Zakelijke IoT – wat moeten fabrikanten en klanten doen?

Hoe veilig is zakelijk IoT?

Auteur: Sanne
Datum: 17/05/2016
Leestijd: 4 Minuten

Zonder vermoeden zit je even te appen via je nieuwe smartwatch, terwijl aan de andere kant een verzekeringsbedrijf jouw gegevens krijgt doorverkocht. Dit zijn zaken die vandaag de dag gewoon voorkomen. Met IoT raken verschillende apparaten, zoals een pc en een smartwatch, met elkaar verbonden. De gegevens die in deze verbinding worden gebruikt, kunnen worden doorverkocht. Hierdoor kan een verzekeringsbedrijf weten dat jij voordat je in de auto stapt altijd nog tot vijf uur ’s nachts wakker bent. De kracht van online wordt steeds groter.

The Internet of Things is overal. Hyppönen liet aan Tweakers weten dat het web is opgebouwd uit allerlei sensoren uit verschillende apparaten die deel uitmaken van IoT. Dit vormt als het ware een grote robot, die op een gegeven moment zonder menselijke tussenkomst kan fungeren. Hyppönen benadrukt dat het nog niet zover is, maar we wel deze kant op gaan. Helaas gaat dit niet gepaard met goede beveiliging. De manier hoe IoT is opgezet maakt het beveiligen hiervan erg lastig. Het gebrek aan aandacht voor beveiliging is eigenlijk verwonderlijk. Het zou echter makkelijker zijn om de huidige infrastructuur te verbeteren. Systemen isoleren is vrij eenvoudig, maar er is vraag naar een goede monitoring van het wangedrag van een systeem. Iedereen moet leren van telecommunicatie en andere industrieën die meestal de meeste dingen onder controle hebben. Om dat te doen, moet beveiliging onderdeel zijn van de basisvereisten bij het bouwen van nieuwe systemen.

Jarno Niemelä van F-Secure Labs legt uit:

Een van de belangrijkste redenen is dat het bouwen van IoT-apparaten zo goedkoop is. En het wordt grotendeels gedaan door start-ups die behoefte hebben om het product snel naar de markt te krijgen en geen kennis van beveiliging hebben.

Zelfs in grotere bedrijven is de veiligheid niet echt een kerncompetentie of prioriteit bij het ontwerpen van nieuwe producten. Dit blijkt bijvoorbeeld in het geval van de Wi-Fi Barbie die kan worden gehackt.

Als het gaat om industriële IoT, wordt het beeld alleen maar ingewikkelder. IoT is een groeiende trend in de industriële automatisering, die vooral wordt gedreven door de wens om kosten te besparen. Communicatie via internet is ook een kosteneffectieve oplossing. Er zijn al verscheidene real-life voorbeelden van nachtmerries over industriële IoT beveiliging.

Waarom is de kritische infrastructuur in zo’n slechte staat? Jarno vervolgt:

Het komt allemaal neer op geld – beveiligen is duur. Vaak heeft de klant geen beveiligingseisen in zijn RFP, en om de transactie te winnen zal de leverancier alle security negeren.

Een ander punten is de manier waarop besturingssystemen worden gebouwd. Uptime is de belangrijkste criteria, en alles, zoals veiligheid, dat de uptime in gevaar kan brengen, wordt gezien als een remmer. Mensen van security begrijpen ook niet altijd de kritische infrastructuren, aangezien deze vaak op maat gemaakt en complex zijn.

Hier is een lijst van Jarno over wat IoT fabrikanten moeten doen:

  • Beveilig updates van OTA updates
    • Log in en controleer de geupdate pakketten.
  • Gebruik TLS voor alle communicatie
    • Ga naar de kern van de certificatie
  • Stel willekeurige standaard wachtwoorden in
    • Gebruik bij voorkeur authenticatie in 2 stappen op je telefoon of PC software
  • Gebruik certificaten en publieke key cryptography
  • Sluit alle services die onnodig zijn
    • SSH kan nodig zijn voor ontwikkeling, maar niet in het uitlaten van de vorm
  • Volg de security status van elke 3rd party bibliotheek
    • Het maakt niet uit of de kwetsbaarheid in uw code of in de bibliotheek zit

Daarnaast is het belangrijk om elke component van elkaar te isoleren.

Hoe zit het met de klant van IoT? Is er iets wat je moet doen in het geval dat je gebruik maakt van IoT gekocht van IoT leveranciers?

  • Controleer alle apparaten die je in gebruik hebt
    • Voer tenminste een nmap over alle interfaces uit
    • Als een apparaat een client is, moet het geen open poorten hebben
  • Voer druk op de fabricant bij het verbeteren van de beveiliging
    • Als je iets vindt, meld het
    • Als iemand anders iets vindt, neem dan contact op met de verkoper
  • Als de verkoper updates uitgeeft, installeer ze
    • Wat hebben de PC, router en het kopieerapparaat gemeen? Ieder van hen moeten patches hebben geïnstalleerd

Zelfs voor de klant is het isoleren van IoT-apparaten een goede gewoonte in de beveiliging van IoT en industriële automatisering, zoals de meeste productie cyber-aanvallen worden gedaan in IT. Een voorbeeld is een explosie in een Duitse staalfabriek die begon als een aanval via de e-mail, en die werd vervolgd door een zijdelingse beweging naar de oven. De beruchte aanval op het Oekraïense elektriciteitsnet is ook gestart vanuit een aanval op het kantoornetwerk die verder ging in de kritische infrastructuur.

Zelfs vandaag de de dag is de meest waarschijnlijke plek voor een aanval je bedrijfsnetwerk. Zorg er daarom voor dat je bedrijfsnetwerk bestand is tegen een aanval. Instructies hiervoor kun je vinden in onze cyber security webinar “Defending networks”.

De blog is gebaseerd op een presentatie die Jarno gaf op een Security 2016 conference in Tsjechië.


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s