Het is tegenwoordig relatief eenvoudig om berichten te vinden over cybersecurity-kwetsbaarheden in iot iInternet of things)-apparaten, zoals bijvoorbeeld beveiligingscamera’s. Als u een krant open slaat – of op een ‘nieuws-app’ klikt – dan is er waarschijnlijk genoeg informatie te vinden over de beveiliging van iot-apparaten, variërend van software kwetsbaarheden tot en met privacy schendingen en alles wat er tussen ligt.
Beveiligingscamera’s zijn iot-apparaten en iot-apparaten zijn computers die gebruik maken van software, hetgeen hen kwetsbaar maakt. Zoals de beroemde cybersecurity evangelist Mikko Hyponnen in ‘De Wet van Hyponnen’ definieert: ‘If a device is smart, it’s vulnerable!’
Hypponen heeft gelijk. Iedere dag worden er nieuwe computerkwetsbaarheden (vulnerabilities) ontdekt in software, ongeacht de maker van deze software. In 2019, werden er volgens de Mitre Corporation meer dan twaalfduizend computerkwetsbaarheden wereldwijd publiekelijk gemaakt en officieel gerapporteerd als cve (common vulnerability and exposure) in de nvd (national vulnerability database).
Kwetsbaarheden zijn een gegeven en zijn simpelweg moeilijk te voorkomen, daar is helaas weinig aan te veranderen. Wat daadwerkelijk ertoe doet, is hoe een organisatie omgaat met deze kwetsbaarheden en deze kwetsbaarheden vervolgens oplost.
Bewustwording van cybersecurity kwetsbaarheden is essentieel voor de eigen it-infrastructuur, alsook voor de beveiliging van de business/iot-apparaten. Het is belangrijk om te begrijpen dat een ‘vulnerability’ niet hetzelfde is als een ‘backdoor’ en ook niet alleen bij iot-apparaten van ‘goedkope kwaliteit’ voorkomt, maar hierover later meer.
Deze blog heeft tot doel de publieke kennis over de cybersecurity van iot-apparaten in het algemeen en voor beveiligingscamera’s in het bijzonder, te vergroten. Daarnaast wordt ook toegelicht hoe verantwoordelijke producenten van iot-apparaten hun producten zo cybersecure mogelijk kunnen maken.
‘Security-by-design’
Beveiligingscamera’s zijn – net zoals alle andere iot-apparaten – kwetsbaar voor cyber-aanvallen. Echter, producenten van iot-apparaten kunnen de kans op kwetsbaarheden minimaliseren door, gedurende het productie proces, gebruik te maken van ‘security-by-design’.
Een implementatie van ‘security-by-design’ vereist vooral draagvlak van het management, maar ook een serieuze investering in mensen en middelen, hetgeen kan leiden tot een langer productieproces en hogere kosten per iot-apparaat. Het zijn vooral deze hogere kosten, die deze aanpak met zich meebrengt, waarom verschillende producenten afzien van ‘security-by-design’ (en denken goedkoper te zijn).
Conclusie en aanbevelingen
De cybersecurity van iot-apparaten is een serieuze aangelegenheid, welke aan het begin van het productieproces moet worden geadresseerd en vervolgens in alle fasen van productie moet worden toegepast. Dit heet ‘security-by-design’ en vereist volledige toewijding van het management, een toegewijd cybersecurity team en serieuze investeringen. Helaas hebben niet alle iot-producenten hun organisatie en productie dusdanig ingericht, met als gevolg de grote hoeveelheid negatieve publiciteit in de de media over de cybersecurity van iot-apparaten.
Gelukkig zijn er wel enkele iot-producenten die dit wel serieus nemen en er alles aan doen om de iot-apparaten zo ‘cybersecure’ mogelijk te maken. Deze cybersecurity is niet alleen afhankelijk van de iot-producenten, de gebruikers spelen hier ook een belangrijke rol. Vooral door zichzelf te informeren over iot-cybersecurity en kritische vragen te stellen aan zichzelf en aan de iot-producenten.
Vertrouw ik de producent van de beveiligingscamera, die slechts enkele euro’s kost? Heeft deze producent een cybersecurity-organisatie/team? Hoe behandelt deze producent kwetsbaarheden?
Dus……als u een volgende keer cybersecurity-nieuws leest, dan hoop ik dat u verder leest dan de krantenkoppen en u zich bewust bent dat er meer ‘onder de motorkap’ plaatsvindt bij bepaalde producenten van iot-apparaten.
Als u in de toekomst van plan bent om een beveiligingscamera of ander iot-apparaat aan te schaffen, dan raad ik u aan om de hierboven gestelde vragen te stellen aan de producent en vervolgens uw keuze te beargumenteren met feiten in plaats van met vooroordelen en/of alleen de krantenkoppen!