Internet of Things: vijf beveiligingsuitdagingen voor CIO’s

Alles en iedereen wordt steeds slimmer, ook machines en apparaten. Slimme apparaten communiceren met ons én met elkaar via internet en maken het leven een stuk makkelijker. Het Internet of Things (IoT) wordt steeds omvangrijker. Het gaat niet alleen maar over een smart koelkast of thermostaat, maar bijvoorbeeld ook over apps die in Amsterdam meten welke hardlooproutes op welk tijdstip populair zijn. Of sensoren in de havens die doorgeven welke aanlegplekken bezet zijn en ook de sterkte van de aanlegpalen voor vrachtschepen meten, zodat deze tijdig onderhoud krijgen. Maar hoe zit het met de security?

Zoals bij alles wat met IT te maken heeft, is security ook bij IoT een punt van zorg. Het is belangrijk te voorkomen dat bijvoorbeeld de sensoren gebruikt worden als toegang tot een netwerk, zoals dit een tijdje geleden gebeurde bij een via de IP gekoppelde airco van een bedrijf. Het beveiligen van slimme apparaten én de data die gegenereerd wordt, moet dan ook de hoogste prioriteit hebben. Dit geldt uiteraard ook voor IoT op de werkvloer. Vijf aandachtspunten voor CIO’s:

1. Nog verder gefragmenteerde IT

De afgelopen paar jaar zagen we een wildgroei aan clouddiensten en snelle adoptie van mobiele apparaten op de werkvloer. Deze trends zorgden niet alleen voor nieuwe werkwijzen en –processen, ze verspreiden de IT ook tot ver buiten het veilige datacenter van organisaties. Dat maakte een einde aan de strakke controle die CIO’s hadden over hun IT-systemen.

CIO’s worstelen al met medewerkers die bedrijfsgegevens benaderen via onbeveiligde smartphones en deze opslaan in ongeoorloofde clouddiensten. Dat wordt alleen maar erger met de verwachtte explosie aan IoT-apparaten. Volgens marktonderzoeksbureau Juniper Research zijn er in 2020 meer dan 40 miljard van dergelijke apparaten in gebruik. Dat zorgt voor een nog verdere fragmentatie van IT in het bedrijfsleven en nog minder controle voor de CIO.

De fragmentatie zorgt voor onoverzichtelijkheid die vaak wordt opgelost door apparaten, systemen en diensten af te sluiten. Dit tot groot chagrijn van medewerkers natuurlijk. Dit is een zeer drastische oplossing, die niet altijd nodig is. CIO’s kunnen ook kijken naar gegevensbeveiliging, en in het bijzonder encryptie. Bedrijven zouden ervoor moeten kiezen om alleen IoT-apparaten te gebruiken die het onderlinge dataverkeer versleutelen.

Vervolgens is het belangrijk om encryptiestrategieën te implementeren en te versterken, om zo gegevens binnen bedrijfsnetwerken, clouddiensten en apparaten te beschermen. Stel als doel dat de gehele organisatie het belang begrijpt van de gekozen strategie en beveiligingskeuzes en deze altijd opvolgt, zodat er geen (onbeveiligd) apparaat wordt gebruikt dat de strategie kan ondermijnen. Geef tijdens deze sessies niet alleen informatie over welke policies of regels werknemers moeten opvolgen, maar zorg ervoor dat mensen mentaal een verandering doormaken en echt begrijpen waar het gevaar schuilt.

2. Kwetsbare apparaten

In het afgelopen jaar hebben onderzoekers aangetoond dat er beveiligingsgaten zaten in de draadloos verbonden Barbiepoppen, auto’s, fitness-apps en veel andere nieuwe vindingen die domme apparaten slim willen maken. Fortinets eigen onderzoeksteam, FortiGuard Labs, heeft nu al IoT-aanvallen op de radar en ziet deze overal ter wereld plaatsvinden. Dit laat zien dat er veel risico’s kleven aan het speelgoed, de draadbare apparaten, auto’s en energienetwerken die voorzien zijn van sensoren die verbonden zijn met netwerken en internet.

IoT maakt het aanvalsgebied veel groter. Hackers zien IoT-apparaten als bruggenhoofd voor ‘land-and-expand’-aanvallen. Zo kunnen hackers consumentenapparaten misbruiken om contact te maken met bedrijfsnetwerken en de hardware die daarmee verbonden is.

Hoe kunnen CIO’s hun bedrijfsnetwerken en –gegevens beschermen tegen verbonden apparaten en hun eigen IoT-implementaties? Het is ondoenlijk om dergelijke apparaten volkomen af te scheiden van andere netwerksystemen. Dan rest alleen de optie om een netwerkgebaseerde beschermingsstrategie uit te rollen. Intern gesegmenteerde firewalls, of ISFW’s, kunnen bijvoorbeeld de wildgroei aan dreigingen binnen het bedrijfsnetwerk beteugelen.

