De opmars van internet of things (IoT) leidt tot discussies over de veiligheid van met internet verbonden apparaten. Als alle apparaten van een organisatie, van productie-apparatuur tot het airconditioningsysteem en het kopieerapparaat, data gaan versturen over het internet, creëert dit nieuwe toegangspunten (en risico's) voor het bedrijfsnetwerk.

Een degelijke beveiliging tegen moderne gevaren kan lastig zijn wanneer er bij het ontwerp van apparaten geen rekening is gehouden met security-maatregelen die vandaag de dag wel nodig zijn. Nu hackers met het internet verbonden apparaten steeds vaker als doelwit gebruiken is een nieuwe aanpak voor security hard nodig.

Als we het hebben over IoT denken we aan al die apparaten die worden gebruikt binnen organisaties die zowel intern als extern communiceren en toegankelijk zijn via het internet op basis van ip-adressen. Standaard kantoorapparatuur zoals printers, kopieerapparaten, projectors, de televisie in de vergaderkamer of bij de receptie vallen ook onder deze noemer, evenals veel huishoudelijke apparaten waarbij het minder voor de hand ligt. Denk aan de koelkast, het koffiezetapparaat of de beveiligingscamera’s. Die zijn tegenwoordig allemaal met het internet verbonden. Ook met apparaten die zorgen voor verwarming, verkoeling, airconditioning of ventilatie moet rekening gehouden worden, net zoals met intelligente bewegingssensoren of lichtsystemen die op afstand bestuurd kunnen worden via de cloud. Daarnaast hebben ip-gebaseerde machines productieapparatuur al toekomstklaar gemaakt in het kader van Industry 4.0.

Onvoldoende capaciteit voor retro-fitting

Al deze apparaten binnen een modern kantoor of moderne productieomgeving zijn in staat data uit te wisselen via het netwerk of worden beheerd via internet. De internetverbinding is echter ook een potentiële aanvalsvector aangezien de meerderheid van deze apparaten niet is ontwikkeld met een adequate security-infrastructuur die beschermt tegen externe aanvallen. Als het op cybersecurity aankomt lopen hardware-fabrikanten in veel gevallen achter op de gebruikelijke security-standaarden in de markt, vaak vanwege de kosten. Het eerste wat er moet gebeuren is de security-functies inbouwen in de apparaten om ongewilde aanvallen te voorkomen.

Veel eenvoudige apparaten, zoals beveiligingscamera’s, worden geproduceerd tegen de laagste kosten en daarom uitgerust met de basale functies die nodig zijn om hun taak uit te voeren. Updates voor de firmware worden vaak alleen doorgevoerd wanneer er al een kwetsbaarheid aan het licht is gekomen. Het bewustzijn van security groeit slechts langzaam onder IoT-fabrikanten en -gebruikers. Bij ‘slimmere’ IoT-apparaten is het wel mogelijk deze te updaten met behulp van regelmatige firmware updates.

Dit haalt echter niet alle security-problemen weg. De meerderheid van de internet enabled-apparaten kunnen niet integreren met de op maat gemaakte it security-strategie die de organisatie moet beschermen tegen aanvallen over het internet. Netwerkgebaseerde remote access voor onderhoud of beheer wordt vaak achteraf geïmplementeerd, zonder dat apparaten toegerust zijn met de vereiste security features.