Het Internet of Things (IoT) is overal. Wereldwijd zijn er momenteel circa 15 miljard verbonden apparaten in omloop. Het is misschien ietwat kort door de bocht, maar je zou kunnen zeggen dat dit gelijk staat aan miljarden kansen om een cyberaanval uit te voeren. Waarschijnlijk herinnert u zich nog wel het nieuws uit 2016 over de duizenden IoT-camera’s die werden besmet door de Mirai-malware om vervolgens te worden omgevormd tot een reusachtig botnet waarmee prominente websites en internetdiensten werden platgelegd.
Zal 2017 het jaar zijn waarin we te horen krijgen van de eerste aanval waarbij het IoT is ingezet om bedrijfsgegevens te stelen? Dit is zonder meer een reëel risico. Het is nu tijd om na te gaan hoe we onze processen, beleidsregels en technologie kunnen verbeteren om voor een veiliger en productiever gebruik van verbonden apparaten te zorgen.
Hoewel er volop voorbeelden van zakelijke IoT-toepassingen te vinden zijn, vormt consumentenapparatuur de werkelijke motor achter deze technologische trend. We kopen alles van opslagvoorzieningen tot wearables. Al deze apparaten zouden naar de werkplek kunnen worden meegenomen en met het bedrijfsnetwerk worden verbonden.
Het zakelijk gebruik van het IoT
Er zijn tal van solide business cases voor IoT-toepassingen aan te wijzen, zoals het vergroten van de persoonlijke en zakelijke effectiviteit van werknemers. We kennen inmiddels het fenomeen van verbonden koffiezetapparaten die nooit zonder koffie komen te zitten en printers en lampen die met het netwerk zijn verbonden. Er is nu echter ook sprake van integraties van het IoT met planning- en e-mailtoepassingen. Voorbeelden zijn vergaderkamers die on demand beschikbaar zijn en bedrijfsactiva die van IoT-tags zijn voorzien om just-in-time bestelprocessen mogelijk te maken.
Al deze apparaten hebben toegang tot het netwerk nodig, en veel ervan ook tot het internet voor configuratiedoeleinden en gegevensopslag in de cloud. IoT-apparatuur kan het bedrijfsnetwerk daarmee aan gevaren blootstellen. Een geïnfecteerd koffiezetapparaat kan hoogstens wat frustratie wekken onder werknemers die aan een caffeïnestoot toe zijn, maar de besmetting kan zich ook naar de rest van het netwerk verspreiden en alle bedrijfsgegevens blootstellen aan een gerichte aanval.
Bij het ontwerpen van de infrastructuur voor zakelijke IoT-toepassingen is het belangrijk dat de IoT-apparatuur van meet af aan als een beveiligingsrisico wordt benaderd. Waar een laptop of tablet op diverse niveaus bescherming tegen malware biedt, kunnen we er niet automatisch vanuit gaan dat hetzelfde ook voor IoT-apparaten geldt. Het is van cruciaal belang voor gebruikers om inzicht te verwerven in de manier waarop deze apparaten toegang tot het internet zoeken, welke services absoluut nodig zijn en welke niet meer dan een leuk extraatje vormen, en hoe (vaak) de apparaten van beveiligingsupdates worden voorzien. Het is zaak om grip te blijven houden op IoT-apparatuur binnen het netwerk en het IoT niet de controle over het netwerk laten overnemen.
Persoonlijke IoT-apparaten
We zijn allemaal dol op onze persoonlijke IoT-apparaten. Ze zijn leuk, cool en hebben de toekomst. Deze apparaten zijn naar alle waarschijnlijkheid onschuldig en leveren ons soms persoonlijke voordelen op. Feit is echter dat ze met cloud-diensten verbonden zijn, en zonder de juiste beveiligingsinstellingen zouden ze het bedrijfsnetwerk aan bedreigingen kunnen blootstellen. Cybercriminelen zouden bijvoorbeeld social engineering-technieken kunnen inzetten om een gerichte aanval uit te voeren.
