Nul
Er zijn miljarden aangesloten apparaten in gebruik over de hele wereld, in onze huizen, kantoren, zelfs in ons lichaam, zoals medische apparaten zijn aangesloten op een steeds groeiende internet of things (IoT).
Leveranciers rush toe te voegen aan het assortiment van apparaten die beschikbaar zijn, met veel op zoek te winnen van een greep in de markt zo snel mogelijk, het leveren van goedkope, eenvoudig te gebruiken apparaten in de handen van de gebruikers.
Maar deze rush naar de markt vaak komt op een kostprijs, met cyber security, krijgen vaak weinig of geen aandacht als de fabrikanten op zoek naar de eerste de aangesloten apparaten. Dat heeft vaak geleid tot apparaten raken van de markt en verkopen in grote aantallen eenheden, alleen om ontdekt te worden om volledig onzeker.
Apparaten, variërend van IP-camera ‘ s, speelgoed voor kinderen en smart home hubs bevatten belangrijke kwetsbaarheden die kunnen misbruikt worden om te spioneren met behulp van de IoT apparaat als een toegangspoort in het netwerk voor het plegen van cyber misdaden. Het grote aantal onzekere IoT apparaten op de markt was ook een belangrijke factor achter de Mirai botnet-aanval van late-2016, wat leidde tot een enorme Distributed Denial of Service (DDoS) – aanval die van invloed op grote delen van het internet.
Dat incident bleek de schade onzeker IoT apparaten kunnen doen — en overheden over de hele wereld hebben inmiddels gestart met het onderzoeken van hoe te zorgen voor de aangesloten apparaten zijn beter beveiligd.
In de laatste maand van Europol, de Europese Unie, het politiebureau, en ENISA, het Europees Agentschap voor Netwerk-en informatiebeveiliging, hielden hun IoT security conference op het hoofdkwartier van Europol in den Haag, om het probleem te bespreken met de industrie-en hoe om te gaan over het beveiligen van de IoT, voordat het te laat is.
“Er zijn vele spannende mogelijkheden voor onze burgers, voor de digitale samenleving, voor bedrijven en ook een enorme economische kans voor Europa om deel te nemen aan dit,” zegt Wil van Gemert, adjunct-executive director operations bij Europol op de Dingen. Maar er zijn al tekenen dat de dingen erger worden.
“Er is ook criminele kans, want van het Internet der Dingen. We hebben gezien een aantal voorbeelden van deze, maar het potentieel is nog te wachten,” zegt hij. “Het is een kwestie van tijd voordat er een verschuiving in de richting van een toename van de IoT-gerelateerde aanvallen.”
Een van de grote problemen met de IoT beveiliging is dat gebruikers hebben vaak geen idee dat hun apparaat is gehackt of geïnfecteerd is met malware — of dat dit kan zelfs gebeuren.
ZIE: Wat is het IoT? Alles wat u moet weten over het Internet van de Dingen die nu
In veel geval-apparaten worden gekocht, aangesloten en gewoon vergeten. Ze ontvangt geen updates zijn, worden ze niet standaard wachtwoorden veranderd en niemand zal het merken als hun smart-ketel wordt gebruikt voor het uitvoeren van DDoS-aanvallen, of dat het moet veiligheid in de eerste plaats. Criminelen weten dit en willen exploiteren.
“Hyper-connectiviteit betekent ook hyper-bedreigingen. Het betekent dat de bedreigingen van de veiligheid die groter, sneller, slimmer. Dus net als met elke nieuwe positieve ontwikkeling, komt er een donkere kant en de uitdaging is dat deze bedreigingen kunnen zich voortplanten in schalen en met de gevolgen die waren ongekend,” zegt Miguel Gonzalez-Sancho, plaatsvervangend hoofd van de eenheid ICT en Inclusie van de Europese Commissie.
IoT is de beveiliging van een “zeer ernstige gebied” voor de Europese Commissie, zegt hij, met het argument dat de samenwerking binnen de Europese Unie is de sleutel tot het oplossen van het probleem.
“De mogelijkheden op cyber security verschillen binnen de Europese van de ene toestand naar de andere, van de ene sector naar de andere, dat maakt ons kwetsbaar als een hele unie. We moeten meer cyber veerkrachtig en zorgen voor een betere reactie op de cyberaanvallen. Cyber security is nu op het hoogste niveau van de Europese agenda en elke staat die betrokken zijn vandaag de dag,” zegt hij.
Maar dat betekent niet dat het probleem ergens in de buurt worden opgelost. Er zijn al vele miljoenen apparaten die er beheerd wordt door gebruikers die niet weten dat ze nodig hebben extra veiligheid. Maar er zijn lessen die hier geleerd heb van soortgelijke predicaments in het verleden.
“Sprekende over de IoT op een conferentie als deze, helaas voel ik me heel oud. Het brengt me terug naar het midden van de jaren 1990,” zegt Steve Purser, hoofd van de Kern van de Afdeling Operations bij ENISA.
“Wat me opviel is hoe vergelijkbaar zijn de problemen waren we te maken hadden met dan de exemplaren die we hebben te maken met nu. We hebben enkele oplossingen als we het uitvoeren van deze spullen en we lopen het veilig op het geheel, we hebben een aantal sprongen vooruit. Maar als je kijkt naar de essentiële problemen van het beveiligen van sterk gedistribueerde systemen, niet veel is veranderd in de afgelopen 25 jaar”, zei hij.
