The internet of things (IoT) is in wezen niet nieuw. Er bestaat al minstens tien jaar een ‘internet der dingen’. Webcams, printers en andere machines zijn al geruime tijd via het ip-protocol verbonden en met elkaar aan het communiceren. IoT brengt echter ook nieuwe risicovolle aspecten met zich mee, die gevolgen hebben voor de ict-beveiliging.
Vroeger was het IoT hoofdzakelijk het domein van ict-professionals. Er was altijd iemand die apparaten bewust met elkaar verbond en verantwoordelijkheid droeg voor het beheer daarvan. De ingrijpende ‘consumentisering’ van het IoT heeft hier verandering in gebracht en veroorzaakt meer dan eens een puinhoop bij bedrijven.
Doelwitten nemen toe
Het IoT was tien jaar gelegen vanuit beveiligingsopzicht al een enorme puinhoop. Internetwormen verspreidden razendsnel terwijl servers zonder de tussenkomst van gebruikers of beheerders met elkaar aan het communiceren waren. We hebben sindsdien gelukkig fundamentele beveiligingsfuncties in onze ict-architecturen ingebouwd. Er is daarom maar weinig sprake geweest van grootschalige geautomatiseerde bedreigingen die in de buurt komen van de virusepidemieën die we uit het begin van dit millennium kennen.
Helaas is het uiterst eenvoudig om gerichte aanvallen uit te voeren. De meesten van ons vormen vooralsnog geen doelwit. Toch zijn er scenario’s die gerichte aanvallen aantrekkelijk maken voor cybercriminelen. Laten we wel wezen: je zult niet ver komen door de controle van iemands koelkast over te nemen. Je zou die natuurlijk kunnen gebruiken als spambot, maar het is een stuk gemakkelijker om een spambot-netwerk aan te schaffen. Die zijn verkrijgbaar tegen een bespottelijk lage prijs. Er zijn dus weinig financiële voordelen verbonden aan het aanvallen van koelkasten.
De smart car
Wat auto’s betreft ziet het plaatje er heel anders uit. In 2015 vinden de eerste veldexperimenten met smart cars zonder bestuurder plaats. Dit maakt auto’s tot een veel aantrekkelijker doelwit voor chanteurs. Autofabrikanten verscherpen momenteel hun focus op het waarborgen van een veilige omgeving. Ze kunnen namelijk enorme financiële schade ondervinden als ze de eerste fabrikant zijn bij wie ernstige beveiligingslekken worden ontdekt. Als cybercriminelen hun zwakke plek weten te vinden, brengt dit fabrikanten in een uiterst benarde positie.
Het probleem is dat er op dit gebied twee sterk verschillende industriële paradigma’s bij elkaar komen. Autofabrikanten doen er meestal vijf tot tien jaar over om een nieuwe auto te ontwikkelen. Ze besteden de helft van hun budget aan het controleren van de kwaliteit en werking van hun voertuigen en om ervoor te zorgen dat hun auto’s niet exploderen. Het technologische paradigma ziet er heel anders uit. Weinig mensen zullen gecharmeerd zijn van het idee dat smartphone-ontwikkelaars het besturingssysteem van hun auto voor hun rekening nemen. Zeker niet als hun smartphone na een jaar tijd zichzelf drie tot vier keer per dag ongevraagd begint te herstarten.
Internet van ‘Vreemde Objecten’
Er wordt momenteel veel gediscussieerd over het migreren van de ict-infrastructuur naar de cloud, en het is goed denkbaar dat er uiteindelijk nog maar weinig componenten hiervan op locatie overblijven. Er zal op bedrijfslocaties echter sprake zijn van andere apparaten die via het internet communiceren, zoals smartphones, printers, gloeilampen en natuurlijk de slimme koelkast.
De infrastructuur die de ict-afdeling met hangen en wurgen heeft beveiligd, wordt hierdoor ironisch genoeg ondergebracht in een omgeving die door een externe partij wordt beheerd, terwijl er op de bedrijfslocatie steeds meer apparaten bijkomen die geen bedrijfseigendom zijn of niet door de organisatie worden beheerd. Bedrijven lopen daarmee een reële kans om de controle over deze apparaten volledig te verliezen, zodat ze met een Internet van Vreemde Objecten komen te zitten. Ze zijn daarbij wel verantwoordelijk voor de infrastructuur, maar zijn niet in het bezit van de basisonderdelen daarvan.
