CIO’s hebben geen idee waar die apparaten allemaal zitten.

Het allereerste wat nodig is voor een goede beveiliging voor het Internet of Things is dat men zich bewust wordt wat voor apparaten er precies op het netwerk zitten. Het probleem? De meeste CIO’s weten helemaal niet wat er op de netwerken zit.

Consumenten zijn we helemaal verslaafd aan die verbonden apparaten. Ze willen smart homes, smart cars, smart TV’s, slimme koelkasten, alles willen ze automatiseren met sensoren en IP-adressen. Maar er zijn maar weinig dingen in de IT die meer angst inboezemen dan het idee van het beveiligen van bedrijfsnetwerken die vergeven zijn van dit soort verbonden apparaten. Het IoT-fenomeen vergroot de mogelijke dreiging exponentieel.

Maar CIO’s zijn zich vaak niet van bewust van al die voor hackers zo uitnodigende apparaten. Terwijl een van de fundamentele uitdagingen met het Internet of Things juist is dat je moet weten wat er is en dat je het een identiteit moet geven. Want je kunt niet beveiligen wat je niet kunt zien.

Het probleem

Natuurlijk houd je met je beveiliging rekening met de machines die in het volle zicht staan en met bijvoorbeeld BYOD-apparaten. Maar als je ook kijkt naar nieuwe technologieĆ«n die onder andere het licht, de temperatuur en zelfs de tint van de ramen in de kantoren regelen, dan wordt duidelijk dat het voor CIO’s alleen maar lastiger wordt om bij te houden wat er allemaal op het netwerk zit. Het beveiligen van het Internet of Things was een belangrijk onderwerp op de Black Hat conferentie van vorige week en de organisatoren vertelden aan the Wall Street Journal dat ze 50 voorstellen voor presentaties hadden gekregen die gingen over het hacken van zulke apparaten, onder andere over een worm voor smart lampen, over het hacken van medische systemen en over een nieuw soort skimming-apparaat voor geldautomaten.

Zo wordt duidelijk dat CIO’s hun prioriteiten niet helemaal juist leggen. Ze besteden bijvoorbeeld veel aandacht aan mobiele apparaten op het netwerk, terwijl ze de saaie teleconference-systemen negeren. En er zijn tienduizenden van dit soort unified communication en collaboration systemen in vergaderzalen over de hele wereld die verouderde protocollen gebruiken, zoals Session Initiation Protocol (SIP), die onversleuteld zijn en maar zelden van updates worden voorzien.

Stel je het volgende scenario eens voor. Het managementteam gaat vergaderen met het bestuur, maar het videoconference-systeem werkt niet. IT wordt erbij geroepen en dan blijkt dat het systeem wordt geblokkeerd door de firewall, helemaal terecht volgens de bedrijfspolicies. Alleen wordt de vergadering dan natuurlijk niet uitgesteld, zoals zou moeten, maar willen de heren van het management dat er een gat in de firewall wordt geslagen om het systeem te laten werken. En de grote fout is vervolgens dat IT na afloop vergeet om de firewall rond het systeem weer dicht te zetten, waardoor het systeem open ligt voor een hacker die vergaderingen wil afluisteren.

Die leden van het management zijn in feite gewoon gebruikers die zijn opgegroeid met de gedachte dat een telefoon gewoon een telefoon is. Ze realiseren zich niet wat voor een bedreiging zo’n systeem vormt. En ze zijn zich er al helemaal niet van bewust hoe ver het IoT is opgerukt, waardoor de mythe blijft bestaan dat er geen probleem is.

IoT-beveiliging is het slachtoffer van marktwerking

Maar het bedrijfsleven is natuurlijk maar een onderdeel van de grote wereld. En in die grote wereld vormen al die verbonden apparaten een steeds grotere bedreiging. Zo voorspelt Gartner dat in dit jaar zo’n 6,4 miljard apparaten= wereldwijd verbonden zijn en dat het er tegen 2020 20,8 miljard zullen zijn. Volgens Bruce Schneier, die het IoT regelmatig bekritiseert, is het beveiligen van al die apparaten, van auto’s tot slimme boilers tot smart tv’s een probleem omdat die beveiliging niet aansluit bij de marktwerking.

