Waar je tegenwoordig ook kijkt, de snelheid waarmee wij nieuwe wearables, smart devices voor thuis of connected cars aanschaffen, is indrukwekkend. Volgens Gartner waren er in 2015 wereldwijd bijna 5 miljard IoT-devices in gebruik en de totale uitgaven kwamen daarbij uit op 1,2 biljoen USD. Voor veel bedrijven is het IoT dan ook een lucratieve business. Maar dat is het ook voor hackers die zich ineens op een enorm speelveld bevinden. Dat bewees bijvoorbeeld een aanval van een Mirai Botnet op DNS-serveraanbieder Dyn afgelopen jaar.

Hoe verandert het IoT het gedrag van hackers?

Hoe meer bedrijven en consumenten apparaten gebruiken die op het internet zijn aangesloten, hoe meer doelwitten er zijn voor potentiële criminelen. Een vlaggenschip van het IoT is de auto die is verbonden met internet: de connected car. Gartner ziet het potentieel groeien tot 250 miljoen connected cars in 2020.

Maar in 2015 hebben twee veiligheidsonderzoekers al bewezen dat deze auto's ook kwetsbaar zijn voor hacks. In hun veldonderzoek wilden de onderzoekers toetsen of het mogelijk is om een connected SUV tijdens een rit van buitenaf te hacken. Met succes kregen zij de controle over de airco, radio, versnellingsbak en de remmen. In 2016 lukte het een ander team van veiligheidsonderzoekers om een vergelijkbare coup uit te voeren. Van een afstand namen ze de controle over van enkele functies van een elektrische auto.

Gevaar door social engineering

Wat betreft de diefstal van bedrijfs- en privégegevens maken IoT-hackers waarschijnlijk steeds meer gebruik van hacks via de IT-infrastructuur. Daardoor kunnen zij zich schuilen achter legitieme netwerkbronnen en zijn ze moeilijk te traceren. Wearables zijn hier een belangrijk doelwit. Voor criminelen is het vaak makkelijk om dergelijke apparaten te hacken via social engineering: ze vervalsen inlogschermen om gebruikersdata over te nemen en zorgen er zo voor dat gebruikers malware installeren.

Mobiele apparaten zijn ook in de toekomst doelwit nummer een vanwege hun groeiende verkoopcijfers. De meeste mensen slaan niet alleen veel persoonlijke info op hun smartphones of tablets op. Veel apparaten worden ook op de werkplek gebruikt, zijn verbonden met het bedrijfsnetwerk en bevatten soms ook gevoelige bedrijfsinformatie. Daardoor zijn dit uitnodigende doelwitten voor hackers.

Smart-city-initiatieven staan voor eenzelfde probleem. Ze bieden consumenten en bedrijven vele voordelen op het gebied van agility, flexibiliteit en efficiëntie. De kritieke netwerkstructuren van een smart city worden aan dezelfde IoT-bedreigingen blootgesteld. Zo worden elektriciteitsnetwerken of stroomcentrales die met het internet verbonden zijn ook een doelwit voor aanvallen. Zo was bijvoorbeeld Stuxnet een malware die speciaal tegen kritieke infrastructuren werd ingezet.

Hoe kun je nieuwe gevaren vermijden?

Ook al klinkt het afgezaagd, de basis van een succesvolle IT-security bestaat nog steeds uit waakzaamheid en vooruitdenken. De technieken veranderen wel, maar de basisfilosofie blijft hetzelfde.

Omdat gegevens zich binnen de wereld van IoT door verschillende netwerken en rekencentra bewegen, moet deze filosofie ook toegepast worden op de bescherming van gegevens. En niet pas wanneer deze op een apparaat komen te staan. Mobiele apparaten wisselen net zo vaak van netwerk, daarom moeten ook deze data zorgvuldig beveiligd zijn. Om data zo veilig mogelijk te houden, is het noodzakelijk om beveiligde interfaces te hebben.

In de toekomst zou ook een andere oplossing een rol kunnen spelen: machine learning. Machine learning vormt nu al een helpende hand bij het voorspellen van veiligheidsincidenten en zou de meeste succesvolle preventieve methode zijn om misdaden tot een minimum te beperken. De gebieden binnen de IT-infrastructuur waarin hackers proberen in te breken, helpen organisaties bij het beschermen van hun data en systemen.

Organisaties die voor hun IT- en bedrijfsstrategieën het IoT gebruiken, moeten zich absoluut focussen op security. Tot 2018 krijgt 66% van alle netwerken met een IoT-beveiligingsprobleem te kampen en 10% van alle cyberaanvallen heeft expliciet IoT-systemen als doelwit, volgens onderzoeksbureau IDC.

Niet alleen het netwerk moet worden beveiligd, maar ook de apparatuur

De toename van apparaten die op het internet zijn aangesloten, vereist dat organisaties richtlijnen voor identificatiecontroles invoeren. Deze moeten onafhankelijk zijn van welke toepassingen er worden gebruikt, op welke gevoelige data deze aanvallen gedaan worden en hoe waarschijnlijk een aanval op dit punt is.

Controlecijfers en analyses kunnen bijdragen aan het vaststellen van de sterkte van het verificatieproces en de beveiligingseisen, om ieder afzonderlijk apparaat zo goed mogelijk te beveiligen. Bij gevoelige data is het daarentegen zinvol om wederzijdse verificatieprocessen te gebruiken waarbij van beide kanten de identiteit bevestigd moet worden.

Het IoT is gekomen om te blijven. Met zo veel verbonden apparaten die deels veel gevoelige informatie bevatten, moet voor bedrijven de veiligheid absoluut bovenaan staan. Zij moeten ervoor zorgen dat hun voorzorgsmaatregelen ook voldoen aan de eisen van het netwerk van morgen.