Zakelijke IoT-toepassingen beveiligen

Vanwege het enorme aantal IoT-apparaten en diverse scala aan toepassingsmogelijkheden is het moeilijk om te zeggen hoe (on)veilig het internet of things precies is. De snelle ontwikkelingen op dit gebied maken het in ieder geval wel steeds moeilijker voor bedrijven om op de hoogte te blijven van de laatste IoT-bedreigingen. Als bedrijven besluiten om IoT-apparatuur te ontwikkelen, richten zij hun focus meestal op functionele aspecten en mogelijkheden voor bediening op afstand. Dit resulteert in ernstige kwetsbaarheden in het ontwerp en de architectuur, zodat hackers makkelijk toegang tot de apparaten kunnen krijgen.

Als hackers zich hun weg kunnen verschaffen naar een internetconsole of aanmeldingssysteem van een IoT-apparaat, kunnen zij een ‘brute force’-aanval uitvoeren om toegang te krijgen tot de bedieningsmechanismen daarvan. En als dat apparaat deel uitmaakt van een kritieke infrastructuur zoals een elektriciteitsnet, gasnet of waternet, zouden aanvallers ernstige schade kunnen aanrichten aan kostbare apparatuur en zelfs burgers kwaad kunnen doen.

Obstakels IoT-beveiliging

Een van de belangrijkste problemen rond de IoT-security is het gebruik van zwakke encryptie en de afwezigheid van authenticatiemechanismen. Dit maakt IoT-apparatuur vatbaar voor gegevensdiefstal. Het is ook mogelijk dat deze apparaten gebruikmaken van systemen met een ‘gesloten’ karakter. Dit maakt het moeilijk om ze op afstand te onderhouden en met de laatste updates bij te werken. Dit is een belangrijk aandachtspunt bij IoT-toepassingen, want zodra organisaties over een groot aantal apparaten beschikken, wordt het voor beheerders bijzonder moeilijk om toegang tot elk apparaat te krijgen voor het verhelpen van gebreken.

Een ander belangrijk struikelblok bij IoT-beveiliging is dat hiervoor simpelweg geen universele aanpak bestaat. IoT-apparatuur kan elke omvang hebben, van kleine objecten zoals wearables en slimme gloeilampen tot enorme machines. Voor elk type apparaat is weer een andere aanpak het meest economisch haalbaar. De uitdaging is om voor elk toepassingsscenario de juiste beveiliging te vinden. Om deze reden kiezen veel bedrijven ervoor om helemaal geen securitysoplossing voor hun IoT-apparatuur in te zetten. Andere bedrijven maken weer gebruik van een oplossing die niet voor dit doel is bestemd.

Als een IoT-netwerk honderden of duizenden apparaten omspant, wordt het een enorme logistieke opgave om alle apparatuur en de beveiliging daarvan te implementeren. Voordat organisaties een IoT-netwerk ontwerpen, moeten zij nadenken over de inzet van de juiste apparatuur, het beheer van de levenscyclus en het afdwingen van passende securityregels.

Tools voor de uitrol

Veel van de securityoplossingen die momenteel op de markt verkrijgbaar zijn, zijn zo kostbaar dat de implementatie ervan simpelweg geen haalbare kaart is. In hun zoektocht naar een betaalbare oplossing kiezen sommige organisaties voor een applicatie die de data van IoT-apparaten versleutelt. In dit geval wordt er echter geen bescherming geboden tegen kwaadaardige activiteiten zoals DDoS (Distributed Denial of Service)-aanvallen. Dit soort oplossingen zijn niet ontwikkeld om een grootschalige IoT-omgeving te beschermen.

Een tool die is ontwikkeld om veilige en schaalbare connectiviteit naar het internet of things te brengen, moet relatief compact, licht en eenvoudig monteerbaar zijn. De tool moet ook in grote aantallen kunnen worden getransporteerd en zich kenmerken door eenvoud van installatie en beheer. Op deze manier hoeven bedrijven geen compleet nieuw team van security- of ict-specialisten aan te stellen. Belangrijker nog is dat bedrijven een oplossing nodig hebben die schaalbaar genoeg is om de groei van de IoT-omgeving optimaal te ondersteunen.

Raf Vervloessem, regional director Benelux, Nordics en Frankrijk bij Barracuda.