Waarom is SaaS back-up van belang?
06/09/2021
Heb jij al een bedrijfscontinuïteitsplan?
17/09/2021
De stijgende toename van het aantal apparaten dat met het internet is verbonden (IoT-apparaten), heeft voor veel bedrijven een groot aantal beveiligings-uitdagingen met zich meegebracht. Fabrikanten geven voornamelijk prioriteit aan verkoopcijfers en het voorblijven op de concurrentie. Beveiliging van de IoT-apparaten blijkt in de praktijk op een lager plan te staan en hierdoor missen sommige apparaten zelfs de meest noodzakelijke beveiligingsmaatregelen. Dit zorgt ervoor dat de gegevens die op deze apparaten worden verzameld en verzonden in de praktijk onvoldoende worden beschermd.
Als er binnen jouw bedrijf gebruik maakt van IoT-apparaten, zijn er een aantal belangrijke beveiligingsrisico’s waarmee je rekening moet houden.
Onvoldoende patchbeheer
Tijdig patchen is belangrijk voor alle apparaten met een internetverbinding. De meeste IoT-apparaten die worden verkocht, hebben geen mogelijkheid om te kunnen patchen met beveiligingsupdates. Hierdoor worden ze voor onbepaalde tijd blootgesteld aan risico’s die in de loop van de tijd alleen maar toenemen. Veel fabrikanten van IoT-apparaten houden zich niet bezig met moderne update mogelijkheden. Dit leidt er toe dat sommige IoT-apparaten werken op verouderde legacy-besturingssystemen, waardoor ze onmogelijk te patchen en dus slecht beveiligd zijn.
Veel IoT apparaten gebruiken nog basistechniek voor de beveiliging. Hierdoor kunnen ze eenvoudig mikpunt worden van malware of hackers. De zwakke ‘achterdeuren’ van deze apparatuur stelt de hackers in staat de apparaten te gebruiken voor verdere toegang tot het netwerk. Gevolg is dat hackers er in slagen in bedrijfssystemen te infiltreren en gevoelige gegevens te stelen of geld af te persen.
Gebrek aan goede encryptie
Helaas komt het niet vaak voor dat een fabrikant van IoT-technologie tijdens de productie de apparatuur voorziet van encryptie mogelijkheden. Zelfs een basis encryptie ontbreekt vaak. Door het ontbreken van encryptie blijven alle gegevens die door IoT-apparaten worden verzonden volledig onbeschermd. Hoewel het gebrek aan goede encryptie alleen al een groot risico vormt, is het niet correct coderen van belangrijke klant- of werknemersgegevens een schending van de meeste gegevensbeschermingsregels. Dit geldt voor zowel gegevens die worden opgeslagen als verstuurd. Niet compliant zijn kan leiden tot flinke financiële boetes, operationele verstoringen en onherstelbare reputatieschade.
Afwezigheid van wettelijke vereisten
IoT-apparaten worden uitgerust met ingebouwde sensoren, software en verbindingsmogelijkheden. Hierdoor zijn ze vaak zelfstandig in staat gegevens uit te wisselen met andere apparaten en systemen via het internet. Omdat ze direct met het internet verbonden zijn, is het erg belangrijk om ze goed te beveiligen. Als de beveiliging zwak en makkelijk te ‘kraken’ is, dan is er een echt risico aanwezig dat onbevoegden toegang kunnen krijgen tot het apparaat. Op dit moment hebben fabrikanten van IoT-producten geen universele normen of wettelijke vereisten waaraan ze moeten voldoen als het gaat om duidelijke beveiligingsopties en gegevensbescherming. Er is dus geen ‘dwang’ aanwezig om goed beveiligde producten te produceren.
Een gebrek aan beveiliging kan zelfs gevaarlijk zijn
Het gebrek aan goede beveiliging van IoT-apparaten door de afwezigheid van wettelijke vereisten kan in sommige gevallen zelfs levensbedreigend zijn. Als de gegevens die worden verzameld door medische IoT-apparaten (zoals pacemakers, bloeddrukmeters) worden aangetast of verloren gaan, kan dit een levensbedreigend risico voor patiënten worden. Elk bedrijf in de gezondheidszorg dat medische IoT-apparaten gebruikt moet voorkomen dat dit risico de integriteit, controle en veiligheid in gevaar brengt.
