Organisaties van elke grootte maken steeds vaker gebruik van IoT-apparatuur voor een breed scala aan zakelijke voordelen: om de kosten te verlagen, de bedrijfsvoering te verbeteren, gebruik te maken van big data analyses, de digitale transformatie te versnellen of, in de meeste gevallen, om al het bovenstaande te bereiken.
Uit onderzoek blijkt dat er alleen al vorig jaar 7,6 miljard IoT-apparaten waren; dit aantal zal naar verwachting toenemen tot 41,6 miljard in 2025. Als leidinggevende kan je je niet veroorloven om IoT te negeren. Je moet het omarmen als een sterke kracht voor innovatie en ontwrichting. Toch moet je je ogen ook open houden voor de risico's. IoT kan een potentiële nachtmerrie zijn als je niet de juiste stappen zet om de juiste basis en structuur voor cybersecurity op te bouwen.
- Hoe kunnen we zorgen dat we apparaten kunnen updaten met de huidige beveiligingspatches, besturingssystemen en andere beveiligingen naarmate de technologieën evolueren - en naarmate cybercriminelen nieuwe methoden ontdekken om de bestaande beveiligingsbarrières te doorbreken?
- Hoe kunnen we wachtwoorden wijzigen op apparaten waarvan de wachtwoorden in de hardware zijn gecodeerd?
- Hoe kunnen we het gebruik van apparaten in realtime volgen om de veiligheidsrisico's te bewaken en ervoor te zorgen dat onze organisatie voldoet aan de veranderende wettelijke vereisten over de hele wereld?
- Hoe kunnen we ervoor zorgen dat we apparaten kunnen uitschakelen en buiten gebruik stellen wanneer ze zijn vervangen of hun levensduur hebben overschreden?
Dit zijn geen loze vragen, maar echte kwesties die de veiligheidsteams nu moeten aanpakken. Naarmate de wereld van 14 miljard naar 20 miljard naar 25 miljard naar meer dan een biljoen apparaten gaat, zal het veel ingewikkelder worden om IoT-apparaten gedurende hun hele levenscyclus te identificeren, beheren en beschermen.
Nuttige richtlijnen
Gelukkig is er hulp beschikbaar om het risico van IoT-cybercriminaliteit te beperken. Het Nationaal Instituut voor Normen en Technologie is bezig met het opstellen van richtlijnen voor fabrikanten van IoT-apparatuur om hun producten veiliger en betrouwbaarder te maken, en heeft al een reeks aanbevolen vrijwillige cybersecurity-functies voor het opnemen in apparaten die geschikt zijn voor het netwerk. Nieuwe technologieplatformen kunnen helpen bij het identificeren van IoT-apparaten en het beheer ervan gedurende hun hele levenscyclus.
Bovendien heeft het Open Web Application Security Project (OWASP) een leidende rol op zich genomen bij het helpen van leiders op het gebied van cybersecurity om de meest voorkomende kwetsbaarheden van IoT-apparaten te identificeren. Deze lijst biedt een leidraad voor cybersecurity-professionals die zij kunnen volgen, en geeft bedrijfsleiders een stevige basis om de juiste vragen te stellen aan hun cybersecurityteams.
De meest recente OWASP “Top 10” lijst van IoT-kwetsbaarheden is:
- Zwakke, voorspelbare of hardcoded wachtwoorden
- Onveilige netwerkdiensten
- Onveilige ecosysteem-interfaces
- Gebrek aan veilige update-mechanismen
- Het gebruik van onveilige of verouderde onderdelen
- Onvoldoende bescherming van de privacy
- Onveilige gegevensoverdracht en -opslag
- Gebrek aan device management
- Onveilige standaardinstellingen
- Gebrek aan fysieke verharding
Geen enkele sector is bestand tegen de uitdagingen van IoT, of het nu gaat om de detailhandel, de financiële sector, de technologie, enz. Waar stapelt jouw organisatie zich op? Als je dat niet weet, dan wordt het tijd om dit aan je cybersecurity-leiders te vragen. Als zij het niet weten, wordt het tijd dat je erop aandringt dat zij de beveiliging van IoT slim aanpakken en ondersteunen om IoT-apparaten te beveiligen. De toekomst wacht op niemand.
Sean Duca
Vice President, Chief Security Officer, Asia Pacific en Japan
Palo Alto Networks