Smart Home IoT en BYOD: veiligheidsmentaliteit is onontbeerlijk

  1. 11 mrt 2019
  2. 0 reacties

alex-knight-199368-unsplash

Het Internet of Things (IoT) is ons dagelijks leven binnengedrongen - zowel privé als zakelijk. Wereldwijd heeft de gemiddelde persoon nu drie tot vier aangesloten producten. In 2020 zal dit aantal naar verwachting stijgen tot zes tot zeven apparaten per persoon, wat in totaal ongeveer 50 miljard aangesloten producten oplevert.

Hier liggen grote kansen voor security-aanbieders, want gebruikers zullen hun mentaliteit moeten veranderen en betere technische maatregelen moeten nemen.

In hun smart homes bedienen gebruikers - naast mobiele telefoons, laptops en tablets - ook slimme, programmeerbare tv-toestellen, huishoudelijke apparaten, camera’s, sloten, verlichting en nog veel meer. Het gebruik van voice/AI-diensten en ‘smart speakers’ - zoals Amazon Echo, Google Home en Apple HomePod - zal de komende jaren verder groeien.

Aantrekkelijk

IoT-connectiviteit biedt cybercriminelen een aantrekkelijk platform om cyber­attacks te lanceren. In het verleden hebben zij al misbruik gemaakt van eenvoudig te gebruiken slimme thuisoplossingen om populaire websites en diensten aan te vallen in groot­schalige DDoS-aanvallen. Vorig jaar waarschuwde de FBI dat een geavanceerde Russische hacking-campagne, bekend als ‘VPNFilter’, wereldwijd meer dan 500.000 routers en andere apparaten voor het creëren van thuisnetwerken had geïnfecteerd, waardoor routers voor kleine kantoren en huizen onbruikbaar werden. Fabrikanten moeten ervoor zorgen dat hun oplossingen veilig zijn door ontwerp en de standaard instellingen, vrij van alle bekende kwetsbaarheden en voorzien van een goed systeem voor het instal­leren van software-updates en patches.

Security moet integraal deel uitmaken van de algehele veiligheid, inter­operabiliteit en kwaliteit van het internet of Things. Bij UL helpen we ervoor te zorgen dat oplossingen en producten worden getest als onderdeel van een compleet IoT-systeem en op de manier waarop ze in het echt worden gebruikt. Een belangrijke doelstelling voor IoT-fabrikanten is dit jaar om beveiligingsrisico’s te minimaliseren en oplossingen en producten te beschermen tegen bijvoorbeeld onbedoelde of onbevoegde toegang tot bijvoorbeeld privacygevoelige gegevens, onbedoelde en ongewenste veranderingen of verstoring van de correcte werking van een apparaat.

Tips

Hoe dient een eindgebruiker zich te beschermen tegen dit soort risico’s? De onderstaande ‘best practices’ kunnen helpen om gebruikers veilig te houden:

