Onderzoek door IT-bedrijf Infoblox toont aan dat Shadow IoT een belangrijke dreiging vormt voor bedrijfsnetwerken. Het gaat om Internet of Things (IoT)-apparaten die binnen een organisatie worden gebruikt zonder dat IT-beheerders daarvan op de hoogte zijn. 

De waarschuwing valt te lezen in het rapport What’s Lurking in the Shadows waarvoor  2.650 IT-professionals ondervraagd werden in Nederland, Duitsland, Spanje, het Verenigd Koninkrijk, de VS en de Verenigde Arabische Emiraten.

Shadow IoT kan bestaan uit allerlei verschillende technologieën, van laptops en mobiele telefoons tot tablets of intelligente speakers die niet door de IT-afdeling worden beheerd. Het onderzoek toont aan dat in de afgelopen 12 maanden 80 procent van de IT-professionals onbekende IoT-apparaten in hun netwerk heeft aangetroffen. Wereldwijd vond bijna een derde (29 procent) er meer dan 20 en in Nederland zelfs meer dan 30.

Volgens het rapport worden, behalve de apparaten die door het IT-team zelf worden ingezet, overal ter wereld nog talloze andere apparaten met bedrijfsnetwerken verbonden, zoals persoonlijke laptops en smartphones. In totaal heeft 87 procent van de Nederlandse ondernemingen meer dan 1.000 apparaten op hun netwerken aangesloten (9 procent meer dan het internationale gemiddelde).

Infoblox schrijft dat IT-managers snel maatregelen moeten nemen voordat dergelijke apparaten de veiligheid van de organisatie in gevaar brengen. De persoonlijke IoT-apparaten zijn voor cybercriminelen eenvoudig op te sporen en kunnen toegang geven tot het bedrijfsnetwerk, aldus het IT-bedrijf. “Als het IT-team het beveiligingsbeleid van alle apparaten op het netwerk niet volledig in kaart heeft, lukt het nooit de steeds verder uitdijende perimeter van de organisatie voldoende te beveiligen,” zegt Martin van Son, Senior Account Executive bij Infoblox.

Uit het onderzoek blijkt dat negen van de tien IT-professionals zich met name zorgen maken over het gebruik van Shadow IoT apparaten in vestigingen en branche offices. Om de dreiging van Shadow IoT op het netwerk te beteugelen, heeft 93 procent van de Nederlandse organisaties (89 procent wereldwijd) een beveiligingsbeleid opgesteld voor persoonlijke IoT apparaten. Hoewel de meeste respondenten vertrouwen hebben in dat beleid, verschilt dat vertrouwen wel sterk per regio. In Nederland noemt 58 procent hun beleid “zeer effectief”, maar in Spanje bijvoorbeeld geldt dat maar voor 34% van de respondenten.

“Hoewel het goed is dat zoveel organisaties een IoT beveiligingsbeleid voeren, heeft dat niet veel zin zolang je niet weet wat zich werkelijk op je bedrijfsnetwerk afspeelt”, zegt Martin. “Door volledig inzicht te hebben in alle aangesloten apparaten, op het hoofdkantoor of daarbuiten, en door intelligente systemen in te zetten die afwijkingen en potentieel gevaarlijke communicatie van en naar het netwerk detecteren, kunnen beveiligingsteams cybercriminelen tijdig detecteren en tegenhouden.”

Staatssecretaris Mona Keijzer van Economische Zaken en Klimaat (EZK) onderzoekt of het mogelijk is om fabrikanten van IoT-apparaten te verplichten een tijd lang updates beschikbaar te stellen. Dit moet het gebruik van IoT veiliger maken.

Volgens Keijzer zou het goed zijn als verkopers kunnen worden verplicht om software- en beveiligingsupdates aan te blijven bieden voor slimme apparaten, zoals smart tv’s, printers, camera’s, babyfoons en slimme horloges. Consumenten kunnen slimme apparaten daardoor langer en veiliger gebruiken.

Uit onderzoek dat in opdracht van het ministerie is uitgevoerd, blijkt dat veel consumenten onzorgvuldig omgaan met hun slimme apparaten. Daarom is het ministerie van EZK een campagne gestart om consumenten bewust te maken van de risico’s van slimme apparaten in huis.

Acht op de tien mensen die thuis slimme apparaten hebben, zijn zich ervan bewust dat deze apparaten gehackt kunnen worden. Toch handelen de meeste mensen daar niet naar. Zo stelt meer dan de helft van de Nederlanders updates uit of vergeet zij updates uit te voeren.

Geen tijd of geen zin

Mensen blijken hun slimme apparaten niet te updaten omdat zij daar geen tijd voor nemen of geen zin in hebben of omdat zij het te ingewikkeld vinden. “Ik wil dat mensen zichzelf beter beschermen tegen internetcriminelen. Daarom roept de campagne op slimme apparaten in huis direct te updaten en geven we daarover tips.”

Uit het onderzoek blijkt dat één op de zes Nederlanders niet verwacht dat internetcriminelen via hun slimme apparaten zullen inbreken, bijvoorbeeld omdat hun data niet interessant is. Maar dat is een misvatting, aldus de onderzoekers.

De ACM heeft vastgesteld dat de door KPN gehanteerde porteertarieven van 2 euro per nummer en 200 euro per nummerblok niet in overeenstemming waren met het wettelijke vereiste van kostenoriëntatie.

De ACM heeft onderzoek gedaan naar de tarieven die KPN bij andere aanbieders in rekening brengt voor het uitporteren van telefoonnummers, wanneer een eindgebruiker naar deze andere aanbieder overstapt met behoud van zijn telefoonnummer. De kosten die KPN daarvoor rekent, kunnen deze aanbieders rechtstreeks of indirect afwentelen op eindgebruikers. Dit leidt tot hogere tarieven, waardoor overstapdrempels kunnen ontstaan.

Bindende aanwijzing

Op grond van artikel 4.10, zevende lid, onder b van de Telecommunicatiewet moeten deze tarieven kostengeoriënteerd zijn. Dit draagt bij aan het doel om overstapdrempels zoveel mogelijk weg te nemen. De ACM heeft daarom op 29 januari 2019 in een bindende aanwijzing aan KPN opgelegd nieuwe tarieven vast te stellen met inachtneming van de in het besluit uiteengezette principes voor kostenoriëntatie.

Bezwaar KPN

In deze bindende aanwijzing hebben meerdere partijen zich niet kunnen vinden. Zo heeft KPN bezwaar gemaakt tegen de bindende aanwijzing omdat zij vindt dat de tarieven te laag zijn vastgesteld en omdat de ACM geen terugwerkende kracht aan de tarieven had mogen verlenen. Voiceworks en de zijnen hebben bezwaar gemaakt omdat zij vinden dat de ACM de tarieven te hoog heeft vastgesteld en dat de ACM met haar onderzoek verder terug in de tijd had moeten gaan.

De bezwaren van partijen zijn in zoverre gegrond dat de ACM in dit besluit tot de conclusie komt dat KPN haar porteertarieven met terugwerkende kracht dient te corrigeren, teruggaand tot 18 januari 2017. De bezwaren van partijen zijn ongegrond voor wat betreft de hoogte van de door de ACM in de bindende aanwijzing vastgestelde tarieven. Deze tarieven blijven daarmee ongewijzigd.

Bron: ACM