Computers en smartphones verouderen om de 18 tot 24 maanden, dus de bedrijven die ze maken hebben een financiƫle prikkel om de beveiliging ervan steeds te verfijnen. Maar mensen schaffen maar eens in de 10 jaar een auto aan, koelkasten gaan 20 jaar mee en thermostaten een leven lang. Voor de producenten is het economisch dus helemaal niet aantrekkelijk om die apparaten regelmatig te patchen.

En de problemen stapelen zich op omdat er steeds weer nieuwe apparaten bij komen en ze, samen met de sensoren en de software, steeds goedkoper worden en langer meegaan. Maar er bestaat geen upgrade-ecosysteem voor, zoals in de wereld van computers gebruikelijk is. Als je open haard onderdeel wordt van het IoT en ze vertellen je dat je de hardware ervan elke twee jaar moet vervangen, dan laat je ze kletsen en doe je verder helemaal niets.

Bovendien wordt het steeds lastiger om te bepalen waar de fout zit. Als er op dit moment een inbreker op het netwerk komt door een gat in de software, dan kunnen we naar de gebrekkige software wijzen. Maar met apparaten en diensten die allemaal met elkaar verbonden zijn wordt het moeilijk om precies te bepalen waar het fout is gegaan. Want als je koelkast via je router je Google-account hackt, waar zit dan de fout?

Zulke bedreigingen kunnen heel snel een sneeuwbaleffect krijgen, stelt Schneier in een blogpost: “Kwetsbaarheden in het ene systeem gaan vloeiend over in andere systemen, en het resultaat is een kwetsbaarheid die niemand zag aankomen en waar ook niemand zich voor verantwoordelijk voelt en die dus ook niet wordt opgelost. Het Internet of Things zal het misbruik van kwetsbaarheden heel erg versterken.”

Een IoT beveiligingsmodel

Voor CIO’s is het dus van levensbelang om er achter te komen wat zich allemaal op het netwerk bevindt, maar daar houdt de uitdaging niet op. Er is nog meer nodig om de malware te isoleren en uit te schakelen. Voor het beveiligen van verbonden apparaten heb je een multi-layer aanpak nodig met goede policies voor bestaande en nieuwe apparaten, die ook heel strikt worden gehandhaafd. En dat is geen gemakkelijke opgave.

We zitten nu in een tijdperk waarin we ons kunnen voorstellen dat malware kan doordingen tot alle hoeken en gaten van de business en van het leven – tot op het lichaam en zelfs in het lichaam, in je huis, in je auto. Gartner schat dan ook dat de uitgaven voor het beveiligen van het IoT richting de 850 miljoen dollar gaat in 2020.

Hoe ziet de toekomst van IoT-beveiliging er dan uit? Schneier, die beveiliging in de afgelopen drie decennia goed heeft gevolgd, denkt dat het ook aan overheden is om maatregelen te nemen. In de VS pleit hij zelfs voor een apart ministerie om de producenten te dwingen om maatregelen te nemen. Alleen denkt hij dat de overheid flink achterloopt als het gaat om het erkennen van wat het IoT is.

Toch blijft hij voorzichtig optimistisch over de kansen dat dit complexe probleem wordt opgelost. Dit soort problemen zijn tot nu toe altijd met vallen en opstaan opgelost. En de oplossingen zullen er volgens hem net zo uitzien als alles wat we vandaag de dag in de beveiliging zien: het zal een mengelmoes zijn van dingen die best goed werken. “We modderen wat aan, verkloten dingen en dan worden we er beter in”, zegt hij.


Dit artikel is geschreven door Clint Boulton en verscheen eerder op Cio.nl.