Security IoT moet naar hoger niveau

Net als bij alle andere ict-onderwerpen moet ook bij het internet of things de beveiliging goed geregeld zijn. Het is een open deur, maar helaas blijkt dit nog niet realiteit. De security rondom de cloud, het netwerk of Wi-Fi is over het algemeen wel op orde, maar toch mist er nog iets qua beveiliging bij IoT. Maar wat? Hippe termen als biometrische security, cryptografie, embedded security en syntetische data komen voorbij, maar hoe beschermen organisaties zich nou echt?

 ‘Beveiliging speelt bij alle aspecten van it’, merkt NextTech-eigenaar Dennie Spreeuwenberg op. ‘De risico’s worden nog groter wanneer ze verbonden zijn met het internet. Kwaadwillenden zouden ongeoorloofd gebruik kunnen maken van een systeem of data kunnen stelen. Zolang er door de kwaadwillende een voordeel uit te halen valt, zal er ook altijd worden geprobeerd ergens misbruik van te maken. Hier moeten we ons tegen weren.’

Risk based authentication

Spreeuwenberg ziet steeds vaker dat traditioneel beveiligen met behulp van een inlognaam en wachtwoord niet meer voldoende blijkt te zijn. ‘Inloggegevens worden afgeluisterd of gestolen en het hek is van de dam. Naast het versleutelen van de verbinding, met bijvoorbeeld ssl, zou een mogelijk oplossing risk based authentication kunnen zijn. Hiermee kan abnormaal gebruik van normaal gebruik onderscheiden worden. Denk hierbij bijvoorbeeld aan het herkennen met wat voor een client-systeem de gebruiker normaal gesproken connectie probeert te maken en vanuit waar. Wanneer dit afwijkt op normaal gebruik dient de gebruiker een extra factor toe te passen in de vorm van two factor-authenticatie. Bijvoorbeeld in de vorm van een eenmalig te gebruiken sms-code. Ik zie dat een dergelijke toepassing al gebruikt wordt door bijvoorbeeld Google. Ook voor de zakelijke markt zijn hier al reeds oplossingen beschikbaar.’

Wanneer we het hebben over machine to machine (M2M)-communicatie zullen we volgens Spreeuwenberg moeten gaan specificeren met wie en wat er overal mag worden gecommuniceerd. ‘Ook hier zou er over een mechanisme nagedacht moeten worden om ook te controleren met wat er gecommuniceerd wordt. Mijn koelkast hoeft bijvoorbeeld niet te communiceren met de auto van mijn buurman. Nu we aan de vooravond staan van de uitrol van internet of things is het belangrijk dat fabrikanten een goede basis neerleggen die het mogelijk maakt de beveiliging mee te laten evolueren. Beveiliging is een dynamisch iets. Zo gaat bijvoorbeeld huishoudelijke apparatuur meestal langer mee dan vijf jaar en zal dan nog steeds over voldoende beveiliging moeten beschikken.’

Onhoudbaar

Northwave-ceo Steven Dondorp vindt dat een fatalistisch gedachtegoed voor de internet of things niet ondenkbaar is. ‘We hebben nu al moeite in de huidige maatschappij met het onderwerp cybercrime en cybersecurity. Die is nog hoofdzakelijk gebaseerd op actoren, menselijke initiatieven die middels tools, malware en internet securitybreaches veroorzaken. Hierin lopen we op dit moment zelfs meer achter de feiten aan dan voorop. Wanneer het internet of things als factor daarbij komt, betekent dit zo’n enorm krachtenveld dat dit binnen onze huidige begripsvorming en mogelijkheden niet houdbaar zal zijn.’

Wanneer de zelfstandig razendsnelle ontwikkeling van het internet of things eenmaal rolt, zullen cyberaanvallen volgens Dondorp direct een tastbaar fysiek karakter krijgen. ‘Ze zullen zich niet meer virtueel of in contextuele en risicomanagementscenario alleen afspelen. Met internet verbonden applicaties en apparaten zullen zelfstandig ons huidige leven gaan beïnvloeden op onze privacy. Bijvoorbeeld mijn eigen koelkast bespioneert me of genetische manipulatie is geen eigen keuze meer als robotarmen de ijzeren verpleegsters worden. Daarnaast komen motieven voor cybercriminologie in een heel ander daglicht te staan. Die zijn nu nog gericht vanuit menselijke motieven. Hoe vanzelfsprekend is dat straks nog?’

In isolement leven

Is dit een reden om dan maar niets te doen? Dondorp: ‘Nooit, naar mijn idee. In eerste instantie is de mens zelf vindingrijk om binnen veranderende omstandigheden opnieuw evenwichten te vinden. Waar het internet of things altijd moeite mee zal blijven houden zijn de factoren ‘betekenis’ en ‘nut’. Het waarde toekennen aan zaken is dikwijls niet rationeel, maar houdt op dit moment zelfs onze hele economie soms bijeen. Het verkiezen om ‘gelukkig’ in isolement te leven is bijvoorbeeld niet mogelijk voor een computer, die stroom en interactie nodig heeft om zaken te controleren.’

Dondorp meent dat binnen bijvoorbeeld capibility maturity-modellen het internet of things factor als serieus moeten worden opgenomen. ‘Ook sensoren krijgen een cruciale securityrol bij het internet of things. Die kunnen een dubbelrol vervullen. Zowel functioneel als ook vanuit securityoogpunt. Deze verzamelen zonder tussenkomst van mensen de toestand van je functie of data over de omgeving. Ze leggen deze vast of sturen ze door en reageren er zelfstandig op. Het op grote schaal gebruiken van sensorgegevens overstijgt alle begrippen van hedendaagse locale privacy wetgevingen en zal naties, terroristen en criminelen uitdagen op sensorterrein te kunnen controleren of partijen te weren. Dezelfde securityprincipes zullen dus blijven gelden: nieuwe grootheden en factoren identificeren en erkennen alvorens we hier wat mee kunnen doen. En laten we er niet om heen dralen. In de huidige, eenvoudige wereld hebben we daar helaas vaak nog een flink cyberincident voor nodig alvorens we dit erkennen. In de toekomstige wereld moeten we wellicht eerst met een cyborg oog in oog staan of een Matrix unplugging hebben gezien, alvorens we echt wat gaan doen.’

Ethische aspecten

Ictivity-adviseur René Voortwist merkt dat met de opkomst van de smartphone en tabletcomputer de discussie over privacy hoog is opgelaaid. ‘Onze gegevens komen terecht in databases bij grote bedrijven en het is nogal onduidelijk wat er allemaal met die gegevens gebeurt. We gaan een tijdperk tegemoet waarin die discussie nog veel belangrijker wordt. Het is dan ook hoog tijd dat we goed gaan nadenken over de ethische aspecten van internet.’

Het is al heel lang zo dat we, vaak ongemerkt, allerlei gegevens naar zoekmachines en softwareleveranciers sturen. Voortwist: ‘De opkomst van mobiele apparatuur heeft er echter voor gezorgd dat er nu veel meer verschillende soorten informatie in grote databases terecht komen. Niet alleen weet men nu wat onze interesses zijn door zoekresultaten op te slaan, ook is bekend waar we ons op ieder moment van de dag bevinden en vaak ook wat we daar doen. Zo langzamerhand kan men, door die gegevens slim te combineren, een profiel van ons samenstellen waarin patronen tevoorschijn komen die we zelf niet kennen.’

Nieuwe ontwikkelingen

Tot nu toe gebeurde dat volgens Voortwist op basis van apparatuur die we bij ons dragen: met name smartphones en zeker ook tablets. ‘Zo langzamerhand gaat dat veranderen. Kijk maar eens naar een aantal nieuwe ontwikkelingen zoals de Google-lens, cochleaire implantaten (elektronisch implantaat dat geluid omzet in elektrische pulsen naar de gehoorzenuw) en de Brain-Computer Interface (een rechtstreekse verbinding tussen de hersenen en de computer). Natuurlijk staan deze ontwikkelingen nog in hun kinderschoenen. Het is echter een kwestie van tijd tot dit soort producten volwassen en praktisch toepasbaar zijn.’

Als je een en een bij elkaar optelt, dan dient zich een tijd aan waarin de scheiding tussen de digitale en fysieke wereld verdwijnt. Voortwist: ‘We dragen mobiele apparatuur met internettoegang dan niet meer bij ons, maar in ons. We worden een fysiek onderdeel van een wereldwijd netwerk. Dat is nog eens het internet of things. En welke informatie van ons komt er dán in vreemde handen? En hebben we dan nog wel de mogelijkheid om hier invloed op uit te oefenen?’

