‘Een-dollar-apparaten verzwakken dure netwerken’

Het adequaat beveiligen van internet-of-things (iot)-apparaten in bedrijfsnetwerken is voor veel it-afdelingen geen sinecure. Nu nog betreft het zo'n acht miljard devices maar volgens Palo Alto Networks is dat aantal in 2027 geëxplodeerd tot 41 miljard wereldwijd. Daar zitten de gekste dingen tussen, uiteenlopend van teddyberen tot vuilnisbakken en gloeilampen. 'Dat soort een-dollar-apparaten vormt een risico voor dure bedrijfsnetwerken', constateert Sergej Epp, chief security officer Central Europe van de ict-beveiligingsaanbieder. Zijn advies: microsegmentatie.

In opdracht van Palo Alto Networks voerde Vanson Bourne een onderzoek naar de beveiliging van iot-apparaten onder 1350 zakelijke it-besluitvormers uit in veertien landen in Azië, het Midden-Oosten, Noord-Amerika en Europa, waaronder Nederland. Daarbij gaat het om iot-gerei dat werknemers al dan niet met instemming van hun werkgever hebben aangesloten op het bedrijfsnetwerk. Het onderzoek strekte zich niet uit tot industriële iot. 

Uit het onderzoek komt naar voren dat er het afgelopen jaar een forse toename is geweest in het aantal iot-apparaten dat verbinding maakt met een zakelijk netwerk (89 procent). En dat aantal zal de komende jaren explosief toenemen, is de verwachting. Dat de meeste aangesloten apparatuur uit de zorg komt (44 procent) klinkt logisch, maar daarna volgen keukenapparaten (43 procent, denk aan koffiemachines, warmwaterketels), sport- en gezondheidstools (38 procent, bijvoorbeeld fitnesstoestellen, stappentellers, weegschalen), verbonden spelconsoles en gamesets (35 procent) en bureauspeelgoed (34 procent, onder meer teddyberen en robots). Connected cars (27 procent) zijn ook populair.

Variatie en volume

De combinatie variatie en volume verhogen het beveiligingsrisico van dit soort apparaten zegt Sergej Epp, chief security officer (cso) Central Europe van de ict-beveiligingsaanbieder in een videogesprek. ‘Ik noem het slecht beveiligde een-dollar-devices die miljoenen kostende netwerken kwetsbaar kunnen maken. It-afdelingen zien dit risico wel maar vinden het lastig om de beveiliging ervan te tackelen. Bij iot zijn er geen softwarestacks die je eenvoudig kunt controleren. Je moet eigenlijk voortdurend patchen en firmware-updates uitvoeren. Het is niet voor niets dat spionagediensten en cybercriminelen graag gebruik maken van iot-devices om een netwerk binnen te dringen.’

Een verbod op het gebruik van iot-apparaten binnen een bedrijfsomgeving vindt Epp echter niet wenselijk. ‘In de financiële sector bestaat er wel enige regelgeving voor, maar een algeheel verbod werkt niet. Dat staat innovatie in de weg. Vergeet niet, er zijn ook genoeg nuttige toepassingen, naast de slimme teddybeer en vuilnisbak die aangeeft wanneer die moet worden geleegd. De markt voor iot staat nog in de kinderschoenen en wordt alleen nog maar groter en groter. Bedrijven kunnen met iot-toepassingen hun competitiekracht vergroten, is mijn verwachting.’

Microsegmentatie

In zijn ogen is microsegmentatie de enige uitweg om de beveiliging van iot-apparaten afdoende te regelen. ‘Dus geen plat netwerk maar deel in het in strak gecontroleerde beveiligingszones en breng, nadat je hebt geïnventariseerd hoeveel iot-devices op het netwerk zijn aangesloten, die devices onder in zo’n zone. De iot-apparaten zijn dan niet verbonden met andere subsecties van het netwerk waarop bedrijfskritische systemen draaien. Het beveiligingsdoel van netwerksegmentatie is om het aanvalsoppervlak te verkleinen.’  

De cso van Palo Alto Networks in Europa ziet in de sector wel beweging; er is en toenemend besef, ook onder managers, dat iot-beveiliging een andere aanpak behoeft. ‘Een concern als Siemens is bijvoorbeeld een industrie-alliantie gestart om meer aandacht te genereren voor dit onderwerp. Dat het een vast onderdeel wordt van ‘security by design’. Je kunt verder ook nadenken over zaken als iot-encryptie en iot-beveiliging als een standaardcomponent van een firewall-abonnement. Maar met name voor het mkb is het nog een ondergeschoven kindje.’