IT-managers hebben stilaan de BYOD-trend omarmd maar intussen duikt de volgende generatie toestellen en sensoren op in het bedrijfsnetwerk. Hoe ga je daar mee om ? Omarmen en vooral niet wegjagen, horen we bij experten.
Met 25 miljard zijn ze in 2020. Dat is het aantal toestellen dat Gartner binnen vijf jaar verwacht. Kleiner, fijner, onzichtbaarder, maar wel verbonden met uw toestellen en dus ook met uw (bedrijfs)netwerk. Maar tegelijk moet dat netwerk veilig blijven. “Je moet werknemers daarom wijzen op hun verantwoordelijkheid”, zegt Luc Costers, country manager VMware Belux. “Maak een onderscheid tussen hun thuisomgeving en het beveiligde netwerk waar de it-afdeling de aanwezige toestellen kan beheren.” Het alternatief is, net als bij laptops en smartphones, dat werknemers het stiekem doen. “De geschiedenis gaat zich herhalen, in de jaren negentig ontdekten bedrijven al dat mensen hun eigen server in de kast hadden staan.” “Vroeger waren het draadloze access points, morgen zijn het koelkasten en uurwerken”, gaat Xavier Duyck van beveiligingsbedrijf Checkpoint verder. “Het risico naar interne veiligheidsinbreuken wordt groter, dus je moet awareness creëren.”
Al moeten we er zelf bij nuanceren dat er vandaag nog geen overrompeling van smartwatches en andere toestellen aan de gang is. “Het is vandaag nog te vroeg”, zegt Duyck. “Maar het speelt wel in de industrie. Alle toestellen worden goed beveiligd, cruciale toestellen zijn afgesloten van de buitenwereld, en dan vergeten ze dat hun waterpomp verbonden is met het netwerk en dus kan gehackt worden om dingen in gang te zetten. Het gevaar zit hem vandaag in industriële toestellen.”
HET INTERNET DER BOTS
Dat de things op het internet gehackt kunnen worden, geeft criminelen ook nieuwe wapens, of beter gezegd meer wapens. “We zien sinds september op ons platform meer DDoS-aanvallen met meer IoT-toestellen”, zegt Tim Vereecken, senior solutions engineer bij netwerkspecialist Akamai. “We zagen de eerste in september 2014 en nu zijn ze goed voor 15 procent van het aantal SSDP floodings.” (SSDP staat voor Simple Service Discovery Protocol en is de basis van het Plug&Play (UPnP) protocol, nvdr). “Dat er een camera met zicht op je tuin wordt gehackt is nog niet het ergste, maar die toestellen kunnen binnenkort worden ingezet als pion in een botnet.”
Het potentieel daarvan is volgens Vereecken groot. “In december zagen we een aanval van 106 Gigabits per seconde op ons netwerk. Met zo’n aanvalskracht kan je heel wat sites of datacenters in België platleggen.”
IoT in botnets vertaalt zich ook in een breder aanbod voor de criminele markt. “De commercialisering van botnets vergroot,” zegt Vereecken. “Je betaalt met Bitcoin voor een aanval op maat. Tien minuten aan 10 gigabits per seconde is goedkoper dan een half uur aan dertig gigabits per seconden. Daar is men ook voortdurend op zoek naar meer bots. Het aanbod wordt groter door IoT en dus zakt de prijs. Daarom verwachten we ook meer aanvallen die gebruik maken van botnets en IoT is daar een deel van. Vroeger zagen we die netwerken vooral vanuit Azië opereren, maar met IoT is er in elk land een potentieel botnet. Op dat moment zou buitenlands verkeer afsluiten ook niet meer werken.” Daarbij benadrukt Vereecken dat Nederland vandaag veel meer DDoS-aanvallen kent dan België, maar dat zou wel eens kunnen veranderen als internetgeconnecteerde toestellen goedkoper en populairder worden in ons land.
Het probleem bij IoT is dat je als gebruiker vaak niet weet dat het toestel gehackt is, of te hacken valt. “Bij een pc of smartphone kan je dat nog merken als het toestel traag gaat en weet je dat je regelmatig moet updaten. Maar niemand gaat binnenkort zijn koelkast updaten,” gaat Vereecken verder.”
Het internet der dingen vraagt op de werkvloer ook een nieuwe aanpak. “Awareness alleen lost het niet op. Als er genoeg mensen geen interesse hebben in veiligheid, dan krijg je daar de gevolgen van. Bovendien is de kans klein dat elk toestel met security in het achterhoofd is ontwikkeld”, zegt Vereecken. “Eigenlijk moeten we daarom de werkwijze omkeren”, gaat Costers (VMware) verder. “We zullen naar een untrusted model gaan. Alles, ook op je eigen netwerk, is onveilig tot het tegendeel bewezen is.” Xavier Duyck (Checkpoint) ziet daar een tweevoudige oplossing. “Of je maakt een omgeving met twee delen, in het ene doe je wat je wil, in het andere is alles beveiligd en gecontroleerd.”
OP ZOEK NAAR STANDAARDEN
Een ander probleem met internet of things is dat er weinig tot geen standaarden zijn. IoT gaat over smartwatches, maar ook over sensoren op Bluetooth, connected cars, liften, fabrieksmachines en op termijn zelfs nanotechnologie in ons voedsel of in onze medicatie. Duyck : “Er zijn een aantal standaarden waar de producenten rekening mee houden, zoals een Bluetoothverbinding. Het is ook helderder en beter beveiligd. Maar zijn er standaarden die we als securityvendor nastreven ? Neen. Te veel zaken zijn momenteel nog proprietary. Er is geen algemeen afgesproken standaard om IoT te beveiligen en het zal waarschijnlijk eerst moeten foutlopen voor die er komt.” Vereecken (Akamai) : “Zaken als TSL en SSL zijn er natuurlijk wel, dus je kan wel beveiligen. Maar ook daar kunnen potentieel nieuwe lekken opduiken en alles van IoT communiceert met de backend applicatie. Als daar bij lekken niets wordt aangepast, dan zit je met heel veilige apps met een onveilige transportlaag.”
Het verbaast ons niet dat aanbieders van beveiliging, virtualisatie en netwerken ons waarschuwen voor beveiligingsproblemen. Toch blijven ze benadrukken dat bedrijven het gegeven moeten omarmen. “Probeer het niet te bestrijden op de werkvloer of je gaat naar achterkamer-it. We moeten sowieso door een leerproces, net zoals bij wifi en de mobiele revolutie”, zegt Duyck. “Veel it-managers denken dat als ze niets toelaten, er niets verkeerd kan gebeuren. Maar in veel bedrijven zitten techneuten die slimmer zijn dan hun managers. Zorg dat er in het bedrijf kan gesproken worden over die toestellen en laat gebruikers weten dat het niet verkeerd is om die dingen te gebruiken, maar vertel hen ook wat ze kunnen en moeten doen.”
Pieterjan Van Leemputten
“Vroeger zagen we DDoS-aanvallen vooral vanuit Azië, maar met IoT is er in elk land een potentieel botnet.” Tim Vereecken, Akkamai
“Het risico naar interne veiligheidsinbreuken wordt groter, dus je moet awareness creëren.” Xavier Duyck, Checkpoint
Fout opgemerkt of meer nieuws? Meld het hier