Internet of Things: niet iets om bang van te worden

Vele miljarden apparaten zullen de komende jaren in het Internet of Things worden verbonden. Het gros daarvan is van zichzelf niet veilig. Hoe richt je je IoT dan toch veilig in? Een beschermende schil, Big Data en white hackers moeten afdoende bescherming bieden.

Het Internet of Things is prima te beveiligen, is de overtuiging van Michel Schaalje, technisch directeur Cisco. “Hoewel je natuurlijk nooit 100 procent garantie hebt.” Schaalje hanteert overigens liever de term Internet of Everything – daarbij gaat het dan niet alleen om de infrastructuur maar ook om de content, de informatiebronnen en de processen die hierbij op elkaar afgestemd moeten worden. “Je moet de IT-beveiliging goed op orde hebben. Dat betekent dat je ervoor moet zorgen dat die gericht is op bescherming vóór, tijdens en ná mogelijke aanvallen”, zegt Schaalje. In de fase vóór een aanval moet een organisatie zorgen voor een beschermende schil. De informatie en de infrastructuur moeten goed afgeschermd worden. Dat kan met firewalls, VPN-tunnels, en een goede toegangsauthenticatiemethode. Daarnaast moet een organisatie snel kunnen anticiperen op mogelijke calamiteiten. “Wij beschikken over een wereldwijd netwerk met heel veel sensoren dat scant op calamiteiten. Op basis van de informatie die hieruit komt, maken we analyses en passen waar nodig de schil aan”, zegt Schaalje.

 

Snel reageren

Voor de fase die daarop volgt – de fase van de aanval – moet de bescherming zodanig zijn dat een organisatie snel kan reageren op basis van de informatie uit de analyses van onder meer de informatiestromen die over het netwerk gaan. De organisatie moet dus in het netwerk kunnen zien wat er gebeurt.

De fase ná de aanval moet zo zijn beschermd dat het mogelijk is achteraf terug te kijken op wat er is gebeurd. Welke informatiestromen liepen hoe, waar en wanneer door het netwerk, welke systemen werden wanneer en hoe geïnfecteerd en wat had dat voor gevolgen? “Daarvoor moet je misschien wel maanden terug kunnen kijken. Het is dus nodig een database op te bouwen met informatie over de verkeersstromen. Deze informatie geeft dan de mogelijkheid om achteraf te zien wie het geïnfecteerde systeem verder geïnfecteerd heeft, om zo verdere schade te voorkomen.”

 

Eén systeem

Schaalje benadrukt dat een organisatie pas goed beveiligd kan zijn als zij een goed IT-beveiligingsbeleid heeft. “Dat betekent dat de organisatie moet weten welke bronnen ze heeft, welke daarvan beschermd moeten worden en welke juist voor wie open moeten worden gesteld. Daarna pas bepaal je hoe je dat inregelt. Voor de implementatie geldt dat de beveiliging niet als aparte oplossingen moet worden bekeken – geen silobenadering. De beveiliging moet uit één systeem bestaan waarin alle verschillende componenten met elkaar samen werken. Voor, tijdens en na een aanval. Dus niet eerst eens kijken welke firewall en routers nodig zijn, vervolgens het authenticatiesysteem aanschaffen om later nog eens naar de sensoren kijken. Het moet één geheel zijn. Neem bijvoorbeeld een authenticatiemechanisme. Een medewerker kan toegang krijgen tot het netwerk met zijn smartphone maar ook met een vast systeem binnen het bedrijf zelf. Hij kan toegang krijgen op basis van zijn identiteit maar ook op basis van de locatie of het apparaat waarmee hij inlogt. Dat moet zo ingericht zijn dat het nauwkeurig afwijkingen registreert en daarop alarm slaat.” Daar moet dus eerst goed over nagedacht worden en vervolgens in dat authenticatiesysteem zijn vastgelegd.