Maatschappelijke gevolgen

Klinkt dit vergezocht? Volgens Voortwist niet ‘Als iemand een jaar geleden had geschreven dat we een pistool van internet zouden kunnen downloaden en opbouwen met behulp van 3D-printing, hoe hadden we daar dan op gereageerd? En toch is dat nu al realiteit. In de laboratoria werkt men aan technieken waar we ons nu nog geen voorstelling van kunnen maken. Die ontwikkelingen gaan alleen maar steeds sneller. Dat maakt het belangrijk om nu na te denken over de ethische vragen die aan dergelijke nieuwe technieken vast zitten. Want het is allang bekend dat je dat niet aan een wetenschapper moet overlaten. Die is bezig met nieuwe technieken en niet met de maatschappelijke gevolgen van wat hij ontwikkelt.’

Maar nieuwe technieken maken ook veel fantastische dingen mogelijk. Voortwist: ‘We kunnen bijvoorbeeld dove mensen weer laten horen en ongetwijfeld komt er een tijd waarin we ook de blinde medemens kunnen helpen. Tegelijkertijd leveren dezelfde nieuwe ontwikkelingen meer dan ooit een gevaar op voor onze privacy en is het nu de tijd om daar heel kritisch over na te denken.’

Veilige apparaten

Wi-Fi is volgens Gaby Kroet, regional salesmanager Benelux bij Aerohive, de meest voor de hand liggende techniek om het IoT mogelijk te maken. ‘Of het nu thuis is of in een bedrijfsomgeving, draadloze netwerkverbindingen zijn er vaak voor meerdere gebruikers, die allemaal inloggen met hetzelfde wachtwoord. Daarin zit wel een aandachtspunt, want je wilt geen wildgroei van apparaten die zijn ingelogd met dat wachtwoord. Immers, hoe meer apparaten, hoe kwetsbaarder het netwerk waar ze gebruik van maken. De vraag is echter niet hoe veilig het netwerk is, maar is hoe veilig de apparaten zijn die verbinding maken met het netwerk. De slimme apparaten moeten namelijk gemakkelijk te gebruiken en in te stellen zijn. Dat betekent dat ze ook minder veilig zijn.’

Eigenlijk maken deze slimme apparaten ons leven makkelijker, maar tegelijkertijd ook ingewikkelder. Kroet: ‘Het gevaar van hacken ligt op de loer. Om de beveiliging van IoT naar een hoger niveau te tillen, is een eenvoudig te beheren netwerk onmisbaar. Dit kan door centrale access points, die beheerd worden vanuit de cloud. Zo kunnen organisaties gebruiken maken van persoonlijke keys, waardoor verschillende gebruikers verschillende rechten krijgen toebedeeld. Als in de toekomst bijvoorbeeld de verlichting in een kantoor verbonden is met internet kunnen ‘gewone’ werknemers de mogelijkheid krijgen om de verlichting aan te passen in de vergaderruimte, maar krijgen zij dan geen controle over de verlichting in de gang. Hoe ziet ons leven er over tien jaar dan wel niet uit? IoT gaat zich alleen maar verder ontwikkelen en complexer worden. Het zoeken naar goede oplossingen qua netwerkbeveiliging wordt dan nog urgenter dan het nu al is.’

Things laten beveiligen

Lex Borger, principal consultant bijI-to-I, legt de veiligheid van het internet of things liever bij de ‘things’ zelf neer. ‘Zij zullen zichzelf moeten beveiligen. In de basis moeten de apparaten gehard zijn, dus niet open staan voor de typische, simpele aanvallen die continu worden uitgevoerd. Houd simpele apparaten simpel. Als het nodig is, versleutel alle communicatie van het apparaat en authenticeer de communicatiepartners. Heb geen (netwerk)poorten onnodig open staan, raak niet van slag als er wordt afgeweken van het protocol. Als het mogelijk is om de eigen firmware te vernieuwen of bij te werken, moeten de updates cryptografisch beschermd zijn en op authenticiteit worden gecontroleerd. En pleeg goed beheer op al die cryptografische sleutels en andere geheimen die opgeslagen moeten worden, zoals een WPA-wachtwoord voor Wi-Fi-toegang.’

Hier voldoet menig ‘thing’ volgens Borger niet aan. ‘Ontwikkelaars zullen schrikken van deze enorme waslijst. Het is echter noodzakelijk om je wel aan deze netwerkhygiëne te houden, om grote problemen te voorkomen.’

