Beveiliging is bijzaak voor veel grote bedrijven die investeren in Internet of Things (IoT)-projecten, ondanks een toename in cyberdreigingen. Dat blijkt uit een internationaal onderzoek in opdracht van cybersecurity-specialist Trend Micro onder 1.150 IT- en security managers van bedrijven met meer dan vijfhonderd werknemers wereldwijd. Zij zijn vooral bezorgd dat een IoT-gerelateerde cyberaanval het consumentenvertrouwen aantast en niet zozeer voor de boete die dit met zich meebrengt.
Meer connected apparaten en meer dreiging
Trend MicroMet het groeiend aantal apparaten dat met elkaar is verbonden via internet neemt ook de digitale dreiging toe. Twee derde (63 procent) van de ondervraagden zegt dat het aantal IoT-gerelateerde cyberdreigingen is toegenomen in de afgelopen twaalf maanden. In het VK en de VS gaf zelfs 71 procent dit aan. De helft van de respondenten (53 procent) denkt echter dat connected apparaten een bedreiging vormen voor hun eigen organisatie, al ligt dit percentage fors hoger in Japan: 75 procent. Bijna de helft (43 procent) van de ondervraagde IT- en security managers beschouwt beveiliging desondanks als een bijzaak. In Duitsland was dit met 46 procent het hoogst. Uit het onderzoek blijkt er verder een forse disbalans te zijn tussen de investeringen in IoT-systemen en de beveiliging hiervoor.
Nauwelijks beveiligingschecks
De resultaten van het onderzoek suggereren dat er mogelijk minimale tests plaatsvinden voorafgaand aan de implementatie om ervoor te zorgen dat nieuwe apparaten die aan bedrijfsomgevingen worden toegevoegd, worden beveiligd. Gemiddeld kregen bedrijven in de afgelopen twaalf maanden drie cyberaanvallen op connected apparaten te verduren. Van bedrijven die IoT-oplossingen hebben geïmplementeerd of gaan implementeren heeft slechts 38 procent security managers bij het implementatieproces betrokken. Bij de IoT-implementatie bij smart factories is dit 32 procent, bij smart utilities 31 procent en bij de implementatie van wearables betrekt 30 procent van de ondervraagde een security-beslisser. Deze resultaten suggereren dat een significant deel van de bedrijven wereldwijd zich onbewust openstelt voor allerlei online dreigingen.
Investeringen in beveiliging noodzakelijk
“IoT-systemen zijn de toekomst voor bedrijven en er worden al veel nieuwe typen connected apparaten in het corporate netwerk van organisaties geïntroduceerd”, zegt Kevin Simzer, chief operating officer bij Trend Micro. “Hoewel dit goed is voor de bedrijfsvoering is het embedded operating system van IoT-apparaten bijvoorbeeld niet ontworpen voor eenvoudige patching, wat een wereldwijd cyberrisico oplevert. Investeren in beveiligingsmaatregelen zou gelijk moeten opgaan met de investering in systeemupdates om het risico op datalekken zo klein mogelijk te houden, aangezien dat een grote impact heeft op zowel het verdienmodel als het consumentenvertrouwen.”
Beveiliging, verantwoordelijkheid, reputatie en impact op het bedrijf
De belangrijkste consequenties voor bedrijven na een inbreuk op de beveiliging zijn het verlies van consumentenvertrouwen (52 procent) en financieel verlies (49 procent), aldus de ondervraagden. Ondanks dat de GDPR recentelijk van kracht is en bij velen prioriteit heeft, zijn de onderstaande consequenties bij velen minder urgent. Bedrijven denken dat een zogenaamde IoT-breach invloed zal hebben op:
- Consumentenvertrouwen (52 procent)
- Financieel verlies (49 procent)
- Verlies van persoonlijk identificeerbare informatie (32 procent)
- Boete van handhavingsorganen (31 procent)
- Het overtreden van regels inzake databeveiliging (28 procent)
Omdat lekken grote impact op de bedrijfsvoering kunnen hebben, zoals het mogelijk aantasten van de GDPR-voorwaarden of het platleggen van belangrijke netwerken, is het advies dat cybersecurity geen bijzaak mag zijn en dat het vanaf het allereerste begin deel moet uitmaken van het IoT-implementatieproces.
Beveiliging vanaf begin in ontwerp implementeren
“De significante investering in deze technologie wereldwijd is een gevolg van het feit dat IoT-oplossingen veel voordelen voor bedrijven kunnen hebben”, zegt Rense Buijen, Technical Director bij Trend Micro. “Maar als beveiliging niet van begin af aan in het ontwerp van IoT-oplossingen wordt meegenomen en Systeem Ontwikkeling Methodologie niet in het implementatieproces wordt meegenomen, dan zouden bedrijven veel meer schade dan profijt kunnen hebben van deze connected technologie. De Benelux heeft een zeer goede internetinfrastructuur en is daarom interessant voor cybercriminelen. We adopteren nieuwe technologie snel en spenderen daar relatief veel geld aan, het is dan ook belangrijk dat bedrijven en consumenten in de Benelux, IoT-security serieus nemen. Als we dat niet doen kan dat immers grote gevolgen hebben.”
Uit het onderzoek blijkt verder dat er significante investeringen in IoT-systemen plaatsvinden en dat bedrijven gemiddeld meer dan 2,5 miljoen dollar (2,1 miljoen euro) per jaar investeren. Gezien de substantiële financiële investering – en de significante impact op organisaties die een cyberaanval op deze systemen kan hebben – moet beveiliging eenzelfde prioriteit hebben om de risico’s te verkleinen.