Gebrekkige IoT-security is vragen om moeilijkheden

zaterdag 7 juli 2018

De toepassingen van het Internet of Things (IoT) zijn legio. Steeds meer organisaties omarmen de inzet van IoT. Tegelijk neemt het aantal IoT-apparaten in grote getalen toe. Wie de security van zijn IoT-apparaten niet op orde heeft, vraagt om moeilijkheden. Op uitnodiging van ICTWaarborg gingen Joeri Schnetz van VTM Groep en Chris Bosse van M2M Services hier tijdens de ICTVakdag in Utrecht verder op in.

Connectiviteit

De toepassingen van Internet of Things (IoT) zijn legio. Slimme ondernemers kunnen bedrijfsprocessen beter inrichten. Steeds meer organisaties zijn zich hiervan bewust en omarmen de inzet van IoT. Maar dit Internet of Things is niets zonder connectiviteit. Alle data van en naar IoT-systemen moet worden getransporteerd, verwerkt en vervolgens opgeslagen. Dit vereist goede beveiliging in alle lagen van de IoT oplossing.

Security

Tegelijk met nieuwe IoT-toepassingen neemt het aantal IoT-apparaten explosief toe. Apparaten die verbonden zijn met internet, en dus benaderbaar zijn via internet. Wie de security van zijn IoT-apparaten niet op orde heeft, vraagt om moeilijkheden. Want waar intelligente apparatuur aanwezig is, daar bestaat ook de mogelijkheid om hier andere doeleinden aan te geven dan dat de bedoeling is van fabrikant en gebruiker. Een gemeente die de aansturing van pompen en gemalen regelt met behulp van een IoT-oplossing moet er bijvoorbeeld niet aan denken dat iemand de apparaten weet te hacken, om vervolgens alle gemalen open te zetten.

Security aanpak verschilt per oplossing

Elke IoT-oplossing heeft elementen die een goede security vereisen. Per situatie en per gebruik verschilt de security aanpak en komt daar een ander security-profiel bij kijken. Het gaat om endpoints (zoals sensoren), connectiviteit (netwerken), cloud platforms, applicaties en data. Belangrijk is de verschillende elementen in kaart te brengen, om per oplossing de juiste security aanpak te kunnen implementeren.

Army of fridges

Helaas blijkt in de praktijk dat veel smart devices lang niet altijd slim beveiligd te zijn. Sommige smart devices hebben de voordeur zo ongeveer open staan. Dat levert lang niet altijd direct risico’s op voor de gebruiker van dat apparaat, maar deze apparaten kunnen ook weer ingezet worden als ondersteunend device in een aanval op andere apparaten of systemen. Een inmiddels welbekend voorbeeld is How an army of vulnerable gadgets took down the web today, waarbij het internet plat ging door een aanval via slimme koelkasten en magnetrons.

Security by design

Een belangrijk gegeven bij de inrichting van IoT en M2M systemen is om van te voren goed na te denken over het security profiel. Wat moet de oplossing doen en welke risico’s zijn aanwezig. Door dat van te voren vast te stellen kunnen risico’s en extra kosten na implementatie worden geminimaliseerd. Het is beter (en goedkoper) om de systemen en apparaten direct van de juiste security aanpak te voorzien, dan om dit later nog toe te voegen. Het kan bijvoorbeeld gaan om heel veel, of moeilijk benaderbare apparaten, waardoor security later nog toevoegen enorme kosten met zich kan meebrengen.

Trusted Circle

Een succesvolle security aanpak is bijvoorbeeld de Trusted Circle, een cloud gebaseerde beveiligde connectiviteits dienst, waarmee het koppelen van locaties, gebruikers en devices eenvoudig kan worden geregeld. Trusted Circle creëert een beveiligde OpenVPN "wolk" waar nodes, clients en back-end systemen aan gekoppeld kunnen worden.

Vaak worden complexe constructies gecreëerd voor het realiseren van VPN oplossingen. Hier biedt Trusted Circle een prachtige oplossing als centraal toegangspunt waar apparaten en gebruikers middels een eigen virtueel private netwerk (VPN) communiceren. De connectiviteit van de IoT-oplossing is hiermee afgeschermd, om zo tot een optimaal beveiligde IoT-toepassing te komen.