11 minute read
Miljarden onbeveiligde
Achtergrond | Michiel van Blommestein
Hoe IoT de security-status-quo drastisch omgooit
Miljarden onbeveiligde apparaten op het netwerk
Internet of Things is een hackersdroom. Opeens worden miljarden nieuwe apparaten zonder enige vorm van beveiliging toegevoegd aan zakelijke en private netwerken. Wie een beetje slim is, kan via zo’n apparaat toegang krijgen tot het hele netwerk, hoe goed deze verder ook beveiligd mag zijn.
Het cliché gaat dat een keten zo sterk is als de zwakste schakel. Laat IT nou veel op een keten lijken (servers, netwerk, endpoints…), en IoT de potentie hebben om miljarden schakels aan die keten toe te voegen. De schattingen lopen sterk uiteen, van 20 miljard devices in 2020 volgens Gartner tot zelfs een biljoen volgens sommige eerdere schattingen. Hoe dan ook: het gaat hard, zoals ook KPN schrijft in een whitepaper. Dat hebben cybercriminelen onderhand ook al door. Kaspersky heeft gezien dat tijdens de eerste helft van 2018 al drie keer meer aanvallen hebben plaatsgevonden op IoT-apparaten dan tijdens het hele jaar van 2017. Het zou gaan om 120.000 verschillende soorten malware die zijn gericht op IoT. F5 Labs, de onderzoektak van F5 Networks, zag een soortgelijk onderzoek een stijging van 249 procent in een jaar tijd. De rekenkracht van gekaapte apparaten is weliswaar zwak, maar het zijn er zoveel dat ze kunnen worden ingezet voor DDoS-aanvallen. Mirai, een botnet, legde DNS-provider Dyn op deze manier plat. Ook cryptojacking is populair, het clandestien minen van cryptomunten wat daarnaast al het leven uit het apparaat zuigt. De privacy blijft ook niet onaangetast, met kinderspeelgoed dat kan worden gebruikt om kinderen af te luisteren of zelfs te bekijken en pacemakers waar medische informatie van af te tappen valt.
Slimme ICT, maar domme apparaten Omdat deze apparaten vanuit de ICT bezien zo eenvoudig zijn, is het beveiligen ervan moeilijk, zo vertelt Frank van der Gaarden, channelmanager bij Fortinet. IoT-apparaten zijn eenvoudig en hebben zelf weinig intelligentie, stelt hij. “Wat je ziet is dat als een IoT-apparaat in het netwerk wordt geplaatst, deze daarna niet meer wordt geüpdatet. Als er een kwetsbaarheid wordt gevonden, is het eenvoudig die te misbruiken, en die apparaten bieden geen eigen beveiliging.” De beveiliging van IoT hangt dus ook van de andere lagen van de ICT-omgeving af. KPN noemt in zijn whitepaper IoT-security - Op weg naar een veilig Internet of Things de zeven lagen van het IoT Reference Model van Cisco: fysieke devices en controllers, connectiviteit, edge en fog computing, omzetting van actieve data naar passieve data, data-abstractie en integratie en filtering, de applicatie en de interactie tussen gebruikers. Op basis daarvan kun je volgens de schrijvers van het whitepaper twee securitymodellen aangeven die van belang zijn voor IoT-beveiliging: AIC, oftewel BIV in
Het beveiligen van de ‘things’ in Internet of Things gaat een moeilijke zaak worden. Niet alleen omdat het er zo veel zijn, maar omdat ze helemaal niet zijn ontworpen om te beveiligen. Het is niet alsof je eenvoudig een securityoplossing erop plaatst. Alleen via de firmware kun je het enigszins beveiligen, maar lang niet alle leveranciers blijken in staat de firmware vaak genoeg te herzien. het Nederlands: Beschikbaarheid, Integriteit en Confidentialiteit, en het NIST Cybersecurity Framework. De eerste is specifiek voor IoT bruikbaarder, zo vinden de schrijvers. “Analyse van securityvraagstukken begint namelijk altijd bij de beschikbaarheid, integriteit en vertrouwelijkheid”, schrijven ze. “Het NIST Cybersecurity Framework is een waardevol instrument voor het
op detailniveau in kaart brengen van securitymaatregelen. Dit model is minder geschikt voor een brede blik op de toepassingsgebieden.” Het is vervolgens zaak om de specifieke toepassing van IoT te analyseren naar deze drie cruciale veiligheidskenmerken. Een smart city werkt immers anders dan een smart home, waar weer andere belangen spelen dan een smart company of bij smart wearables.
Aanpak en technologie Natuurlijk begint de security van IoT bij algemeen aanvaarde goede praktijken: gebruik niet het standaardwachtwoord voor de webinterface, sla geen gevoelige gegevens op wanneer dat niet nodig is en beperk het aantal inlogpogingen om brute force tegen te gaan, bijvoorbeeld. Maar je ontkomt er ook niet aan om technische maatregelen te nemen om de beveiliging verder op te schroeven. Verschillende leveranciers hebben uiteraard verschillende oplossingen, maar het toverwoord dat de meeste securityleveranciers lijken te bezigen is de ‘holistische’ aanpak waarbij alle lagen beveiligd worden. Zo kiest Fortinet voor een fabric-aanpak, met Network Access Control waarmee gecontroleerd kan worden welke devices en in welke mate het netwerk opkomen. “Mogelijk kwetsbare apparaten plaats je in speciale zones, met strikte controle op het verkeer tussen die zones”, zegt Van der Gaarden. “Echt next-generation firewallfuncties dus.”
Anderen, zoals Gemalto, kiezen juist voor een verbeterde identificatie van de apparaten en de rechten die ze mogen hebben. Dat begint al bij het identificeren van het apparaat zelf, zo zegt bijvoorbeeld Mike Gardiner, System Security Architect, Data Protection van Gemalto. Hij stelt dat het aantal IoT-apparaten, in combinatie met het feit dat het meestal om soortgelijke systemen binnen een omgeving gaat, een grote uitdaging vormt. “Een aanval dat één apparaat compromitteert kan mogelijk worden hergebruikt op soortgelijke apparaten”, zegt Gardiner. “Het is belangrijk dat de eigenaar cryptografische controle neemt buiten de leverancier van het apparaat om, terwijl de leverancier juist in staat moet zijn om de fabriekstoestand te behouden. Het is vergelijkbaar met melk: als je een IoT-apparaat te lang alleen laat, wordt hij zuur.”
Daarom dat Gemalto recent samenwerkingen is aangegaan met DigiCert en quantumcomputingspecialist ISARA om digitale certificaten te ontwikkelen die gebruikmaken van dynamische versleuteling. “De private sleutel en het digitale certificaat vormen de identiteit van het apparaat”, zegt hij. “Dit is de belangrijkste bouwsteen voor de veilige communicatie van apparaten. Als je het certificaat koppelt aan een PKI (public key infrastructure, red.), dan kan deze het apparaat koppelen aan een eigenaar en zo de vertrouwensbanden tussen apparaten laten vaststellen.” De certificaten zorgen er ook voor dat code zonder handtekening domweg niet wordt uitgevoerd, waardoor pogingen controle over te nemen veel moeilijker worden.
Zoals een onderzoek van HPE-onderdeel Aruba Networks, uitgevoerd door het Ponemon Instituut, dit najaar laat zien, is het vertrouwen in de veiligheid van IoT vooralsnog laag. De manier waarop IoT-systemen zijn ingeregeld zal het vertrouwen niet voeden. Een nieuwe kijk op security, zoals sommige leveranciers wel betrachten te doen, moet dan ook snel uitkristalliseren. Vooral gezien de explosiviteit waarop IoT het ICT-domein begint over te nemen.
