Redactie - 10 september 2015

IoT heeft schaduwzijde: security

Internet of Things – IOT - of Internet of Everything zoals het ook wel heet, biedt ons veel grote voordelen. Volgens onderzoek van Cisco is de marktpotentie de aankomende decennia 14,4 biljoen dollar groot en zullen er in 2020 ongeveer 50 miljard apparaten aan internet zijn gekoppeld.  “Maar er zit ook een schaduwzijde aan dit fenomeen: de groeiende afhankelijkheid en explosieve toename aan uitwisseling van data. Dat vraagt om stevige beveiliging”, aldus Gökmen Kiremit, directeur Security Services Avensus Nederland.

Avensus is gepokt en gemazeld als het om beveiliging van IT-systemen gaat. De onderneming rekent het grootste gedeelte van de Nederlandse banken en diverse verzekeringsmaatschappijen tot haar klantenkring. Het gaat daarbij niet alleen om het leveren van de juiste soft- en hardware om dataverkeer veilig te laten passeren. Gökmen rekent het eveneens tot zijn taak mensen en organisaties bewust te maken van de risico’s die zij lopen met geautomatiseerde systemen. Dat doet hij tijdens persoonlijke gesprekken met klanten en relaties en hiervoor organiseert Avensus ook jaarlijks een security event in Nijkerk met toonaangevende partners op securitygebied. Samen met deze partners wordt naar de toekomst gekeken en wordt kennis gedeeld omtrent ontwikkelingen in de markt. Dit keer heeft hij zijn pijlen gericht op Internet of Things – IOT.

Grote kansen

“Zoals aangegeven, IoT biedt grote kansen en zal daarom ook zeker een vlucht nemen. Het zit nu nog op de top van de hype cycle, maar over een paar jaar is het mainstream”, verwacht Gökmen en vervolgt: “Het gaat om de 4 D’s: ‘Dingen die informatie verzamelen van andere dingen, die weer slimme dingen kunnen doen met dingen’.

IoT zal het dagelijks leven zeker gaan vergemakkelijken. Denk aan auto’s die op afstand hun software kunnen aanpassen; sensoren die helpen bij verkeersdoorstroming en gladheidsbestrijding; winkeliers die kunnen monitoren wat wel of niet bij klanten in de smaak valt; sensoren die kunnen aangeven wanneer welk onderhoud nodig is aan gebouwen of machines en zelfs pillen die na inname informatie doorgeven over de patiënt zodat een betere diagnose gesteld kan worden. De lijst met nuttige toepassingen is eigenlijk eindeloos.

Gökmen verwijst naar een onderzoek van General Electric naar industriële applicaties voor slimme machines waaruit blijkt dat 1 % efficiëntie in de zorg ruim 63 miljard dollar wereldwijd besparing zal opleveren. 

Schaduwzijde

Maar er is een schaduwzijde aan deze explosie van IP-apparatuur die onderling met elkaar communiceert. “Ik maak me oprecht zorgen omtrent de beveiliging van al deze ontwikkelingen. Het probleem bij dit soort ontwikkelingen is vaak dat er vooral aandacht is voor de nieuwe functies en wat het ons allemaal kan brengen, maar daardoor is er te weinig aandacht voor beveiliging en bescherming van de persoonsgegevens. Dat zijn twee verschillende zaken die sterk worden beïnvloed gaan worden door IoT.”

IOT is eigenlijk een verraderlijke term want de kern van ‘Internet of Things’ is het verzamelen, verwerken en interpreteren van data, door dingen uit te rusten met sensoren. Het draait dus niet zozeer om dingen, maar om gevoelige data. Dus op zijn meest elementaire niveau van IOT draait het om de data die gedeeld wordt tussen de Dingen en Andere Dingen. “Met andere woorden, als we het over de beveiliging van IoT hebben moeten we de betrouwbaarheid van de dingen identificeren en de integriteit van de data veiligstellen.”

“Sommige data is bedrijfskritiek, andere data is minder gevoelig. In de praktijk merken we dat het classificeren van data voor veel bedrijven en instellingen nog steeds een uitdaging is. Dit is echter van wezenlijke invloed op de vorm van security die ingezet moet worden. Ook bij IoT bepaalt dit gegeven de mate van beveiliging.”

Levensbedreigend

Alles draait dus om de importantie van data, dat is het heikel punt. “In Data Breach Investigation Report 2015 van Verizon staat dat er in 2014 een financiële schade was door dataverlies van 400 miljoen dollar met 700 miljoen gestolen records. De verwachting is dat deze schade exponentieel toeneemt naarmate IoT groeit.

“Als we deze bevindingen koppelen aan de laatste ontwikkelingen, zoals in de auto-industrie, zorg en aan de Nederlandse kritische infrastructuur (smart-grid) kunnen er levensbedreigende situaties ontstaan. Denk hierbij aan de manipulatie van autosoftware, manipulatie van infuuspompen en het ontregelen van de Nederlandse kritische infrastructuur. Onze samenleving wordt daardoor kwetsbaar. Dat mogen we niet laten gebeuren”, zegt Gökmen stellig.

De wereld van vandaag

In de wereld van internet zijn de digitale certificaten een virtueel paspoort. Deze certificaten worden door de Certification Authority (CA) gecontroleerd. Dit proces is enigszins verglijkbaar met wanneer je een paspoort haalt bij de gemeente. Deze digitale certificaten worden dus gebruikt om dingen te identificeren en het bevorderen van versleutelde communicatie tussen dingen onderling.
Duizenden certificaten managen, of misschien zelfs miljoenen, is geen sinecure. Daarvoor is een Public Key Infrastructure (PKI) nodig. “De basisprincipes van het beheren van al die sleutels zijn het uitgeven, beheren en intrekken van alle certificaten. Een PKI is het geheel van mensen, hardware, software en processen dat het mogelijk maakt om een certificaat uit te geven, te beheren en in te trekken”, legt Gökmen uit.

Dit proces is dus zowel softwarematig als hardwarematig te ondersteunen. “De voorkeur heeft evenwel om het met hardware te doen omdat dan de kans op hacking beduidend lager is. Overigens schrijft de US National Institute of Standards and Technology (NIST) voor dat je een hardware-oplossing moet gebruiken. Dat is feitelijk de standaard voor kritische infrastructuren.”

Versleuteling

Het gaat er dus enerzijds om er zeker van te zijn dat de apparaten die met elkaar communiceren zeker weten dat ze met de juiste ‘tegenpartij’ te maken hebben maar anderzijds ook om beveiliging van de data zelf. Encryptie (Crypto) moet dus een belangrijke rol spelen om de integriteit en de vertrouwelijkheid van de data veilig te stellen.

“Om te beginnen is het classificeren van de data belangrijk waarna deze wordt gelabeld en wordt vastgesteld waar deze data naar toe beweegt. Op basis hiervan kunnen sluitende maatregelen genomen worden op basis van Encryptie en Key Management”, legt Gökmen uit.

Slot

“Het is duidelijk: IoT vormt een gigantische uitdaging voor IT-security,” besluit Gökmen zijn betoog. Er zal heel veel werk ontstaan voor IT-afdelingen en security-experts om dit alles goed te regelen. “Wat moet je nu eigenlijk beschermen? De embedded software, de toegang, de datacommunicatie, de dingen, de cloud (het brein), enzovoorts.” Daarmee geeft Gökmen de grootste uitdaging weer. “Duidelijk is in elk geval dat versleuteling en key management een cruciale rol gaan spelen bij de beveiliging van IoT; een hele uitdaging staat ons te wachten. De tijd zal het uiteindelijk leren.”

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024