Security en het Internet of Things

Redactie WINMAG Pro

Het potentieel van het Internet of Things is niet te onderschatten. Natuurlijk is het een buzzword, maar om een goede reden. Aan alles zit echter een schaduwzijde, zo ook aan IoT, waarmee het op het gebied van security maar droevig is gesteld.

Het idee van systemen die altijd, overal en met elkaar zijn verbonden biedt extreem veel mogelijkheden. De datastroom die dit genereert kan potentieel enorm veel inzicht bieden waar we op het gebied van economie, technologie en gezondheid, om maar wat te noemen, veel aan kunnen hebben. Des te zorgelijker dus dat security van het Internet of Things achterblijft. Natuurlijk, het is niet gek. Immers, veel systemen zijn ineens connected, denk aan huishoudelijke apparatuur, maar ook zakelijke apparatuur die ineens netwerkmogelijkheden heeft. Dit zijn bijvoorbeeld printers of ip-camera's die open en bloot te benaderen zijn via het internet.

Snelheid boven veiligheid

Op de blog van Sungard AS vertelt Casey Ellis, ceo van risico assessment-bedrijf Bugcrowd, dat het probleem vooral de devices zelf zijn. 'De ontwikkeling van het Internet of Things gaat razendsnel. Bedrijven voelen de druk om snel iets op de markt te brengen, wat ten koste gaat van de veiligheid van die apparaten', aldus Ellis. 'Daarbij maken deze devices veelvuldig gebruik van open source libraries en -componenten, waarbinnen ook met regelmaat kwetsbaarheden ontdekt worden.'

IoT op de werkvloer

Moeten bedrijven zich zorgen gaan maken? Dat misschien nog niet, maar niets doen met nieuwe ontwikkelingen, en de daarbij behorende risico's, is in ieder geval niet slim. Zoals het byod-principe al heeft laten zien, gebruiken mensen de tech die zij voorhanden hebben ook op het werk. En natuurlijk geldt dit ook voor devices die wellicht niet direct voor het werk gebruikt worden, maar wel degelijk een gevaar vormen. Zoals een wearable die verbinding maakt via het bedrijfsnetwerk.

Verder kijken dan een incident

Stephen Pao, General Manager Security bij Barracuda, adviseert bedrijven dan ook om verder te kijken dan individuele aanvallen. 'Met het verplaatsen van fysieke werkplekken naar virtualisatie, gebruik van de cloud en het gebruik van mobiele devices, vergroot ook het platform waarop incidenten kunnen plaatsvinden', zegt Pao. 'Bedrijven doen er goed aan om het gehele spectrum aan potentiële risico's mee te nemen in het beveiligen van hun it, zoals e-mail, webapplicaties, remote access, browsing, mobiel internet en het bedrijfsnetwerk.'

Waar te beginnen

Maar waar zou je als organisatie moeten beginnen met de beveiliging? Wind River, leverancier van embedded systems, geeft enkele mogelijke oplossingen in hun whitepaper 'Security In The Internet of Things'. Belangrijk is dat beveiliging van de grond af gebeurt en een logische implementatie is bij de ontwikkeling van hard- en software met online interconnectiviteit in het achterhoofd. Volgens dit bedrijf zijn er vijf punten waarop organisaties zich moeten richten tijdens de gehele levenscyclus van gebruikte devices:

1. Beveiligd opstarten

Tijdens het opstarten van een device moet de authenticiteit en integriteit van de te draaien software op het apparaat gecheckt worden. Dit kan door middel van certificaten. Op deze manier wordt voorkomen dat onwenselijke software opstart zodra er stroom op het device staat.

2. Toegangscontrole

Er moet een mechanisme geplaatst worden dat controleert welk deel van de software hard- en software mag aanspreken. Laat alleen toegang toe die daadwerkelijk nodig is voor een bepaald device of applicatie. Dan, als de veiligheid toch wordt gecompromitteerd, is het alleen een deel van het systeem dat risico loopt.

3. Apparaten moeten zich identificeren

Het moment wanneer een device contact maakt met een netwerk is ook het moment dat dit zich moet identificeren. Dit zou moeten gebeuren middels veilig op het device opgeslagen wachtwoorden en overige gegevens om te communiceren met het netwerk.

4. Apparaten moeten voorzien zijn van eigen firewalls en ips

Ondanks een mogelijk op het netwerk aanwezige firewall en intrusion prevention system (ips), is het zaak dat ook devices zelf van dit soort oplossingen zijn voorzien. Dit om de simpele redenen dat devices werken met eigen protocollen die een goede werking garanderen. Dit zijn mogelijk andere protocollen dan die gelden op het bedrijfsnetwerk met bijkomende veiligheidsrisico's van dien.

5. Updates en patches mogen niet de functionaliteit en bandbreedte beperken

Updates en patches zijn noodzakelijk voor een goede beveiliging en werking van apparaten. Toch wordt het problematisch wanneer in één keer enkele honderden verbonden devices een update of patch gepushed krijgen. Dat is funest voor de bandbreedte en kan het functioneren en daarmee de veiligheid van het device en het netwerk compromitteren.

Van de grond af

Ondanks dat security binnen het IoT een volledig nieuw werkveld lijkt, is het in wezen niet heel veel anders dan hoe het nu geregeld wordt. Goede beveiliging vindt nu plaats op besturingssysteem-niveau, en dat is precies hoe beveiliging ook op embedded systemen geregeld dient te worden. Van de grond af dus. Dat is de enige manier om zeker te zijn dat er maximaal beveiligd wordt.

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie