Wetgeving voor het opleggen van meer beveiliging lijkt de enige optie om bedrijven te dwingen betere security in IoT-sensors in te bouwen. Maar daarvoor moet er waarschijnlijk eerst veel mis gaan, wil die wetgeving er komen, zo verwachten Ruben van Vreeland van security-aanbieder Bitsensor en Lawrence Pitt van Juniper Networks.
Van Vreeland: “Een bekend en groeiend probleem bij IoT-apparatuur is dat er niet langer een enkel toegangspunt meer is om te beschermen. Overal buiten het netwerk zijn er sensors en devices waar via toegang tot dat netwerk verkregen kan worden. Eigenlijk moet dus elke sensor, elk IoT-device, met eigen beveiliging uitgerust worden.”
Maar de sensors zijn vaak vrij goedkoop en simpel, met weinig mogelijkheden voor encryptie. Terwijl de sensors vaak wel potentieel gevoelige data verzamelen, bijvoorbeeld over de medische toestand van mensen. Dat is lastig, complex en steeds duurder om te beheersen. Aangezien beveiliging geld kost en er vaak eerder naar prijs dan naar veiligheid wordt gekeken, zullen fabrikanten dwang nodig hebben, zo redeneerde eerder al security-specialist Mikko Hyppönen van F-Secure in gesprek met Telecompaper.
Hier zijn overigens al bewegingen in te zien. Zo wil de Tweede Kamer kabinetsmaatregelen tegen onveilige IoT-apparatuur. Een motie op dit gebied motie werd in juni van dit jaar aangenomen tijdens een debat over het gevaar van cyberdreigingen zoals ransomware. Het (demissionair) kabinet wordt opgeroepen om te onderzoeken welke minimale veiligheidseisen aan IoT-apparatuur en -sensors kunnen worden gesteld, hoe die eisen kunnen worden afgedwongen en welke andere maatregelen nodig zijn om consumenten te beschermen tegen slecht beveiligde apparatuur zoals met internet verbonden waterkokers of koelkasten.
Wanneer geïntegreerde security voor IoT-devices gerealiseerd is, zal automatisering van het monitoren van het explosief groeiende aantal IoT-devices de enige relatief realistische optie zijn. “Alleen zo is het mogelijk om te controleren of de security-protocollen van biljoenen IoT-devices gehackt worden,” stelt Pitt. “Ook dat zal een duurdere security betekenen, zowel in het updaten als beheren. Maar het alternatief zal zijn dat er steeds meer en meer massale hacks plaatsvinden waarbij info wordt gestolen of devices worden gegijzeld.”
Lees hier het volledige achtergrondartikel: Juniper Networks: organisaties proberen op security-gebied vorige oorlog te voorkomen.
