Je hebt er vast van gehoord, het Internet of Things (hierna IoT). Het maakt ons leven en dat van organisaties makkelijker en efficiënter. Internet of Things kent vele definities, binnen deze blog zal de volgende definitie worden gebruikt. IoT apparaten zijn alle apparaten die door middel van het internet met elkaar verbonden zijn en data naar elkaar versturen. Dit kunnen apparaten zijn die variabelen meten, gegevens verzamelen, via het internet worden aangestuurd of juist andere apparaten aansturen via het internet. Apparaten waaraan kan worden gedacht zijn bijvoorbeeld slimme apparaten die worden gebruikt in fabrieken voor het produceren van goederen, maar ook printers die bijhouden hoeveel inkt er is verbruikt, camera’s die via het internet zijn verbonden en door middel van een applicatie kunnen worden bediend en slimme kassa’s.
Nu er een beeld is van wat deze apparaten zijn en wat ze doen is het tijd om aan te geven wat u als eigenaar van een bedrijf wil dat ze absoluut niet doen. Het is natuurlijk heel leuk om via uw telefoon te kunnen zien wat er binnen uw bedrijf gebeurt of om de efficiëntie van uw processen te optimaliseren door middel van een apparaat. Echter schuilt er ook een enorm gevaar achter, of beter gezegd een opening voor hackers om tot uw netwerk binnen te treden. Cybercriminelen zien IoT apparatuur namelijk als “laag hangend fruit”. Dit betekent dat de apparaten vaak erg makkelijk misbruikt kunnen worden door cybercriminelen om binnen te dringen in een netwerk. Om te begrijpen hoe dit gebeurd is het goed om de apparaten door de ogen van een ethische hacker te bekijken. Een ethische hacker is een persoon die tegen betaling probeert uw netwerk binnen te dringen om zo erachter te komen hoe goed uw netwerk beveiligd is. Vervolgens geeft deze hacker tips voor verbetering in de beveiliging. Qbit, een organisatie waarvoor ethische hackers werken, heeft in een blog aangegeven op welke wijze zij misbruik maken van IoT apparaten wanneer zij onderzoek doen bij klanten. Dit is ook de wijze waarop cybercriminelen misbruik kunnen maken van de IoT apparaten.
Een ethische hacker kan een IoT apparaat gebruiken als springplank om dieper in het netwerk te komen. Zo zoekt een ethische hacker eerst het zwakst beveiligde apparaat op dat op uw netwerk aanwezig is, wat toevallig vaak een IoT apparaat is. Wanneer dit apparaat gehackt is wordt het gebruikt om verder te kijken binnen het netwerk. Daarna wordt het IoT apparaat gebruikt om verkeer door te sturen naar het netwerk en de uitkomst van het verkeer terug te sturen naar de ethische hacker. Op deze wijze kan er van alles worden gevonden. Denk hierbij aan: wachtwoorden, netwerkpoorten die open staan, files en bijvoorbeeld kwetsbaarheden binnen systemen.
Vervolgens wordt er door middel van een protocol op het apparaat dat wordt aangestuurd vanuit de hackers, toegang verschaft om tot de apparaten van lokale gebruikers te komen. Zo worden er steeds meer en meer rechten binnen het netwerk of de database verkregen en kan de ethische hacker alle systemen in. Vanaf dat punt is het voor de ethische hacker, en dus ook voor een cybercrimineel, niet lastig om gegevens te stelen of te gijzelen.
“Maar ik zal toch vast niet van die apparaten in mijn netwerk hebben?”. Het zal je verbazen hoeveel van die apparaten er in een gemiddelde organisatie aanwezig zijn. Zo blijkt uit een onderzoek dat gedaan is vanuit de Rijksoverheid dat 9 op de 10 mkb’ers ten tijde van het onderzoek gebruik maakte van een IoT apparaat op de werkvloer. Uit ditzelfde onderzoek blijkt ook dat het merendeel van de apparaten door minder dan de helft van de ondernemers is beveiligd.
Betekent dit dan dat je helemaal geen gebruik moet maken van deze apparaten? Dat zeg ik zeker niet. Deze apparaten kunnen ook grote voordelen aan jouw organisatie leveren. Denk hierbij aan het optimaliseren van uw bedrijfsprocessen doordat dit geautomatiseerd wordt. Uiteraard wil je hieraan meedoen om mee te blijven groeien met de markt, maar dan wel op een veilige manier.
Ben je al overtuigd van de noodzaak om jouw IoT apparaten te beveiligen? Dan heb je hier een paar simpele tips waarmee je de risico’s op een hack via zo’n slim apparaat verkleind.
- Tip 1: Zorg ervoor dat je een goed overzicht hebt van welke apparaten er op jouw netwerk zijn aangesloten. Alleen op die manier kan je ervoor zorgen dat alle apparaten adequaat worden beveiligd.
- Tip 2: Zorg ervoor dat het netwerk wordt gemonitord en is beveiligd. Denk hierbij aan systemen als (slimme) firewalls en antivirusscanners. In het geval dat je een organisatie hebt waarbij de risico’s erg hoog zijn is er aan te raden om je te verdiepen in systemen als Intrusion Detection systemen en Intrusion Prevention Systemen.
- Tip 3: Stel een patchbeleid op waarin ook de IoT apparaten worden meegenomen en voer dit ook uit. Dit betekent dat er iemand moet worden aangesteld binnen jouw organisatie die alle apparaten binnen de organisatie frequent update. Het is namelijk zo dat er in die IoT apparaten gebruik wordt gemaakt van software en/of firmware waar kwetsbaarheden in kunnen zitten. De fabrikant van het IoT product zal eens in de zoveel tijd een update uitbrengen waarmee onder andere kwetsbaarheden worden tegengegaan.
- Tip 4: Stel het apparaat op een veilige manier in. Denk hierbij aan het aanpassen van de standaardinstellingen zoals het veranderen van: inlognaam, wachtwoord, dichtzetten van poorten en het uitzetten van de Universal Plug and Play optie. Hierbij is het ook van belang dat het apparaat hier de mogelijkheid toe geeft. Bij sommige, vaak goedkopere, apparaten is dit niet mogelijk. Let daar op bij aanschaf van zo een apparaat.
- Tip 5: Segmenteer uw netwerk als dat mogelijk en betaalbaar is. Dit is een methode waarbij jouw organisatie niet op één netwerk werkt. Daardoor is het lastiger voor cybercriminelen om via het ene apparaat naar het andere apparaat te gaan.