Strategie Over beveiligingsrisico’s van Internet of Things:
Zijn apparatuur en software nog wel te vertrouwen? Mensen worden via hun identiteitsbewijs, DigiD, gebruikersnaam en wachtwoord gecontroleerd en vertrouwd. Maar hoe zit het eigenlijk met het steeds grotere aantal apparaten? Naarmate meer apparaten met het Internet of Things (IoT) worden verbonden en software (onder andere via DevOps) een grotere rol in ieders leven gaat spelen, wordt digitaal vertrouwen steeds belangrijker. Diederik Klijn, sales manager Northern Europe bij Venafi, legt uit waarom het nodig en verstandig is alle gebruikte digitale certificaten en encryptiesleutels geautomatiseerd te gaan beheren.
Bedrijven migreren in toenemende mate naar de cloud om flexibeler en sneller nieuwe IT-toepassingen en services te kunnen implementeren. Of om deel uit te maken van de platformeconomie waarin vraag en aanbod tegenwoordig 24/7 online worden gematched. Hoewel
{
Behalve geplande migraties naar de cloud en implementaties van IoT, moeten IT-ers ook nog een toenemend aantal zogeheten ‘Fast-Track IT’-initiatieven in goede banen leiden. “Wij zien bij veel bedrijven dat de ‘Chief Marketing Officer’ (CMO) parallelle
‘Een categorie die speciale aandacht verdient, is die van de code-signing certificaten’
de toenemende cloudmigraties en platformen grote voordelen met zich meebrengen, zit er ook een groot nadeel aan, namelijk alle mogelijke beveiligingsrisico’s. Steeds meer apparaten en softwaretoepassingen communiceren tegenwoordig volledig autonoom met elkaar, dus zonder enige menselijke controle. Heeft u als IT- of securityverantwoordelijke nog wel voldoende grip en inzicht in het digitaal vertrouwen waarop al die automatische communicatie is gebaseerd?
18
Slow versus Fast IT
Alles over innovatie in ICT
IT-projecten initieert, om leads te genereren of zich van concurrenten te onderscheiden”, zegt Klijn. CMO’s besteden de laatste jaren een groter deel van hun budget aan marketing gerelateerde IT-technologieën, vaak buiten de controle en gezichtsveld van traditionele IT-teams. “Daarnaast worden door DevOps-teams nieuwe ontwikkeltools ingezet, tijdelijke domeinnamen geregi streerd en API’s met elkaar verbonden. Deze ‘Fast-Track IT’-ontwikkelingen zijn door traditionele ‘Slow IT’-afdelingen amper bij te houden, laat staan gestructureerd te
managen. Ook die trend zorgt soms voor ongecontroleerde IT-projecten.”
Digitaal vertrouwen ondermijnen Vergelijkbaar met de toename aan nepnieuws en misleidende campagnes om opinies te beïnvloeden, worden cybercriminelen slimmer in het misbruik maken van het digitaal vertrouwen tussen apparaten en software. Dat IT-security verantwoordelijken daarop moeten letten, blijkt onder andere uit de onlangs ontdekte backdoor in de Asus Live Update-software en de mogelijke ZombieLoad aanvallen op Intel-chips. Via dit soort zwakheden is onopgemerkt informatie te stelen, malware te installeren, of de controle van apparatuur of software over te nemen. Backdoors en bugs in software die toegang geven tot apparatuur ondermijnen in toenemende mate het digitaal vertrouwen, waarop zowel onze hele digitale infrastructuur als economie zijn gebaseerd.
Aandacht voor code signing certificaten Een categorie die speciale aandacht verdient, is die van de ‘code-signing certificaten’. Dat zijn namelijk digitale handtekeningen voor het ondertekenen van vertrouwde software en andere programmacode. Dankzij dit type certificaten was de bekende Stuxnet-hack zo succesvol. Uit recent onderzoek van Venafi blijkt dat maar 28% van de 320 ondervraagde securityverantwoordelijken in Canada, Europa en de Verenigde Staten een procedure heeft voor het consistent beveiligen door middel van code signing certificaten. Toch maakt 50% van de respondenten zich zorgen dat cybercriminelen gestolen of op het darkweb verkochte nagemaakte code
