewust te maken van de veiligheidsrisico’s. Per sector zijn de verschillen groot. ‘Gunstig onderscheidt zich de kleine medische sector’, zegt hij. ‘Tandartsen en apothekers zijn wat dat betreft voorlopers.’ Willem de Roode, account manager bij VCS Automatisering, ziet een keer ten goede. Als voorbeeld noemt hij woningcorporaties. Neem opzichters die gegevens van leeg komende woningen in hun smartphone bijhouden. Die moeten tegenwoordig twee-factor-authenticatie toepassen.
(Deze bijdrage is afkomstig uit Computable Magazine, editie 06/2017.)
Ook hier weer een duidelijk signaal, iets wat wij al vanaf dag 1 van hype IoT roepen, hoe zit het met de security? Klaarblijkelijk weegt de hype commercieel zwaarder dan iets basaal als oog voor security. Eveneens een veeg teken professioneel daar security gewoon deel uit maakt van je eigen vak gebied.