IT, OT en de uitdagingen van het Internet of Things

De nieuwe wereld van het Internet of Things (IoT) zit vol met uitdagingen. Deze variëren van geavanceerde hacks door of met steun van overheden tot aan kwetsbaarheden in een simpele consumentenrouter. Bewustwording is daarom een eerste vereiste.

Dat geldt zowel bij de individuele consument als bij bedrijven waar IT-/OT-silo´s, risico´s binnen de supply chain en een sterke focus op functionaliteit (boven veiligheid) in het voordeel werken van aanvallers.

Aanvallen op het IoT nemen toe

We zien steeds meer publicaties verschijnen over aanvallen op het IoT. Hoewel aanvallen op traditionele IT-systemen aantoonbaar vaker voorkomen, zorgen de mogelijke gevolgen van IoT-dreigingen ervoor dat ze veel aandacht krijgen. We praten hier niet alleen over diefstal van gegevens en privacykwesties, maar ook over potentiële fysieke schade aan kritieke infrastructuren en de gevolgen voor iedereen die ervan afhankelijk zijn.

Een nieuw rapport stelt dat Russische hackers honderden Amerikaanse elektrische centrales zijn binnengedrongen na een langlopende campagne. Eerdere berichten kwamen van het National Cyber ​​Security Center (NCSC) van het Verenigd Koninkrijk over soortgelijke aanvallen op Britse telecommunicatie-, media- en energiesectoren. En vergeet niet de beruchte aanvallen op Oekraïense energieleveranciers die honderdduizenden mensen zonder stroom lieten zitten in december 2015 en 2016.

 

Hoewel aanvallen op traditionele IT-systemen aantoonbaar vaker voorkomen, zorgen de mogelijke gevolgen van IoT-dreigingen ervoor dat ze veel aandacht krijgen.

 

In vergelijking hiermee zijn meldingen van kwetsbaarheden in connected carsslimme CCTV-camera’s en babyfoons natuurlijk van een andere orde, maar ze vormen wel een echte en groeiende bedreiging.

Als het gaat om het consumenten-IoT moet de fabrikant de leiding nemen. Er zijn duidelijke tekenen dat beveiligings- en privacy-problemen investeringen in de slimme woning belemmeren – wat betekent dat er grote kansen zijn voor leveranciers met de ambitie om zich te onderscheiden op het gebied van beveiliging.

IT versus OT

Wat gebeurt er ondertussen in ondernemingen? Bedrijven worden meer en meer blootgesteld, niet alleen via hun SCADA-systemen, maar ook via het groeiend aantal aangesloten apparaten en bouwcomponenten in gebouwen. Is die slimme koelkast in de boardroom wel goedgekeurd door de IT-afdeling? Hoe zit het met de liften, brandalarm of airconditioningsysteem?

Te vaak ligt de focus van beveiligingsteams op de traditionele eindpunt- en serverinfrastructuur. We willen profiteren van de efficiëntieverbeteringen die verbonden systemen ons brengen, maar vergeten ze mee te nemen als het gaat om de bedrijfsveiligheid.

ntt

Is die slimme koelkast in de boardroom wel goedgekeurd door de IT-afdeling?

 

Een deel van de uitdaging hier ligt in de traditionele barrière tussen IT- en OT-teams. Terwijl IT zich vooral concentreert op de integriteit en vertrouwelijkheid van componenten, is OT uitsluitend gericht op beschikbaarheid. Organisaties moeten beter worden in het afbreken van deze silo’s als ze IoT-systemen willen beschermen.

Ze moeten ook meer aandacht besteden aan de toenemende risico’s van de steeds complexere supply chain. Net zoals veel fabrikanten zijn ook onderhoudsbedrijven meer geïnteresseerd in functionaliteit dan in beveiliging.

Weg met het oude

Er is hoop voor de toekomst, in die zin dat we langzaam zien dat er een nieuwe groep van OT-professionals ontstaat die meer digitaal onderlegd is en zich bewust is van cyberrisico’s. Maar zolang oude apparatuur nog wordt gebruikt, zullen er uitdagingen blijven. Monolithische SCADA-systemen worden zelden geüpdatet vanwege de kosten en complexe afhankelijkheden. Een onderhoudsvenster van één dag zal eerder worden gebruikt voor functionaliteitsupdates dan voor beveiligingspatches. Maar omdat ze zijn uitgerust met connectiviteit worden ze ongewild blootgesteld aan de buitenwereld.

Tegen deze achtergrond is het van vitaal belang voor organisaties om inzicht te krijgen in IoT-systemen op de netwerk- en applicatielaag. Ze moeten begrijpen hoe normaal gedrag eruitziet, zodat ze de signalen van potentiële aanvallen kunnen herkennen. Maar vanuit een breder perspectief is een focus nodig op beveiliging boven functionaliteit.

 

Monolithische SCADA-systemen worden zelden geüpdatet vanwege de kosten en complexe afhankelijkheden.

 

Het nieuwe IoT-kitemark van de BSI is een welkome stap, zodat kopers producten kunnen identificeren als betrouwbaar en veilig. Hopelijk zullen veilige IoT-producten in de komende vijf tot tien jaar eerder regel dan uitzondering zijn.

 

Dit is een ingezonden bijdrage van Christian Koch, Senior Manager GRC & IoT/OT bij NTT Security. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.