Daarnaast is het verstandig om een beveiligingsoplossing voor het IoT-netwerk toe te passen die aanvallen vanuit dit groeiende slagveld kunnen afweren. Natuurlijk moeten ook de leveranciers van IoT-apparaten verantwoordelijkheid nemen. Zij dienen de verdediging van hun producten te versterken en gebruik te maken van product security teams (PSIRT).

3. Misbruik van IoT-toegang

In een gebruikelijke IoT-omgeving zijn de meeste apparaten altijd verbonden en staan zij altijd aan. In tegenstelling tot mobiele telefoons, tablets en laptops gebruiken deze apparaten waarschijnlijk een enkele eenmalige authenticatie voor meerdere sessies. Dat maakt hen aantrekkelijk voor cybercriminelen die een bedrijfsnetwerk willen infiltreren. Daarom is het essentieel om de beveiliging van de toegangspunten tussen IoT-apparaten en het netwerk grondig te beveiligen.

CIO’s zouden deze toegangspunten in kaart moeten brengen, zowel wat betreft hun locatie als waarmee zij verbonden zijn. Deze bevinden zich zowel binnen als buiten de organisatie en kunnen zelfs verbonden zijn met de fabrikant van de IoT-apparaten. Er moet ook een duidelijk plan van aanpak zijn voor het updaten van beveiligingspatches op deze toegangspunten, evenals op de IoT-apparaten zelf. De toegangspunten kunnen op verschillende niveaus beveiligd worden, bijvoorbeeld door het gebruik van VPN’s voor transportbeveiliging, IPS en malware voor het herkennen van bedreigingen in verkeersstromen, en application control voor het toestaan van geautoriseerde applicaties.

4. Big Data, Big Risico

De creatie, het verwerken en opslaan van enorme hoeveelheden gegevens is onlosmakelijk verbonden aan de ontwikkeling van IoT. Verbonden apparaten genereren een gigantische dataverzameling. Bedrijven die systemen voor Big Data gebruiken, krijgen te maken met een nog grotere overvloed aan gegevens. Jammer genoeg vormen deze gegevens ook een aantrekkelijk doelwit voor cybercriminelen. De bescherming van deze enorme aantallen gegevens met grote in- en uitstromen, vraagt om grote capaciteit in de bandbreedte van beveiligingsapparaten. Wie zich bezighoudt met data-analyse, werkt niet met een enkele gegevens-set, maar met meerdere gegevensverzamelingen die gecombineerd en geanalyseerd worden door verschillende mensen.

Het onderzoek van een farmaceutisch bedrijf kan bijvoorbeeld toegankelijk zijn voor medewerkers, uitvoerders en stagiairs. Dit vraagt om individuele toegangs- en controlerechten (bijvoorbeeld met Identity en Access Management) zodat je als organisatie precies kan zien wie toegang heeft tot welke bestanden of applicaties. Doordat je vooraf regelt wie er wel en vooral wie er géén toegang heeft, beperk je het risico dat er ongeoorloofde mutaties worden uitgevoerd of data wordt weggesluisd. Een organisatie kan er ook voor kiezen om ‘data collecties’ te maken en hieraan regels te koppelen. Dit zorgt er bijvoorbeeld voor dat data-elementen niet langer nodig zijn voor de het bedrijf, automatisch vernietigd worden.

5. Nieuw ongedierte

Er komen nieuwe wormen die specifiek zijn ontworpen om IoT-apparaten aan te vallen. Zij kunnen veel schade aanrichten omdat het bereik veel groter is binnen de nieuwe samengevoegde netwerken. Een goed voorbeeld hiervan is Conficker, een worm die voorkwam op pc’s in 2008 en die zich nu nog steeds handhaaft en verspreidt.

Daarnaast zullen wormen en virussen de kop opsteken die zich kunnen bewegen tussen apparaten, vooral tussen mobiele, en dan vooral Android-, apparaten. Wormen die zich al hebben ingegraven zullen zich verspreiden door gebruik en misbruik te maken van kwetsbaarheden in het toenemende aantal IoT- en mobiele apparaten. Het grootste botnet dat FortiGuard labs ooit heeft waargenomen beslaat circa 15 miljoen pc’s.

Als de IoT-wormen niet aan banden worden gelegd, kan een botnet gemakkelijk oplopen tot meer dan 50 miljoen apparaten. Het is daarom essentieel dat er systemen zijn voor patch management en een combinatie van netwerkgebaseerde beveiligingsinspecties, zoals intrusion prevention systemen (IPS), Application Control en IP reputation databases, om deze wormen tegen te houden.