Naar hoofdinhoud

Blog

IoT-beveiliging: wie pakt de verantwoordelijkheid?

· Thom Heemstra

IoT-beveiliging: wie pakt de verantwoordelijkheid?

Het Internet of Things (IoT) brengt enorme mogelijkheden met zich mee. Een boer die op afstand de bodemvochtigheid van zijn akkers uitleest, een fabriekshal die zichzelf monitort, een kantoor dat energie bespaart via slimme sensoren. Maar elke verbinding met het internet is ook een potentieel aanvalspunt.

Beveiliging is al jarenlang een bijzaak

De snelheid waarmee IoT-apparaten op de markt kwamen, heeft geleid tot een structureel probleem. Fabrikanten richtten zich op functionaliteit en prijs, niet op beveiliging. Standaard wachtwoorden, verouderde firmware en geen updatebeleid: het is eerder regel dan uitzondering.

De aanval op A.P. Moller-Maersk in 2017 was een vroeg en pijnlijk voorbeeld. De containerrederij werd getroffen door de NotPetya-ransomware, moest alle IT-systemen afsluiten en verloor naar schatting 300 miljoen dollar. Schepen lagen vast, 76 havens wereldwijd lagen tijdelijk stil.

Het probleem zit dieper dan één aanval

Maersk was niet uniek. Veel bedrijven zijn inmiddels afhankelijk van IoT-apparaten die nooit zijn ontworpen met beveiliging in gedachten. Beveiligingscamera’s, industriële sensors, slimme meters en zelfs medische apparatuur worden aangevallen. Zodra ze aan het netwerk hangen, kunnen ze als ingang dienen voor een breder netwerk.

De fragmente­ring in de IoT-markt maakt het nog complexer. Er zijn tientallen standaarden, protocollen en platformen. Pogingen om de industrie op één lijn te krijgen mislukken regelmatig doordat de belangen te uiteen­lopen.

Regulering: noodzakelijk, maar lastig

De EU zoekt naar manieren om fabrikanten aan te spreken op hun verantwoordelijkheid. De NIS-richtlijn (2016) legde voor het eerst Europese normen op aan aanbieders van essentiële diensten. De AVG heeft bedrijven bewust gemaakt van de risico’s van slecht beveiligde systemen die persoonsgegevens verwerken. IoT-specifieke wetgeving staat nog in de kinderschoenen, maar de richting is duidelijk: beveiliging kan niet langer een bijgedachte zijn.

Wetgeving volgt de technologie altijd met vertraging. Tot die tijd geldt: zorg zelf dat je IoT-omgeving goed is afgeschermd.

Wat je nu al kunt doen

  • Segmenteer je netwerk. IoT-apparaten hebben geen toegang nodig tot je bedrijfsdata.
  • Zet apparaten in een apart VLAN en beperk het verkeer dat daar in- en uitkomt.
  • Vervang standaard­wachtwoorden direct bij ingebruikname.
  • Controleer of de fabrikant nog updates uitbrengt. Doet hij dat niet, overweeg dan een vervanger.
  • Stel firmware-updates in als automatisch of plan ze periodiek in.

IoT-beveiliging is geen eenmalige klus. Het vraagt om een structureel beleid, net zoals andere onderdelen van je IT-omgeving.

Meer lezen

Gerelateerde artikelen

Zelf sparren over je ICT?

Herkenbare situatie of juist iets heel anders? Bel of mail gerust we denken graag mee.

Neem contact op Bekijk de diensten