Wat fabrikanten en consumenten kunnen doen tegen IoT-cyberrisico's

11 juli 2019 Consultancy.nl

De opkomst van het Internet of Things (IoT), een technologie waarmee apparaten met elkaar kunnen communiceren via het internet, levert allerlei voordelen op voor de maatschappij en het bedrijfsleven. Volgens een schatting van onderzoeksbureau McKinsey kan de technologie tegen 2025 zo’n $11.1 biljoen aan economische waarde toevoegen aan wereldeconomie. Kortom: de impact van IoT is iets om rekening mee te houden, maar de bijbehorende gevaren ook. 

Zoals dat gaat bij technologische vooruitgang, liggen er ook bij IoT risico’s op de loer. Met apparatuur die met het internet is verbonden liggen in het bijzonder gevaren verscholen op het gebied van cybersecurity. Door de opkomst van IoT neemt ook het aantal apparaten dat is verbonden toe, waardoor de kans op risico’s eveneens stijgt. Zo is in de Verenigde Staten bijna de helft (48%) van de IoT-bedrijven tot nu toe minimaal één keer gehackt geweest.  

Digitale inbraak

Een voorbeeld waarin de risico’s rondom IoT naar voren komen is dat van Mirai Botnet. De makers van de Mirai malware (software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen) zetten in 2016 een DDoS-aanval op tegen de website van een welbekende technologische veiligheidsexpert. De hackers haalde daarmee een groot deel van het internet neer, opererend vanaf diverse IoT-apparaten, zoals digitale videorecorders, camera’s en routers die allemaal aan het internet waren verbonden.

Een jaar later – in 2017 – riep de Amerikaanse Food and Drug Administration (FDA) bijna een half miljoen IoT-pacemakers terug vanwege de angst dat de cyberbeveiliging te eenvoudig gehackt zou kunnen worden. Volgens de FDA zouden hackers de batterijen vroegtijdig leeg kunnen laten lopen en zelfs de hartslag van de patiënten kunnen veranderen. Zeer gevaarlijk dus.

In dat zelfde jaar werd een petrochemische fabriek geïnfecteerd met ransomware (gijzelsoftware) doordat een IoT-koffiemachine gehackt werd. Afgelopen jaar maakten Alexa en Google Home hun intreden binnen veel huishoudens. Onderzoekers ontdekten echter dat hackers met malware deze apparaten betrekkelijk eenvoudig konden omtoveren tot afluisterapparaten. 

Aantal IoT-apparaten wereldwijd naar jaar

De kans op dergelijke digitale digitale inbraken neemt met de massale opkomst van IoT alleen maar toe. Ter illustratie: in 2015 waren er circa 3,8 miljard IoT-apparaten, in 2019 zijn dat er zo’n 8,3 miljard, terwijl het in 2025 naar verwachting gaat om een aantal van maar liefst 21,5 miljard. Als daarbij mobiele telefoons, laptops, tablets en pc’s worden opgeteld, zijn in dat jaar maar liefst 34,2 miljard apparaten verbonden met het internet. Genoeg keuze voor hackers, zou je zeggen. 

Draadloos

De meeste IoT-apparaten zijn verbonden met het internet door middel van de korte afstand-technologie ‘WPAN’, waarbij apparaten over het algemeen binnen 100 meter van de bron verbonden zijn. Denk hierbij ook aan bluetooth-apparaten zoals headsets, maar ook aan de draadloze smart home-technologieën zoals ‘Zigbee’ en ‘Z-wave’ die worden gebruikt in huizen om bijvoorbeeld ijskasten en thermostaten met het internet verbinden.

Een andere variant is ‘Wireless Local Area Network’ (WLAN), dat verbindingen tot één kilometer afstand tot stand kan brengen. In Nederland kennen we deze technologie vooral van Wifi-verbindingen, die momenteel nog steeds in populariteit toenemen doordat consumenten steeds meer gebruikmaken van home assistants, smart tv’s en smart speakers. Ook binnen het bedrijfsleven neemt het aantal Wifi-verbindingen toe, doordat veel bedrijfsprocessen tegenwoordig met aan het internet verbonden sensoren worden gemonitord.  

Het aantal verbonden IoT-apparaten naar verbindingstechnologie naar jaar

Slot op de deur

De vraag is nu hoe cyberrisico’s op het gebied van IoT kunnen worden verkleind. Volgens Robin Gabriner, consultant bij Magnus, begint het veiliger maken van het IoT-landschap bij fabrikanten. “Allereerst moeten fabrikanten zorgen voor firmware-updates van producten tijdens de gehele levensduur van een product. Daarnaast moeten ze meer openheid van zaken geven in het geval van hacks. En fabrikanten zouden IoT-devices op een manier moeten maken die het voor gebruikers eenvoudig maakt om veilig met het product om te gaan, bijvoorbeeld door veiligheidsupdates automatisch toe te voegen aan het product wanneer deze beschikbaar zijn.”