  • Onveilige set-up. Veel IoT-apparaten kunnen worden bestuurd en moeten vanaf een mobiele telefoon worden ingesteld. Om het apparaat op een netwerk aan te sluiten, zal het apparaat eerst een draadloos toegangspunt blootleggen waarop de mobiele telefoon verbinding kan maken om de netwerkreferenties te verzenden. Hoewel dit een snel proces kan zijn, kan het criminelen een kort venster bieden om aan te vallen als de communicatie tussen het IoT-apparaat en de mobiele telefoon niet goed beschermd is. Een onveilige set-up kan er dus toe leiden dat aanvallers toegang krijgen tot het thuis- of bedrijfsnetwerk en andere apparatuur die ermee verbonden is.
  • Niet-geverifieerde firmware-updates. Om de best practice te ondersteunen dat fabrikanten hun IoT-apparaat gedurende de gehele levensduur voorzien van software-onderhoud en eventuele nieuwe producteigenschappen, zullen regelmatig firmware-updates en patches worden vrijgegeven. Daarom is het belangrijk dat dit update-proces goed en volledig beveiligt. Er zal krachtige cryptografie moet worden toegepast over de gehele firmware en het apparaat mag geen pogingen toestaan om een oudere versie van de software te installeren. Die bevat immers zeer waarschijnlijk tientallen bekende kwetsbaarheden. Bovendien moet het update-proces de authenticatie voor verschillende doeleinden ondersteunen, niet alleen om het firmware-image zelf te authenticeren, maar ook de partij die de update verspreidt. Als een apparaat geen authenticatie van de update-server nodig heeft, dan kunnen aanvallers een eigen update-server opzetten en kwaadaardige update-bestanden aanbieden.
  • Onveilige clouddiensten. De belangrijkste reden dat IoT-oplossingen verbonden zijn met het internet is omdat hun ‘hersenen’ zich veelal in de cloud bevinden. De cloud is het middelpunt van een hele populatie van IoT-oplossingen en daarom van groot belang voor aanvallers. De cloud is in theorie aan iedereen blootgesteld en kan fungeren als een aanvalspunt om alle apparaten die erdoor worden aangestuurd uit te buiten. Ook hier zijn goede beveiligingsmaatregelen nodig om ervoor te zorgen dat alleen de juiste gebruiker toegang heeft.
  • Kwetsbare software. Veel IoT-oplossingen maken gebruik van commerciële of open source softwarecomponenten, omdat ze de ontwikkeling van oplossingen eenvoudiger maken en daardoor een kortere time-to-market mogelijk maken. Aangezien dit soort componenten op grote schaal worden gebruikt zijn ze interessant voor aanvallers, omdat het gebruik van dergelijke componenten de deur kan openen tot talloze apparaten, systemen en toepassingen. De WannaCry-aanval maakte bijvoorbeeld gebruik van een Windows exploit om in slechts een maand tijd honderdduizenden systemen wereldwijd te infecteren. Het up-to-date houden van software van derden is cruciaal voor de beveiliging van oplossingen die dergelijke software bevatten.
  • Standaardinstellingen. Met het oog op een efficiënte productie worden veel IoT-oplossingen uit de fabriek vrijgegeven met instellingen als standaard wachtwoorden. Als deze standaardinstellingen onveranderd blijven, neemt de kans dat aanvallers de IoT-oplossing met succes hacken sterk toe. Om dit tegen te gaan, moeten deze standaardinstellingen waar mogelijk uniek zijn en dienen deze instellingen tijdens de setup te worden gewijzigd. Overigens zullen een aantal nationale overheden dit vanaf 2020 verplicht stellen.

bence-boros-573486-unsplash

Aansprakelijkheid

Onveilige IoT-oplossingen en -producten voor gebruik thuis hebben ook invloed op de werkplek als de veiligheidsrisico’s niet worden beheerd door effectieve Bring your own device (BYOD) maatre­gelen en -beleid. Ook hier liggen dus kansen voor aanbieders. Medewerkers brengen al jaren hun eigen mobiele telefoons en tablets mee naar de werkplek. Tegenwoordig brengen zij ook smart speakers, tv’s, wearables en andere smart gadgets mee om verbin­ding te maken met het bedrijfsnetwerk. Als de beveiliging van BYOD niet weldoordacht wordt beheerd, zullen kleine en middelgrote ondernemingen worden blootgesteld aan nieuwe risico’s - en wellicht ook aansprakelijkheid.

Voice/AI-diensten op kantoor

Als voice/AI-diensten verschuiven van het slimme huis naar empowerment van bedrijven, betekent dit ook een verhoogd risico voor de onderneming als er onveilige IoT-apparaten en -toepas­singen worden gebruikt die gegevens verzamelen en kwetsbaarheden voor het bedrijfsnetwerk met zich meebrengen.

Een goed voorbeeld hiervan zijn slimme speakers in hotels of smart tv’s voor conferenties. Niet alleen leveren ze verhoogde veiligheidsrisico’s op, maar ook risico’s voor de privacy. Het moet voor gebruikers, gasten en medewerkers transparant zijn hoe hun (spraak)gegevens worden gebruikt en of en hoe die gegevens worden beschermd.

Als UL pleiten wij er niet voor om terug te gaan naar oude tijden en de innova­ties van het Internet of Things tegen te houden. Wij pleiten er echter wél voor om IoT bewust en met voorzichtigheid te omarmen. Zorg dus voor een - wat we maar even zullen noemen - veiligheids­mentaliteit en beschouw veiligheid en privacy als een integraal onderdeel van de IT-omgeving. Maar natuurlijk ook van het product of de dienst dat iedere onderneming aan zijn klanten levert.

Gonda Lamberink en Laurens van Oijen zijn werkzaam voor UL (Underwriters Laboratories) op het gebied van Identity Management & Security