Binnen organisaties is veel sprake van tegenstrijdige en onrealistische interpretaties over de beveiliging van apparaten en sensors die deel uitmaken van het Industrial Internet of Things (IIoT). Endpoints worden gezien als de kwetsbaarste schakel in de beveiliging, maar er is veel verwarring over wat nu precies een endpoint is.
Dit concludeert het SANS Institute in haar Industrial IoT Security Survey Report 2018. In de studie brengt het instituut vraagstukken in kaart over de beveiliging van het snelgroeiende gebruik van het IIoT. Het SANS Institute definieert IIoT als het IoT-segment binnen vitale infrastructuren in de energiewereld, maakindustrie, olie- en aardgasindustrie, transportwereld en gezondheidszorg.
Volgens de prognoses zal het aantal IoT-apparaten verdrievoudigen van 23,14 miljard in 2018 tot 75,44 miljard in 2025. Het onderzoeksrapport voegt hier aan toe dat de meeste bedrijven een groei van het aantal verbonden IoT-apparaten binnen hun organisatie met 10 tot 25 procent verwachten. Dit betekent een verdubbeling van het aantal systemen waarmee IIoT-apparaten zijn verbonden elke drie tot zeven jaar.
Groeiende verwevenheid IT, OT
De complexiteit van industriële IoT-netwerken neemt toe door groeiende verwevenheid van informatietechnologie (IT) en operationele technologie (OT). De vraag naar extra bandbreedte voor communicatie tussen IIoT-devices- en sensors en centrale toepassingen stijgt ook, evenals de behoefte aan personeel met kennis van best practices op beveiligingsgebied inzake ontwerp, de implementatie en het beheer van IIoT-systemen.
De helft van de ruim 200 respondenten bestempelt data, firmware, ingebedde systemen en endpoints in het algemeen als de kwetsbaarste aspecten van hun IIoT-infrastructuur. Tegelijkertijd blijkt dat er nog steeds geen overeenstemming is bereikt over de exacte definitie van de term ‘endpoint’.
Verwarring over verantwoordelijkheid
Doug Wylie, directeur Industrials & Infrastructure Business Portfolio bij het SANS Institute, stelt dat de verschillende definities bijdragen aan verwarring over de verantwoordelijkheid voor de IIoT-beveiliging. Het lijkt erop dat veel beveiligingsprofessionals de vele IoT-devices op het bedrijfsnetwerk niet adequaat identificeren en beheren.
“Dit levert gevaren voor hun organisatie op. Om deze reden is het belangrijk voor IT- en OT-teams om overeenstemming te bereiken over een gemeenschappelijke definitie. Daarmee kunnen ze op adequate wijze beveiligingsrisico’s identificeren terwijl zij hun systemen aanpassen aan nieuwe architectuurmodellen.”
Overige zorgen
Overige zorgen rond IIoT-beveiliging zijn volgens het rapport:
- 32 procent van alle IIoT-apparaten maakt rechtstreeks verbinding met internet en omzeilt traditionele beveiligingslagen.
- Bijna 40 procent van alle respondenten ziet het in kaart brengen, bewaken en beheren van apparaten als een forse beveiligingsuitdaging.
- Slechts 40 procent zegt patches en updates te installeren om hun IIoT-apparaten en systemen veilig te houden.
- 56 procent ziet complexe patchprocessen als een van de grootste uitdagingen op beveiligingsgebied.
Verschillen perceptie IIoT-beveiliging
Het onderzoeksrapport wijst verder op sterke verschillen in de perceptie van IIoT-beveiliging tussen het OT-team, IT-team en het management. Slechts 64 procent van alle OT-afdelingen zegt vertrouwen te hebben in hun vermogen om de IIoT-infrastructuur te beveiligen, ten opzichte van 83 procent van alle IT-afdelingen en 93 procent van alle zakelijke besluitvormers.
Barbara Filkins, analyst programme research director bij het SANS Institute en auteur van het onderzoeksrapport geeft aan dat deze discrepantie wijst op de noodzaak van een "ingrijpende culturele verandering binnen industriële bedrijven wat betreft hun benadering van beveiligingsrisico’s rond het IIoT.”
