Het aantal Internet of Things (IoT) apparaten zijn de afgelopen jaren sterk gegroeid. Statista voorspelt dat intelligente gadgets in huishoudens wereldwijd, waaronder smart tv’s, smart locks, IP-camera’s en home assistants, in 2025 75 miljard eenheden bereikt. Dit is een vervijfvoudiging in tien jaar. Deze groei gaat echter gepaard met serieuze risico’s.
Het aantal aanvalsvectoren groeit met IoT-apparaten, wat resulteert in een aanzienlijke veiligheidskloof. Het probleem is namelijk dat deze apparaten vaak niet of onvoldoende beveiliging hebben, waardoor ze ‘s werelds snelst groeiende aanvalsomgeving zijn voor organisaties, waarbij de aanvallen in 2019 met 300 procent zijn toegenomen.
Cybercriminelen gebruiken een verscheidenheid aan zwakke plekken in slimme apparaten om toegang te krijgen tot grote netwerken. Overheden over de hele wereld voeren voortdurend nieuwe regels in om de beveiliging van aangesloten apparaten te verbeteren. Zo hebben het Verenigd Koninkrijk en Australië vrijwillige richtlijnen voor IoT-apparaten voor consumenten ontwikkeld, waardoor ze tot de pioneers van IoT-beveiliging horen.
In januari 2020 hebben Californië en Oregon, beide in de Verenigde Staten, nieuwe wetten ingediend die IoT-apparaten verplichten tot ‘passende veiligheidsmaatregelen‘.
Alle partijen, inclusief overheden, fabrikanten en organisaties, hebben problemen met het reguleren van het Internet of Things. Het doel is om te blijven werken aan wetgeving die consumenten met succes beschermt, makkelijk uit te voeren is en de groei op de lange termijn van het IoT-bedrijf bevordert.
1. Security Act of California
Gouverneur Jerry Brown van Californië, die de beveiliging van Internet of Things (IoT)-apparaten regulateur was, keurde in september 2019 een nieuwe wet goed die op 1 januari 2020 van kracht werd. Deze IoT-beveiligingsregel schrijft voor dat alle IoT-apparaten die in de staat Californië worden verkocht aanvaardbare beveiligingsmaatregelen moeten hebben. De Californische wet op het Internet of Things (IoT) legt aanvullende beveiligingscriteria vast voor IoT-systemen om de gevaren die toenemende connectiviteitsniveaus op de werkplek met zich meebrengen effectief te beheersen.
Volgens de tekst „krijgt elk apparaat of andere fysieke entiteit die direct of indirect verbinding kan maken met internet een internetprotocol of Bluetooth-adres.” Het wordt door sommigen “problematisch” genoemd, omdat aangesloten gadgets alles omvatten, van personal computers en printers tot thermostaten en health trackers van werknemers.
Organisaties kunnen het lastig vinden om te voldoen aan nieuwe standaarden als de term „redelijke beveiligingsfunctie” breed wordt geïnterpreteerd. Echter, de ontwikkelingen in Californië zijn een goede start voor het op de juiste manier beschermen van IoT-apparaten.
2. NIST richtlijnen
Het National Institute of Standards and Technology (NIST) in de Verenigde Staten heeft nieuwe IoT-beveiligingsoplossingen ontwikkeld en aan andere IoT-assets gewerkt sinds de eerste publicatie over IoT-beveiliging.
Het nieuwe rapport gaat over de cyberbeveiligingskenmerken die IoT apparaatmakers in hun producten kunnen opnemen. Hoewel de NIST-publicaties geen compliance vereisen, bieden ze essentiële aanbevelingen om best practices aan te moedigen voor het aanpakken van IoT-beveiligingsproblemen.
3. Nieuwe IoT-wetten in het Verenigd Koninkrijk
Om de veiligheid van klantgegevens te vergroten heeft de Britse overheid in januari 2020 extra verplichte limieten voorgesteld voor makers van IoT-apparaten. Het doel is om klanten te ontlasten van hun verantwoordelijkheden op het gebied van apparaatbeveiliging door te garanderen dat volledige cyber security vanaf het begin in deze apparaten wordt ingebouwd.
Volgens de voorgestelde wetgeving moeten alle slimme consumentenapparaten die in het Verenigd Koninkrijk worden geleverd een minimale mate van veiligheid bieden. Dit omvat drie fundamentele vereisten:
- Alle gekoppelde apparaten moeten unieke wachtwoorden hebben;
- Fabrikanten moeten een openbaar contact bieden voor het melden van kwetsbaarheden; en
- Er moet een minimumperiode voor beveiligingsupgrades worden opgegeven wanneer ze worden verkocht.
4. Dit is slechts het begin
Onderzoekers blijven fundamentele beveiligingsproblemen ontdekken in commercieel verkrijgbare IoT-apparaten, variërend van standaard fabriekswachtwoorden tot privacykwesties. Veel IoT-apparaten zijn kwetsbaarder voor hackers dan traditionele technieken omdat ze niet over de verwerkingscapaciteit beschikken om zelf essentiële beveiligingssoftware uit te voeren.
Ondanks deze nieuwe beperkingen zal beveiliging een topprioriteit blijven voor elk bedrijf dat zijn netwerk van IoT-apparaten implementeert of uitbreidt. Omdat de richtlijnen slechts een minimum aan bescherming vereisen, zullen IoT-apparaten vrijwel zeker eenvoudige doelen blijven voor botnets en andere steeds groter wordende gevaren.