Regelgeving voor het beveiligen van het Internet of Things

We leven in een tijd van ingrijpende digitale veranderingen. Een van de grote ontwikkelingen is een grote opkomst van ondersteunende technologieën zoals het het Internet of Things (IoT). Naar schatting zijn er tegen 2025 wereldwijd ongeveer 80 miljard IoT-apparaten. Dit IoT-netwerk bestaat uit fysieke apparaten – ‘Things’ -. Deze apparaten worden vaak uitgerust met ingebouwde sensoren, software en verbindingsmogelijkheden. Door deze sensoren kunnen ze gegevens uitwisselen met andere apparaten en systemen via internet. De intrede van het IoT tijdperk leidt tot een betere toegang tot gegevens en analytics binnen het netwerk. Hierdoor kunnen bedrijven hun bedrijfsvoering efficiënter maken.

Het risico van Internet of Things

Het Internet of Things is niet alleen een positieve ontwikkeling. Er schuilt ook een groot risico in het gebruik van deze snel opkomende technologie. IoT-apparaten verzamelen een bijna niet voor te stellen hoeveelheid persoonlijke en gevoelige informatie en slaan deze op. De uitdaging is deze gegevensstroom te beveiligen om zo het vertrouwen en de privacy van de betrokken personen te beschermen. Of beter gezegd, om onze eigen privacy te beschermen.

Nu cybercriminaliteit zo hard groeit, vormen ook de IoT-apparaten een groter risico. De gegevens waartoe ze toegang hebben vormen een steeds interessanter doelwit voor cyberaanvallen en kunnen leiden tot datalekken. Tot nu toe was beveiliging voor IoT-technologie geen prioriteit of een verplicht onderdeel van de productie. Maar sinds cyberaanvallen, ransomware aanvallen en datalek rampen steeds meer in het nieuws zijn, zien we dat veel wereldwijde instanties actie ondernemen. Zo implementeren ze een aantal uitgebreide richtlijnen en beveiligingsnormen die gericht zijn op het verbeteren van de beveiliging van IoT-apparaten. Deze zorgen ervoor dat de gegevens die verwerkt worden betere bescherming hebben.

Wereldwijde IoT-regelgevingen die al van kracht zijn

EU Cybersecurity Act

De EU Cybersecurity Act en de technische specificatie ETSI TS 103 645 van het European Telecommunications Standards Institute zijn momenteel belangrijke Europese standaardkaders. Dit zijn kaders voor cyberbeveiligingscontroles voor digitale producten en diensten, Internet of Things (IoT)-apparaten voor consumenten meegerekend.

IoT Cybersecurity Improvement Act

In de Verenigde Staten is de in 2020 overeengekomen IoT Cybersecurity Improvement Act een belangrijke mijlpaal in het beveiligen van IoT. Deze wet stelt minimale beveiligingsvereisten vast voor elke centrale aanschaf van IoT-apparaten. Ook vereist het dat het National Institute of Standards and Technology (NIST) richtlijnen en standaarden publiceert over het beheer en het gebruik van IoT-apparaten.

Code of Practice for Consumer IoT Security

In het Verenigd Koninkrijk bevat de Code of Practice for Consumer IoT Security van het Department of Digital, Culture, Media and Sport (DCMS) 13 richtlijnen. In deze richtlijnen staan aanbevelingen voor IoT-apparaten om de privacy en veiligheid van consumenten te beschermen en het veilige gebruik ervan makkelijker te maken.

Strategieën om IoT-risico’s te beheren

Hoewel er over de hele wereld steeds meer nieuwe regelgevingen worden ingevoerd, bestaan er momenteel geen wereldwijde of universele bedrijfsnormen of vereisten voor IoT-beveiliging. Hierdoor loopt je bedrijfsnetwerk en data bij gebruik van IoT apparatuur dus vaak een risico. Het is noodzakelijk dat je proactief begint met het implementeren van meer preventieve beveiligingscontroles om ongeautoriseerde toegang tot het bedrijfsnetwerk te blokkeren en de bescherming van data dat is verbonden met IoT-apparaten te waarborgen. We geven je hieronder een aantal strategieën die je kunnen helpen om IoT-risico’s te beheren:

1. Verbeter systeembeveiliging, werkcultuur en interne processen

Elk bedrijf zou een grondige risicoanalyse moeten ondergaan. Zo kunnen eventuele beveiligingslekken die hun netwerkomgeving en systemen blootstellen aan cyberaanvallen worden geïdentificeerd en aangepakt. Een business impactanalyse (BIA) helpt bij het evalueren en meten van de potentiële impact van onderbrekingen of downtime als gevolg van een gegevensverlies of cyberaanval. Als er IoT apparatuur binnen de organisatie in gebruik is, komt hierbij direct naar voren welk risico het gebruik van deze apparatuur met zich mee brengt. Daarnaast helpt het ook om te bepalen welke bedrijfskritieke activiteiten of processen de meeste prioriteit nodig hebben.
Het maken van doorlopende of regelmatige risico en impactanalyses als standaard onderdeel van de bedrijfsvoering implementeren is de beste manier om een sterke cyberbeveiliging te behouden. Voorwaarde is dat deze minimaal jaarlijks uitgevoerd wordt. Je kunt de frequentie van deze analyses bepalen op basis van de unieke risico’s of behoeften van het bedrijf.

2. Houd een inventarisatie bij van de IoT-apparaten

Eén van de belangrijkste aanbevolen procedures om de veiligheid van de IoT-omgeving te garanderen, is het bijhouden van een inventarisatie. Hierin moeten alle IoT-apparaten binnen het netwerk worden opgenomen. Maak er een procedure van om deze apparaten regelmatig te controleren op updates van beveiligingspatches. Dit kan handmatig, maar het beste is om dit zoveel mogelijk automatisch te laten uitvoeren. Kies een oplossing die helpt bij het beheren en bewaken van alle systemen en endpoints, inclusief IoT-apparaten. Hierdoor wordt de zichtbaarheid vergroot en krijg je betere controle over het bedrijfsnetwerk en de beveiliging hiervan.

3. Implementeer een zero trust beleid en minimaliseer toegangs- en machtigingsinstellingen

Een zero trust beleid is gebaseerd op het uitgangspunt dat niets binnen of buiten het netwerk vertrouwd wordt. Verifieer de identiteit van de gebruiker altijd voordat je toegang verleent tot het netwerk, systemen of IoT-apparaten. Geef daarnaast gebruikers alleen de minimale toegangs- en machtigingsinstellingen die nodig zijn om hun taken uit te voeren. Hiermee beperk je het risico dat een interne of externe bedreiging de controle over het netwerk of IoT-apparaten kan krijgen. Gecompromitteerde inloggegevens van gebruikers die toegang hebben tot het hele netwerk vergroten sterk het risico op een ernstig datalek.

4. Geef medewerkers regelmatig security awareness trainingen

Medewerkers kunnen een zwakke schakel zijn als het gaat om cyber- en IoT-beveiliging. Door regelmatig security awareness trainingen (bewustwordingstraining) aan medewerkers aan te bieden, zorg je ervoor dat zij de eerste verdedigingslinie worden tegen cyberbedreigingen. Medewerkers die je op regelmatige basis traint, zijn ze beter in staat om potentiële cyberbedreigingen te herkennen. Hierdoor worden ze voorzichtiger en waakzamer in hun dagelijkse activiteiten en verkleinen ze het risico op incidenten.

5. Geef prioriteit aan beveiliging en gegevensbescherming binnen je bedrijf

Dataverlies door slechte beveiliging en gegevensbescherming kan niet alleen leiden tot een lange downtime en hoge kosten. Nevengevolgen zijn ook reputatieschade, klantenverlies en in het ergste geval zelfs faillissement. Prioriteit geven aan een krachtige cyberbeveiliging is daarom erg belangrijk.

Het IoT dringt op hoge snelheid ons dagelijks leven binnen. Daarom is het van belang om hierbij ook rekening te houden met de data die de IoT-apparatuur verzamelt, verwerkt en op slaat. Zorg ervoor dat gebruikers de juiste procedures volgen om de risico’s te beperken en de IoT-omgeving te beschermen tegen cyberbedreigingen.

Neem vandaag nog contact met ons op om erachter te komen hoe we je kunnen helpen bij de beveiliging van je IoT omgeving.