Er zijn enkele pogingen op het beveiligen van het Internet van de Dingen, voorstellen, zoals de BRITSE regering secure by design richtlijnen, en er zijn ENSIA richtlijnen-maar geen van deze zijn verplicht. Het kan zijn dat de wetgeving wordt de weg vooruit in de toekomst.
“We hebben een eerste poging tot het opstellen van wetgeving IoT, dus laten we zien hoe het gaat. ENISA is te duwen voor een “soft law”, een best-practice aanpak. Wij zijn voorstander van deze benadering-het is economisch meer redelijke, meer flexibele — en op het einde van de dag kunt u altijd wetgevend optreden later,” zei de Purser.
Het kan ook betekenen dat consumenten moeten meer betalen om zodoende de aandacht te verschuiven IoT veiligheid langs het juiste pad.
“We moeten in de elektronische common sense’ — een of andere manier moeten we mensen opleiden om te leven in de elektronische wereld op een intuïtieve manier. Wanneer je de weg oversteekt, het is intuïtief te kijken om te zien of het verkeer komende — je hoeft niet tot het volgen van een procedure of iets, je weet gewoon niet wat te doen,” zegt Purser.
Om naar dat punt, consumenten en bedrijven zullen moeten leren wat te verwachten van een veilige IoT apparaat en om te zien dat door het uitgeven van een beetje extra, en niet gaan voor het goedkoopste product, wij kunnen u helpen de veiligheid te verbeteren voor iedereen.
“De traditionele beveiliging is heel goed bekend en we hebben goede manieren van omgaan met it, maar IoT zet die op zijn kop en dat is een probleem. Het introduceert dingen in traditionele structuren die we niet gewend zijn, en als we niet over na te denken goed te zijn, worden ze veel punten van kwetsbaarheid”, zegt Purser.
Iemand kan bijvoorbeeld het installeren van een IoT security camera maar niet realiseren dat de slechte beveiliging van het apparaat houdt wat de camera te kijken naar het potentieel heeft om gezien te worden door anderen of op internet uitzenden.
“Mensen hebben niet de reflexen om te denken dat dit is een apparaat dat is krachtig en kan een aantal van de dingen die ze niet aan gedacht hebben, ze gewoon inpluggen en spelen,” zegt Purser.
Europol en ENISA regelmatig uitvoeren van campagnes om het publiek te informeren over de kwestie met het idee om ervoor te zorgen dat ze meer op de hoogte bij het maken van beslissingen met Dingen.
“Als mensen zijn zich niet bewust van de dreiging, dan zijn ze niet van plan om vragen te stellen over deze. Wat we wel doen is het verhogen van het bewustzijn bij de consument, dan gaan mensen de vragen stellen,” zegt Steven Wilson, hoofd van Europol Cybercrime Centre, EG3.
“Dan verkopers zal het ontwerp van goederen aan een bepaalde minimum-standaard en de consument zal proberen dat dan op zoek naar iets dat is goedkoper, maar biedt geen zekerheid.”
Een deel van het probleem is dat de economie van de verkoop van de technologie en de economie van de veiligheid niet in lijn zeer goed.
“Wereldwijd hebben we een zeer slecht begrip van de economie van cybersecurity. Er is een business case te overspoelen de markt met onveilige apparaten, helaas-maar het werkt en mensen maken een hoop geld,” zegt Wilson.
Het apparaat verkopers zijn niet de enigen die geld verdienen aan de slechte staat van de IoT beveiliging — er zijn tal van cyber criminelen die zijn meer dan blij om het te gebruiken als een cash cow.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Het Mirai DDoS-aanval was niet een eenmalige — aangetast IoT apparaten die regelmatig worden gebruikt voor het uitvoeren van denial of service-aanvallen; wannabe aanvallers kunnen betalen degenen die het uitvoeren van deze diensten zo weinig als een paar dollar om overbelasting van websites.
Zelfs als elke IoT apparaat bouwen van nu af aan is gebouwd met veiligheid als hoogste prioriteit, er is nog steeds de giftige erfenis van apparaten die zijn uitgebracht, met weinig aandacht in de beveiliging — en in sommige gevallen is het niet mogelijk te voorzien van updates of correcties op deze producten.
Dat op zich zou kunnen betekenen dat organisaties moeten onderzoeken hoe om te veranderen hoe netwerken werken, zodat oudere, kwetsbare apparaten kunnen verbonden blijven.
“We hebben een groot aantal onveilige eindpunten. We moeten de ontwikkeling van de router-niveau beveiliging van meerdere eindpunten als een oplossing voor retrospectieve apparaten die niet of nooit veilig,” zegt Wilson.
Maar één ding is zeker — consumenten, organisaties en leveranciers niet zomaar kunt negeren dit probleem omdat IoT veiligheid is een probleem dat aangepakt dient te worden nu.
“Voor de eerste keer hoor ik mensen praten over Dingen als iets van vandaag, niet iets van morgen. Dit is een heel goed bericht, want het is zeker niet iets van morgen, we hebben te maken met het als we spreken,” zegt Purser.
“Het probleem als mensen praten over Dingen als het morgen, het wordt ons uit de haak te hebben om het te doen op de dag van vandaag en dat is geen goede zaak”.
LEES MEER OVER CYBER SECURITY
Het beveiligen van de IoT: Een vraag van ‘checks and balances’ Hoe veilig is uw Ivd-apparaten van botnets en andere bedreigingen TechRepublic Een Internet van Dingen ‘misdaad oogst’ op komst is, tenzij security problemen zijn opgelost IoT aanvallen worden steeds slechter, en niemand luistert CNET Tien van de beste praktijken voor het beveiligen van het Internet van Dingen in uw organisatie
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0