Het is nu tijd om beleidsregels voor het gebruik van IoT-apparatuur op te stellen en toe te passen. We kunnen ons niet permitteren om naïef te zijn over het gebruik van deze apparaten. Dit is reeds een realiteit. Gebruikers beschikken over persoonlijke back-upschijven, camera’s, gaming-apparaten en wearables voor fitness-doeleinden. Het is dus van cruciaal belang om ervoor te zorgen dat uw organisatie goed voorbereid en beschermd is. U hebt op de keper beschouwd slechts drie opties tot uw beschikking:
- Verbieden: Het gebruik van IoT-apparaten op het werk in de ban doen: Tenzij u een overheidsinstelling bent, een bedrijf bent dat niet met het internet is verbonden of een organisatie die überhaupt nooit het gebruik van persoonlijke elektronica heeft toegestaan, is dit waarschijnlijk geen praktische oplossing. Als het gebruik van IoT-apparatuur compleet wordt verboden, bestaat de kans dat dit steeds meer in het geniep gebeurt. Werknemers zullen deze apparaten net buiten het kantoor gebruiken, zoals op de parkeerplaats of in de receptie. De aparatuur wordt zo volledig aan het zicht onttrokken, maar vormt nog altijd een bedreiging. Het compleet verbieden van IoT-apparatuur zou u op deze manier nog kwetsbaarder voor aanvallen kunnen maken.
- Negeren: Het gebruik van IoT-apparatuur toestaan zonder enige vorm van toezicht: Dat is natuurlijk struisvogelpolitiek. Hiermee gaat men voorbij aan de realiteit, en dat is uiterst riskant. Het gebruik van om het even welk IoT-apparaat toestaan maakt het onmogelijk om zicht op alle apparatuur te houden, en als er een beveiligingsincident plaatsvindt, zal het moeilijk te detecteren zijn. Deze benadering valt absoluut af te raden.
- Toestaan: Maar gebruikers wel goed voorlichten over de beveiliging: Dit is voor de meeste organisaties waarschijnlijk de beste aanpak. Door het aanbieden van gedegen en regelmatige training die het personeel bewust maakt van de beveiligingsrisico’s, zullen eindgebruikers in staat zijn om een bepaalde vorm van beveiliging toe te passen (krachtige wachtwoorden, het deactiveren van het beheer van apparaten via het internet). Omdat IoT-apparaten openlijk worden gebruikt, kan men er beter grip op krijgen en ze beter beschermen. Mogelijk is er sprake van enkele apparaten die niet tot het bedrijfsnetwerk worden toegelaten. Die zullen echter de uitzondering zijn die de regel bevestigt. Werknemers zullen langzaam maar zeker begrip krijgen voor de noodzaak van beveiliging.
Ik hoop dat ik met dit blog duidelijk heb gemaakt dat IoT van groot nut kan zijn voor bedrijven, maar dat het gebruik ervan niet zonder risico’s is. Juniper Networks wil ervoor zorgen dat iedereen veilig gebruik kan maken van het IoT. Dit is mogelijk door de inzet van beveiligingstechnologie die het netwerk bewaakt en vroegtijdige waarschuwingen afgeeft voor cyberrisico’s. En dat is precies wat Juniper Networks Sky ATP doet. Deze geavanceerde anti-malwareoplossing maakt deel uit van de next generation firewalls uit onze SRX-reeks. Juniper Networks Sky ATP biedt snellere en accuratere detectie en herstel van bedreigingen dan standalone beveiligingsappliances of firewalls kunnen bieden.
Dus om de vraag ‘Hoe blij moeten bedrijven zijn met de komst van IoT-apparatuur’? aan het begin van dit blog te beantwoorden: u hoeft in feite geen keuze te maken, omdat het IoT een onstuitbare ontwikkeling is. Een aspect waarbij u wel een keuze hebt, houdt verband met het beschermen van uw organisatie tegen de risico’s die met het gebruik van deze apparaten verbonden zijn. Zo voorkomt u dat het IoT synoniem komt te staan aan het ‘Internet of Threats’.