Onderzoek: ‘endpoints zijn zwakste schakel in IoT-beveiliging’

Organisaties hebben vaak tegenstrijdige en onrealistische verwachtingen van de beveiliging van Industrial Internet of Things (IIoT). Endpoints worden gezien als de zwakste schakel in beveiliging, maar er bestaat verwarring rond dit begrip.

Die conclusie staat in het 2018 SANS Industrial IoT Security Survey Report, dat vraagstukken in kaart brengt over de beveiliging van het snelgroeiende gebruik van het IIoT. Het IIoT is het onderdeel van Internet of Things dat zich bezighoudt met verbonden apparaten binnen vitale infrastructuren in de energiewereld, maakindustrie, olie- en aardgasindustrie, transportwereld en gezondheidszorg. Volgens prognoses zal het aantal IoT-apparaten verdrievoudigen van 23,14 miljard in 2018 tot 75,44 miljard in 2025.

In het onderzoeksrapport staat dat bedrijven komende jaren een toename verwachten in het aantal verbonden apparaten van 10 tot 25 procent. Hierdoor zal het aantal systemen waarmee IIoT-apparaten zijn verbonden grofweg elke drie tot zeven jaar verdubbelen. De complexiteit van netwerken neemt daardoor toe, net als de behoefte aan bandbreedte en de vraag beveiliging, ontwerp, implementatie en beheer van IIoT-systemen.

De helft van de ruim 200 respondenten bestempelt data, firmware, ingebedde systemen en endpoints in het algemeen als de kwetsbaarste aspecten van hun IIoT-infrastructuur. Tegelijkertijd blijkt dat er nog steeds geen overeenstemming is bereikt over de exacte definitie van de term ‘endpoint’.

Doug Wylie, directeur Industrials & Infrastructure Business Portfolio bij het SANS Institute: “De verschillende definities die in de omloop zijn dragen bij aan verwarring over de verantwoordelijkheid voor de IIoT-beveiliging. Het lijkt erop dat veel beveiligingsprofessionals de talloze apparaten die op de een of andere manier een verbinding met het netwerk maken niet op adequate wijze identificeren en beheren. Dit levert gevaren voor hun organisatie op. Om deze reden is het belangrijk voor IT- en OT-teams om overeenstemming te bereiken over een gemeenschappelijke definitie. Daarmee kunnen ze op adequate wijze beveiligingsrisico’s identificeren terwijl zij hun systemen aanpassen aan nieuwe architectuurmodellen.”

Overige zorgen rond IIoT-beveiliging zijn:

  • 32% van alle IIoT-apparaten maakt rechtstreeks een verbinding met het internet en omzeilt daarbij traditionele beveiligingslagen
  • Bijna 40% van alle respondenten ziet het in kaart brengen, bewaken en beheren van apparaten als een forse beveiligingsuitdaging
  • Slechts 40% zegt patches en updates te installeren om hun IIoT-apparaten en systemen veilig te houden
  • 56% ziet complexe patchprocessen als een van de grootste uitdagingen op beveiligingsgebied.
  • Het onderzoeksrapport wijst daarnaast op sterke verschillen in de perceptie van IIoT-beveiliging tussen het OT-team, IT-team en het management. Slechts 64% van alle OT-afdelingen zegt vertrouwen te hebben in hun vermogen om de IIoT-infrastructuur te beveiligen, ten opzichte van 83% van alle IT-afdelingen en 93% van alle zakelijke besluitvormers.

“Het rapport wijst op sterke verschillen tussen organisaties wat betreft hun vertrouwen in het beveiligingsgehalte van het IIoT”, zegt Barbara Filkins, analyst programme research director bij het SANS Institute en auteur van het onderzoeksrapport. “Deze discrepantie wijst op de noodzaak van een ingrijpende culturele verandering binnen industriële bedrijven wat betreft hun benadering van beveiligingsrisico’s rond het IIoT.”