Smartwatches met een netwerk- en communicatiefunctie zijn gevoelig voor cyberaanvallen. Zo bevatten alle smartwatches kwetsbaarheden door onvoldoende authenticatie, een gebrek aan encryptie en privacyproblemen. Dit blijkt uit onderzoek van HP Fortify, de security divisie van HP. HP is van mening dat organisaties en gebruikers van smartwatches diverse veiligheidsmaatregelen moeten nemen. Deze zijn al helemaal van belang wanneer het horloge is aangesloten op het bedrijfsnetwerk.
HP onderzocht of smartwatches gevoelige data opslaan en deze voldoende wordt beveiligd. Hier zijn echter diverse beveiligingsproblemen ontdekt, met name door onvoldoende authenticatie, een gebrek aan encryptie en privacyproblemen. Op gebied van authenticatie beschikte geen enkele smartwatch over een ‘two-factor’ authenticatie. Daarnaast wordt de toegang lang niet altijd geblokkeerd na drie tot vijf verkeerde pogingen. Dit maakt 30 procent kwetsbaar voor het zogenaamde account harvesting. Daarnaast ontdekte HP dat er vaak een gebrek aan transport encryptie (tls) is. Deze vorm van encryptie is belangrijk vanwege de persoonlijke informatie die wordt geplaatst op meerdere locaties in de cloud.
Maatregelen
Ondanks dat de smartwatch als wearable voornamelijk een persoonlijk eigendom is, is de kans groot dat deze wordt aangesloten op het bedrijfsnetwerk. Volgens HP moeten bedrijven daarom zelf beveiligingsmaatregelen treffen, aangezien de huidige generatie smartwatches kwetsbaar is voor cyberaanvallen en de fabrikanten nog werken aan nieuwe maatregelen. HP adviseert organisaties om tls toe passen en zelf applicaties te bouwen. Ook de gebruiker van de wearable moet de verantwoordelijkheid nemen om beveiligingsmaatregelen te treffen. Dit door het apparaat te beveiligen met een sterk wachtwoord en two-factor authenticatie toe te passen. Daarnaast moet de gebruiker geen verzoeken van onbekende apparaten en/of applicaties toestaan.
Beveiligingsbeleid
Paul van der Wilk schreef onlangs in zijn opiniebijdrage ‘Naar kantoor? Bring Your Own Apple Watch!’ dat er door de Apple Watch nieuwe knelpunten in het bring your own device (byod) of internet of things (IoT) beleid ontstaan. Mogen wearables, zoals smart watches, bijvoorbeeld verbinden met het bedrijfsnetwerk? Zo nee, dan leidt dit waarschijnlijk tot onvrede van de werknemers. Zo ja, dan moet waarschijnlijk het beleid worden aangepast. Volgens Van der Wilk moeten cio’s ‘vakkundig jongleren’ met tegengestelde belangen, om tot een verlicht byod-beleid te komen dat het meest geschikt is voor de bedrijfsbehoeften.