Encryptie

Ook Marc Jepkes, salesmanager bij Fortinet, vindt dat de beveiliging van het internet of things naar een hoger niveau moet worden getild. Deze security heeft echter betrekking op heel veel zaken. Hij noemt drie essentiële beveiligingstoepassingen waar organisaties aandacht voor moeten hebben. Om te beginnen moet security in embedded systems worden aangepakt. ‘Neem bijvoorbeeld een koelkast die bijhoudt wat er weg wordt genomen, wat er moet worden bijbesteld, of de eigenaar al een tijdje de deur niet heeft geopend. Deze koelkast maakt gebruik van een online systeem dat beveiliging vereist. Oftewel, de koelkast moet securitysoftware bevatten. Daarbij moet dan wel gebruikt worden gemaakt van encryptie.’

Alle data van de eigenaar van de koelkast wordt volgens Jepkes ergens opgeslagen, hoogstwaarschijnlijk in de cloud. ‘Denk aan private cloud-systemen maar ook aan private netwerken. Daarom is security van netwerkverbindingen net zo belangrijk.’ Darnaast roept Jepkes ook op om gebruik te maken van een breed network filtering-techniek bij persoonlijke eigendommen. Dit kunnen device firewalls, home firewalls, cloud firewalls, et centera zijn.

Vier leerlessen

Jan Van Haver, country manager bij G Data Benelux, heeft een vier leerlessen geformuleerd hoe we om moeten gaan met technologie, cloudstorage en beveiliging. Deze zijn kort samen te vatten tot weet waar de data zich bevinden, de mens is de zwakste schakel in de beveiliging van gegevens, veiligheid gaat voor gemakt en in de cloud heb je geen controle over je gegevens.

‘Smartphones synchroniseren automatisch gegevens naar de cloud’, verduidelijkt Van Haver zijn eerste leerles. Mensen weten dat niet en denken dat deze gegevens alleen op hun telefoon staan. In ondernemingen zie ik vaak een variant op deze misconceptie: er is geen overzicht van welke data waar precies staan. De plaats op de server is meestal wel bekend en mogelijk weet in elk geval de it-beheerder ook wel welke gegevens er zijn opgeslagen in de cloud. Maar hoeveel kopieën er van welke gegevens op de desktops, laptops, smartphones, tablets, en daarmee in de cloudservices van de werknemers staan, dat is over het algemeen een groot raadsel. Dus als er een smartphone gestolen wordt, is totaal onduidelijk welke gegevens, of de toegang ertoe, er potentieel op straat liggen.’

Phishing

Phishing wordt volgens Van Haver door de meesten vooral geassocieerd met financiële instellingen als banken en creditcardmaatschappijen en nauwelijks met inloggegevens voor onder andere clouddiensten, sociale netwerken en webshops. ‘Dat geldt ook voor werknemers in Nederland. Recent onderzoek van McAfee liet zien dat gemiddeld 80 procent van de werknemers zich door phishing in de val laat lokken. Zolang databases, accounts en services worden beveiligd met inloggegevens, zullen mensen uit onoplettendheid of door geraffineerde oplichting de inloggegevens prijsgeven aan derden.’

Voor verschillende clouddiensten is op dit moment al two factor-authenticatie beschikbaar. Daarmee is naast de vaste, altijd gelijkblijvende inloggegevens telkens een eenmalig wachtwoord nodig om in te loggen. Dit kan bijvoorbeeld per sms worden opgestuurd. Van Haver: ‘Maar ja, een extra authenticatiefactor maakt het inloggen wel iets ingewikkelder. En daar hebben de meeste mensen een afkeer tegen, ook wanneer zij aan het werk zijn. Dus inloggegevens worden bij voorkeur door de browser onthouden of zijn gemakkelijk, want dan gemakkelijk te onthouden. Helaas betekent snel en makkelijk inloggen ook meestal snel en makkelijk te kraken.’

Controle in cloud kwijt

Op het moment dat er gegevens in de cloud worden opgeslagen, dan is het lastig deze gewist te krijgen. Dit illustreert volgens Van Haver een veel groter vraagstuk. ‘In hoeverre ben en blijf jij de eigenaar en baas over de gegevens die je in de cloud opslaat? Hierover wordt vaak in vrij wazige termen gesproken in de zeer lange en compleet onleesbare gebruikersvoorwaarden waarmee je als gebruiker akkoord bent gegaan. In diezelfde voorwaarden wordt, als het goed is, ook duidelijk gemaakt welk recht van toepassing is op de cloudprovider en daarmee op jouw gegevens.’

