Internet of Things

Beveiliging van Internet of Things is voor veel bedrijven bijzaak

Nu steeds meer smart endpoints met het bedrijfsnetwerk worden verbonden, neemt ook het risico op onder meer massale datadiefstal, service uitval of sabotage toe. Nieuw onderzoek van Trend Micro onthult echter dat slechts de helft (53 procent) van alle IT- en security-beslissers IoT als een security risico beschouwt. Dit is een behoorlijke miscalculatie die organisaties op de lange termijn duur kan komen te staan. Het is daarom belangrijk om zo snel mogelijk maatregelen te nemen om het relatief nieuwe risico’s die het  Internet of Things met zich meebrengt te beperken.

Internet of Things, een groeiend risico
We ondervroegen 1.150 IT- en security- leiders in de Verenigde Staten, het Verenigd Koninkrijk, Japan, Duitsland en Frankrijk naar dit onderwerp. Hoewel het merendeel van de organisaties Internet of Things (IoT) dus niet als een beveiligingsrisico ziet, hebben organisaties in de afgelopen twaalf maanden wel gemiddeld drie cyberaanvallen op connected apparaten te verduren gekregen. IoT-endpoints zijn in een moderne organisatie overal aanwezig: van smartphones tot een connected brandalarm, CCTV camera’s, slimme koelkasten en IoT-aangedreven industriële systemen. Dat betekent ook een potentieel nieuw aanvalsoppervlak. Veel van deze apparaten zijn mogelijk niet officieel goedgekeurd of beveiligd door IT, waardoor het risico voor de onderneming groter wordt.

IoT endpoints brengen risico’s met zich vanwege een aantal zaken:  

  • Ze worden veelal niet snel door fabrikanten gepatcht;
  • Ze zijn lastig te updaten;
  • Vaak niet gebouwd of ontwikkeld met beveiliging in het achterhoofd en vertrouwen vaak op de standaard fabrieksinstellingen of wachtwoorden;
  • Altijd aan staan en verbonden zijn met het corporate netwerk
  • Geschikt zijn voor kritische processen
  • Gebrek aan encryptie in de communicatie

Spijtig genoeg zien IT en security-beslissers dit risico anders. Een zorgelijke 43% van de ondervraagden zegt namelijk dat IoT-beveiliging bijzaak is. In Duitsland was dit met 46% het hoogst. Desondanks zegt tweederde (63%) van de ondervraagden wel dat het aantal IoT-gerelateerde cyberdreigingen in de afgelopen twaalf maanden is toegenomen. In het VK en de VS gaf zelfs 71% dit aan. Toch zegt slechts 38% van de ondervraagden bij het implementatieproces van een IoT-oplossing de hulp van security managers in te roepen. En dat is in strijd met de best practice regel “data protection by design & default” uit de GDPR.

Beveiliging, verantwoordelijkheid, reputatie en impact op het bedrijf
De belangrijkste consequenties voor bedrijven na een inbreuk op de beveiliging zijn het verlies van consumentenvertrouwen (52 procent) en financieel verlies (49 procent), aldus de ondervraagden. Ondanks dat de GDPR recentelijk van kracht is en bij velen prioriteit heeft, zijn de onderstaande consequenties bij velen minder urgent. Bedrijven denken dat een zogenaamde IoT-breach invloed zal hebben op:

  • Consumentenvertrouwen (52 procent)
  • Financieel verlies (49 procent)
  • Verlies van persoonlijk identificeerbare informatie (32 procent)
  • Boete van handhavingsorganen (31 procent)
  • Het overtreden van regels inzake databeveiliging (28 procent)

De bottomline is dat IoT-dreigingen niet langer theorie zijn. Van ransomware en crypto-miners tot Mirai-gebaseerde botnet dreigingen, aanvallen met als doel informatie te stelen en aanvallen op smart systemen zijn werkelijkheid. Eerder lieten we al zien dat fysieke systemen en zelfs industriële robots het doelwit kunnen worden van een aanval, wat een gevaar oplevert voor de veiligheid en het welzijn van medewerkers.

Beveiliging vanaf begin in ontwerp implementeren
De significante investering in deze technologie wereldwijd is een gevolg van het feit dat IoT-oplossingen veel voordelen voor bedrijven kunnen hebben”, zegt Rense Buijen, Technical Director bij Trend Micro. “Maar als beveiliging niet van begin af aan in het ontwerp van IoT-oplossingen wordt meegenomen en Systeem Ontwikkeling Methodologie niet in het implementatieproces wordt meegenomen, dan zouden bedrijven veel meer schade dan profijt kunnen hebben van deze connected technologie. De Benelux heeft een zeer goede internetinfrastructuur en is daarom interessant voor cybercriminelen. We adopteren nieuwe technologie snel en spenderen daar relatief veel geld aan, het is dan ook belangrijk dat bedrijven en consumenten in de Benelux, IoT-security serieus nemen. Als we dat niet doen kan dat immers grote gevolgen hebben

IoT security verbeteren
Wat kunnen organisaties in dat geval doen om het groeiende risico van IoT-dreigingen te beperken? We geven een aantal tips:

  • Stel een gedetailleerd IoT-beveiligingsbeleid op
  • Controleer alle nieuwe apparaten en sta niet toe dat niet goedgekeurde endpoints verbinding maken met het bedrijfsnetwerk;
  • Verander standaard inlogs naar sterke, unieke wachtwoorden
  • Zorg ervoor dat de firmware van het apparaat up-to-date is via geautomatiseerd patch management
  • Versleutel gegevens die zijn opgeslagen op alle connected apparaten
  • Informeer medewerkers over de risico’s van IoT
  • Implementeer netwerksegmentatie om het risico op verspreiding van bedreigingen te verkleinen
  • Overweg continue netwerk monitoring om dreigingen in een vroeg stadium te herkennen
  • Zet toegangscontrole in
  • Betrek IT security experts direct bij de start van een IoT-implementatieproject.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.