Management

Dit is een bijdrage van Ivanti
IT beheer
Een veiliger IoT is beter voor ons allemaal

Een veiliger IoT is beter voor ons allemaal

Nu IoT-apparaten een steeds geliefder doelwit van hackers worden, werpt zich de vraag op waarom ze zo kwetsbaar zijn voor aanvallen. En waarom bereiden organisaties zich zo slecht voor?

 

 

23 juli 2019
Door: Ivanti , partner

Nu IoT-apparaten een steeds geliefder doelwit van hackers worden, werpt zich de vraag op waarom ze zo kwetsbaar zijn voor aanvallen. En waarom bereiden organisaties zich zo slecht voor?

 

 

Door Mark-Peter Mansveld, Area Vice President EMEA North bij Ivanti 

Het IoT heeft een nieuwe wereld van interoperabiliteit tussen apparaten, producten en diensten mogelijk gemaakt die enkele jaren geleden nog onvoorstelbaar was. Het biedt veel voordelen, maar helaas worden privacy en cyberbeveiliging vaak over het hoofd gezien door zowel gebruikers als fabrikanten. Zo kunnen IoT-apparaten een gemakkelijk doelwit worden voor cybercriminelen.

Aanvallen op IoT-apparaten zijn het afgelopen jaar dramatisch toegenomen: in 2018 zagen we een verdubbeling van het aantal aanvallen en het gemiddelde huishouden staat bloot aan vijf pogingen tot digitale inbraak per dag per apparaat. Deze groei in IoT-aanvallen wijst erop dat het IoT niet alleen steeds meer consumenten en bedrijven aantrekt, maar ook hackers. En nu de AVG van kracht is in Nederland, zullen aanvallen die zorgen voor verlies of diefstal van gegevens niet alleen gevolgen hebben voor de productiviteit of de bedrijfsresultaten: ze kunnen ook een boete van maximaal €20 miljoen opleveren, of 4 procent van de jaarlijkse omzet (artikel 83 lid 5 AVG).

De kwetsbaarheid van dingen
Hackers richten zich op IoT-apparaten, omdat het makkelijke doelwitten zijn. De belangrijkste aanvalsvector zijn routers, die vaak een open deur naar andere apparaten in het netwerk zijn. Dit komt omdat op veel routers in onze huizen en kantoren nog altijd het standaardwachtwoord staat ingesteld. Er zijn veel malwarevarianten in omloop die op internet kunnen zoeken naar routers waarvan de wachtwoorden niet zijn aangepast. Wanneer ze eenmaal binnen zijn, kunnen ze infiltreren op elk apparaat in het netwerk en alle gegevens onderscheppen die worden verzonden naar en van deze apparaten. Deze aanvalsmethode is zo zorgwekkend gegroeid dat het Digital Trust Centre van het ministerie van Economische Zaken en Klimaat (EZK) in gesprek is met fabrikanten over maatregelen om verbonden apparaten beter te beveiligen. De Nederlandse overheid gaat bovendien in samenwerking met het bedrijfsleven een voorlichtingscampagne geven om burgers te leren de standaardwachtwoorden van IoT-apparatuur aan te passen en om regelmatig updates uit te voeren.

Het is verontrustend dat een groot deel van de verantwoordelijkheid bij de consument wordt gelegd. Uit een recent Gartner-onderzoek, met de titel ‘The IoT Threat Landscape and Top Smart Home Vulnerabilities in 2018', bleek dat 60 procent van de consumenten de firmware van hun router nog nooit had bijgewerkt, en dat één op de tien consumenten hetzelfde wachtwoord gebruikt voor al hun slimme apparaten. Zeven van de tien smartphone- of tabletgebruikers gaven aan dat het meer dan drie maanden geleden was dat ze de wachtwoorden op deze apparaten hadden gewijzigd. Hoe onzorgvuldig dit ook is van de gebruikers, de algemeen aanvaarde consensus is dat de fabrikanten de verantwoordelijk moeten nemen voor voorzorgsmaatregelen om aanvallen te voorkomen. Bijvoorbeeld door gebruikers te dwingen om een ​​nieuw wachtwoord in te stellen wanneer ze hun router aansluiten, of door apparaten automatisch patches en updates te laten installeren. Hiervoor worden momenteel initiatieven opgezet, zoals het overleg tussen het Digital Trust Centre en de fabrikanten.

