De opmars van internet of things (IoT) leidt tot discussies over de veiligheid van met internet verbonden apparaten. Als alle apparaten van een organisatie, van productie-apparatuur tot het airconditioningsysteem en het kopieerapparaat, data gaan versturen over het internet, creëert dit nieuwe toegangspunten (en risico's) voor het bedrijfsnetwerk.
Een degelijke beveiliging tegen moderne gevaren kan lastig zijn wanneer er bij het ontwerp van apparaten geen rekening is gehouden met security-maatregelen die vandaag de dag wel nodig zijn. Nu hackers met het internet verbonden apparaten steeds vaker als doelwit gebruiken is een nieuwe aanpak voor security hard nodig.
Als we het hebben over IoT denken we aan al die apparaten die worden gebruikt binnen organisaties die zowel intern als extern communiceren en toegankelijk zijn via het internet op basis van ip-adressen. Standaard kantoorapparatuur zoals printers, kopieerapparaten, projectors, de televisie in de vergaderkamer of bij de receptie vallen ook onder deze noemer, evenals veel huishoudelijke apparaten waarbij het minder voor de hand ligt. Denk aan de koelkast, het koffiezetapparaat of de beveiligingscamera’s. Die zijn tegenwoordig allemaal met het internet verbonden. Ook met apparaten die zorgen voor verwarming, verkoeling, airconditioning of ventilatie moet rekening gehouden worden, net zoals met intelligente bewegingssensoren of lichtsystemen die op afstand bestuurd kunnen worden via de cloud. Daarnaast hebben ip-gebaseerde machines productieapparatuur al toekomstklaar gemaakt in het kader van Industry 4.0.
Onvoldoende capaciteit voor retro-fitting
Al deze apparaten binnen een modern kantoor of moderne productieomgeving zijn in staat data uit te wisselen via het netwerk of worden beheerd via internet. De internetverbinding is echter ook een potentiële aanvalsvector aangezien de meerderheid van deze apparaten niet is ontwikkeld met een adequate security-infrastructuur die beschermt tegen externe aanvallen. Als het op cybersecurity aankomt lopen hardware-fabrikanten in veel gevallen achter op de gebruikelijke security-standaarden in de markt, vaak vanwege de kosten. Het eerste wat er moet gebeuren is de security-functies inbouwen in de apparaten om ongewilde aanvallen te voorkomen.
Veel eenvoudige apparaten, zoals beveiligingscamera’s, worden geproduceerd tegen de laagste kosten en daarom uitgerust met de basale functies die nodig zijn om hun taak uit te voeren. Updates voor de firmware worden vaak alleen doorgevoerd wanneer er al een kwetsbaarheid aan het licht is gekomen. Het bewustzijn van security groeit slechts langzaam onder IoT-fabrikanten en -gebruikers. Bij ‘slimmere’ IoT-apparaten is het wel mogelijk deze te updaten met behulp van regelmatige firmware updates.
Dit haalt echter niet alle security-problemen weg. De meerderheid van de internet enabled-apparaten kunnen niet integreren met de op maat gemaakte it security-strategie die de organisatie moet beschermen tegen aanvallen over het internet. Netwerkgebaseerde remote access voor onderhoud of beheer wordt vaak achteraf geïmplementeerd, zonder dat apparaten toegerust zijn met de vereiste security features.
Industry 4.0 legt kwetsbaarheden bloot
Industriële apparatuur koppelen aan het bedrijfsnetwerk kan serieuze security-kwetsbaarheden met zich meebrengen. Remote access opent vaak het gehele netwerk voor derde partijen in plaats van dat zij enkel toegang krijgen tot de applicaties die nodig zijn om individuele machines te beheren. Het aanvalsoppervlak neemt dan aanzienlijk toe en kan alleen worden beschermd door betere beveiligingsmaatregelen. Industry 4.0 wordt gedreven door de wens naar simplificatie en dit principe wordt niet gevolgd als de handmatige processen voor de it-afdeling exponentieel toenemen. Het is essentieel om hier vanuit een security-perspectief bij stil te staan.
Aan de ene kant wordt nog te weinig rekening gehouden met security in de ontwerpfase van apparatuur en aan de andere kant neemt het bewustzijn rondom dit onderwerp juist toe. Nieuwe benaderingen zijn nodig om deze tegenstelling in goede banen te leiden. De voordelen van de cloud worden wederom zichtbaar, met name in gebieden waar verbeterde security dringend nodig is. Een cloud-gebaseerd security-model heeft geen ingewikkelde on-site infrastructuur nodig. Het is echt van belang om compleet ‘out of the box’ te denken, aangezien een halfbakken security-aanpak de situatie alleen maar erger maakt.
Oplossing voor IoT-security
Remote access naar industriële apparatuur zou niet langer moeten worden ingesteld door de gebruiker die de machine onderhoudt. Toegang moet worden geïnitieerd vanuit de machine als uitgaande ip-verbinding. Met deze benadering is de apparatuur niet zichtbaar binnen het internet met open poorten. Dit verkleint het aanvalsoppervlak aanzienlijk. Alleen geautoriseerde gebruikers of dienstverleners krijgen veilige en granulaire toegang op individueel applicatieniveau. Daarbij zorgt end-to-end-encryptie ervoor dat de vereiste security geboden wordt wanneer dataoverdracht plaatsvindt. Toegangsrechten worden beheerd via een centrale portal en alleen de gebruikers die het nodig hebben wordt toegang verleend. Een connector die in de machine wordt geplaatst zorgt voor een veilige verbinding tussen de machine en de gebruiker die verantwoordelijk is voor het onderhoud op afstand.
Organisaties die willen profiteren van de voordelen van internet of things of Industry 4.0 hebben dus de keuze: wachten tot fabrikanten de verantwoordelijkheid nemen voor de juiste security features gedurende de ontwerpfase, of kiezen voor een cloudgebaseerde benadering van security voor bestaande apparatuur. Dat laatste betekent dat organisaties sneller kunnen profiteren van de voordelen van digitalisatie. Het kan zomaar nog jaren duren voordat hier rekening mee gehouden wordt in de ontwerpfase van apparatuur.