Schaalje is ervan overtuigd dat als de IT-beveiliging op deze manier geregeld is, extra beveiliging voor een IoT of IoE niet nodig is. “Het is wel een extra aspect om vooraf over na te denken als je je beveiligingsbeleid opstelt. Maar de beveiligingsschil minimaliseert het risico al. Er zijn natuurlijk altijd risico’s. Denk daarbij ook aan de medewerkers. Die moeten zich heel goed bewust worden van de vele risico’s.”

 

Wearables

En dan zijn er de ‘wearables’ en andere slimme apparaatjes die van buitenaf informatie uitwisselen met het netwerk. Schaalje: “Daarvoor moet je bepalen welke informatie je wilt overdragen. Met een VPN-tunnel heb je die informatieoverdracht al goed afgeschermd. Neem auto’s die nu rondrijden en heel veel informatie uitwisselen met netwerken. Dat kan makkelijk, mits goed beveiligd.”

Speciale tools voor beveiliging van het IoT of IoE heeft Cisco niet. “Het is onderdeel van onze infrastructuur. Het IoE bevindt zich op het netwerk. Het zijn nieuwe informatiebronnen en processen. Daarvoor moet je net als in de bestaande infrastructuur goed nadenken over hoe je beveiliging inregelt. Dit moet allemaal goed op elkaar afgestemd worden.”

 

Big Data

IBM ziet veel in de toepassing van Big Data voor de beveiliging van het Internet of Things. “Analytics in combinatie met security intelligence”, zegt Erno Doorenspleet, Benelux Sales Manager Security Solutions bij IBM. “Daarbij is het cruciaal dat je kijkt naar afwijkend gedrag. Je kunt niets meer zien door te kijken naar het normale gedrag. Dat zijn te veel gegevens geworden.”

Kijken naar afwijkend gedrag moet volgens Doorenspleet op twee manieren: door te kijken naar de endpoints en door te kijken naar de infrastructuur. “Bij endpoints wil je zien wat het afwijkend gedrag is van de applicaties. Dat duidt op zwakke plekken en die geven weer aanwijzingen dat een component niet in orde is. Die gevonden feiten combineer je met informatie als dataverplaatsingen, aanloggedrag, de locatie waar dat gebeurt. Dan zie je dat bepaalde devices of personen zich anders gedragen dan normaal. In zo’n geval moet je actie ondernemen.” Alleen logs verzamelen, wat een SIEM altijd deed, is niet meer genoeg, stelt Doorenspleet. “We hebben Security Intelligence nodig. Daarvoor moeten we zo veel mogelijk data hebben. Combineer dat met informatie over de live data die over de netwerken heen en weer gaan en de gebruikte verbindingen, dan heb je snel een goed beeld van de afwijkingen en de betekenis daarvan. Daarbij is het van belang dat die data real time zijn, want je moet onmiddellijk kunnen acteren op die afwijkingen. Alleen dan kun je aanvallen misschien op tijd stoppen – voordat er heel veel schade is toegebracht.”

De devices zelf, ook endpoints, moeten voorzien worden van tools waarmee ze zich aanmelden op het netwerk. “Dan kan gecontroleerd worden of er iets aan mankeert, bijvoorbeeld of het jailbroken is. Is dat het geval, dan mag het apparaat geen toegang krijgen tot het netwerk. Ook kunnen gegevens gebruikt worden over de locatie. Daar kunnen niveaus in worden aangebracht zodat de organisatie kan bepalen waartoe die gebruiker toegang toe krijgt.”

Daarnaast is het van belang dat zo veel mogelijk gegevens gedeeld worden met andere organisaties in gelijke situaties. IBM verzamelt en deelt security-informatie via IBM X-Force. “Banken wisselen al heel veel gegevens met elkaar uit en proberen problemen ook gezamenlijk op te lossen. Uit onderzoek onder Amerikaanse, Canadese en Britse CISO’s blijkt ook dat zij meer van dergelijke informatie willen delen. Een groot percentage deelt al informatie maar alleen met heel specifieke bedrijven. Dat zou met meer bedrijven moeten, zoals toeleveranciers.”

