Home Security Cyberrisico’s van IoT-apparatuur nog niet voorbij ondanks Europese standaard

Cyberrisico’s van IoT-apparatuur nog niet voorbij ondanks Europese standaard

G Data -
20

De meeste organisaties weten tegenwoordig dat ze nieuwe technologie moeten omarmen.  En voortdurend moeten innoveren om concurrerend en relevant te blijven. Tenslotte zijn er steeds meer mensen afhankelijk van data en digitale apparaten. IDC voorspelt dat tegen 2025 zes miljard gebruikers dagelijks van data afhankelijk zullen zijn. Dat is een slordige 75% van de wereldbevolking!

Bovendien wisselen veel van deze ‘nieuwe’ apparaten onderling data uit. En zijn ze verbonden met het internet. De behoeften aan technologische apparaten werd de laatste maanden alleen maar bevestigd door het schrijnende chiptekort.

Cyberrisico’s

Echter, is dit niet het enige probleem waar we tegenaan lopen. Doordat er steeds meer apparaten worden aangeschaft door gebruikers, voelen fabrikanten de druk om continu te innoveren waardoor er niet altijd is nagedacht over de cyberrisico’s. Dit kan rampzalige gevolgen hebben. Met name als het gaat om cyberaanvallen op kritieke infrastructuur.

Tijdens de pandemie hebben we bijvoorbeeld gezien dat ziekenhuizen vaker worden aangevallen. Zij zijn afhankelijk van apparaten die met het internet zijn verbonden. Als cybercriminelen medische systemen gaan platleggen kan dit al snel levensgevaarlijke gevolgen hebben.

Het is daarom belangrijk dat fabrikanten van Internet of Things (IoT) apparatuur een security by design benadering toepassen. Dit betekent dat er vanaf het begin, al tijdens de ontwerpfase, tot en met realisatie van een product wordt nagedacht over informatiebeveiliging. Beveiliging wordt op deze manier aan de voorkant meegenomen in de functionele en technische eisen van een product.

De Europese norm

Gelukkig heeft het Europees Telecommunicatie en Standaardisatie Instituut (ETSI) in augustus vorig jaar een Europese norm voor veilige Internet of Things-apparaten gepubliceerd die onder andere moet voorkomen dat IoT-apparaten gehackt worden. Met de norm ‘EN 303 645’ wordt een beveiligingsbasislijn voor IoT-apparaten vastgesteld. De standaard omschrijft dertien bepalingen die apparaten veiliger moet maken.

Zo is er bijvoorbeeld een verbod ingesteld op universele standaard gebruikersnamen en wachtwoorden. Hierdoor moet ieder IoT-apparaat voortaan over een uniek wachtwoord beschikken. IoT-fabrikanten moeten verder een ‘vulnerability disclosure policy’ publiceren, zodat onderzoekers gevonden kwetsbaarheden kunnen rapporteren.

Ook moet alle software van het IoT-apparaat op een veilige manier kunnen worden geüpdatet. Voor gebruikers moet er een updatefunctie zijn, zodat zij eenvoudig een update kunnen uitvoeren. Daarnaast is het voortaan verplicht dat zaken als root keys, credentials en andere ‘security parameters’ op een veilige manier zijn opgeslagen.

Verantwoordelijkheid van gebruikers

Toch is deze Europese Standaard niet genoeg om de veiligheid van IoT-apparaten te garanderen. Bovendien kunnen we ook niet alleen de verantwoording bij de overheid en fabrikanten neerleggen. Er liggen ook verantwoordelijkheden bij gebruikers van dergelijke apparaten. Ook al voldoet een apparaat aan de norm, dan is het nog steeds noodzakelijk om de nodige maatregelen te nemen.

Denk hierbij aan het continu monitoren van het netwerk en de beveiliging van alle endpoints. Organisaties die IoT-apparaten gebruiken doen er daarnaast goed aan om een integrale cybersecurity roadmap te ontwikkelen en regelmatig security audits uit te voeren. Op deze manier kunnen ze controleren of de organisatie op het gewenste security niveau zit en kunnen ze indien nodig aanpassingen maken in de processen en technologie.

Het is belangrijk dat personeel op de juiste manier omgaat met IoT-systemen en op de hoogte is van de risico’s. Tenslotte worden de meeste cyberincidenten veroorzaakt door menselijk handelen. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er gewerkt aan een positieve beveiligingscultuur. Een e-learning training, zoals G DATA Security Awareness Trainings, is hier ideaal voor.

Daarnaast zullen gebruikers ondanks de standaarden ook rekening moeten houden met de software die er op de apparaten staat, en dat ze de updates en patches van hun apparaten ook uitvoeren. Organisaties doen er goed aan om te kijken wat voor impact een IoT-apparaat heeft als het wordt aangevallen.

Als een IoT-apparaat deel uitmaakt van kritieke infrastructuur zoals een elektriciteitsnet, gasnet of waternet, kunnen cybercriminelen ernstige schade aanrichten en is er een grote kans op maatschappelijke ontwrichting. Het is daarom belangrijk dat instanties goed nadenken of ze sommige apparaten of systemen wel met het internet in contact willen brengen.

Inzicht in apparatuur wordt steeds belangrijker

In de digitale wereld worden netwerken van data, diensten en systemen die aan elkaar zijn gekoppeld, steeds omvangrijker. Vanuit het perspectief van cyberveiligheid is het ondanks de nieuwe Europese norm de grote vraag hoe dit veilig georganiseerd kan worden. Het is nu vaak onduidelijk hoe netwerken en onderdelen daarvan worden aangestuurd.

Door connected Clouds is data onzichtbaar met elkaar verbonden, waarbij het ingewikkeld is om toezicht te houden op die data, laat staan deze te beheren. Het is daarom belangrijk dat fabrikanten zich nog meer focussen op security by design en dat gebruikers hun IoT-apparaten beter afstemmen op hun IT-netwerk.

Dirk Cools, Country Manager BeLux & Frankrijk bij G DATA

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here