Slimme apparaten zijn overal: van onze broodrooster in de keuken en de auto in de garage tot onze telefoon en televisie op kantoor. Maar internet of things (iot) komt ook meer dan ooit voor op bedrijfscampussen, op pallets in de toeleveringsketen, in vrachtwagenparken en zelfs bij het controleren van de toegang tot gebouwen.
Slimme apparaten kunnen niet alleen gegevens verzenden en opvragen via de netwerken van een bedrijf maar iot-apparaten kunnen soms zelfs zenden zonder contact te maken met een netwerk in combinatie met hun eigen antennes. Aangezien de meeste apparaten toegang hebben tot gegevens vormen ze een beveiligingsrisico. Zeker omdat ze in sommige gevallen de controle over microfoons en camera’s hebben. Een iot-thermostaat bijvoorbeeld kan constante informatie nodig hebben over de buitentemperatuur en de temperatuur op verschillende punten in het gebouw. Met honderden updates van temperatuurgegevens op een bepaalde dag is het goed mogelijk om een kwetsbaar bestand in een van deze gegevens te verbergen.
Krappe budgetten
In het bedrijfsleven zijn ciso’s gebonden aan budgettaire beperkingen. Bovendien is er een wereldwijd tekort aan voldoende gekwalificeerd beveiligingspersoneel – met name beveiligingsanalisten – met ervaring op het gebied van de nieuwste iot-bedreigingen. Daarbij komt dat afdelingen buiten it en beveiliging (zoals onderhoud of facilitair) er niet op zitten te wachten om it/beveiliging op de hoogte te stellen of toestemming te krijgen om nieuwe iot-apparaten toe te voegen. Dit heeft ongeveer hetzelfde effect als wanneer werknemers beveiligingsprotocollen omzeilen – vaak via ongeteste cloud-omgevingen – om hun werk gedaan te krijgen. Dit maakt de zaken nog ingewikkelder voor ciso’s, die geen apparaten kunnen beschermen waar ze geen weet van hebben.
Menselijke beveiliging
Dit gezegd hebbende, zou een sterke beveiliging voor deze apparaten een einde kunnen maken aan deze beveiligings- en privacyproblemen. Deze beveiligingslaag moet niet alleen een gedegen authenticatie toepassen om ervoor te zorgen dat gegevens alleen naar gemachtigde personen gaan, maar ook alle vormen van communicatie van iot-apparaten volgen en controleren, om te voorkomen dat iemand gestolen gegevens gebruikt en dat gemachtigde personen hun toegangsrechten misbruiken.
In dit iot-tijdperk is de enige haalbare aanpak continue authenticatie, waarbij de initiële toegang wordt goedgekeurd, maar het systeem voortdurend in de gaten houdt wat de gebruiker doet en blijft controleren of de gebruiker inderdaad geautoriseerd is. Dit kan specifieke gedragsauthenticaties omvatten, zoals: raken ze de toetsen met de snelheid die typisch is voor deze gebruiker? Op een mobiel apparaat kan het zijn: wordt de telefoon in de gebruikelijke hoek gehouden, of worden de toetsen met de gebruikelijke kracht ingedrukt?
Fraude voorkomen
Wanneer verdacht gedrag wordt gedetecteerd, kan de gebruiker om extra authenticatie gevraagd worden. Als de gebruiker de veiligheidshindernis kan nemen en zich kan authentiseren, kan hij doorgaan. Kunnen zij dat niet, dan wordt het proces stopgezet en de fraude voorkomen.
(Auteur John Schaap is senior director South & West Europe bij BlackBerry)
