IN T E R N E T O F T H I N G S D O S S I ER 2 0 1 8 | CHA NNELCO NNECT
Achtergrond | Michiel van Blommestein
Hoe IoT de security-status-quo drastisch omgooit
Miljarden onbeveiligde apparaten op het netwerk Internet of Things is een hackersdroom. Opeens worden miljarden nieuwe apparaten zonder enige vorm van beveiliging toegevoegd aan zakelijke en private netwerken. Wie een beetje slim is, kan via zo’n apparaat toegang krijgen tot het hele netwerk, hoe goed deze verder ook beveiligd mag zijn. Het cliché gaat dat een keten zo sterk is als de zwakste schakel. Laat IT nou veel op een keten lijken (servers, netwerk, endpoints…), en IoT de potentie hebben om miljarden schakels aan die keten toe te voegen. De schattingen lopen sterk uiteen, van 20 miljard devices in 2020 volgens Gartner tot zelfs een biljoen volgens sommige eerdere schattingen. Hoe dan ook: het gaat hard, zoals ook KPN schrijft in een whitepaper. Dat hebben cybercriminelen onderhand ook al door. Kaspersky heeft gezien dat tijdens de eerste helft van 2018 al drie keer meer aanvallen hebben plaatsgevonden op IoT-apparaten dan tijdens het hele jaar van 2017. Het zou gaan om 120.000 verschillende soorten malware die zijn gericht op IoT. F5 Labs, de onderzoektak van F5 Networks, zag een soortgelijk onderzoek een stijging van 249 procent in een jaar tijd. De rekenkracht van gekaapte apparaten is weliswaar zwak, maar het zijn er zoveel dat ze kunnen worden ingezet voor DDoS-aanvallen. Mirai, een botnet, legde DNS-provider Dyn op deze manier plat. Ook cryptojacking is populair, het clandestien minen van cryptomunten wat daarnaast al het leven uit het apparaat zuigt. De privacy blijft ook niet onaangetast, met kinderspeelgoed dat kan worden gebruikt om kinderen af te luisteren of zelfs te bekijken en pacemakers waar medische informatie van af te tappen valt. 20 | I N T E R N E T O F T H I N G S DO S S I ER
Slimme ICT, maar domme apparaten Omdat deze apparaten vanuit de ICT bezien zo eenvoudig zijn, is het beveiligen ervan moeilijk, zo vertelt Frank van der Gaarden, channelmanager bij Fortinet. IoT-apparaten zijn eenvoudig en hebben zelf weinig intelligentie, stelt hij. “Wat je ziet is dat als een IoT-apparaat in het netwerk wordt geplaatst, deze daarna niet meer wordt geüpdatet. Als er een kwetsbaarheid wordt gevonden, is het eenvoudig die te misbruiken, en die apparaten bieden geen eigen beveiliging.”
De beveiliging van IoT hangt dus ook van de andere lagen van de ICT-omgeving af. KPN noemt in zijn whitepaper IoT-security - Op weg naar een veilig Internet of Things de zeven lagen van het IoT Reference Model van Cisco: fysieke devices en controllers, connectiviteit, edge en fog computing, omzetting van actieve data naar passieve data, data-abstractie en integratie en filtering, de applicatie en de interactie tussen gebruikers. Op basis daarvan kun je volgens de schrijvers van het whitepaper twee securitymodellen aangeven die van belang zijn voor IoT-beveiliging: AIC, oftewel BIV in
Een smart city werkt anders dan een smart home, waar weer andere belangen spelen dan bij een smart company of smart wearables Het beveiligen van de ‘things’ in Internet of Things gaat een moeilijke zaak worden. Niet alleen omdat het er zo veel zijn, maar omdat ze helemaal niet zijn ontworpen om te beveiligen. Het is niet alsof je eenvoudig een securityoplossing erop plaatst. Alleen via de firmware kun je het enigszins beveiligen, maar lang niet alle leveranciers blijken in staat de firmware vaak genoeg te herzien.
het Nederlands: Beschikbaarheid, Integriteit en Confidentialiteit, en het NIST Cybersecurity Framework. De eerste is specifiek voor IoT bruikbaarder, zo vinden de schrijvers. “Analyse van securityvraagstukken begint namelijk altijd bij de beschikbaarheid, integriteit en vertrouwelijkheid”, schrijven ze. “Het NIST Cybersecurity Framework is een waardevol instrument voor het