Zo houdt u het IoT-netwerk veilig

Recensies1 juli 2020

Internet of Things biedt organisaties ongekende mogelijkheden. De security van deze technologie vraagt echter nog de nodige aandacht. Wat kunt u zelf doen om te voorkomen dat hackers via uw slimme apparaten bij uw gegevens kunnen?

Het voorbeeld van de slimme auto die ten prooi viel aan hackers kennen de meesten wel. Ze konden het voertuig op afstand bedienen. Het spreekt voor zich dat zo’n hack rampzalige gevolgen kan hebben.

De securityrisico’s van IoT-hacks voor bedrijven staan nog minder op het netvlies. Terwijl ook de gevolgen hiervan weinig goeds beloven. Grootschalige DDoS-aanvallen hebben de vernietigende kracht van miljoenen gekoppelde slimme apparaten blootgelegd. Samen kan zo’n ‘botnet’ van gehackte IoT-devices als een digitale Godzilla organisaties omverwerpen. Als speelgoedhuisjes. De stormachtige opkomst van de Mirai-, Torii- en Qbot-botnets doen het ergste vrezen.

Waardevolle data
IoT-devices zijn meer dan eens een rijke bron van waardevolle data. Denk aan locatiegegevens of de (gesproken) informatie die je uitwisselt met een digitale assistent. In de handen van kwaadwillenden kan dat veel narigheid opleveren. Hoewel het feitelijke misbruik niet is aangetoond, ligt het kindersmartwatch-lek nog vers in het geheugen. Vervang de kindersmartwatch door een trackingsysteem voor waardevol transport. Met een beetje fantasie is het risico meteen zichtbaar.
Ten slotte kan een IoT-device als achterdeur ‒ onbedoeld en ongewenst ‒ toegang bieden tot een bedrijfsnetwerk. Wie deze op een kier laat staan, rolt de rode loper voor hackers uit richting de rest van de systemen en data.

Gerichte maatregelen
Het risico op een inbraak op het IoT-netwerk tot nul reduceren is een utopie. Maar met de volgende doelgerichte securitymaatregelen wordt de kans op een geslaagde hack een stuk kleiner:

1. Inventariseer het IoT-netwerk
Wie het IoT-netwerk onvoldoende kent, kan de veiligheid ervan niet waarborgen. Goede IoT-security begint altijd met een grondige inventarisatie: exact welke IoT-devices zijn in gebruik; wat is hun typenummer; en welke firmwareversie hebben ze? Secure administratie voorkomt ‘spookdevices’, die van de radar blijven en daardoor ongemerkt een veiligheidslek vormen.

2. Zorg voor een deugdelijk patchbeleid
IoT-devices beschikken, net als laptops en smartphones, over een besturingssysteem: de zogeheten firmware. Deze heeft, net als een regulier OS, kwetsbaarheden. Hackers misbruiken ze om toegang te krijgen tot het apparaat en/of de daarop aanwezige data. Een oplettende fabrikant dicht deze lekken zo snel mogelijk nadat ze door updates aan het licht zijn gekomen. Installeer deze updates zo snel mogelijk na een nieuwe release. Zo mogelijk via een periodiek, al dan niet automatisch systeem.

3. Gebruik sterke, unieke wachtwoorden
Bij IoT-apparaten zijn wachtwoorden de eerste verdedigingslinie tegen ongenode gasten. Een sterk wachtwoord is een basisvereiste. Kies bovendien voor ieder apparaat een ander wachtwoord. Zo kan een hacker met het onderscheppen van een enkel wachtwoord niet direct inloggen op het complete IoT-arsenaal. Tweefactorauthenticatie is, wanneer mogelijk, een waardevolle toevoeging.

4. Schakel UPnP uit
Sommige netwerkapparaten beschikken over een zogeheten UPnP (Universal Plug and Play)-optie. Het is kinderlijk eenvoudig apparaten hiermee onderling te verbinden. Het protocol is echter allerminst vrij van kwetsbaarheden. Dat maakt het voor hackers gemakkelijker kwetsbare apparaten te vinden. Het devies: uitschakelen op zowel de routers en access points én de IoT-devices zelf.

5. Weer consumenten-IoT van de bedrijfsvloer
Wearables en gadgets ‘met een internetverbinding van thuis’ gaan gewoon mee naar kantoor, om daar met het bedrijfsnetwerk te verbinden. Ze vormen een potentiële toegangspoort voor hackers. De garantie ontbreekt dat deze apparaten thuis altijd netjes zijn voorzien van veiligheidsupdates. Of überhaupt zijn voorzien van deugdelijke securityvoorzieningen. Een totaalverbod op consumenten-IoT werkt het best. Levert dat weerstand op, dan is verbinding met het gastnetwerk – mits correct ingesteld – een aanvaardbaar alternatief. Hackers komen via dit netwerk meestal niet ver.

6. Pas segmentatie toe
Met het segmenteren van het netwerk kan de schade van een hack worden beperkt. Netwerksegmentatie is het verdelen van het netwerk in verschillende ‘zones’, die min of meer afgesloten van elkaar zijn, en onafhankelijk van elkaar opereren. Dit voorkomt niet dat hackers inbreken op IoT-devices, maar het beperkt de bewegingsruimte die ze hebben op het bedrijfsnetwerk. De kans is groot dat ze niet verder komen dan enkel de zone die is gereserveerd voor het slimme apparaat.

7. Gebruik alleen apparaten van deugdelijke fabrikanten
Er is helaas veel goedkoop geproduceerde rommel op de markt als het om apparaten met een netwerkverbinding gaat. Goede security heeft niet bij iedere fabrikant de hoogste prioriteit. Wie kiest voor fabrikanten met een goede reputatie, verkleint meteen het risico op ondeugdelijke firmware, onveilige loginprocedures, en een falend of zelfs geheel afwezig updatebeleid. Doe in alle gevallen goed vooronderzoek. Biedt een fabrikant bijvoorbeeld überhaupt veiligheidsupdates aan? Is tweefactorauthenticatie mogelijk? Welke communicatieprotocollen gebruikt het apparaat? Kent het apparaat dataversleuteling? Kortom, investeer met beleid.

Op dit moment ontbreekt een keurmerk voor deugdelijke security van IoT-apparaten. Onder andere het Agentschap Telecom dringt hier wel op aan. Dat leidde vorig jaar tot Kamervragen, maar van concrete maatregelen is nog geen sprake. Tot die tijd is het vooral een kwestie van zelf goed vooronderzoek doen.

8. Zorg voor encryptie
IoT-apparaten genereren data die voor hackers van waarde kan zijn. Daarom is versleuteling van die gegevens belangrijk. Het maakt onderschepte data onbruikbaar. Ga na of de devices hun data versleuteld opslaan. Versleutel ook het datatransport over het netwerk, zodat het onderscheppen van dit verkeer hackers niets oplevert.

9. Voer een (periodieke) pentest uit
Een pentest is een effectieve manier om de bestendigheid van het IoT-netwerk te testen. Gespecialiseerde experts kruipen dan in de huid van een hacker. Ze proberen, afhankelijk van de scope van de test, de apparaten data te onfutselen en/of zich een weg naar binnen te wurmen. Zwakke plekken komen zo aan het licht, vóór hackers ze kunnen misbruiken.