2 mei 2017 -
In het stenen tijdperk van ICT waarin we nu leven, tellen we nog hoeveel apparaten we gebruiken. Een van de duidelijkste tekenen dat er een nieuw ICT-tijdperk aanbreekt, is het enorme aantal met het internet verbonden apparaten.
Deze ‘dingen’ zijn grotendeels onzichtbaar en steeds meer van invloed op ons dagelijks leven en de economie. Het wezenlijke verschil tussen het nieuwe Internet of Things en de Machine-to-Machine-Communication (M2M) uit de vroege steentijd is dat M2M-netwerken op zichzelf staande netwerken waren die niet met het internet waren verbonden. Pas met de introductie van pinautomaten en digitale bewakingscamera’s begonnen het Internet van Mensen en het Internet van Dingen met elkaar te versmelten. Nu is het zaak om ervoor te zorgen dat de verbonden dingen ons geen problemen gaan bezorgen. Raf Vervloessem van Barracuda licht toe hoe we ‘het IoT’ kunnen beveiligen.
Lucht, kilometers en gaten verkopen
Binnen het bedrijfsleven heeft ICT vooral bijgedragen aan snellere processen en efficiëntieverbeteringen. Bij digitale transformatie worden bedrijfsprocessen echter ingrijpend herzien om hun effectiviteit naar een hoger plan te tillen. Het Internet of Things is hier een resultaat van, zoals uit tal van voorbeelden blijkt. Met het internet verbonden dingen bieden bedrijven de mogelijkheid om complete waardeketens te wijzigen. Dat komt onder meer omdat bedrijven elkaar niet langer klimaatbeheersystemen, voertuigen en boormachines verkopen, maar lucht, kilometers en gaten.
De zorgen rond de beveiliging die deze ontwikkeling met zich meebrengt, zijn meer dan terecht. Weerstand bieden is echter zinloos. In het kader van digitalisering neemt de effectiviteitsgerichte CEO de verantwoordelijkheid voor de ICT over van de efficiëntiegerichte CFO. De CEO ziet erop toe dat diens onderneming de kansen en businessmodellen van het Internet of Things benut. De uitdaging blijft echter om voor een veilige digitale transformatie te zorgen met Security of Things.
Ondankbare taak
En dat is een ondankbare taak. Want de dingen die momenteel met het internet verbonden zijn, zijn makkelijk te vinden en te hacken. Uit een recente test door de beveiligingsanalist Robert Graham bleek dat een bewakingscamera voor huishoudelijk gebruik zonder aanvullende beveiligingsmaatregelen al binnen 98 seconden na het maken van een internetverbinding werd geïnfecteerd. Cyberaanvallen zijn zo makkelijk uit te voeren omdat elk apparaat over een webserver beschikt die vanuit allerhande locaties kan worden benaderd. Ook de meeste combinaties van besturingssystemen en interfaces van industriële controllers stammen uit een lang vervlogen tijdperk. Het is niet eens mogelijk om ze te patchen of de beveiliging te versterken. Als cybercriminelen erin slagen om toegang tot een apparaat te krijgen, bijvoorbeeld door kennis van het standaardwachtwoord of een beveiligingslek, kunnen zij hun aanval automatiseren, op wereldwijde schaal uitvoeren en alle geïnfiltreerde apparaten langdurig onder controle houden.
DDoS-aanvallen
Een DDoS-aanval die vorig jaar veel opzien baarde, was de aanval op het hostingbedrijf DynDNS, waarmee internetgiganten als Twitter, Amazon, Netflix en Spotify op zwart werden gezet. Vroeger golden dergelijke internetdiensten als praktisch onaantastbaar voor DDoS-aanvallen, omdat de inspanning die nodig was om een botnet van honderden miljoenen apparaten te creëren als te groot werd beschouwd.
Honderd miljoen weeskinderen
Tegenwoordig is deze inspanning echter te overzien. Zelfs grote ondernemingen beheren IoT-apparaten nauwelijks met dezelfde ernst als een pc of server. Deze apparaten worden maar zelden gepatched of op integriteit gecontroleerd. Het inkomende en uitgaande dataverkeer worden al evenmin door firewall-regels ingeperkt. IoT-apparaten kunnen met recht de weeskinderen van de ICT-wereld worden genoemd. En in het aanbrekende nieuwe technologische tijdperk zijn er al een paar honderd miljoen van deze wezen in omloop.
Met het oog op de belangrijkste doelen van aanvallen zijn er twee benaderingen in het bijzonder die kunnen voorkomen dat de digitale transformatie wordt geremd door besmette IoT-apparatuur. Dit is ten eerste mogelijk door beveiliging in de apparaten zelf in te bouwen (Security by Design) en ten tweede door het gebruik van vooraf geactiveerde beveiligingsmechanismen (Security by Architecture). Het inbouwen van beveiliging in de apparaten zelf omvat hoofdzakelijk de volgende elementen: encryptie van data tijdens de opslag en overdracht, automatische installatie van patches voor beveiligingslekken en de afgifte van waarschuwingen voor afwijkende gedragspatronen.
Security by Design
Eindgebruikers zullen echter op Security by Design moeten wachten totdat de fabrikant die levert. Het goede nieuws is dat bedrijven zelf kwetsbare IoT-endpoints kunnen beveiligen. Het tweede traject naar Security of Things omvat het van buitenaf beschermen van apparaten. Een vooraf geconfigureerde instance schermt in dat geval het met het internet verbonden ding af tegen onbevoegde toegang en blokkeert ongewenst verkeer. Deze taken worden uitgevoerd door firewalls, waarvan de functionaliteit niet per definitie in een rack van 19 inch hoeft te komen. De hardware die wordt ingezet om voor veilige en schaalbare connectiviteit van IoT-apparaten te zorgen moet klein, eenvoudig, inbouwbaar en integreerbaar zijn. Een Firewall for Things die tienduizenden ‘dingen’ op telefoonmasten of windturbines moet beschermen, vraagt ook om een passende architectuur.
Evenveel firewalls als smartphones
In het Internet of Things zal het er nog een aantal jaar toegaan als in het wilde westen. Omdat cybercriminelen voortdurend op zoek zijn naar effectievere manieren om geld te verdienen met hun manipulatieve praktijken, zal het aantal IoT-aanvallen alleen maar toenemen. Afzonderlijk geïmplementeerde IoT-apparaten waarvoor de inzet van firewalls vanuit kostenperspectief of vanwege de toepassing geen haalbare kaart is, moeten in de toekomst ‘secure by design’ zijn. Met uitzondering van deze apparaten kunnen bedrijven hun ‘dingen’ het eenvoudigst beschermen door middel van firewalls. Aangezien het aantal met het internet verbonden dingen binnenkort het aantal aardbewoners voorbij zal streven, zal het niet lang duren voordat er evenveel firewalls worden gebruikt als smartphones.