Een hot item de komende twee jaar in de vorm van Schaduw IT 2.0.

Internetverbonden apparaten zijn al overal, maar beginnen nu pas net hun weg te vinden bij Forbes' ranglijst van grootste multinationals. Maar de meeste van deze Global 2000-bedrijven zijn zich niet bewust welke beveiligingsissues ze met nieuwe apparaten introduceren in hun cloud- en IT-omgevingen.

IT weet van niets

Hoe zijn we hier beland? Nou, bijvoorbeeld omdat gebouwbeheersystemen als airco's verouderen en worden vervangen door nieuwe apparatuur. Dat zijn vaak slimme varianten, die informatie verwerken bij het apparaat. Deze nieuwe apparaten zijn vaak kleine computers: compleet met werkgeheugen, data-opslag, connectiviteitsopties en een besturingssysteem.

Het probleem daarvan is dat de aanbesteding van zulke computers veelal buiten IT om gaat: bijvoorbeeld een facilitaire dienst die verwarmingsinstallaties verzorgt, is nu ook in beheer van een computersysteem. Erger nog, de IT-afdeling wordt in veel gevallen niet betrokken bij de aanbesteding of zelfs maar verwittigd dat de apparatuur op het netwerk aangesloten zit.

Erger: security ontbreekt

Ook van apparaten waar IT zich wel van bewust is - dit probleem is bijvoorbeeld op te lossen door alleen gecertificeerde apparaten toe te staan op het netwerk - zijn ook risicovol. Upgrades aan printers, kopieerapparaten, fabrieksrobots en meer maken zulke apparaten veel capabeler dan voorheen, maar al die intelligentie en resources kunnen tegen je worden gebruikt.

Een gebrek aan zicht en beheer is al een probleem als de apparaten nog redelijk zijn beveiligd, maar wordt nog erger omdat er bij veel van deze slimme apparaten nauwelijks is nagedacht over beveiliging. Die IoT-apparaten worden toegangsmogelijkheden voor hackers die op het netwerk binnenkomen en niet alleen wachtwoorden en andere gegevens stelen, maar zelfs toegang kunnen verkrijgen tot cloudsystemen die niet altijd een extra controle uitvoeren op verbindingen die vanuit een organisatie en achter hun firewall komen.

Probleem groeit

Prijs is niet eens een indicator van het beveiligingsniveau: ik zie vaak dat hoe gespecialiseerder en duurder apparaten zijn, hoe groter de kans is dat ze slecht zijn beveiligd. Dit gaat met de verwachtte resultaten in 2020 een groot probleem worden dit en volgend jaar. Meerdere bedrijven zullen eerst de pijn moeten ervaren voor ze ingrijpen.

De correctie die hierna moet volgen is duidelijk: als het apparaat - wat het ook voor iets is - niet hetzelfde beveiligingsniveau biedt als waar de rest van het systeem (en je cloudprovider) van uitgaat, kun je het niet gebruiken.

Vingers in dijken

De meeste IoT-bedrijven verbeteren hun beveiliging en ondersteunen soms zelfs securitybeheer van sommige publieke clouddiensten. Helaas verschijnen dit soort apparaten langzaam, dus de meeste bedrijven rollen uit wat nu beschikbaar is in de markt: IoT-apparaten waar niet goed is nagedacht over beveiliging en waarbij maatregelen niet zijn toegevoegd.

Ik verwacht dat IoT-security helaas de komende jaren een spel blijft waarin IT'ers rond moeten rennen om vingers in dijken te steken, tot het onderliggende probleem is aangepakt. Dat is een slechte zaak. Eindelijk doen we cloudsecurity beter en nu ondermijnen we die hele aanpak met nieuwe thermostaten en kopieerapparaten die al ons harde werk tenietdoen.