WatchGuard: Een veilig IoT is binnen handbereik

MARC LALIBERTE VAN WATCHGUARD TECHNOLOGIES

Van slimme thermometers die inloggegevens lekken tot stuurloze auto’s en digitale assistenten die stiekem gesprekken opnemen. Onveilige Internet of Things-devices zorgen regelmatig voor security-incidenten. Volgens Marc Laliberte, senior securityanalist bij WatchGuard Technologies, is er echter geen reden tot paniek. “De oplossingen voor een veilig gebruik van het IoT zijn voorhanden.”

 

Zowel de vraag naar als het aanbod van IoT-devices neemt explosief toe. Die populariteit heeft volgens Laliberte ook een keerzijde. Op een markt met veel aanbieders is concurrentie op prijs onvermijdelijk. Het gevolg daarvan is dat security in de ontwerpfase te weinig aandacht krijgt. ”Dat verklaart waarom we devices tegenkomen met verouderde Linux-versies, standaard wachtwoorden of settings die niet te wijzigen zijn.”
De gevolgen van die gebrekkige aandacht voor security komen bijna dagelijks in het nieuws. Zo waarschuwde een beveiligingsonderzoeker in april van dit jaar dat twee miljoen IoT-apparaten door een lek in de gebruikte p2p-software toegankelijk zijn voor onbevoegden. De kwetsbaarheid zou met name zitten in beveiligingscamera’s, slimme deurbellen en babymonitors. Andere onderzoekers waarschuwden voor lekken in infuuspompen die hackers in staat stellen om de controle over de apparaten over te nemen.

Oplossingen en kennis paraat

Marc Laliberte

Toch wil Laliberte de kwetsbaarheden in IoT-devices in perspectief plaatsen. “De zwaktes zijn vervelend, maar het is geen nieuw verschijnsel. Eigenlijk zien we dezelfde problemen die voor computers en randapparatuur in de jaren ’90 van de vorige eeuw golden. Het grote verschil met toen is dat we tegenwoordig de oplossingen en kennis paraat hebben om de kwetsbaarheden te bestrijden.”

“Wat security- awareness betreft hebben we nog een lange weg te gaan”

Voor een veilig gebruik van het IoT adviseert Laliberte gebruikers om onder andere de volgende stappen te zetten:

1 IoT-devices inventariseren “Het eerste wat een gebruiker, of zijn IT-dienstverlener, moet doen is inventariseren wat er in het netwerk aan IoT-devices is opgenomen.” Zonder dit inzicht is het beveiligen van het IoT onmogelijk.

2 Netwerk segmenteren “Na de inventarisatie kan worden overgegaan tot het beter segmenteren van het netwerk”, vervolgt Laliberte. “Gebruikers kunnen dan verkeer van en naar delen van het netwerk waar IoT-devices actief zijn gericht filteren en verscherpt monitoren.”

3 Awareness bevorderen Doordat gebruikers de risico’s van het IoT vaak niet kennen, worden bovenstaande stappen in veel gevallen overgeslagen. “Het ontbreekt aan awareness. Wat dat betreft hebben we nog een lange weg te gaan”, constateert Laliberte.

4 Security-eisen formuleren Voor gebruikers moet het bijvoorbeeld mogelijk zijn om ieder IoT-device van een uniek wachtwoord te voorzien, en alle mogelijke beveiligingsinstellingen moeten standaard aan staan. “Dit zijn eisen die aan een leverancier mogen worden gesteld”, vindt Laliberte. Om bij producenten af te dwingen dat connected devices aan de minimumeisen voldoen, kan wetgeving noodzakelijk zijn. Deze noodzaak wordt ook onderkend. Zo voorziet de EU Cybersecurity Act in een (voorlopig vrijwillige) certificering voor veilige IoT-apparaten. “Door wetgeving weten verkopers en kopers waar ze op moeten letten. Echt slechte devices zullen daardoor van de markt geweerd worden.”

5 Ervaringen delen “Betere devices en awareness zijn heel belangrijk, maar als WatchGuard weten we ook dat het delen van ervaringen bijdraagt aan meer kennis over IoT”, besluit Laliberte. “We komen daarom graag in contact met resellers en installateurs die positieve of negatieve cases van IoT-deployments in zakelijke omgevingen kennen en deze met de markt willen delen.

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine 2019, nummer 4/5]

Lees het artikel hier in PDF