Veelal is dat het Amerikaanse recht, waar de USA Patriot Act toe behoort. Deze verplicht Amerikaanse partijen volledige medewerking te verlenen wanneer die gevraagd wordt bij een onderzoek. Van Haver: ‘Dat betekent dat jouw in de cloud opgeslagen gegevens op ieder gewenst moment door de Amerikaanse overheid kunnen worden opgevraagd en ingezien. Er zijn veel onbevestigde geruchten over ingebouwde achterdeuren in clouds die automatisch toegang verschaffen voor de Amerikaanse autoriteiten. Deze achterdeuren kunnen natuurlijk ook door criminelen worden ontdekt en misbruikt. Het is daarom bijna onmogelijk om voor 100 procent de controle over je gegevens te houden als deze in een cloud staan.’

Intrusion detection

Het netwerkverkeer van IoT-apparaten is volgens Rik Opdam, Lead Consultant BI en big data bij ilionx Information Management is vrij eenduidig. ‘Anomaly-based intrusion detection-systemen monitoren afwijkingen op dit eenduidige verkeer. Dit principe wordt al jaren toegepast in Scada-omgevingen, ook in combinatie met encryptie of tunneling op netwerkniveau.’

‘Voor IoT is dit ook toepasbaar, al zouden fabrikanten hier bij het ontwerp al rekening mee moeten houden’, vervolgt Opdam. ‘Apparaten moeten makkelijk gepatched kunnen worden en moeten fabrikanten een langere periode ondersteuning bieden dan nu vaak het geval is. Op centraal niveau moeten IoT-toepassingen voldoen aan de hoogste veiligheidseisen, omdat de gebruiker hier niet of nauwelijks invloed op kan uitoefenen en zich vaak niet bewust is van de risico’s.’

Grote valkuil

Met de komst van IoT is volgens Matthijs van der Vaart, testconsultant bij Bartosz, een nieuwe digitale revolutie aangebroken met vele mogelijkheden. ‘Maar deze mogelijkheden hebben ook een keerzijde. Een grote valkuil is namelijk de kwetsbaarheid en beveiliging van systemen. Doordat steeds meer diensten via het internet aangeboden worden en er inherent dus ook steeds meer gegevens worden verzameld over het gebruik en de gebruiker zelf, neemt de kans toe dat belangrijke (persoonlijke) informatie elders wordt opgeslagen. Deze bron aan informatie die ontstaat, is niet alleen waardevol voor bedrijven, maar ook voor criminelen.’

Doordat gegevens vaak centraal opgeslagen worden kan informatie accuraat en tijdig beschikbaar zijn, waardoor het eenvoudiger wordt om goede systemen te ontwikkelen, data te verzamelen en goede rapportages te maken, maar ook om systemen te beveiligen en datalekken te voorkomen. Van der Vaart: ‘Uiteraard wordt hiermee niet gegarandeerd dat het systeem ook daadwerkelijk beveiligd is tegen hackers. Het is van belang dat it-professionals in welke rol dan ook enige kennis hebben van beveiliging of in ieder geval in staat zijn om zich in te beelden hoe een hacker denkt. Bij het ontwerpen en specificeren dient er onder andere al nagedacht te worden over hoe de data wordt versleuteld en of er gebruik wordt gemaakt van beveiligingscertificaten. Maar ook over hoe gebruikers zich kunnen authenticeren. Het is sterk aan te raden om securityspecialisten in te zetten voor het testen van de diensten. Zij kunnen op basis van specificaties en bekende lekken hun testen uitvoeren.’

Standaardconfiguratie

Bij IoT-projecten zullen volgens Etiënne van der Woude, regional sales manager bij WatchGuard, vaak public cloud-diensten worden ingeschakeld, zoals Amazon en Windows Azure. ‘In de praktijk blijkt dat de virtual machines die op deze public cloud-diensten worden afgenomen, allesbehalve veilig zijn. Dit heeft alles te maken met de standaardconfiguratie zoals de public cloud-leverancier deze heeft ingesteld.’

