Tien jaar geleden was het ondenkbaar dat apparaten buiten het bedrijfsnetwerk toegang kregen tot bedrijfsapplicaties. Tegenwoordig is dat business as usual. De explosie aan connected apparaten – 20 miljard in 2020 volgens Gartner – zorgt echter voor aardig wat uitdagingen. Werk aan de winkel voor de hardware-industrie.

Omdat het concept van op het internet aangesloten broodroosters, koffieautomaten, treinen en auto’s relatief nieuw is, is beveiliging niet altijd meegenomen bij het ontwerp. Veel risico’s zijn te beperken met educatie rond voorspelbare standaardconfiguraties en slecht wachtwoordbeheer. Maar uiteindelijk moeten leveranciers standaard beveiligde producten gaan leveren. Er zijn echter vier grote uitdagingen bij IoT-beveiliging.

Kritieke kwetsbaarheden

De eerste uitdaging: de hardware-industrie is niet goed in staat kritieke kwetsbaarheden aan te pakken. Als het gaat om veilige ontwikkeling en patching, liggen hardwareleveranciers minstens tien jaar achter op de software-industrie.

Kijken we naar de groei en adoptie van IoT-oplossingen in het afgelopen jaar, dan zullen hardwarefabrikanten echt snel aan de bak moeten. In tegenstelling tot patchen van kwetsbaarheden in software, is het bij veel hardwareproducten niet gemakkelijk de firmware te patchen.

Zichtbaarheid van enterprise-IoT

Hoe meer soorten connected apparaten er komen, des te moeilijker is het overal zicht op te houden. Wanneer is bijvoorbeeld voor het laatst een penetratietest uitgevoerd op het kopieerapparaat of HVAC-systeem? Beide zijn waarschijnlijk online verbonden, slaan gegevens op en verzenden die ook.

CISO’s moeten dus verder denken dan de pc en ook IoT-apparaten opnemen in hun securityplanning en -testen. Een belangrijke uitdaging hierbij is weten waar IoT-apparaten zich precies bevinden. Want werknemers nemen ook zonder betrokkenheid van de IT-afdeling op het netwerk aangesloten apparaten in gebruik.

Automatisering vergroot risico’s

IoT-apparaten zorgen voor gemak. Tegelijkertijd vergroten ze de behoefte aan een bredere aanpak van risico’s en bedreigingen. Neem bijvoorbeeld digitale assistenten, zoals Amazon Echo en Google Home. Het grootste voordeel van de digitale assistent is ook meteen zijn kwetsbaarheid: integratie. De assistent is namelijk de hedendaagse domeinbeheerder geworden.

Waarom moeite doen om een goed beveiligde ​​laptop in handen te krijgen, wanneer je veel eenvoudiger via zo’n assistent de controle kan krijgen over alle aangesloten apparaten?

Machine learning is geen wondermiddel

Machine-learningmodellen voegen rekenkracht en automation toe aan tijdrovende, arbeidsintensieve activiteiten. Ook wordt het gebruikt om malware te identificeren, aandelenkoersen te voorspellen, of zelfs een auto te besturen.

Maar in situaties waarin geen datapatronen voorhanden zijn, is machine learning niet nuttig. Het identificeren van interne bedreigingen is daarvan een goed voorbeeld. Acties van een ontevreden werknemer zijn onvoorspelbaar en moeilijk te herkennen.

Een risico van slimme apparaten ligt op het vlak van de correctheid van de informatie. Data-integriteit moet een prioriteit worden. Als de data van sensoren, elektriciteitsmeters en camera’s te wijzigen is en deze gegevens worden gebruikt voor besluitvorming, kunnen we niet meer vertrouwen op wat we denken te weten.

We staan pas aan de vooravond van een wereld waarin alles en iedereen verbonden is. Het is daarom belangrijk om nu serieus werk te maken van security by design, zodat we straks niet de wrange vruchten plukken van onze nalatigheid van vandaag.