Het Internet of Things mag voor velen nog als nieuwigheid gelden, maar het is hier en zal niet meer verdwijnen. Volgens inschattingen zijn er inmiddels al acht miljard IoT-apparaten met een internetverbinding en de verwachtingen zijn dat dit aantal alarmerend snel zal groeien.
Met enige regelmaat heb ik gesprekken met mensen die mij vragen hoe veilig het IoT is. Dit leidt vaak tot discussies over wat het Internet of Things precies is. Of het nu een koffiezetapparaat of een deurbel is die aan je telefoon is gekoppeld, uiteindelijk zijn het ook computers die verbinding maken via een netwerk en ze moeten ook als dusdanig worden behandeld.
Door dezelfde regels toe te passen op IoT-apparaten als op elk ander apparaat dat in een netwerk zit, zal het veiligheidsrisico dat jij en je netwerk lopen aanzienlijk verminderen. Geen van de volgende controlemechanismen is bijzonder complex. Sterker nog, ze kosten bijzonder weinig moeite om te implementeren.
Houd het overzicht
In een ideale wereld is dit iets wat elk bedrijf al doet: alle apparaten die verbinding hebben met het internet zouden gelogd moeten worden en waar mogelijk zou het toegangsniveau beoordeeld moeten worden. Een degelijk begrip van de apparaten die in je netwerk zitten is een vereiste voor een degelijke beveiliging en elk nieuw of onbekend apparaat zou een alert moeten triggeren.
Creëer een apart netwerk
Veel bedrijven beschikken al over aparte netwerken voor gastapparaten die de toegang tot gevoelige informatie beperken. Dit zou je ook bij IoT-apparaten moeten doen. Je kunt dan een apart netwerk voor deze apparaten instellen of ze alleen toegang verlenen tot het bestaande gastnetwerk.
Hoe dan ook moet hun toegang tot andere bronnen beperkt blijven tot het minimum dat ze nodig hebben om te kunnen functioneren.
Blijf patchen
Idealiter zijn alle apparaten up-to-date en van alle beschikbare patches voorzien. Dit is met name belangrijk voor IoT-apparaten, die vaak geïnstalleerd en daarna vergeten worden. Fabrikanten geven vaak updates uit en je zou regelmatig op de website van de fabrikant moeten kijken om te controleren op updates of veiligheidsmededelingen. Waar mogelijk stel je automatische updates in. Indien er kwetsbaarheden bekend zijn en er geen patch beschikbaar is, moet je goed overwegen of de voordelen die het apparaat biedt groter zijn dan het gevaar dat je loopt als het online blijft.
Wijzig wachtwoorden
Het overgrote deel van IoT-apparaten is voorzien van zeer zwakke wachtwoorden. Hoewel het verleidelijk kan zijn de beschuldigende vinger naar de fabrikanten te wijzen, is het uiteindelijk je eigen verantwoordelijkheid om je systemen van veilige wachtwoorden te voorzien. We zorgen er over het algemeen voor onze apparatuur van krachtige, unieke wachtwoorden te voorzien en dat zouden we net zo goed moeten doen bij IoT-apparatuur. Op zijn hoogtepunt had het Mirai-botnet 2,5 miljoen IoT-apparaten overgenomen met maar 60 wachtwoorden. Het beste advies dat we kunnen geven geldt eigenlijk voor alle wachtwoorden: gebruik een wachtwoordmanager en zorg ervoor dat alle apparaten een uniek wachtwoord hebben.
Houd je data in de gaten
Veel IoT-apparaten hebben een clouddienst nodig om te functioneren. Het feit dat ze een continue verbinding hebben en gegevens buiten je netwerk sturen, zorgt voor twee problemen: als het netwerk uitvalt, werken ze niet meer, maar wat erger is, is de mogelijkheid dat er gevoelige gegevens verzameld worden zonder dat je daar van op de hoogte bent. Zorg er daarom altijd voor dat je het privacybeleid van de fabrikanten goed doorneemt, met name over het opslaan van gegevens, gebruik en versleuteling.
Gelukkig lijken fabrikanten steeds zorgvuldiger hiermee om te gaan. Ook heeft het Nationaal Cyber Security Centrum van de Nederlandse overheid, samen met het Department for Digital, Culture, Media and Sport van de Britse overheid, een vrijwillige gedragscode opgesteld. De code bevat dertien resultaatgerichte richtlijnen die beschrijven wat algemeen geldt als veilig IoT-gebruik. De code vormt tevens een handige checklist om te controleren welke apparaten je veilig toegang tot je netwerk kunt verlenen.
Het zal nog even duren voordat IoT-apparaten volwassen worden en de fabrikanten voldoende aandacht geven aan veiligheid. Tot dan is het beste advies dat je de apparaten bijwerkt en goed in de gaten moet houden, net zoals alle andere apparaten die deel uitmaken van je netwerk.
Simon McNamee
Simon McNamee is een security-expert die programma’s als CyberStart en Cyber Aptitude maakt en innovatief en technisch onderzoek doet. Daarnaast is hij incident handler en forensic examiner.