Interview | Pim Hilferink
Leonardo Gomez, Suzette Oskam en Jan-Willem van Rijt van Tech Data
Vorig jaar oktober startte Tech Data met Smart Living, een value propositie die past binnen de positionering van IoT en die aansluit op de traditionele distributie van IT- en consumentenelektronicaproducten (CE) waarin Tech Data een toonaangevende positie inneemt. Die twee markten bewegen geleidelijk naar elkaar, gevoed door de toenemende belangstelling voor smart-homeoplossingen, oftewel domotica, die de intelligente manier van werken van IT combineren in consumentenproducten.
“Wij kiezen er bewust voor om te investeren in deze strategische groeimarkt ‘smart living’, het segment binnen IoT dat nog aan het begin van zijn ontwikkeling staat en waarin we resellers meenemen op dit groeipad door ze te informeren en te trainen op deze nieuwe technologische ontwikkelingen.” Aan het woord is Suzette Oskam, Director Endpoint Solutions bij Tech Data. “We hebben begin 2017 geïnventariseerd welk deel van ons portfolio al ‘smart’-oplossingen bevatte. Onder ‘smart’ verstaan wij apparaten die door middel van een mobiele applicatie of spraak worden aangestuurd. We zijn in Nederland distributeur van zowel Apple als Google, twee dominante namen als het gaat om de basis voor smart-homeoplossingen. Verder hebben we een flink aantal merken in ons aanbod voor zowel de B2B- als B2C-markt. Echter, we zitten in een gedeelte van de channel waarbij relevantie steeds belangrijker wordt. Het gaat hierbij niet alleen om het leveren van producten, maar we kijken vooral ook naar totaaloplossingen. Zo hebben we bijvoorbeeld installatieservices toegevoegd aan ons aanbod.”
Adoptietrends leidraad bij uitbouw portfolio Leonardo Gomez, Business Development Manager Smart Living bij Tech Data vervolgt: “We hebben ons portfolio
uitgebreid met specifieke smarthomemerken van productcategorieën met de hoogste adoptiegraad in de markt. Die portfolio-uitbreiding is een semi-lokale operatie. Waar mogelijk proberen we pan-Europees uit te rollen, maar door de verschillen in adoptietempo gaat het soms ook nationaal. Nederland loopt voorop in de adoptie van smartlivingoplossingen; wij zijn echt een gidsland voor veel internationale leveranciers.”
Bij de merkuitbreiding gaat het soms om merken die eerder nauwelijks zichtbaar waren in de Nederlandse markt. Oskam: “Die proberen we in het zadel te helpen door onze kennis van de
eindgebruikers- en distributiemarkt in te zetten en een leidende rol te pakken bij de gezamenlijke promotie van het smart-concept: zowel smart living als smart office. Dat houdt in dat we de reseller ervan proberen te doordringen dat ‘smart’ een ontwikkeling is waar hij vroeg of laat mee te maken krijgt, zonder direct aan te sturen op bepaalde producten of merken. Aan een juiste merk- of productkeuze gaat een generiek adoptieproces vooraf.”
Portfolio-uitbreiding “In het afgelopen jaar hebben we al een achttal nieuwe merken opgenomen”, vervolgt Gomez, “en dit gaan we in 2019 verder uitbreiden om smart living bij
onze resellers nog steviger op de kaart te zetten en hen te ondersteunen bij hun verkoopinspanningen. De adoptie komt tot nu toe vooral uit de hoek van de (grotere) retailers, zowel online als offline, maar we verwachten dat zich dat de komende jaren gaat verbreden naar de kleinere ICT-specialisten, installatiebedrijven en mkb-resellers. De komende jaren zoomen we ook in op andere categorieën zoals entertainment en energie. De betrouwbaarheid van elke slimme oplossing is afhankelijk van de kwaliteit van het (wifi) netwerk waarmee verbinding wordt gemaakt. Ook hiervoor ben je bij Tech Data aan het juiste adres.”
