In steeds meer sectoren, zoals de energie en industrie, worden apparaten onderling verbonden om gegevens uit te wisselen en functionaliteiten te delen. Toegangs- en identiteitscontrole wordt hierdoor belangrijker dan ooit, aldus Ton Slewe en Rob van Gansewinkel van Capgemini. Wat zijn de issues, oplossingen en trends?
Van camera’s en wearables tot slimme meters en autonome robots – het Internet of Things is steeds meer een realiteit. Er is een groeiend aantal onderling verbonden apparaten die gegevens uitwisselen en gebruik maken van elkaars functionaliteiten. Het belang van deze netwerken groeit – net als onze afhankelijkheid ervan. Dat roept naast enthousiasme over de kansen ook zorgen over de security op. Een aanzienlijk deel van de verbonden apparaten is in feite een computer, met alle beveiligingsissues van dien. Hoe zorgen we ervoor dat aanvallen worden voorkomen en dat verbonden apparaten op een veilige manier in het IT-landschap worden opgenomen?
Toegangs- en identiteitscontrole kan worden toegepast op apparaten
Identity & Access Management (IAM) kan ook worden toegepast op apparaten, zegt Rob van Gansewinkel, die zich als security architect bij Capgemini richt op het ondersteunen van organisaties bij het verbeteren van cybersecurityprocessen en -technieken. “IAM is een belangrijk onderdeel van de cybersecuritymaatregelen binnen organisaties: je kunt security nu eenmaal niet goed regelen als je niet weet wie er achter de knoppen zit. De aandacht voor toepassing van IAM op het Internet of Things begint langzamerhand te groeien. In ieder geval in de zin dat er over gesproken wordt. Als het gaat om awareness bij producenten en leveranciers dan zien we nog wel wat uitdagingen.”
Ton Slewe, principal consultant bij Capgemini en gespecialiseerd in cybersecurityvraagstukken bij publieke en private organisaties, vult aan: “De security awareness kan echt beter. De apparatuur binnen het Internet of Things is vaak relatief eenvoudig en goedkoop. Leveranciers zijn daardoor niet gewend om serieus aan securityoplossingen te werken.” Volgens Van Gansewinkel speelt ook het uitblijven van ingrijpende incidenten een rol. “Omdat er nog geen grote calamiteiten zijn opgetreden, ontbreekt voor veel partijen een driver om met security aan de slag te gaan. Het ligt in de lijn der verwachting dat zodra er wel eens iets echt misgaat er voor het Internet of Things – net als voor gewone computersystemen – een vraag naar baseline security komt.”
Voor veel partijen ontbreekt de drive om met security aan de slag te gaan
AVG zet toegangs- en identiteitscontrole hoger op de agenda
De komst van de Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG) zou het vraagstuk van toegangs- en identiteitscontrole bij verbonden apparaten hoger op de agenda kunnen plaatsen. Van Gansewinkel: “De AVG vereist dat organisaties een privacy- en beveiligingsbeleid hebben voor verbonden apparaten. Dit betekent onder andere dat je moet weten op welke apparaten zich persoonsgegevens, zoals medewerker- en klantdata, bevinden.”
Met de nieuwe verplichtingen die de AVG meebrengt zou de marktvraag naar een hoger securityniveau met IAM kunnen toenemen, denkt Van Gansewinkel. “De AVG stimuleert organisaties om kritisch te kijken naar de persoonsgegevens en beveiligingsmaatregelen die ze in huis hebben. Dat zou er heel goed toe kunnen leiden dat afnemers betere beveiligingsopties gaan verwachten – en vragen – van de leveranciers van verbonden apparaten.” Slewe vult aan: “Bepalend hierbij is hoe de wet gehandhaafd gaat worden. Als er echt hoge boetes worden uitgedeeld dan kan er een speelveld ontstaan waarin security een sterkere positie inneemt. Tot nu toe zijn veel organisaties nog afwachtend.”
Security ondergeschikt bij apparaten binnen Internet of Things
Apparaten die een rol krijgen in het Internet of Things worden vaak ontworpen met het oog op gebruiksgemak en een korte time to market. Security is dan nogal eens ondergeschikt, waardoor apparaten veel kwetsbaarheden bevatten, signaleerden Slewe en Van Gansewinkel al in 2017 in een bijdrage die zij samen met Christiaan Eenink en Peter Seelen schreven voor het Capgemini-rapport ‘Trends in Veiligheid’.