Bedrijven zullen een groeiend aantal ip-adressen binnen hun infrastructuur moeten beheren, ondanks het feit dat ze aanzienlijk minder infrastructuurcomponenten in bezit hebben. De beveiligingslaag en -tools zullen van apparaten naar het netwerk worden overgedragen. De ict-afdeling krijgt de taak om een veilige infrastructuur op te zetten, maar voert geen beheer over de apparaten of communicatie daartussen.
Beheer met een ‘zero trust’-netwerk
De belangrijkste conclusie is dat de beveiliging een puinhoop is, die we moeten benaderen als een project, een proces en onderdeel van andere processen. Het idee om een onderscheid te maken tussen deze drie typen uitdagingen, is alongeveer veertig jaar oud (R. Ackhoff). Het boek Tools for Thinking van Michael Pidd biedt in dit kader belangrijk advies: ‘Een van de grootste fouten die je kunt maken wanneer je met een puinhoop wordt geconfronteerd, is om een stukje van die puinhoop af te snijden, het als een probleem te behandelen en het op te lossen alsof het om een puzzel gaat – daarmee voorbijgaand aan de samenhang met de andere aspecten van de puinhoop.’
Een ‘zero trust’-netwerk houdt hier rekening mee en benadert het vraagstuk van de beveiliging door naar het grote geheel te kijken. Alle aspecten van de netwerkinfrastructuur ontwikkelen zich met een tempo dat een traditionele beveiligingsaanpak onmogelijk kan bijbenen. Je aanvalsoppervlak verandert met de dag, en daarmee de blootstelling aan alle mogelijke bedreigingen. En die ontwikkelen zich ook in razendsnel tempo.
In een zero trust-netwerk geniet geen van de betrokken personen of componenten het volledige vertrouwen. Dit wordt mogelijk gemaakt door segmentatie en inperking. Er kunnen diverse soorten firewalls worden ingezet om bedreigingen te detecteren en de gevolgen ervan tot een minimum te beperken. De firewalls van de toekomst zullen een sterk gevarieerd karakter hebben en nodig zijn om alle bewegingen van data, applicaties en gebruikers te volgen. Firewalls zullen zich daarom ontwikkelen tot virtuele, mobiele of cloud-gebaseerde oplossingen. Er zullen altijd firewalls blijven om gebruikers, hun gegevens en iedereen met wie ze communiceren te bewaken en te beschermen.
De beveiliging is geen puzzel of een probleem dat moet worden opgelost; het is een puinhoop. En puinhopen kun je alleen maar beheren en langzaam maar zeker terugdringen. Zonder een zero trust-omgeving ontbreekt het bedrijven aan een veilige basis.
Prachtig geschreven stukje waar de commerciele venijn hem in het laatste stukje zit. Fear Sales!. Helder.
Wat ik jammer genoeg in je verhaaltje mis is het gegeven dat je de boel wel en nog steeds moet opdelen in twee delen. Wat mij betreft dan wel te verstaan.
Zakelijk
Wanneer mensen zakelijk gebruik gaan maken van IoT achtige formules dan is dat heel handig en niet zo heel moeilijk. Laat mensen vooral draadloos communiceren met de afdelingsprinter e.d. via een eigen ‘node’ Door deze beperking blijven problemen geconcentreerd tot alleen de afdeling, scheel een hoop gedoe en gezeik.
Wil iemand van de andere kant van de wereld babbelen met die printer? Onzin. Er is een email en een collega en het probleem is ook opgelost. Overigens, na menig white paper te hebben geschreven over de ‘Paperless Office’ vraag ik me werkelijk af, wie is er nog zo idioot om een printer op de afdeling te hebben? Soit.
Prive
Prive heb ik ook een draadloze printer. Ik heb daar over nagedacht. Cartridges kunnen nog een paar maal worden nagevuld, scheelt mij erg veel geld, en de printer staat heerlijk uit het zicht. Alleen degenen die toegang hebben tot mijn netwerkje, zouden iets kunnen uithalen maar dat is dan zeer beperkt en al helemaal niet interessant.
Zoals zo vaak….
Zoals zo vaak valt of staat minstens de helft van de problemen door de eigenwijsheid, luiheid, laksheid, onziinigheid van de mens zelf. Je kunt de mooiste firewalls aanschaffen, als die niet juist word geconfigureerd of wanneer gebruikers onachtzaam met zaken om gaan, blijf je gaten houden.
Met of zonder zero trust.
Zero trust.. Inderdaad vertrouw ik geen Sales directors die over firewalls babbelen. Consumentisering van ict ondersteunen is eerst een eis naar de ict afdeling, maar wordt in dit kader ineens de veroorzaker van puinhopen genoemd. Na het lezen van dit stukje denk dat ik weet waar we de echte veroorzaker moeten zoeken 😉