Is beveiliging de grootste uitdaging voor het IoT ?

door | apr 25, 2017 | Non classé | 0 Reacties

Volgens Digital Security, de oprichter van het eerste veiligheidslabel voor het IoT, is voor de beveiliging van slimme objecten een globale visie nodig die verder gaat dan technologie alleen. 

“Waarom een object beveiligen? Het is slechts een element in de waardeketen. Indien er inderdaad gegevens zijn die bescherming behoeven, maakt het object het grootste deel van de tijd deel uit van een complexe waardeketen die om een globale visie op de beveiliging vraagt en niet alleen om een technologische oplossing. De inspanning moet gericht zijn op het ecosysteem, rekening houden met het gebruik, de dreigingen, het gedrag …” Jean-Claude Tapia, de voorzitter van Digital Security, een filiaal van de groep Econocom, vindt dat het de hoogste tijd is om beveiliging op holistische wijze te gaan bekijken. “Het IoT brengt ons een onbekende dimensie binnen, zonder verband met de perimetriebeveiliging die de IT-sector altijd heeft geleid.”

De beveiliging van objecten is niet het einddoel, maar het zou een slecht idee zijn om die te verwaarlozen. Bijna tweederde van de slimme objecten die in het voorbije jaar door Digital Security zijn geëvalueerd, hadden een debug-interface waarmee je het onderliggende systeem volledig onder controle krijgt. Cédric Messeguer, General Manager Digital Security, legt uit dat dit betekent dat de beveiliging van een slim object een complex probleem is met een groot aantal componenten en technologieën. En alleen de specialisten kunnen daar hun weg in vinden.

Allemaal in actie !

Het gebrek aan beveiliging voor slimme objecten levert tal van gevaren op – van de overname van de controle van een slimme auto door het wifiwachtwoord te kraken tot de diagnostiek van kwetsbare plekken binnen slimme sloten. “We denken meteen aan grote rampen die op het nippertje zijn voorkomen, zoals de cyberaanval op de Bowman Dam in de staat New York. Maar vergeet niet dat het gevaar overal schuilt, tot in de deur van je koelkast…” Het gaat dus niet meer om IT-beveiliging, maar om veiligheid in brede zin, want de technologie is overal. En daar hebben we allemaal mee te maken. “Binnen een onderneming zijn wij de gebruikers van het informatiesysteem. De onderneming zorgt via de IT-dienst voor onze veiligheid”, legt Jean-Claude Tapia uit. “Maar met het IoT is er niet langer sprake van gebruikers, want we zijn allemaal actieve spelers. We moeten dus onze verantwoordelijkheid nemen!” Kunnen we die verantwoordelijkheid aan? Dat is een andere vraag. Maar het is geboden erbij stil te staan …

Slachtoffer van Time-ti-Market

Je verantwoordelijkheid nemen betekent ook dat anderen de verantwoordelijkheid wordt ontnomen. Beveiliging was tot nu toe altijd een specialiteit. We zien dat in de IT: het is de fout van de uitgever, de integreerder, de telecomoperator. Voor het IoT geldt hetzelfde. Bovendien komt innovatie vaak vóór beveiliging: “De race van de industriële spelers om marktaandeel te veroveren, maakt dat die gevaarlijke situatie aanhoudt”, stelt Jean-Claude Tapia vast. “Time-to-market vóór alles! Dit is een race tegen de klok die wel wat aan de beginjaren van het internet doet denken. Er valt duidelijk te merken dat het op veel punten aan goede beheersing ontbreekt!”

En inderdaad: veel slimme objecten worden heel snel ontwikkeld door kleine structuren waar men lang niet altijd over de competentie of de middelen bezit om te denken aan ‘security by design’. Het Internet of Things is bijzonder kwetsbaar, want logische risico’s en fysieke risico’s komen er samen. De beveiliging moet dus upstream worden aangepakt, op het moment van de opportuniteitsstudie. En daarbij moet worden bekeken wat er kan gebeuren – alles wat er kan gebeuren. En daar heeft de expertise van IoT-risicoanalyse een rol te spelen. Wat moet er gebeuren als het remsysteem van de auto uitvalt, of als de pacemaker niet meer werkt?

Het IoT betekent het einde van technologische beveiliging. Er is uiteraard altijd geavanceerde competentie nodig op het vlak van systemen, radio, netwerken … Maar niet alleen op die gebieden. Beveiliging is een transversaal element geworden, benadrukt Cédric Mességuer. De volledige levenscyclus van het product moet in ogenschouw worden genomen: de kwaliteit van de code, de hardwarecomponent, de software, het communicatie- en authenticatieprotocol, de updates, de gegevensstroom … Er moet ook rekening worden gehouden met het gebruik en met de juridische aspecten. Denk aan de impact van een storing op de inkomsten, de gevolgen van een aanval in termen van zichtbaarheid, imago en burgelijke of strafrechtelijke aansprakelijkheid … Het aan te vallen oppervlak is groter dan ooit!

Volgens ons berust de bescherming van deze nieuwe ecosystemen op nieuwe principes: inzicht in het gebruik, identificatie van de kritieke elementen (personen, gevoelige gegevens, infrastructuur, omgeving), diepgaande bescherming, het zoeken naar de balans tussen risico en waardecreatie, samenwerking tussen de betrokken partijen, een nieuw evenwicht tussen de verantwoordelijkheden, change management … En daarbij moeten we ook niet vergeten dat deze ontwikkelingen de opdrachten en de organisatie van de IT-functie en de relatie daarvan met de vakgebieden en de gebruikers wijzigt.”

Holistische respons

Dit is dus niet alleen een onderwerp voor de ICT-verantwoordelijken, maar ook voor de digitale verantwoordelijken en de verantwoordelijken van de vakgebieden. Het IoT is overal in de onderneming aanwezig en zal binnenkort ook overal in ons leven aanwezig zijn. Tegen 2020 wordt uitgegaan van ruim 50 miljard objecten, dat wil zeggen 7 slimme objecten per persoon, want er zullen dan ongeveer 7,5 miljard mensen op Aarde leven.

Dit levert ook vragen op inzake de bescherming van informatie. Een van de eerste uitdagingen voor slimme objecten is de bescherming van persoonsgegevens – met allereerst de GDPR, die in mei 2018 van kracht wordt. Hoe wordt informatie verzameld? Waar worden die gegevens opgeslagen? Is de gebruiker van een zoekmotor of een applicatie zich bewust van de handelswaarde van zijn commerciële, juridische en sentimentele gegevens? Is hij expliciet akkoord gegaan met het gebruik ervan?

Er moet ook worden gekeken naar de verzameling en bewaring van die gegevens – in welke volumes en gedurende hoe lang. Een te groot gegevensvolume betekent een des te aantrekkelijker doelwit voor cybercriminelen. Ook valt niet uit te sluiten dat die gegevens op een bepaald moment voor een ander doel zullen worden gebruikt dan dat waarvoor ze werden verzameld … Om te bepalen wat een redelijk beveiligingsniveau is, zou een impactstudie relevant zijn. Er moet onder meer worden bepaald wat het volume van de verzamelde gegevens ie en hoe gevoelig ze zijn, evenals de verwachte kosten van de te betalen schadevergoeding in het geval van falende beveiliging.

Volgens Jean-Claude Tapia is het de hoogste tijd om in actie te komen en het probleem bij de kern aan te pakken. “Nu informatie alomtegenwoordig is en overal met IT-apparaten wordt gewerkt, moet de veiligheidsvraag in holistische termen worden beantwoord … Maar op dit moment zijn weinig spelers concreet bezig met de ontwikkeling van beveiligingsoplossingen voor het IoT. Vooral de normen, waarmee de beveiligingspraktijk op één lijn gebracht zou kunnen worden, lopen jammerlijk achter. Bovendien nemen de dreigingen in verband met slimme objecten toe en wordt daar nog lang niet voldoende rekening mee gehouden.”

In afwachting van de ontwikkeling van een gemeenschappelijke beveiligingspraktijk, kunnen de IoT-spelers vandaag al hun best doen om beveiliging in hun objecten te integreren en die beveiligingsoplossingen bekend te maken, met hulp van de experts binnen dit domein. Zo zouden ze ontegenzeggelijk een voorsprong nemen op hun concurrenten.

 

 

 

Ontvang toekomstige artikelen per e-mail, elke dinsdag