Het zijn niet alleen de gebrekkige wachtwoorden die IoT-netwerken kwetsbaar maken voor aanvallen. De apparaten zelf hebben ook kwetsbaarheden die een doelwit kunnen zijn voor hackers, zoals onveilige webinterfaces, onjuist gebruik van authenticatie- of autorisatiemechanismen, het ontbreken van versleuteling in de transportlaag en een slechte patchimplementatie. Fabrikanten die geen bescherming tegen deze kwetsbaarheden inbouwen, brengen de gebruiker in een gevaarlijke situatie. In eerste instantie lijkt dit alleen te gelden voor kleine bedrijven of thuisgebruikers die niet beschikken over de uitgebreide cyberbeveiligingsmiddelen of de expertise van grote organisaties, maar schijn bedriegt. Personeel wordt steeds mobieler en dat betekent dat steeds meer mensen verwachten dat ze efficiënt en veilig op afstand kunnen werken. Maar als een medewerker een huis vol kwetsbare IoT-apparaten heeft, dan kan het verbinden met een bedrijfsnetwerk een aanzienlijke bedreiging vormen. Een aanval op een thuisnetwerk kan tot verlies van persoonlijke gegevens leiden en de gebruiker kan slachtoffer worden van een ransomware-aanval. Malware die in een bedrijfsnetwerk terechtkomt kan leiden tot verlies van gevoelige bedrijfsinformatie en grote hoeveelheden geld. Ook de reputatie van de organisatie kan fikse schade oplopen.

De opkomst van IoT-aanvallen door vreemde mogendheden en het gebrek aan voorbereiding
De daders van IoT-aanvallen waren vaak gericht op specifieke organisaties of personen om gegevens te stelen of te gijzelen. Een verontrustend vooruitzicht is de toename van aanvallen door overheden van andere landen, zoals China of Rusland, gericht op IoT-kwetsbaarheden. Volgens Armis verwacht het overgrote deel van de experts (93 procent) dat vreemde mogendheden zich in de komende maanden en jaren zullen gaan richten op IoT- apparaten.

Wat in het bijzonder zorgwekkend is, zijn de botnets (netwerken van verbonden apparaten die zijn geïnfecteerd met schadelijke software) die medische apparatuur zoals medicijndispensers en pacemakers zouden kunnen beschadigen. Ook auto’s die zijn uitgerust met infotainmentsystemen en slimme stadsnetwerken kunnen een doelwit vormen. IoT-onveiligheid is zo'n schrijnende kwestie geworden dat zelfs de Nederlandse overheid zich nu in de discussie mengt om te zorgen dat fabrikanten meer gaan doen om hun gebruikers te beschermen tegen hackers.

Maar ook organisaties zelf kunnen maatregelen nemen. Belangrijke investeringsgebieden zijn beleid en technologie om de privacy van consumenten te beschermen. Hoewel er een toenemend bewustzijn op dit gebied zichtbaar is, heeft nog altijd slechts 67 procent van de organisaties wereldwijd een IoT-beveiligingsstrategie volgens het Global State of Information Security® Survey 2018-rapport van PwC. Dit percentage neemt ieder jaar met slechts 5 procent toe. Bovendien verschuift de verantwoordelijkheid voor IoT-beheer en -beveiliging over het algemeen van afdeling naar afdeling binnen organisaties. Het is ongelooflijk moeilijk om IoT-risico's te categoriseren en te beoordelen wanneer de verbonden apparaten kunnen variëren van sensoren in fabrieksapparatuur die worden gebruikt om de efficiëntie te verbeteren, tot een koffiezetapparaat dat automatisch koffie bestelt wanneer de voorraad op dreigt te raken. Hoewel ze onderling drastisch verschillen, vallen deze apparaten allemaal onder de alledaagse objecten die via internet samenwerken.

Een gelaagde beveiliging van het IoT
Hoe kunnen organisaties zich beschermen tegen aanvallen via kwetsbare IoT-apparaten? Afgezien van de betrouwbaarheid van de fabrikant, is een veilige omgeving voor de IoT-apparaten essentieel. Controleer de netwerkinstellingen van alle aangesloten apparaten en probeer ze te isoleren van het internet en andere apparaten. Basisbeveiligingsmaatregelen, zoals het wijzigen van standaardwachtwoorden en het regelmatig bijwerken van wifi-wachtwoorden, moeten de gewoonste zaak van de wereld zijn. Maar dat is slechts één aspect van een allesomvattend beveiligingsbeleid. Een gelaagde benadering van beveiliging, die bestaat uit technologieën zoals patch- en kwetsbaarheidsbeheer, whitelisting van applicaties, rechtenbeheer, identiteitsbeheer, bestands- en mediabescherming en ransomware-sanering, is net zo effectief voor IoT-apparaten als voor traditionele pc's.

Nu de AVG het lekken van data kostbaarder maakt dan ooit, is het noodzakelijk dat organisaties alle aspecten van hun IT-infrastructuur beschermen, inclusief het IoT. Het is onmogelijk om de voordelen van verbonden apparaten voor het bedrijfsleven te negeren. Maar dat betekent wel dat bedrijfsleiders zich ook moeten committeren aan een veiliger IoT. Dat betekent dat IT- en beveiligingsafdelingen de middelen tot hun beschikking moeten hebben die ze nodig hebben om deze apparaten te beheren en hun netwerken te beschermen. Het betekent ook dat we fabrikanten onder druk moeten zetten om producten te produceren die veilig zijn dankzij een veilig ontwerp. Het IoT zal alleen maar blijven groeien en het is aan gebruikers, fabrikanten en bedrijven om te zorgen dat het op een veilige manier zijn belofte waarmaakt.

Reactie toevoegen