De kwetsbaarheden van verbonden apparaten hebben in de praktijk te maken met uiteenlopende vraagstukken. Bijvoorbeeld met een inadequate controle van de identiteit van gebruikers, een te groot aantal autorisaties, en een suboptimaal gebruik van sterke wachtwoorden. Andere risico’s hangen samen met zaken zoals het ongecontroleerd afvoeren van apparatuur, het ontbreken van veilige updatemechanismen en het toepassen van beveiligingssleutels die eenvoudig zijn te kraken. Dit alles kan leiden tot onder andere ongeautoriseerde configuratie-aanpassingen, de installatie en verspreiding van malware, DDoS-aanvallen, datalekken, fraude en misbruik van apparaten.
Een aantal IOT-specifieke beveiligingsoplossingen is essentieel
Grenzen vervagen tussen in- en externe netwerken
“De best practices die we uit traditionele IAM kennen, zijn soms lastig toe te passen op het Internet of Things”, zegt Van Gansewinkel. “Denk aan ssl-certificaten voor de beveiliging van websites en servers, en encryptie. Dit soort technieken kan lang niet altijd op verbonden apparaten worden toegepast.”
Voor veel apparaten in het Internet of Things zijn wel standaardoplossingen beschikbaar, omdat de beveiligingsrisico’s niet nieuw zijn. Een aantal aanvullende, specifieke oplossingen is essentieel, omdat verbonden apparaten in een aantal opzichten ook verschillen van traditionele IT. Zo vervagen de grenzen van in- en externe netwerken, waardoor een integrale ketenaanpak noodzakelijk is. Daarnaast komen veel toepassingen van het Internet of Things niet uit de IT-wereld, maar zijn bijvoorbeeld toepassingen uit de consumentenelektronica die geschikt zijn gemaakt voor netwerkgebruik. Daardoor ontbreken de baseline securitymaatregelen die in de IT gebruikelijk zijn, zoals reguliere beveiligingsupdates.
Een slecht beveiligd apparaat geeft toegang tot de rest van het netwerk
Een slecht beveiligd apparaat kan kwaadwillenden namelijk toegang geven tot de rest van het netwerk. Daarnaast kunnen lessen die uit de informatiebeveiliging van de afgelopen decennia zijn geleerd nu worden toegepast op verbonden apparaten. Daarbij is een gedegen risicoafweging essentieel, omdat het onhaalbaar is alle dreigingen tegen te gaan. Bovendien moet IAM voor eindgebruikers zo eenvoudig mogelijk zijn. Van Gansewinkel: “Het is belangrijk dat organisaties het Internet of Things erkennen als integraal onderdeel van hun securitybeleid. De harde IT hebben we tegenwoordig best op orde. Maar het besef dat alle apparaten waarin een chip zit en die verbonden zijn aan een netwerk ook risico’s meebrengen is er nog onvoldoende.”
Nieuwe kansen voor IOT veroorzaken ook nieuwe risico’s
Er komen ruim 20 miljard verbonden apparaten in 2020
Gartner heeft een enorme groei in verbonden apparaten voorspeld: van 6 miljard in 2016 naar 20 miljard in 2020. Diverse ontwikkelingen bevorderen deze groei. Zo leidt de digitalisering van de samenleving ertoe dat steeds meer processen worden geautomatiseerd, het belang van realtime informatie toeneemt, de grenzen tussen IT en andere organisatieonderdelen vervagen, en apparaten steeds meer over sensoren beschikken waarvan de data met verschillende partijen gedeeld worden.
Van Gansewinkel ziet dat de nieuwe kansen van het Internet of Things bijna automatisch ook nieuwe risico’s veroorzaken. “Verbonden apparaten zijn zo nuttig, omdat ze van een afstand bediend kunnen worden, bijvoorbeeld via een telefoon of device. Dat betekent dat de internettoegang heel goed beveiligd moet zijn – en bij voorkeur gecombineerd met andere maatregelen. Want hoe meer beveiligingslagen je kunt toepassen, hoe groter de kans dat het voldoende is om kwaadwillenden af te schrikken.”
Identiteitscontrole met universele hardwaresleutel
Slewe verwacht veel van innovaties zoals universal twofactor authentication (U2F), waarbij authenticatie gebruik maakt van een universele hardwaresleutel, en User Managed Access (UMA). “Een apparaat functioneert dan in een eigen ecosysteem en als gebruiker kan je bepalen of je iemand wel of geen toegang geeft tot je gegevens. Er zijn al scenario’s gemaakt van ziekenhuispatiënten die zelf kunnen aangeven met welke artsen en verpleegkundigen ze de data van hun monitor willen delen. Dit protocol belooft op veel meer plekken bruikbaar te zijn. De afwezigheid van standaarden voor gegevensuitwisseling en gegevensbescherming kan daarbij een bottleneck blijken. Maar als organisaties en consumenten daarom gaan vragen dan komen die vast en zeker uiteindelijk wel op de markt.”
> Lees ook de speciale pagina over toegangscontrole