We doen er daarom volgens Van der Woude goed aan om bij IoT-projecten strenge eisen te stellen aan de security-instellingen van dit soort virtuele machines. ‘De vraag die we hierbij moeten stellen, is of dat een rol is voor individuele bedrijven, overheden of brancheorganisaties. Deze discussie moeten we snel voeren, voordat het te laat is.’

Goed uitgedacht plan

Tonny Roelofs, country manager bij Trend Micro, nuanceert de gevaren van IoT enigszins en meent dat de risico’s op dit moment nog redelijk klein zijn. ‘Daarentegen groeit het aantal slimme met internet verbonden apparaten snel. Het is belangrijk dat een weloverwogen en goed uitgedacht plan wordt gemaakt als het gaat om deze nieuwe apparaten in een organisatie. Wees daarbij nu al bijzonder kritisch op de zaken die wellicht in de nieuwe wetgeving over databescherming komt te staan. Dan is het nog zaak te gaan zitten met alle facilitaire teams om te bespreken dat alle nieuwe en ook huidige apparaten moeten voldoen aan de opgestelde eisen.’

Dat kost volgens Roelofs tijd, ‘en dat terwijl elke cio een enorme lijst van to do’s heeft. Dit is er echter wel een om op de prioriteitenlijst te zetten. Als je nu geen actie onderneemt, zul je je binnenkort waarschijnlijk zelf ineens realiseren dat de effectiviteit van jouw organisatie grotendeels wordt bepaald door bedrijfskritische, maar helaas vaak ongeteste consumentengadgets. Deze dan pas verwijderen en vervangen kost veel te veel capaciteit, geld en ergernis.’

Afbreuk aan reputatie

SQS-ceo Wilbert van den Bliek meent dat de beveiliging van het internet of things misschien wel de grootste uitdaging wordt voor organisaties. ‘De voortgaande ver-internetting van bedrijven, services en werkplekken vergemakkelijkt het leven van gebruikers, maar plaatst beveiligers voor enorme uitdagingen. Kijk naar de big data-trend. Gevoelige informatie wordt in snel tempo de wereld rond gepompt en we hoeven het nieuws maar te volgen en de missers stapelen zich op. Ook banken en andere financiële instellingen lopen risico’s. Recentelijk gingen grote banken voor enorme bedragen het schip in. Uit hun testsystemen werden belangrijke gegevens gestolen en iedere keer moesten ze diep door het stof om excuses te maken, wat natuurlijk enorm afbreuk doet aan reputaties. De schade bedroeg vaak miljarden euro’s.’

Dergelijke instellingen moeten volgens Van den Blijk worden geholpen bij de beveiliging. ‘Een oplossing zou kunnen zijn om niet langer productiedata te gebruiken voor tests, maar synthetische data. Daarbij worden de benodigde gegevens met een speciale tool gecreëerd zonder dat er vertrouwelijke informatie aan te pas komt. Deze aanpak en bijbehorende tools worden langzaam volwassen. De Europese Unie dringt er bij financiële instellingen ook op aan om te stoppen met offshoring van productiedata. Binnenkort komt er dan ook een nieuwe EU-richtlijn.

Secure Software Foundation

Juist in die bundeling van krachten ziet Van den Bliek kansen voor betere beveiliging. ‘Steeds meer bedrijfswaarde bevindt zich in software en de komende jaren neemt dit alleen maar toe. Daarom is het goed dat onlangs de Secure Software Foundation is opgericht die ontwikkelaars helpt om veiligere software te ontwikkelen en bestaande software-oplossingen te toetsen. Hoe meer er eenduidig wordt gewerkt, hoe meer kennis we gaan krijgen over beveiliging.’

Hackers zijn er volgens Van den Bliek op uit om software te laten crashen. ‘Op die manier krijgen ze informatie om te kunnen inbreken in systemen. Door volgens de standaard van de foundation te werken, geef je ze gewoon minder kans of kun je bij een digitale aanval bepaalde delen van je systeem met gevoelige informatie beter beschermen. Ook hier schiet de overheid te hulp. Zowel in de Digitale Agenda als de Nationale Cyber Security Strategie van de overheid is de ontwikkeling van veilige software ter bestrijding van cybercriminaliteit één van de belangrijkste onderwerpen. De nieuwe standaard is bedoeld als leidraad voor de hele softwareketen, waaronder opdrachtgevers.’