Daarnaast is een rol weggelegd voor overheden, die producenten moeten dwingen om hun producten voldoende veilig te maken en houden, aldus Gabriner: “Overheden dienen ervoor te zorgen dat IoT-producten aan bepaalde veiligheidsstandaarden voldoen. Ook moeten ze erop toezien dat de privacy van gebruikers gehandhaafd wordt. En overheden dienen bovenal een rol te spelen bij het ‘opvoeden’ van consumenten: deze groep moet zich terdege bewust zijn van de risico’s van IoT-apparaten.” 

Toch heeft de consument in deze kwestie ook een verantwoordelijkheid, vertelt Gabriner: “Uiteindelijk ben je als consument zelf toch een sterk bepalende factor. Zo houd ik mijn apparaten persoonlijk altijd geüpdatet met de laatste software en firmware.” De consultant van Magnus heeft nog meer tips: “Zorg er ook voor dat je thuisnetwerk zo goed mogelijk is afgeschermd van het internet. Door een moderne modemrouter te gebruiken en een sterk wachtwoord op de router en het wifi-netwerk te zetten wordt de kans op een hack klein.”

Verder moeten volgens Gabriner oude IoT-apparaten de deur uit worden gedaan: “Indien de firmware oud is kan men aannemen dat het veiligheidsrisico te groot is.” Ook zegt hij dat consumenten er verstandig aan doen alleen gebruik te maken van gerenommeerde merken: “Er is een enorme hoeveelheid aan Chinese IoT-devices op de markt die voor een prikkie te koop zijn, maar deze zijn zeer onveilig, ook omdat er geen doorontwikkeling is op het gebied van nieuwe veiligheidsstandaarden. En ten slotte, wat ik al zei: let er op dat je je IoT-apparaten regelmatig van een update voorziet. Dit minimaliseert veiligheidsrisico’s flink.”


Profiel

×
×
A.T. Kearney Accenture ACE Company Adaptif Adlasz Adviesgroep Novius Anderson MacGyver Andersson Elffers Felix Annalise Arlande Arthur D. Little AT Osborne Atos Consulting B&A Bain & Company Baker Tilly BCG Platinion BDO BearingPoint Berenschot Best Value Group Bisnez BlinkLane Consulting BluPoint BMC Boer & Croon Management Bolster Bostec Boston Consulting Group Bright & Company | People Strategy Buitenhuis Advies buro C5 Bvolve Capgemini Invent Centric Cmotions COMATCH Conclusion Connective Payments Count & Cooper De Kleine Consultant Deloitte Delta Capita Digital Power Dimensys Ecorys Eden McCallum Energyprofs Enigma Consulting EY EY-Parthenon Finavista Finext First Consulting Flowant flowresulting FTE Groep FTE Improvery Galan Groep GalanNXT Grant Thornton Groenewout Gupta Strategists Gwynt Hamstra & Partners Hermes | Partners Hospitality Group Hot ITem House of Performance IG&H Consulting & Interim Improven InContext innergo INNOPAY Intermedius ITDS Business Consultants Itility JBR JBR Interim Executives Kirkman Company Korn Ferry KplusV KPMG KPN ICT Consulting Kruger Kurtosis KWINK groep Leeuwendaal M3 Consultancy Magnus Marktlink Mazars McKinsey & Company Mercer Merkle Methis Consulting METRI Mitopics MLC Mobilee Möbius Monitor Deloitte Morgens MSR Consulting Group Oliver Wyman OrangeX Ordina Organize Agile p2 PA Consulting Group Paul Postma Marketing Consultancy PBLQ People Change PNO Consultants Projective Protiviti Proven Partners PwC Qhuba Quantics Quint Wellington Redwood Quintop Raad van Toekomst ResidentieProfs RevelX RGP Rijnconsult Roland Berger Salvéos Schaekel & Partners Schuberg Philis SeederDeBoer Sia Partners Significant Simon-Kucher & Partners SiRM Solid Professionals SOLVE Consulting SparkOptimus Strategy Development Partners Strategy& Student Consultancy Group Summiteers Supply Value Symbol Synechron TEN HAVE Change Management The Next Organization Trevian Turner TWST TwynstraGudde UMS Group UniPartners UPD Van Oers Corporate Finance Vanberkel Professionals Varrlyn Vasco Consult Vintura VODW Voogt Pijl & Partners Wielinq Willis Towers Watson WIN Yellowtail YGroup YNNO Young Advisory Group YourConnector Zanders Zestgroup