IoT vergroot slagveld en verandert de wapens van IT-beveiliging

Theo-Schutte

De komen jaren bepaalt IoT het lot van veel bedrijven. Wie er goed mee omgaat floreert, maar wie het verkeerd aanpakt ziet de business verwelken. Die aanpak hangt niet af van het gebruiksgemak of de voordelen van IoT-oplossingen, maar van de bescherming van de gegevens en privacy van de gebruikers.

Het Internet of Things (IoT) houdt de gemoederen de laatste tijd flink bezig. We horen veel over de haast onuitputtelijke mogelijkheden die IoT biedt om ons leven een stuk gemakkelijker te maken. Dat is geen toekomstmuziek, we kunnen nu al allerlei huishoudelijke apparaten bedienen met een app. Dat gaat de komende jaren alleen maar toenemen. Voor je het weet, vertelt je koelkast je of je wel gezond eet en voldoende melk in huis hebt. De toekomst ziet er ook heel mooi uit voor aanbieders van IoT-producten en -diensten. Hun omzetgrafiek loopt in een strakke en steile lijn naar rechtsboven. IoT belooft een zonnige toekomst voor consumenten en bedrijven. Maar er hangt ook een dreigende wolk aan de IoT-horizon: de inbreuk op de privacy en vertrouwelijke gegevens.

IoT is nog maar een tussenstation op weg naar een wereld waarin alles en iedereen met elkaar verbonden is: het Internet of Everyting (IoE). De vaart zit er al goed in: steeds meer apparaten houden ons altijd en overal verbonden met elkaar én met andere apparaten. Nog even en dan heeft elk huis een slimme thermostaat en bedienen we vanaf een vakantiebestemming met apps de lampen, luifels, hekken en tuinsproeiers thuis. Dat is mede dankzij volwassen netwerktechnologie die het verbinden van miljarden afzonderlijke apparaten goed en goedkoop mogelijk maakt.

Grootste uitdaging van IoT: dataverlies en -diefstal

IoT verandert de manier waarop we dingen doen, of het nu gaat om communicatie, samenwerking, huishouden of zakendoen. Dat kunnen we met recht spannend noemen, want het is zowel leuk als eng. Het is bijvoorbeeld griezelig dat IoT een aanzienlijk hoger beveiligingsrisico met zich meebrengt. De slimme IoT-apparaten luisteren namelijk niet alleen naar ons, ze onthouden ook wat we zeggen en ze kunnen dat aan een ander doorvertellen. IoT leert van onze informatie en activiteiten en die kennis kan gemakkelijk misbruikt worden.

Het eerste gevaar van IoT ontstaat doordat het netwerkverkeer gigantisch toeneemt naarmate er meer IoT-apparaten komen. In de tsunami aan informatie kan een cyberaanval zich eenvoudig en in het zicht verbergen. De tweede dreiging komt uit het feit dat de software die deze apparaten aanstuurt vaak onveilig is en gemakkelijk te hacken.

Klanten en medewerkers verwachten tegenwoordig niet anders dan dat bedrijven hun persoonsgegevens beschermen. Het is nog maar de vraag of IoT aan die verwachting kan voldoen. Organisaties zijn niet alleen verantwoordelijk voor de beveiliging van hun eigen bedrijfsmiddelen, maar ook voor de gegevens van klanten en personeel, zoals informatie over salaris, gezondheid, vermogen, koop- en zoekgedrag, en andere vertrouwelijke en gevoelige gegevens. In het verleden ging het vaak alleen om waarborgen tegen ongeautoriseerde creditcard-transacties, nu moeten er maatregelen zijn om de bescherming van alle persoonsgegevens en de privacy te garanderen. Bovendien zijn de gevolgen vele malen groter als dit niet lukt. Voor de klant en de medewerker is dat al erg genoeg, maar voor de organisatie die hun gegevens niet uit handen van onbevoegden kon houden, is dat dodelijk.

Fortinet voerde een wereldwijd onderzoek uit naar het gebruik van IoT-oplossingen. Bijna twee derde van de deelnemers aan dat onderzoek is van mening dat zij zich ‘volledig misbruikt en uitermate kwaad’ zouden voelen als blijkt dat hun huishoudelijke IoT-apparaat stiekem informatie over hen verzamelt en deelt met anderen. Als een bekend IoT-apparaat al gegevens verzamelt, dan mogen deze volgens 66 procent van de respondenten alleen beschikbaar zijn voor de eigenaren en diegenen die zij daar toestemming voor geven. In dat laatste zit een flinke angel, want wie leest nu alle kleine lettertjes van gebruikersovereenkomsten? Hoe weet je precies wie je allemaal toestemming geeft om iets met jouw gegevens te doen?

IoT-apparaten zijn een fluitje van een cent voor hackers

Inbreken op IoT-apparaten is een makkie doordat zij een groot aantal verschillende modules en algemene bibliotheken gebruiken die meestal op basis van open source ontwikkeld zijn. Ze gebruiken vaak ook de nieuwste protocollen zoals Universal Plug n Play (UPnP) die meer gebreken hebben dan oudere en gevestigde protocollen.