Test-/productiedata

Het is volgens Van den Bliek dan ook nu belangrijk om snel door te pakken. ‘Dienstverleners zijn nauw betrokken bij de ontwikkeling van de standaard. Het is aan hen om te zorgen dat onze consultants goed zijn opgeleid en hun vak bijhouden. 100 procent veiligheid is onmogelijk, maar we moet in de hele softwareketen blijven strijden voor het hoogst mogelijke percentage. Dus veilige software is meer en meer noodzakelijk, maar als we niets doen aan het gebruik van de test-/productiedata dan heeft zelfs de best beveiligde software geen zin. Je moet ook zeker beide doen. Pas dan heb je de beveiliging van het internet of things helemaal onder controle.’

Erik van Remmelzwaal, algemeen directeur van DearBytes, wil de beveiliging naar een hoger plan tillen door de makers van de ‘things’ zich te laten realiseren dat hun apparatuur ook echt te beveiligen is en dat in het ontwerp al met die beveiliging rekening is gehouden. ‘Dat het doet waarvoor het bedoeld is en dat je daar via industriestandaarden op kunt monitoren. De volgende stap is dat de eigenaren van die apparatuur deze moeten bezien als onderdeel van het grote geheel: het netwerk. Concentreren op de beveiliging van alleen IoT is onzinnig: er moet één totaaloplossing worden getroffen van beveiliging van het geheel aan apparaten, het netwerk en datacenter. Vervolgens zal voortdurend moeten worden gemonitord wat er allemaal op het netwerk is aangesloten en of dat veilig is. Dat vergt risk management: identificeren, toetsen van de veiligheid, bepalen welke bescherming nodig is en nagaan of die bescherming voldoet. Monitoring dus.’

Ook René Pieete, senior se-manager Noord & Oost Europa bij McAfee, vindt dat de beveiliging van het internet of things een grote uitdaging is. ‘Naarmate al die miljarden apparaten het internet of things vormen, en steeds meer deel gaan uitmaken van ons persoonlijke leven en zakendoen, ontstaan helaas ook nieuwe kansen voor cybercriminelen.’

In de toekomst zorgt volgens Pieete de cloud ervoor dat de verlichting en verwarming in ons huis en kantoor werkt. ‘Dat soort essentiële voorzieningen mag natuurlijk niet in gevaar komen. Daarom is het essentieel dat de benodigde beveiligingsfuncties al standaard in die devices zijn geïntegreerd. Dus niet, zoals nu vaak het geval is, als add-on die achteraf wordt toegevoegd. Fabrikanten en ontwikkelaars moeten daarom bij het ontwerp van IoT-apparaten al rekening houden met de beveiligingsaspecten.’

Volgen en monitoren

Volgens Jan-Paul Boos, senoir vice president EMEA bij Kewill, wordt het internet of things al gebruikt binnen de supply chain, maar zijn er nog volop meer mogelijkheden. ‘Het belangrijkste en meest waarschijnlijke voordeel van is de beveiliging van die supply chain. De beveiliging kan veel eenvoudiger worden beheerd met behulp van software die de containers of pakketten kan volgen en monitoren. Wanneer er een container of pakket wordt weggehaald, dan worden de autoriteiten ingeschakeld. FreightWatch heeft onderzoek gedaan naar diefstal van ladingen. Hieruit bleek dat er in 2012 een toename was van 24 procent in het aantal diefstallen ten opzichte van het jaar daarvoor. Dit is dus een enorm probleem voor de wereldwijde supply chain. Diefstal kost vervoerders ieder jaar miljarden euro’s, als we de vertragingen bij voorraadberekeningen en de kosten van de gestolen goederen bij elkaar optellen.’

Een ander groot potentieel voordeel van IoT is volgens Boos het volledig monitoren van wat er met goederen gebeurt tijdens transport of opslag. ‘Vervoerders kunnen hiermee eenvoudiger aangeven dat bepaalde goederen constant zijn bewaard onder de juiste omstandigheden en correct zijn vervoerd. Hierdoor kunnen ze miljarden euro’s besparen op bijvoorbeeld beschadigde goederen. Ook kunnen derde partijen aangeven dat ze zich aan bepaalde procedures hebben gehouden. Dit is met name belangrijk wanneer er met verschillende leveranciers wordt gewerkt. Veel bedrijven die software voor de supply chain ontwikkelen zijn al vooruit aan het plannen om in te spelen op IoT. Er worden diverse platforms beschikbaar gemaakt voor de cloud om de samenvoeging van supply chain-data mogelijk te maken.’