In 2018 was er een hele discussie over KNX-systemen, een standaard voor het automatiseren van gebouwen en woningen. In Nederland zouden ruim 1.300 KNX-systemen zijn die eenvoudig te hacken zijn. De fout lijkt vooral veroorzaakt te zijn door bepaalde installateurs want bij de installatie wordt nog wel eens vergeten om rekening te houden met security- en privacy-instellingen van de systemen.
Ook veel huis-tuin-en-keukenelektronica zoals een connected deurbel, beveiligingscamera of de zonnepanelen die via de smartphone te bedienen zijn, zijn vaak een zwakke plek in thuis- of bedrijfsnetwerken. Een veel gemaakte fout is het niet veranderen van standaard wachtwoorden of het niet installeren van software-updates.
Toch schuilt het gevaar veel dieper in de maatschappij dan dat. Ook veel industriële IT-systemen, de zogenoemde Industrial Control Systems en Supervisory Control and Data Acquisition netwerken (ICS/SCADA) blijken vaak kwetsbaarheden te bevatten die door criminelen misbruikt kunnen worden. Als hackers toegang krijgen tot dergelijke systemen kunnen ze mogelijk controle krijgen over kritieke infrastructuur, zoals de bediening van bruggen en sluizen.
Een veelgemaakte fout is het niet veranderen van standaard wachtwoorden of het niet installeren van softwareupdate
Veel kwetsbaarheden
Het wetenschappelijk onderzoekscentrum van de overheid, WODC, kwam in augustus met een rapport waarin staat hoe het gesteld met is kwetsbaarheden in dergelijke industriële systemen. “De onderzoekers hebben aangetoond dat het relatief gemakkelijk is om via het internet ICS/SCADA-systemen te lokaliseren. De onderzoekers wisten rond de duizend ICS/SCADA-systemen in Nederland te lokaliseren. Ongeveer zestig van de gevonden systemen bevatte één of meerdere kwetsbaarheden.” En het aantal kwetsbaarheden kan in werkelijkheid nog hoger liggen omdat de onderzoekers alleen hebben gekeken naar reeds bekende kwetsbaarheden, en niet naar zero-day-lekken (waarvoor nog geen patch beschikbaar is).
Overigens zijn de zorgen over slecht beveiligde industriële IT-systemen al langer bekend. Het Nationaal Cyber Security Centrum (NCSC) heeft in 2015 al twee keer gewaarschuwd voor dergelijke pijnpunten.
Security by design
Hoe organisaties op een veilige manier gebruik kunnen maken van IoT-apparaten, is een jaar geleden uitgelegd in een document van het Centrum voor Informatiebeveiliging en Privacybescherming (CIP). Wat het veilig gebruik van IoT moeilijk maakt, is dat de gebruiker veelal geen of beperkte invloed heeft op de beveiligingsmaatregelen die zijn ingebouwd of die met het apparaat worden meegeleverd.
Het CIP heeft daarom een soort stappenplan opgesteld waarmee organisaties de IoT-beveiliging kunnen verbeteren (zie kader). Het principe ‘security by design’, waarbij al vanaf de eerste ontwerptekening van een product wordt nagedacht over de beveiliging, blijft voorlopig het beste uitgangspunt. Helaas wordt dit door veel producenten genegeerd omdat ze hun producten snel op de markt brengen, desnoods met minder goede beveiliging.
IoT beveiligen is moeilijk omdat de gebruiker geen invloed heeft op de beveiligingsmaatregelen die in een apparaat zijn ingebouwd
Dus blijft IoT-beveiliging toch een kwestie van inventariseren, analyseren en concrete beschermende maatregelen nemen. En wanneer je niet weet welk apparaat op je netwerk wordt gebruikt of als het niet te patchen is, dan luidt het advies de IoT-apparaten achter een gateway plaatsen zoals een (extra) firewall.
Veilig gebruik van IoT-apparaten kan met de volgende stappen:
Stap 1: Begin door alle disciplines vanuit hun kennis en kunde erbij te betrekken, zodat zij medeverantwoordelijk worden gemaakt voor een veilige inzet van IoT;
Stap 2: Breng het ecosysteem van kansen en risico’s in kaart;
Stap 3: Analiseer de beveiligingsrisico’s van het ecosysteem;
Stap 4: Voer standaard beveiligingsmaatregelen door in de delen van het ecosysteem;
Stap 5: Implementeer compenserende maatregelen voor de resterende zwakke plekken binnen het ecosysteem.
[Dit artikel is eerder gepubliceerd in het Security Dossier 2019]