Daarnaast ontwerpen of bouwen de meeste IoT-leveranciers hun apparaten zelden met beveiliging in het achterhoofd. Ze hebben daarom niet de juiste maatregelen om te reageren als er ingebroken wordt op de apparaten.

Grote softwareleveranciers zoals Microsoft en Adobe zijn altijd al interessante doelwitten voor cybercriminelen. Zij waken voor hun klanten met eigen beveiligingsontwikkelingen en regelmatige patches voor lekken in de software. Als hun software kwetsbaar blijkt, kunnen zij daar snel op reageren dankzij hun product security incident response teams (PSIRTs).

Deze grote softwareleveranciers versterken hun producten bovendien met veel beveiligingsmaatregelen. Dat maakt het erg moeilijk om een aanval met succes uit te voeren. Zo is Adobe Reader nu voorzien van een sandbox om nog meer weerstand te bieden tegen aanvallen. IoT-apparaten hebben meestal niet zo’n sterke verdedigingslinie. Er komt op termijn alleen maar meer integratie en complexiteit onder IoT-apparaten, waardoor het aantal beveiligingsgebreken nog verder oploopt. De meeste daarvan zullen waarschijnlijk traditionele webgebaseerde gebreken zijn in de interface waarmee de gebruiker het IoT-apparaat bestuurt.

Het onderzoeksteam van Fortinet, FortiGuard Labs, is nu hackers tegengekomen die de pijlen niet meer richten op traditionele computers, maar op IoT-apparaten. Er zijn nog niet veel aanvallen geweest maar dat gaat ongetwijfeld veranderen. De verwachting is dan ook dat er steeds meer aanvallen op IoT-apparaten komen in de komende maanden. Cybercriminelen vinden twee dingen leuk: heel populaire apparaten, zodat zij snel beroemd of succesvol worden, en heel kwetsbare apparaten. Zij kiezen altijd de weg van de minste weerstand en die weg is momenteel geplaveid met IoT-apparaten. IoT-leveranciers maken het cybercriminelen gemakkelijk doordat zij geen PSIRTs hebben om beveiligingsproblemen snel en adequaat aan te pakken met patches en updates. De aanvallen zijn daardoor gemakkelijker uit te voeren en langer succesvol. Als een apparaat beschikt over een internetverbinding, opslag, geheugen en een processor is het een perfect doelwit voor een aanval. Een IoT-apparaat dient vaak als een intermediair ‘lanceerplatform’ voor een secundaire aanval binnen het bedrijfsnetwerk.

Het vingerwijzen houdt op bij het netwerk

Door het grote slagveld dat IoT creëert, raakt het beheer en de beveiliging van endpoints steeds meer gefragmenteerd. De meeste IoT-apparaten zijn weliswaar voorzien van antivirusmaatregelen, maar de omvang en diversiteit van het IoT-ecosysteem maakt het beheer daarvan bijna onmogelijk complex.

Netwerkgebaseerde inspectie is daarom de enige manier om IoT mogelijk te maken. Ieder netwerk moet een beveiligingsappliance hebben die slim genoeg is om de code die geschreven is voor nieuwe platformen gedetailleerd te inspecteren. We noemen dit ‘platformbewuste’ inspectie en het is de beste manier om mee te groeien met IoT.

Deze appliance moet voor elk dataverzoek drie kritische vragen kunnen beantwoorden: wie is de gebruiker, waar gaat men naar toe en welke gegevens heeft men nodig. Dit betekent dat het netwerk traditionele netwerkbeveiliging moet bevatten, zoals een firewall, inbraakpreventie, webfiltering en antimalware, die de beleidsregels bekrachtigen, applicaties beheren en gegevensverlies voorkomen. Nu het aanvalsgebied door IoT zoveel groter wordt, is het nog belangrijker dat de inhoud geïnspecteerd wordt. Bedreigingen kunnen zich bijna overal verbergen en dat doen zij vooral in het zicht als onderdeel van de toegestane verkeersstromen.

Alleen met dergelijke intelligente oplossingen, goed geformuleerde beleidsregels en waakzame IT-beveiligers kunnen bedrijven de strijd winnen en hun bedrijfsactiviteiten stabiel houden.

Theo Schutte, country manager Nederland, Fortinet

 
Meer over
Lees ook
Laat IoT-apparaten niet langer blinde vlekken in de beveiliging zijn

Laat IoT-apparaten niet langer blinde vlekken in de beveiliging zijn

Zes tips voor het detecteren, analyseren en blokkeren van IoT-aanvallen

Fortinet: 10% van wereldwijde IoT-aanvallen gehost op servers in Nederland

Fortinet: 10% van wereldwijde IoT-aanvallen gehost op servers in Nederland

Fortinet heeft de uitkomsten bekend gemaakt van onderzoek naar cyberaanvallen op het gebied van Internet of Things (IoT). Deze zijn gebaseerd op de gegevens van 2022, die voorkomen uit het wereldwijde netwerk van honeypots van FortiGuard Labs, het onderzoekteam van Fortinet.

Hacker bezorgt huishoudens kerstkaart via de printer

Hacker bezorgt huishoudens kerstkaart via de printer

Niet updaten slimme apparaten vergroot risico om gehackt te worden