Beveiligingslekken door gebruik van standaardwachtwoorden
De meeste IoT-apparaten worden geleverd met zwakke standaardwachtwoorden, die voor iedereen op internet te vinden zijn in de handleiding. Hoewel deze kunnen worden gewijzigd zodra ze zijn verbonden met een netwerk, wordt dit vaak vergeten of genegeerd. Daardoor kunnen apparaten kwetsbaar worden. Hetzelfde geldt voor het gebruik maken van één wachtwoord voor meerdere apparaten.
Nog erger is dat sommige fabrikanten een standaard toegang aangemaakt hebben die voor de ingelogde beheerder niet zichtbaar is. Deze standaard toegang is een open deur zodra criminelen via het uitlezen van de software van zo’n apparaat achter deze achterdeur zijn gekomen. Als de fabrikant er al achter komt en een update van de software vrijgeeft dan is het patchingbeleid van de organisatie van levensbelang. Een gedegen patchingbeleid evenals het wachtwoordbeleid is een fundamentele pijler van de cybersecurity en verplicht onderdeel binnen cybersecurity-raamwerken zoals de ISO 27001.
Onvermogen om inbraken waar te nemen of bedreigingen te voorspellen
IoT-ecosystemen kunnen erg ingewikkeld zijn, waardoor het voor bedrijven lastig is om IoT-beveiliging met één enkele oplossing te beheren. Vanwege het verschil tussen verschillende IoT-apparaten, is een ‘one size fits all’ beveiligingsoplossing vaak praktisch niet toepasbaar. Ook is er een algemeen gebrek aan kennis en bewustzijn van IoT-beveiligingsrisico’s op eindgebruikersniveau. Bedrijven moeten zich bewust zijn van de verschillende IoT-beveiligingsbedreigingen om een goed beveiligingsbeleid te kunnen implementeren.
In de praktijk is het aan te raden de IoT apparatuur zo veel mogelijk van één merk te gebruiken, bij voorkeur met een centraal managementsysteem. Probeer zo veel mogelijk compleet te vernieuwen en laat geen oudere apparatuur achter die nog tijdelijk gebruikt wordt. Maar al te vaak worden deze langzaam vergeten en juist deze oudere apparaten geven het hoogste security-risico. Documenteer alle IoT apparatuur zodat duidelijk is welke risico’s gelopen worden en waar apparaten buiten de ondersteuning van de fabrikant vallen.
Cyberbedreigingen bij een slecht beveiligd IoT-netwerk
DDoS-aanval
Bij een (Distributed) Denial-of-Service-aanval (DDoS-aanval) kunnen hackers het netwerk overbelasten met ongeautoriseerde toegang tot gevolg. Systemen of IoT-apparaten binnen het netwerk worden overspoeld door een stroom van gegevensverzoeken, waardoor ze vertragen of crashen. IoT-apparaten worden vaak niet actief gemonitord, daarom is in de praktijk niet zichtbaar of er een DDoS-aanval loopt en al helemaal niet of deze geleid heeft tot onbevoegde toegang. Bovendien missen IoT-apparaten vaak een ingebouwde firewall, waardoor malware zich gemakkelijk kan verspreiden als er eenmaal toegang is. Zo krijgen hackers al toegang tot het netwerk via één IoT-apparaat.
Afluisteren
Afluisteren of passive wiretapping is een aanval waarbij een hacker toegang krijgt tot het netwerk en zich gedraagt als een insider, waardoor hij belangrijke gegevens kan stelen.
SQL-injection
Een SQL-injection (Structured Query Language injection) is een kwaadaardige database-input, die is bedoeld om toegang te krijgen. Via een normale webpagina wordt een specifieke code in een invoerveld geplaatst, waarbij de databaseserver een commando uitvoert in plaats van de invoer registreert. Dit commando is er uiteraard bedoeld om hackers toegang te geven tot gevoelige informatie zoals gebruikersnamen, wachtwoorden en gebruikersrechten. Hackers kunnen via een slecht beveiligde database het hele netwerk overnemen door een SQL-injectie uit te voeren. Een SQL-injectie is de oorzaak van veel hacks en veel grote datalekken uit het verleden zijn ontstaan na een geslaagde SQL-injectie.
Wardriving
Wardriving houdt in dat een hacker vanuit een voor de deur geparkeerd voertuig onveilige wifi-netwerken doorzoekt en er vervolgens mogelijk toegang toe krijgt. Onbeveiligde IoT-apparaten en standaard beheerderswachtwoorden op een netwerk zijn gemakkelijk te vinden voor dit soort aanvallen. Bedenk dat een eenvoudige inkjetprinter, die is aangesloten via de wifi, zo al de toegangspoort kan zijn tot het hele netwerk.
Zero-day exploits
Een zero-day exploit is een onopgemerkte kwetsbaarheid in software of hardware die ernstige problemen kan veroorzaken. IoT-apparaten zijn zeer populair voor zero-day exploits. Nu meer medewerkers thuis werken, worden er meer persoonlijke wifi en andere goedkopere met het internet verbonden apparaten gebruikt. Juist deze goedkope apparaten zijn extra kwetsbaar omdat fabrikanten security nauwelijks nog opnemen als producteigenschap. Een goed voorbeeld zijn de nieuwe deurbellen met ingebouwde camera, die voor de werking een netwerktoegang vereisen. De beveiliging van deze goedkope modellen is vaak zo slecht dat wel gesteld kan worden dat de thuisnetwerkomgeving volledig open staat na installatie. Doordat vanaf huis gewerkt wordt kunnen dit soort privé IoT-apparaten uiterst gevaarlijk zijn voor de IT-omgeving van een bedrijf.
Hoe kun je IoT-apparatuur wel veilig gebruiken?
Bij veel MKB-bedrijven zijn zowel het budget als de kennis de beperkende factor om IT-beveiliging volledig en consistent te implementeren en te beheren. Samenwerken met een Managed Service-provider (MSP) kan hierbij een goed ondersteuning zijn. Een goede MSP is gespecialiseerd in zowel ICT-, netwerk- en gegevensbeveiliging en heeft ervaring met het beheren hiervan. Daarnaast kan de MSP een effectieve cyberbeveiligingsstrategie invoeren of kan hierbij een goed ondersteuning zijn.
Tips om de beveiliging van IoT-apparaten te verbeteren:
1. Zwakke plekken binnen de netwerkbeveiliging identificeren
Het begint allemaal met het identificeren van kwetsbaarheden in het netwerk door een risicoanalyse uit te voeren. Na deze analyse weet je waar er eventueel beveiligingslekken zijn zodat je deze aan kunt pakken.
2. Gelaagde beveiligingsprocedures implementeren
Implementeer geavanceerde beveiligingsoplossingen en procedures die IoT-apparaten beschermen tegen cyberbedreigingen en datalekken. Dit zijn bijvoorbeeld oplossingen die patchbeheer automatiseren, tweefactorauthenticatie en back-ups om de beveiliging te versterken.
3. Documenteer IoT-apparatuur
Het klinkt simpel, maar het grootste risico wordt veroorzaakt door verouderde apparatuur die vergeten is of nog tijdelijk gebruikt wordt . Juist deze apparaten hebben sterk verouderde software en staan soms wagenwijd open. Sluitende documentatie zorgt voor overzicht en laat direct zien waar actie ondernomen moet worden. En niet te vergeten een terugkerende taak aanmaken om het overzicht te controleren en updaten.
4. Patching, patching, patching
Het is eerder al genoemd, maar patching is de belangrijkste stap om IoT apparatuur en uiteraard ook gewone software veilig te houden. Maak een maandelijkse taak aan te controleren of er updates beschikbaar zijn en installeer deze ook direct. De gouden regel is zodra de fabrikant een apparaat End Of Life (EOL) verklaart, dit apparaat zo snel mogelijk uit te faseren. Voor eenvoudiger patchbeleid is het goed voor aanschaf uit te zoeken of de apparatuur centraal manageable is en wat het securitybeleid is van de betreffende fabrikant.
5. Actieve monitoring
Er zijn inmiddels nieuwe oplossingen leverbaar, waarbij IoT-apparaten zoals routers of FireWalls 24×7 actief worden gemonitord op verdacht gedrag. Bij verdacht gedrag van de apparatuur wordt direct gemeld dat er mogelijk een hack gaande is. Een voorbeeld hiervan is onze SOC-service die al voor enkele euro’s per maand per device zekerheden geeft.
Neem contact met ons op voor meer informatie over hoe wij je kunnen helpen bij de beveiliging van IoT-apparaten binnen je netwerk.