Additionele services Jan-Willem van Rijt, Business Unit Manager bij Tech Data: “Omdat we weten dat bij veel smart-livingproducten ook installatie komt kijken hebben we voor 2019 – in aanvulling op het leveren van producten – additionele services ontwikkeld, die tegelijk ook een stuk toegevoegde waarde betekenen. We werken samen met een installatiepartner, waardoor we de retailer/reseller de keuze bieden om alleen een product aan te kopen, of een totaaloplossing inclusief installatie. Deze service kan dan vervolgens door de eindgebruiker of reseller worden gepland. Ook zijn we bezig met bundeling. Denk aan een combinatie van een deurbel bij de voordeur en een camera in de tuin of de combinatie van de Google Home-speaker en Hue-verlichting. Zo hebben we al diverse bundels samengesteld, waarbij je in één keer een complete oplossing voor je klant kunt bestellen. Zeker in combinatie met onze bestaande en aanvullende installatieservices.”
Merchandise/trainingsteam “In een markt die nog in een ontwikkelingsfase verkeert mag je niets aan het toeval overlaten”, weet Van Rijt. “Voor de ondersteuning van de verkoop van smart living in de fysieke retail is dat niet anders. We hebben al een team dat richting met name retailers dedicated service merchandise uitrolt. Dit bestaande team krijgt nog meer relevantie voor dit nieuwe deel van onze business doordat we het team hebben uitgebreid met kennis en kunde rondom smart living. Deze mensen zorgen ervoor dat displays van fabrikanten op de juiste plaats staan en goed werken. Daarnaast is het belangrijk om de winkelmedewerkers de nodige kennis bij te brengen, zodat zij hun klanten correct en volledig kunnen informeren. Het merchandise-team zorgt er ook voor dat de fabrikant de nodige feedback krijgt op basis van de afspraken die zijn gemaakt.”
Marketing & salessupport “We ondersteunen onze resellers ook vanuit marketing en sales”, licht Van Rijt verder toe. “Iedere maand gaat er een ‘Smart Living Update’-mailing naar de resellers, waarin we hen op de hoogte houden van de laatste ontwikkelingen op het gebied van producten, markttrends en het aanbod van Tech Data. Daarnaast zetten we campagnes op voor leveranciers. Die lopen uiteen van het bouwen van een pop-upstore tot het ondersteunen van de uitbreiding van het merkbereik in andere marktsectoren.”
Van Rijt vervolgt: “We hebben een ‘first person of contact’ op de binnendienst bij wie klanten terecht kunnen voor informatie over producten, orderstatus en levertijden. Collega Leonardo Gomez is vanuit zijn verantwoordelijkheid voor business development dagelijks actief met het verrijken van het assortiment binnen de productcategorieën en tevens zorgt hij ervoor dat operationele zaken als voorraden en pricing op orde zijn. Hij is ook het eerste aanspreekpunt voor leveranciers en begeleidt de grote accounts op het gebied van smart living, inclusief het toevoegen van nieuwe merken richting het kanaal. Daarbij wordt hij ondersteund door ons salesteam, dat in de breedte opportunities spot bij onze resellers waarmee hij vervolgens direct aan de slag kan.”
Productcategorieën Tech Data Smart Living • Klimaatbeheersing • Verlichting • Energie • Beveiliging • Entertainment • Lifestyle • Huishoudelijke apparaten
Merkenlijst
Suzette Oskam besluit: “Uit het voorafgaande is wel duidelijk dat Tech Data met smart living een serieuze nieuwe activiteit heeft omarmd binnen het bestaande IoT-portfolio. Een niet onaanzienlijk deel van onze resellers heeft inmiddels de groeikansen, die dit segment biedt, onderkend. Tegelijkertijd is in deze groeiende markt uiteraard nog volop ruimte voor meer leveranciers en resellers. In een verhelderend gesprek vertellen we je graag meer over hoe je smart business kunt doen binnen ons smart-livingaanbod!”