In mijn vorige blog kwam uitgebreid tot uiting dat het huidige IoT een walhalla is voor cybercriminaliteit. Dat we niet kunnen wachten met het dempen van deze bodemloze put totdat ons IoT-kalf is verdronken realiseren we ons terdege. Hackers kunnen altijd binnenkomen in onze systemen, het is aan ons het ze zo moeilijk mogelijk te maken.
We moeten dus veel meer aandacht besteden aan onze netwerkbeveiliging. IoT devices zie je als paddenstoelen uit de grond schieten, en dat is niet te stoppen. Nederland heeft als eerste in de wereld een landelijk dekkend IoT netwerk. Met deze technologische primeur kan ons landje wel eens één groot Internet of Things Test Lab worden. De recente DDOS aanvallen waarbij grootschalig gebruik werd gemaakt van IoT devices zijn dan ook niet onopgemerkt gebleven.
Het antwoord op de DDOS aanvallen
De grote technologiereuzen in onze wereld zien als geen ander de noodzaak van beveiliging in. De Broadband Internet Technical Advisory Group (BITAG) waar onder andere Google, Microsoft en Intel aan deelnemen hebben daarom recentelijk een adviestrapport uitgebracht. Het BITAG document laat aan duidelijkheid niets te wensen over en geeft uitdrukkelijk advies om IoT apparaten van uitgebreide functionaliteiten op het gebied van veiligheid te voorzien. Om altijd recente software te voeren moet een IoT apparaat automatisch beveiligingsupdates installeren. Hiervoor moet een sterk password worden afgedwongen waardoor zoveel mogelijk zekerheid ontstaat dat updates van geauthentiseerde bronnen afkomstig zijn.
Een veiligheidslabel voor IoT?
Fabrikanten moeten veel meer aandacht geven aan de veiligheid van de gebruikers. IoT toestellen moeten altijd hun kritieke basisfuncties kunnen uitvoeren, zelfs als de verbinding met het internet of het relevante cloud-platform is weggevallen. Poorten die niet gebruikt worden moeten standaard zijn uitgeschakeld en ieder apparaat moet een unieke logincode hebben. Beveiliging en encryptie moet hoge prioriteit krijgen, interne data en communicatie moet versleuteld zijn. De BITAG stelt zelfs een veiligheidslabel voor om te kunnen garanderen dat IoT devices aan de norm voldoen. Of het zover zal komen is twijfelachtig, niet iedereen ziet dit soort richtlijnen juichend tegemoet. De daadwerkelijke beveiligingsnorm zal zich ergens in het midden gaan bevinden.
Standaardisering als oplossing?
Er staan inmiddels naar schatting zo'n 5 miljard IoT apparaten online. Door het ontbreken van standaardisering ontstaat een wildgroei van apparaten met een grote diversiteit aan open en gesloten protocollen. Op zich niet nieuw, bij iedere startende technologiegolf ontstaat een strijd tussen de diverse protocollen en standaarden. Vooraanstaande fabrikanten proberen hierbij een stempel te drukken om vooral hun ontwikkeling tot standaard te verheffen. Inmiddels zijn de standaardiseringsinitiatieven al niet meer op 10 vingers te tellen. Naast de in mijn vorige blog genoemde OCF en Thread Group noem ik nog Internet Protocol for Smart Objects (IPSO), oneM2M, Industrial Internet Consortium (IIC), AllSeen Alliance, Open Internet Consortium (OIC) en HomeKit (Apple). Je ziet nu al commissies gaan, komen en fuseren en ook dat hoort bij nieuwe ontwikkelingen met grote potentie.
Veiligheid als facilitator voor stabiel en veilig IoT
Meestal ontstaat er na een aantal jaren van wildgroei een gezamenlijke standaard waar de overgrote meerderheid van belanghebbenden zich aan conformeert. Bij IoT kan dit wel eens anders gaan, omdat ook de consument hierbij een belangrijke rol speelt. De gemiddelde consument is gefocust op functionaliteit en denkt daarbij in de verste verte niet na over het nut of de noodzaak van een veilige ICT-omgeving. Er moet eerst nog het een en ander worden gehackt. Dan komt het besef vanzelf. De hang naar veiligheid en stabiliteit die hieruit ontstaat, kan wel eens de facilitator worden naar echte standaardisering.
Geen opmerkingen:
Een reactie posten