Smart cities gone bad: nieuwe beveiligingsnormen nodig om aantal blootgestelde apparaten te verkleinen

Wanneer heeft u voor het laatst gecontroleerd hoeveel van de apparaten en systemen van uw organisatie vindbaar zijn vanaf het openbare internet? Weet u zeker dat ze allemaal correct zijn geconfigureerd en voorzien van de juiste patches? Nieuw onderzoek van Trend Micro laat zien dat de enorme hoeveelheid apparaten dat verbonden is met het internet, organisaties onnodig blootstelt aan risico’s als datadiefstal, sabotage, fraude en disruptie. Het wordt tijd dat Europese beleidsmakers oog krijgen voor deze gevaren en meewerken aan het opstellen van veiligheidsnormen voor IoT en soortgelijke apparaten.

 

 

Steden blootgesteld
Trend Micro’s nieuwe rapport, US Cities Exposed, onthult dat miljoenen apparaten en systemen in steden van de Verenigde Staten organisaties en consumenten mogelijk in gevaar brengen. Deze apparaten waren verbonden met het internet en doorzoekbaar door Shodan, en indirect dus ook door hackers die rondneuzen op zoek naar kwetsbaarheden, of zelfs gerichte aanvallen maken om deze te compromitteren. En niet alleen in de VS is dat het geval. Ook in Europa worden steden steeds slimmer en neemt IoT een vlucht, waardoor het aantal apparaten verbonden met het internet steeds groter wordt. Kwetsbare apparaten zijn bijvoorbeeld webcams, NAS-apparaten, routers, printers, telefoons, mediaspelers, web- en mailservers, databases (waaronder medische databases) en industriële controlesystemen (ICS).

Het is niet moeilijk te zien wat een hacker met kwade bedoelingen kan doen, of het nu gaat een cybercrimineel met financiële motieven, een door de staat gesponsorde spion, een hacktivist of iemand die voor de lol hackt. NAS-apparaten kunnen zeer gevoelige bedrijfsdata opslaan. ICS-boxes bieden de mogelijkheid industriële omgevingen te saboteren. Zelfs iets onschuldigs als een webcam kan gebruikt worden om toegang te verkrijgen tot een netwerk, van waaruit aanvallers zich kunnen richten op de echt waardevolle systemen. Of het kan gecompromitteerd worden om ransomware te verspreiden door de organisatie. Of worden toegevoegd aan een botnet als Mirai, met DDoS of klikfraude tot gevolg. De mogelijkheden zijn eindeloos…

Kwaliteitskeurmerk
Veel van deze apparaten waren wellicht veilig op het moment dat ze ontwikkeld werden. Maar de technologie ontwikkelt zich snel, waardoor ze nu mogelijk kwetsbaar zijn op het internet zonder adequate bescherming. Sommige, waaronder een groot aantal industriële systemen, zouden nooit verbonden moeten worden met het openbare internet. Andere apparaten zijn simpelweg ontwikkeld en verkocht zonder oog te hebben voor security. Voorbeeld hiervan zijn de DVR’s en webcams die besmet werden door Mirai-malware, die simpelweg het web scande naar apparaten met fabrieksinstellingen.

Het is met name die laatste categorie die beleidsmakers uit de UK en EU moeten aanpakken. Producten zonder baseline of adequate beveiliging zouden hier eenvoudigweg niet verkocht mogen worden. Politici en toezichthouders moeten maatregelen treffen die in lijn zijn met de grootte van de dreiging. Bijvoorbeeld iets dat lijkt op de CE-markering, een kwaliteitszegel voor producten die verbonden zijn met het internet. De GDPR gaat helpen bij het beschermen van persoonlijke informatie, maar houdt geen rekening met de dreiging van IoT-apparaten en systemen die verbonden zijn met het internet en kwetsbaar zijn. Er zijn een paar zaken die IT-leiders in de tussentijd kunnen doen om het risico te verkleinen, zoals:

  • Netwerksegmentatie
  • Log-analyse
  • Juist geconfigureerde gebruikersprofielen, workstations en servers
  • Dataclassificatie en encryptie van endpoint tot de cloud
  • Strak ingeregelde toegangscontrole
  • Incident response teams
  • Interne en externe threat intelligence

We zien nu al hackers testen met aanvallen op industriële controlesystemen in Oekraïne. Dit verandert langzaam van experimenten naar aanvallen met een wereldwijde impact. En nu de Trump-regering ogenschijnlijk een agressiever cyberbeleid wil voeren vanuit de VS, hoe groot is dan de kans dat China en Rusland terugslaan?

Laten wij in ieder geval niet wachten tot het echt fout gaat voordat we onze apparaten goed beveiligen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *