Stel deze zes essentiële vragen voor een goede IoT-security
The Internet of Things en security: het lijken wel onverenigbare grootheden. Hackers en cyber criminelen hebben inmiddels de IoT-trend ook opgepakt. Met veel verve, kunnen wij wel zeggen. Hoe komt u tot goede beveiliging van IoT-oplossingen? Door de juiste vragen te stellen. Simpel toch?
De belangstelling van de ‘cyber schaduwkant’ voor The Internet of Things heeft bijvoorbeeld al geresulteerd in de ene na de andere massale botnet-aanval waarbij IoT-apparatuur is ingezet. Om over industriële sabotage via IoT-hacks maar te zwijgen. Het heeft Kshitish Soman, consultant bij KPMG USA en auteur bij het Amerikaanse Internet of Things Institute, aangezet om de zes belangrijkste security vragen op het gebied van beveiliging op papier te zetten.
Waarom moeten wij onze IoT-oplossing beveiligen?
Open deurtje, zou je zeggen. Maar volgens Soman komt hij deze vraag nog steeds tegen in zijn klantenkring. Ouch. Het antwoord op de vraag is volgens hem niet zozeer ‘omdat iedereen het doet’, maar eerder ‘omdat je anders met grote juridische problemen te maken krijgt’. Om nog maar te zwijgen over zaken als governance en compliance. Wie de security van zijn IoT-oplossingen niet op orde heeft, vraagt om moeilijkheden die de ondergang van zijn organisatie kan inluiden.
Wat proberen wij nou eigenlijk te beveiligen?
Ook dit klinkt als een 1-2’tje. En ook hier is het antwoord complexer dan op het eerste gezicht doet vermoeden. Volgens Soman gaat het verder dan ‘alleen maar’ de data en software. Een beetje IoT-oplossing heeft veel meer elementen die een goede security vereisen. Denk bijvoorbeeld aan een overheidsinstantie die de dijkbewaking met behulp van The Internet of Things regelt. Zo’n oplossing bevat op zijn minst vochtigheidssensoren, netwerkinfrastructuur, cloud computing faciliteiten (datacenter), data en software. Wat zou er gebeuren als iemand de vochtigheidssensoren weet te hacken en bijvoorbeeld de alerts voor gevaarlijk waterpeil verandert? Wat zijn in zo’n geval de implicaties voor de gehele IoT-oplossing en de achterliggende processen?
Wie kan er met onze IoT-oplossing communiceren?
Let wel: het gaat hier niet alleen om mensen, maar ook om computers, netwerkapparatuur en andere IoT-systemen. Volgens Kshitish Soman moet voor elk type interactie weer een bijpassende beveiliging worden gevonden.
Hoe gaat de IoT-oplossing worden toegepast?
Eigenlijk is dit een logisch vervolg op de ‘Wat’- en ‘Wij’-vragen van hierboven. Soman geeft het voorbeeld van een IoT-oplossing voor de thuiszorg. Die wordt gebruikt door meerdere mensen en organisaties: de zorgprofessional, de zorgverlenende organisatie, de producent van de IoT-oplossing én de patiënt zelf. In elke instantie gaat het weer om een ander type gebruik. En elke keer komt daar weer een (soms lichtelijk) verschillend security-profiel bij kijken.
Wanneer wordt de IoT-oplossing gebruikt?
Context is alles. Ook bij The Internet of Things, aldus Soman. Hij gebruikt het voorbeeld van de IoT-oplossing voor de thuiszorg nog even: de zorgprofessional komt vermoedelijk op vastgestelde tijden (binnen een aanvaardbare marge) bij de patiënt thuis. Zijn die tijden bekend? Gaat het inderdaad om vaste tijden? Is er een vorm van authenticatie waardoor u weet dat het om de bewuste zorgprofessional gaat? En wat gebeurt er als er iemand of iets buiten die vaste tijden toegang tot de IoT-oplossing probeert te krijgen?
Waar wordt de IoT-oplossing gebruikt?
Soman heeft hier weer een terecht punt. De geografische factor is eveneens van belang bij het beveiligen van een IoT-oplossing. Hij geeft een met het internet verbonden baby monitor-toepassing als voorbeeld. Wie hebben toegang tot deze IoT-toepassing? Het meest voor de hand liggende antwoord is: mensen die zich fysiek binnen het bewuste huis bevinden. Maar wellicht vragen de ouders van de baby aan de overburen om even op te letten als zij even weg zijn. Die overburen bevinden zich weer op een andere fysieke locatie. En wat moet er gebeuren als er toegang tot de baby monitor wordt gevraagd door iemand of iets in het buitenland? Voor elke situatie is weer een andere security aanpak benodigd.
