BLOG – Ongemerkt ontstaan zwakke plekken in onze digitale beveiliging. Zo blijven internet of things (iot)-apparaten – ofwel systemen waarbij verbonden apparaten gegevens verzamelen, uitwisselen en analyseren via internet – onder de radar van het cybersecuritybeleid. Dat is een probleem, want van slimme horloges tot medische apparatuur, iot-apparaten zijn overal.
Genoemd probleem werd onlangs blootgelegd door Nederlandse ethische hackers. Zij namen laadpalen van Amerikaanse herkomst eenvoudig over via bluetooth. Dit brengt ook strategische risico’s met zich mee, zeker nu bijvoorbeeld de NIS2-richtlijn van kracht is, waarmee de druk om iot-apparaten serieus mee te nemen in je cybersecuritystrategie groeit. Wat zijn de risico’s en waarom kan verschillende wetgeving functioneren als stok achter de deur?
Hartimplantaten
Iot-systemen brengen risico’s met zich mee als ze niet goed beveiligd zijn. Denk aan hartimplantaten. Maar ook sos-horloges om ouderen gemoedsrust te verschaffen met valdetectie en een noodknop. Wat als een ander het horloge probeert te hacken? Medische gegevens kunnen in de verkeerde handen vallen met inbreuken in privacy tot gevolg.
Mede daarom legt de NIS2-richtlijn organisaties strengere beveiligingseisen op. Dit omvat onder meer risicogebaseerd beveiligingsbeheer en incidentdetectie. Iot-apparaten vallen technisch gezien onder de scope van de NIS2-richtlijn, maar worden vaak niet meegenomen in risicobeoordelingen. Bedrijven verkiezen doorgaans gemak boven veiligheid. Een voorbeeld is het gebruiken van een publiek ip-adres voor een iot-apparaat, wat het apparaat direct blootstelt aan internet en een aantrekkelijk doelwit maakt voor cybercriminelen.
Daarnaast bestaat EN 18031, een nieuwe Europese norm die eisen stelt aan ontwerp, implementatie en beheer van consumentenelektronica en radioapparatuur die verbonden is met internet (zoals iot-apparaten). Deze norm biedt heldere richtlijnen om bedreigingen voor iot-apparaten proactief aan te pakken. Dit strekt zich uit van netwerkbeveiliging en bescherming van de privacy tot fraudepreventie. Dat dit vergaande implicaties heeft, blijkt uit de maatregel dat vanaf 1 augustus apparaten die niet aan deze norm voldoen, niet meer op de markt mogen worden gebracht.
Ondertussen heeft het Verenigd Koninkrijk een vergelijkbare richtlijn: de Cyber Security and Resilience (CS&R) Bill. Dit betekent dat er twee nalevingsroutes zijn als je actief bent in zowel Europa als het Verenigd Koninkrijk.
Tips om je veiligheid in eigen handen te nemen De noodzaak om te investeren in veiligere alternatieven neemt daarmee toe. Twee tips om hier concrete stappen in te zetten:
- Private ip-adressen in combinatie met een vpn-oplossing
Houd iot-apparaten op een apart netwerksegment met private ip-adressen en strikte firewallregels. Geef alleen toegang tot essentiële diensten, zoals een beheersysteem, en doe dat idealiter via een vpn. Doe je dat niet, dan stel je je systemen bloot aan aanvallen zoals ddos via botnets als Mirai. Deze aanpak voorkomt dat slecht beveiligde apparaten bedrijfsgevoelige data of kritieke systemen bereiken én ondersteunt directe compliance met de NIS2-richtlijn, die netwerksegmentatie verplicht stelt.
- Afwijkingen detecteren met ai
Een slimme meter verstuurt op vaste tijden gegevens, een beveiligingscamera streamt continu data; de meeste iot-apparaten vertonen voorspelbaar gedrag. En dit voorspelbare karakter biedt een kans. Met ai zijn namelijk afwijkingen in het gedrag van apparaten te detecteren. Zo kun je aanvallen vroegtijdig signaleren én voldoen aan de NIS2-richtlijn, die verplicht tot actieve monitoring.
Katalysator
Zonder de juiste begeleiding blijft een veilige toekomst abstract. De NIS2-richtlijn, EN 18013 en CS&R-wet functioneren als katalysator om te demonstreren dat beveiliging van iot-apparaten geen luxe, maar noodzaak is. Meer, het is een integraal onderdeel van risicomanagement. Consultants en strategisch adviseurs móéten hiervan op de hoogte zijn om digitale veiligheid te waarborgen.
Patrick Akkers, manager operations Wireless Logic Benelux
