Cloud-oplossingen, big data en het internet of things (IoT) maken ons dagelijks leven leuker en vaak ook gemakkelijker. Maar die slimme wereld heeft ook een keerzijde. Het IoT-tijdperk stelt de beveiligingsbranche voor uitdagingen.
Alle hightech gadgets die we vandaag de dag gebruiken, kunnen gevoelig zijn voor cybercriminaliteit. Of ze kunnen ertoe leiden dat privacygevoelige informatie op straat komt te liggen. Doordat steeds meer apparaten via het web aan elkaar worden gekoppeld, is beveiliging dus niet langer een kwestie van veilige individuele devices, maar van security in de gehele keten.
Slimme verlichting
De security-uitdagingen in het IoT-tijdperk laten zich goed illustreren aan de hand van een eenvoudige plafondlamp. Vroeger werd die als veilig bestempeld als het stroomnetwerk, de bekabeling en de schakelaar in orde waren. Bij moderne ‘slimme verlichting’, die als onderdeel van een huisnetwerk kan samenwerken met allerlei andere domotica-toepassingen, komt er op het gebied van veiligheid echter veel meer kijken. Niet alleen het stroomnet moet in orde zijn, maar bijvoorbeeld ook de app waarmee de verlichting wordt bediend en de dataserver waar die slimme lamp zijn intelligentie vandaan haalt.
Kwetsbaarheden
IoT-devices worden nog altijd regelmatig op de markt gebracht zonder basisbeveiligingsniveau. Dit kan leiden tot kwetsbaarheden. De impact van een lek in een smart bulb is nog te overzien, maar hoe zit dat bij alarm- en monitoringsystemen? Of bij zelfrijdende auto’s? Voorbeelden genoeg van hackers die zich toegang wisten te verschaffen tot de ICT-systemen van een auto en zo de bediening konden overnemen. Als het daarbij gaat om ruitenwissers of verlichting vallen de gevolgen waarschijnlijk mee, maar wat als cybercriminelen zich met de besturing van een voertuig gaan bemoeien?
Technologie democratiseert
Doordat bijna iedereen intussen beschikt over een smartphone of tablet, democratiseert technologie in rap tempo. Niet voor niets werd maar liefst negentig procent van alle data gecreëerd in de afgelopen twee jaar. Als de huidige ontwikkelingen op het gebied van het internet of things doorzetten gaan kunstmatige intelligentie en machine learning onderdeel uitmaken van vrijwel elke ervaring in ons dagelijks leven. Hierdoor nemen ook de security-uitdagingen toe. Het internet of things trekt zich immers niets aan van landsgrenzen, en kwetsbaarheden kunnen wereldwijd gevolgen hebben voor overheden, bedrijven en burgers.
Empowered edge
ICT-onderzoeksbureau Gartner zette onlangs voor 2020 de tech-trends op een rijtje. Een van de belangrijkste technologische ontwikkelingen is de zogenaamde empowered edge, ook bekend als device democracy. Voorheen werd de data die door IoT-devices werd gegenereerd decentraal verzameld en bewerkt. Tegenwoordig gebeurt dit steeds vaker direct bij de bron. Door applicaties en diensten dichter bij de gebruiker te plaatsen, treedt immers minder latentie op. Daarmee is grotere autonomie mogelijk op de rand, de edge, van het netwerk.
Door die grotere autonomie en de ontwikkeling van steeds slimmere algoritmes en kunstmatige intelligentie kunnen IoT-devices ook steeds vaker zelfstandig beslissingen nemen. Veiligheid, transparantie en herleidbaarheid worden hierdoor steeds belangrijker. Welke data wordt verzameld, hoe wordt deze informatie gebruikt en welke besluiten worden al dan niet zelfstandig genomen?
Wet- en regelgeving
Met de AVG (GDPR) en de nieuwe Europese Cybersecurity Act zijn fikse stappen gezet als het gaat om internationale wetgeving op dit vlak. De AVG regelt hoe we moeten omgaan met persoonsgegevens. Met de Cybersecurity Act is voor de gehele EU een centrale standaard vastgesteld voor cybersecurity. De Cybersecurity Act komt met een kader met één certificering, ondersteund door de erkenning van gecertificeerde producten door verschillende EU-landen. Deze certificering biedt de bevestiging en zekerheid dat ICT-producten en -diensten cyberveilig zijn door rekening te houden met gerelateerde apparaten, services en processen.
Cybersecurity wordt steeds meer IoT-security
Remote Access for Remote Services
Het is logisch dat aan IoT-apparatuur en -componenten steeds meer eisen gesteld zullen worden. Daarbij is het cruciaal dat dergelijke standaarden of richtlijnen uitgaan van de veiligheid in de gehele keten. Kiwa zette onlangs de eerste stap in het valideren van de veiligheid in ketens met het certificatieschema RARS, wat staat voor Remote Access for Remote Services. Dit beveiligingsschema is ontwikkeld voor ketens van alarmsystemen die beheerd kunnen worden met een mobiele applicatie. Ook worden nieuwe technologieën ingepast in bestaande standaarden. Zo worden de standaarden EN 50131 en EN 50136, voor alarmsystemen, inbraak- en overvalsystemen en alarmtransmissiesystemen en -apparatuur, uitgebreid met eisen voor onder meer databeveiliging.
Transformatie
De transformatie van cybersecurity naar integrale ketenveiligheid is dus al gaande. Dit betekent dat om de veiligheid te garanderen processen, apparaten, services en data elk afzonderlijk veilig moeten zijn. Cybersecurity wordt steeds meer IoT-security, omdat er met een groot aantal aspecten rekening gehouden moet worden. Denk daarbij aan access control, dataveiligheid, codekwaliteit, verplichte updates door de fabrikant, securitytesten en data- en access-security. Kiwa kan klanten helpen de beveiliging van hun oplossingen naar een hoger niveau te brengen, met gerichte assessments en producten.
Dit artikel is gesponsord door Kiwa.