Bedrijfsprocessen draaien tegenwoordig op connectiviteit. Het gebruik van smartphones, laptops en internet of things-apparaten groeit constant. Gartner voorspelt dat verbonden apparaten tegen 2021 het aantal van 25 miljard zullen bereiken. Dit levert veel data op, wat steeds meer vraagt van zakelijke it-infrastructuren en -netwerken.
Tel daarbij op dat een medewerker zonder tussenkomst van de it-afdeling ‘as-a-service’-software kan installeren en er nieuwe ontwikkelingen in verwerkingsmogelijkheden voor mobiele apparaten ontstaan. Dan is duidelijk dat bedrijven voor een geheel nieuwe uitdaging staan: hoe krijg je controle over deze onbeheerde apparaten en hoe beveilig je tegelijkertijd het bedrijfsnetwerk en -data?
Veel kleine en middelgrote bedrijven (mkb’s) proberen deze uitdagingen aan te gaan door hulp te zoeken bij managed service providers (msp’s). Maar de huidige msp’s moeten zich ook aanpassen aan deze veranderende trends, zowel binnen hun eigen organisatie als in de it-infrastructuur die ze beheren. Zij moeten voortdurend evalueren hoe ze IoT het best integreren in de oplossingen die ze leveren, en hoe ze deze veranderende omgeving proactief beheren en de beveiligingsuitdagingen die hierbij komen kijken, aanpakken.
Securitydreigingen
IoT zet het continu veranderende cybersecuritylandschap op scherp, wat voor bedrijven grote kosten met zich meebrengt. De afgelopen tijd zijn er veel verhalen in het nieuws geweest over kleine bedrijven, lokale overheden en zelfs grote organisaties die het slachtoffer zijn geworden van ransomwareaanvallen. Recente cijfers van Datto laten zien dat in 2018 Europese mkb’s gemiddeld 2.293 euro per incident betaalden aan ransomwarehackers, terwijl de kosten van downtime in verband met een ransomwareaanval gemiddeld uitkwamen op 29.294 euro. Met nieuwe ransomwareaanvallen neemt ook de aangerichte schade toe, ofwel door losgeld, ofwel door downtime. Ransomware infiltreert vaak in de security van een bedrijf door werknemers te ‘in te zetten’: gebruikers worden dan misleid om toestemming te geven bepaalde software te laten draaien of door hen te overtuigen acties te ondernemen, die beveiligingsmaatregelen omzeilen.
Omdat ransomware niet zomaar zal verdwijnen, moeten msp’s voorbereid zijn op deze uitdagingen en de kwetsbaarheden die IoT-apparaten met zich meebrengen. Een eerste stap is om de drie grootste bedreigingen van IoT-apparaten te herkennen.
- IoT-apparaten zijn in veel gevallen onbeveiligd vanwege de oudere besturingssystemen waarop ze draaien of omdat ze niet standaard voldoen aan securitynormen. Due diligence is nodig om ervoor te zorgen dat elk geïnstalleerd apparaat beveiligd is tegen ransomware, malware en andere securitykwetsbaarheden.
- Vanuit een securityperspectief zien bedrijven en hun klanten IoT-apparaten vaak over het hoofd. Omdat deze apparaten toegang tot een netwerk bieden, moeten ze veilig worden beheerd en gemonitord, op dezelfde manier als een desktop of laptop.
- IoT- en mobiele apparaten hebben toegang tot netwerken en slaan informatie vaak lokaal op. Hoewel deze eigenschappen handig en efficiënt zijn, leveren ze ook beveiligingsrisico’s op. Aanvallers krijgen namelijk toegang tot zakelijke netwerken via minder beveiligde IoT-apparaten. In zo’n situatie is lokaal opgeslagen informatie ook niet meer veilig en bestaat de kans dat documenten vanuit het bedrijfsnetwerk fysiek zijn te verplaatsen.
Het vergt kortom voorbereiding en zorgvuldigheid om te zorgen dat producten veilig zijn. Msp’s moeten onderstaande drie acties overwegen als ze IoT-apparaten willen opnemen in hun productaanbod.
- Ontwikkel een beleid
Een beleid ontwikkelen voor bring your own device (byod)-, IoT- en mobiele apparaten is niet alleen verstandig, het zorgt er ook voor dat klanten op één lijn zitten met de msp voor wat betreft verwachtingen en aanbevelingen. Welke apparaten mogen gebruikt worden? Welke softwareprogramma’s zijn toegestaan? Welke data mag worden opgeslagen, en waar? Een goed beleid informeert mkb’ers en beschermt tegen aansprakelijkheid van zowel msp’s als hun klanten.
- Securitydreigingen veranderen constant
Het is niet voldoende om een netwerk te beveiligen en daarna niets meer te doen. Beveiliging vereist consistente evaluaties, handhaving van het beleid, updates en training.
- Back-up en business continuity zijn van cruciaal belang
Geen enkel beveiligingsplan is waterdicht, dus het hebben van een business continuity- en disaster recovery-plan is een essentieel onderdeel voor elke msp en elk mkb-bedrijf. Het simpelweg kopiëren van je data als back-up is niet langer voldoende. Er moet een uitgebreid continuïteitsplan zijn dat meer omvat dan data-redundatie. Wat is je recovery point objective, oftewel: hoeveel dataverlies is acceptabel? En wat is je recovery time objective, oftewel: wat is de maximale downtime die je je kunt veroorloven? Stel deze vragen vóórdat een incident plaatsvindt, en stel een beleid vast om te zorgen dat aan de verwachtingen in een mum van tijd is te voldoen.
Kansen en uitdagingen
Uiteindelijk zal IoT steeds meer impact hebben op msp’s en mkb’s, wat zowel kansen biedt als nieuwe uitdagingen creëert. Msp’s doen er goed aan om zich voor te bereiden op deze veranderingen. Maar ze moeten ook klaarstaan om de kansen te benutten, die deze opkomende technologie biedt. Partijen die erin slagen IoT-apparaten effectief te beheren en te beveiligen, zijn klaar om te profiteren van hun nieuwe business en tegelijkertijd in staat mkb-klanten te helpen om te groeien en efficiënter te werken.
