Voorzichtigheid geboden bij Internet of Things, cyberattack op de loer

Internet of Things (IoT) kan organisaties vele voordelen bieden. Tegelijkertijd schuilen er ook gevaren achter de revolutionaire technologie. De redactie van Consultancy.nl sprak met experts van adviesbureau PLBQ over de kansen en risico's van IoT. 

“IoT is de verzamelnaam van producten die een verbinding hebben met het internet, anders dan de bekende apparaten zoals je computer, laptop of smartphone”, zegt Mathijs Kerkvliet, Adviseur bij PBLQ, een adviesbureau dat zich richt op verandervraagstukken in de informatiesamenleving. “Denk bijvoorbeeld aan je gloednieuwe tv met wifi, of een webcam met wifi-verbinding of aan de babyfoon die je vanaf je smartphone kunt beluisteren en bekijken. Maar denk ook aan je energiemeter die is gekoppeld aan het internet zodat je energieleverancier data kan uitlezen over je energieverbruik. Die leverancier kan zijn klanten op basis van die gegevens adviseren”, vertelt Beens.

Dirk-Jan Beens, eveneens Adviseur bij PBLQ, vult zijn collega aan: “IoT is momenteel booming. Gartner berekende dat het aantal connected devices zal stijgen van 8 miljard in 2017 naar ruim 20 miljard in 2020. De met IoT samenhangende investeringen zullen in 2020 naar verwachting ruim $2.000 miljard bedragen. Dat zijn enorme aantallen en bedragen. De conclusie is dan ook dat IoT-data en de inzichten die daarmee worden verkregen kennelijk een krachtige basis bieden voor waardevolle innovaties.” 

“Ook bedrijven, overheden, zorginstellingen en allerlei andere organisaties in Nederland hebben de toepassingen van IoT ontdekt”, aldus Beens. Hij noemt enkele voorbeelden: “Denk aan voordelen op het gebied van maintenance, mobiliteit en het monitoren van apparatuur in ziekenhuizen. Met het gebruik van IoT worden kosten bespaard, wordt de kwaliteit van dienstverlening verbeterd en eveneens worden nieuwe producten en diensten ontwikkeld.”

Keerzijde van de medaille

Terwijl IoT veel voordelen biedt, schuilen er ook gevaren achter de technologie, vertelt Beens: “Er is een keerzijde. De keerzijde is dat met de toename van dit technologische potentieel er ook sprake is van een evenredige toename van veiligheidsrisico´s. Enerzijds omdat de kans op succesvolle cyberaanvallen toeneemt door het met alle IoT apparaten vergrote aanvalsvlak, anderzijds omdat de impact van zo’n aanval ingrijpender kan zijn. Het vraagt geen grote verbeeldingskracht om te bedenken wat er mis kan gaan als een zelfrijdende auto of een operatierobot wordt gehackt.”

Daarnaast is er nog een ander gevaar. IoT-devices gaan langer mee, langer dan bijvoorbeeld een smartphone of laptop, legt Kerkvliet uit: “Dat is handig, maar tegelijkertijd ook een risico. De software verandert namelijk niet altijd mee, wordt niet automatisch gepatcht zodat nieuw geconstateerde veiligheidsrisico’s blijven bestaan. De gemiddelde consument is niet bewust of handig genoeg om zelf de beveiliging van zijn of haar IoT-device goed in te stellen. Bovendien is zo’n 80% van de gecompromitteerde IoT-devices consumentenproducten. Een serieus risico dus.”

Oplossingen

Toch zijn er wel een aantal oplossingen om de gevaren die IoT met zich meebrengt te mijden, aldus Kerkvliet: “Van belang is dat op voorhand duidelijk wordt hoe een IoT toepassing functioneert in het geheel van de ICT-infrastructuur. Dit speelt op de niveaus van apparaten, netwerk, data, software en bedrijfsprocessen. Op basis hiervan kunnen de met de toepassing samenhangende risico’s geanalyseerd en tijdig van passende maatregelen worden voorzien.”

Verder ligt er ook een verantwoordelijkheid bij de ontwerpers, laat Beens weten: “Het uitgangspunt van ‘cybersecurity by design’ brengt tot uitdrukking dat beveiligingsmaatregelen zoveel mogelijk op voorhand in de IoT-oplossing worden ingebouwd, in plaats van dat achteraf maatregelen worden bedacht. Dit betekent bijvoorbeeld dat geen IoT-apparaten worden gebruikt met enkel een standaardwachtwoord.”

In lijn daarmee, zo stelt hij, moet ook worden vastgesteld om welke en om hoeveel apparaten het gaat: “Zoals we al hebben gezegd: het gebruik van IoT-apparaten leidt tot een substantiële vergroting van het aanvalsvlak. Het is om die reden belangrijk dat alle apparaten in kaart worden gebracht en voortdurend worden gemonitord. Op deze manier kunnen potentiële problemen beter en tijdig gesignaleerd en verholpen worden.”

Ten slotte is ook de overheid in deze kwestie verantwoordelijk, zegt Kerkvliet: “Als het gaat om langetermijnmaatregelen, dan is voor IoT een rol weggelegd voor de overheid. Denk daarbij aan certificering en regulering. Dus aan een set die bestaat uit wettelijke eisen waaraan een IoT-device moet voldoen, waaronder de eisen ten aanzien van veilige aansluiting op het internet, maar ook een duidelijk keurmerk, dat eveneens voldoende informatief is voor consumenten. De overheid moet zich dus in zekere zin ook als Kwaliteitsborger opstellen.” 

Lees ook: Wat 20 PBLQ adviseurs hebben geleerd van hun reis naar Israël.