‘Internet of Things’ of ‘Internet of Trouble’?

Dankzij Internet of Things praten allerlei soorten slimme apparaten met elkaar. Dat schept ongelooflijke opportuniteiten, maar brengt ook beveiligingsproblemen met zich mee. Ongeacht hoe sterk je je organisatie beveiligd denkt te hebben, toch kan één enkele niet goed beveiligde sensor ervoor zorgen dat de poorten van je bedrijf openstaan. Moeten we Internet of Things dan bannen? Of kunnen we de technologie op een verantwoorde manier omarmen? Kwinten Volckaert, Applications Manager bij Nextel, en Bart Van den Branden, Business Development Manager bij Telenet, tonen tijdens de Beltug X-change aan de hand van valkuilen en best practices hoe Internet of Things veilig kan.

Kwinten Volckaert, Mobile Applications Manager bij Nextel, en Bart Van den Branden, Business Development Manager IoT bij Telenet

Een volledig geautomatiseerde toegangscontrole die de toegang op je bedrijfssite efficiënt en vlot laat verlopen. Heel wat bedrijven zien het graag gebeuren, maar krijgen al hoofdpijn als ze er nog maar aan denken dat er iets fout kan lopen met de beveiliging van het systeem. Wat als de slagbomen gehackt worden? Of de beelden van de camera live te volgen zijn op een of andere malafide website? Is vasthouden aan het traditionele systeem dan niet gewoon veiliger?

Digitale ‘Lara’ doet toegangscontrole

Volys uit het West-Vlaamse Lendelede dacht daar anders over en vond het hoog tijd om de digitale transformatie in het bedrijf door te voeren. De laatste tien jaar groeide de specialist in gevogelteproducten fors: het bedrijf telt nu ruim vierhonderd werknemers. Maar die groei heeft ook een grote impact op de omgeving. Klanten en leveranciers rijden voortdurend af en aan, met heel wat drukte en verkeersproblemen voor de buurt tot gevolg.

Om die problemen op te vangen, werkte Nextel een oplossing uit waarbij Volys op een digitale, gecontroleerde en veilige manier toegang kan verlenen aan personen en voertuigen. Het systeem is nu vier maanden met succes in gebruik. Externe bezoekers moeten zich nu vooraf registreren bij de nieuwe digitale collega ‘Lara’ om toegang te krijgen tot de terreinen. Aan de hand van nummerplaatherkenning wordt voor een snel en vlot verloop gezorgd, waardoor wachttijden of verkeersopstoppingen verleden tijd zijn.

De case van Volys toont duidelijk aan dat het Internet of Things bedrijfsprocessen heel wat efficiënter en eenvoudiger kan maken. Toch zijn veel bedrijven nog weigerachtig om IoT in hun bedrijf te implementeren. Door een aantal wilde verhalen en doemscenario’s heerst er vandaag bij velen nog de perceptie dat IoT onveilig is en dat in een mum van tijd je data te grabbel kunnen komen te liggen. Of: je geeft cybercriminelen de kans om met de deuren van je bedrijf te spelen.

Die wilde verhalen moeten genuanceerd worden. Het klopt dat IoT beveiligingsrisico’s inhoudt. Maar wie weet waar de valkuilen liggen, kan ellende voorkomen. Daarom lijsten we hieronder de belangrijkste risico’s op.

Voor een veilig Internet of Things moeten we rekening houden met drie grote onderdelen van de IoT-keten: het toestel, het netwerk en de applicatie.

Dumpingprijzen en ‘hack the device’

Wie online een slim maar erg goedkoop toestel bestelt, kan maar beter op zijn hoede zijn. Producenten die toestellen aan dumpingprijzen op de markt brengen, nemen het niet altijd nauw met de beveiliging. Veiliger is om voor gecertificeerde toestellen te kiezen, waarbij de leverancier goede contacten heeft met de producent of die laatste een betrouwbaar imago heeft.

Omdat IoT voortdurend in ontwikkeling is, komt het echter vaak voor dat je een volkomen nieuw device nodig hebt. Het is dan belangrijk om de risico’s ervan op voorhand in te schatten en er een ethische hacker op los te laten die de beveiliging voor jou doorlicht. De hacker kan bijvoorbeeld nagaan of cybercriminelen valse info naar het toestel kunnen verzenden en of het wifi-wachtwoord op een onveilige manier tussen de verschillende toestellen gedeeld wordt.

Zo kwam vorig jaar nog aan het licht dat beelden van duizenden beveiligingscamera’s van over de hele wereld live op het internet te volgen waren omdat ze niet voldoende beveiligd waren. Zelfs de exacte coördinaten van de camera’s kon je opzoeken, waardoor de deuren niet alleen wijd openstaan voor cybercriminelen, maar ook voor dieven.

Stevig netwerk is de basis

​Ook de veiligheid van het netwerk moet op punt staan. Het is mogelijk om eenvoudig en snel het huidige bedrijfs-wifi-netwerk te hergebruiken om je IoT-toepassingen te implementeren, maar dan maak je het cybercriminelen erg makkelijk. Want als één toestel geïnfecteerd geraakt, is het makkelijk om ook de andere te besmetten waardoor een groot deel van je infrastructuur ziek wordt. In 2016 raakten met Mirai 600.000 IoT-apparaten besmet en werden ze misbruikt door malware om een deel van het internet plat te leggen. Sindsdien zijn er vele nieuwe varianten opgedoken.

Daarom is het verstandiger om te werken met een Operationele Technologie (OT)-netwerk of Virtual Private Network(VPN)/Access Point Name(APN). Via een OT-netwerk ga je het netwerk opdelen in verschillende virtuele zones of segmenten dat een mogelijk virus kan opsluiten. Bij VPN/APN krijg je dan weer een veilige tunnel waarbij data zo wordt ingepakt dat gluurders niet weten van wie het datapakket komt en waar het heen gaat.

Op maat

Ten slotte is er nog de software of de applicatie: die vraagt een sterke beveiliging, want via deze weg wordt het vaakst ingebroken. Je kan voor een ingebouwde applicatie kiezen waarbij de sensor samen met het platform komt om de monitoring en het management te doen. Maar je hebt dan geen controle over de data, weet niet waar die opgeslagen wordt of wie er toegang toe heeft. Daarom kies je liever voor een custom development-applicatie, waarbij je een oplossing op maat maakt. Dat neemt misschien meer tijd in beslag, maar het is veel duidelijker waar je data zich bevinden en wie eraan kan. Een nog veiligere manier is om op maat te werken via een bestaande template. Je creëert een oplossing op maat, maar gebruikt ook standaardcomponenten die in het verleden al uitvoerig getest zijn, waardoor de ontwikkeling ook sneller kan.

De ontwikkeling van Internet of Things tegenhouden of negeren, is onmogelijk. Maar het mag duidelijk zijn dat we de beveiliging ervan niet mogen onderschatten. Wie de risico’s en valkuilen beter begrijpt, zal de doemscenario’s ook beter kunnen plaatsen. Investeer dus voldoende in de beveiliging en in de kennis van een expert. Vergelijk het met het elektriciteitsnet of de gasaansluiting in je huis: daar begin je ook niet aan zonder de nodige expertise.