De security-nachtmerrie is lastig te vermijden als we naar endpoints blijven kijken.

Iedereen die iets te maken heeft met het IoT, van fabrikanten, tot netwerkproviders, tot implementatiespecialisten en klanten zelf, draagt bij aan het verbeteren óf verslechteren van IT-beveiliging, zo zegt Palo Alto Networks-hoofdontwikkelaar Jamison Utter op conferentie Security of Things World.

Niet ontworpen voor beveiliging

"In de media richt de aandacht zich vooral op consumenten, want dat zijn de mensen die de artikelen lezen en de items kijken", zegt Utter. "Maar ze denken vaak niet na over bedrijf dat de consumentenapparaten heeft gemaakt, de 10.000 of 20.000 robots en sensoren die het allemaal mogelijk maken."

Dat er beveiligingsproblemen zijn is inmiddels breed bekend. De ontwikkelaar vergelijkt het met Windows 95, wat simpelweg niet ontworpen was voor het grote netwerktijdperk dat volgde en daardoor tegen beveiligingsissues aanliep waar Microsoft geen rekening mee had gehouden. "Nu hebben we opnieuw te maken met simplistische OS'en die draaien op simpele hardware - die beide niet zijn ontworpen voor security."

Gezamenlijke verantwoordelijkheid

IoT-beveiliging is niet veel anders dan het beveiligen van iedere andere categorie van apparaten, stelt Utter. Het verschil zit hem in de schaal van de hoeveelheid apparaten en hun beperkte rekenkracht die de taak een uitdaging maken.

"Zou je hetzelfde beveiligingsniveau willen van een hele auto als van een deursensor? Nee, dat zou niet toepasselijk zijn, omdat het een asset is met een andere waarde. We moeten accepteren dat verschillende endpoints verschillende beveiligingsniveaus hebben."

Je krijgt te maken met een lappendeken aan beveiligingsimplementaties op het apparaat zelf, binnen het netwerk, met de data in de cloud en onderweg, en meer. "We moeten ons daarom richten op een zo holistisch mogelijk security-ontwerp, in plaats van dat we dit over de heg gooien naar de volgende persoon die ermee te maken krijgt."

Niet op endpoints richten

Volgens de ontwikkelaar is het netwerk een logische plek om IoT te beveiligen en grotendeels is dat omdat het economisch logischer is: sommige endpoints kunnen niet voldoende worden beveiligd zonder een onevenredige investering in de clients. Als het te veel kost om sterk beveiligde endpoints aan te schaffen, gaat het hele model over waardetoevoeging door IoT onderuit.