 

White hackers

Hoewel nog vele apparaten die worden aangesloten op het IoT van zichzelf onveilig zijn, spannen steeds meer producenten zich in om hun producten beter te beveiligen. Zij zijn zich steeds meer bewust van het beveiligingsprobleem. Enkele producenten hebben zelfs al zogeheten ‘white hackers’ in de arm genomen.

Zo heeft GE Healthcare, dat medische apparatuur produceert, de white hacker Michael Murray aangesteld als hoofd cyber security. Hij houdt in de gaten dat beveiliging vanaf het allereerste moment van het ontwikkelproces van een apparaat heel bewust wordt meegenomen. Dus: analyses van source code, integreren van beveiligingstesten in het normale testproces en penetratietesten aan het eind. Hij hakt ook letterlijk: de apparaten worden zo nodig kapot gemaakt om maar uit te proberen waar fouten zitten waar hackers misbruik van kunnen maken.

Een ander voorbeeld is het Five Star Automotive Cyber Safety Program, dat twee beveiligingsexperts, Joshua Corman en Nicholas Percoco, augustus 2014 aankondigden tijdens Defcon. Daarmee willen ze de auto-industrie overhalen meer aandacht te besteden aan beveiliging. Ze hebben hiervoor een programma opgezet voor het veilig ontwikkelen van software, voor beveiligingsupdates voor software in auto’s en het segmenteren en isoleren van kritieke systemen in een veilig deel van het netwerk van de auto. Zodat als het entertainmentcenter van de auto gehackt is, niet ook nog eens moeiteloos het remsysteem geïnfecteerd wordt.

Tesla beseft ook al duidelijk dat het wat aan beveiliging moet doen. Het bedrijf heeft white hacker Kristen Paget aangetrokken om de beveiliging van zijn auto’s te optimaliseren. Het bedrijf stond ook met een Tesla op de Defcon-vloer om nog meer white hackers aan te trekken voor zijn bedrijf. Zij worden ingezet om bugs in de software voor alle systemen in en om de auto’s te vinden.

Vooral de leveranciers van ‘dingen’ op het gebied van zorg, lijken stappen te maken met de beveiliging. Zo organiseert de IEEE Computer Society Cybersecurity Initiative workshops over Building Code for Medical Device Software Security. Die building code is ontwikkeld door onderzoekers van de George Washington University en is er vooral op gericht de beveiliging en privacy te verbeteren door bewezen secure coding-methodes te gebruiken, speciaal aangepast voor medische apparatuur. En vorig najaar financierden diverse Amerikaanse overheidsinstanties, waaronder de FDA en Homeland Security, een congres over een gezamenlijke benadering van cybersecurity voor de zorg en medische apparaten.

5 tips

Verizon geeft 5 tips om de risico’s van IoT te verkleinen:

Makers van IoT-applicaties moeten vanaf het allereerste begin van de ontwikkelfase beveiliging inbouwen. Belangrijk daarbij is dat het systeem veilig geüpdatet kan worden. Ken de risico’s die voor jouw organisatie gelden. Wees voorbereid op aanvallen en zorg voor een duidelijk plan om daar op te reageren. Houd het IoT met segmentatie goed afgescheiden van het IT-netwerk. Dat voorkomt dat problemen in één deel van het netwerk snel en makkelijk kunnen overslaan naar de rest. Zorg voor een gelaagd beveiligingssysteem. Traditionele beveiliging als firewalls, intrusion detection systems en antivirus zijn niet genoeg om het IoT te beschermen. Weet dat je de verantwoordelijkheid voor de beveiliging moet delen. Daarbij moet de IT-beveiliger de beveiligingsinspanningen van de fysieke beveiligers en de leveranciers van de apparaten coördineren. Zo kunnen gebruikersorganisaties onwillige leveranciers dwingen tot betere, geïntegreerde beveiliging in hun producten.

Tag

Onderwerp

IoT


Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag