Een essentiële en bewezen manier om toegang tot systemen en informatie te beveiligen is identiteits- en toegangsbeheer (Identity & Access Management, IAM). In het verleden lag de nadruk bij IAM op personen, zoals medewerkers en klanten. IAM kan ook worden toegepast voor apparatuur.
Een cybersecuritystrategie voor apparatuur is noodzakelijk.
De focus bij het maken van apparatuur ligt vaak op gebruiksgemak en een korte time-to-market. Security is dan vaak ondergeschikt met als gevolg dat de apparatuur veel kwetsbaarheden bevat. Dit creëert voor cybercriminelen en andere kwaadwillenden nieuwe aanvalsmogelijkheden op een schaal die we nog niet eerder hebben gezien. Het is noodzakelijk om een goede strategie te kiezen om apparatuur op een veilige manier in bedrijfsprocessen te gebruiken om misbruik, uitval, fraude, inbreuk op intellectueel eigendom en privacy te voorkomen.
De aanval van het Mirai botnet op het internetbedrijf Dyn2 illustreert hoe misbruik kan worden gemaakt van apparatuur. Twintig datacentra van Dyn werden aangevallen door een netwerk van geïnfecteerde apparatuur met als gevolg (tijdelijk) onbereikbare diensten. Als gevolg daarvan waren onder meer Twitter en Soundcloud niet bereikbaar. Mirai richt zicht op verschillende sectoren en naast websites ook op de fysieke infrastructuur3.
Ontwikkelingen: meer en meer verbonden apparatuur
Gartner heeft een groei voorspeld van 6 miljard verbonden apparaten in 2016 naar 20 miljard in 20204. Er zijn een aantal ontwikkelingen die deze groei bevorderen. Zo leidt de steeds verdergaande digitalisering ertoe dat meer en meer processen automatisch en autonoom worden uitgevoerd. Dit levert nieuwe mogelijkheden op en maakt kostenreductie mogelijk. Daarnaast wordt het steeds belangrijker om real-time over informatie te beschikken. In de gezondheidszorg kan het levens redden als een arts real-time en op afstand informatie heeft over hartslag en bloeddruk van een patiënt. Het IT-landschap wordt steeds heterogener en de grens tussen IT en de rest van de organisatie vervaagt. Apparatuur beschikt over meer sensoren waarvan de gegevens ook (deels) met de leverancier gedeeld kunnen worden om bijvoorbeeld tijdig onderhoud uit te kunnen voeren. Zoals Mikko Hypponen, toonaangevende beveiligingsexpert, zei: “In five years time you go and buy a toaster, it – regardless of the toaster you buy, even if there’s no IoT features – it’s still gonna be an IoT toaster. It’s still gonna call home to the manufacturer5
Nieuwe wet- en regelgeving
Ontwikkelingen op het gebied van wet- en regelgeving dwingen organisaties om beleid te hebben voor het gebruik van verbonden apparatuur. Een van deze ontwikkelingen is de Europese General Data Protection Regulation (GDPR). De GDPR, die vanaf mei 2018 wordt gehandhaafd, verplicht organisaties om helder te hebben welke data zich waar in de organisatie bevindt en waar deze gebruikt wordt. Dit betekent dat een organisatie ook moet weten op welke apparatuur zich klant- en bedrijfsdata bevinden.
De opkomst van de API-economie
Het belang van communicatie tussen apparatuur groeit ook door de opkomende ‘API-economie’. Een API is een interface waarover software onderling kan communiceren. Door het gebruik van API’s is het niet meer nodig om de gebruikersinterface van een dienstaanbieder te gebruiken en kunnen services rechtstreeks worden aangeroepen. Hiermee ontstaat een ecosysteem waarin allerlei apparatuur gebruik van elkaar gaat maken. Sommige bedrijven hebben het aanbieden van API’s ook intern tot standaard verheven.
Een goed voorbeeld van een ontwikkeling van de API-economie is de Payment Service Directive 2 (PSD2) binnen de financiële sector. PSD2 schrijft voor dat diensten die op dit moment alleen door banken worden geleverd, ook door derde partijen geleverd moeten kunnen worden. In theorie kunnen die transacties dan straks autonoom door apparatuur uitgevoerd worden. Als apparatuur namens een individu handelt, moet deze individu daar toestemming voor geven, ook wel consent genoemd. Voor de mens heeft dit gevolgen, uit onderzoek blijkt dat bijna de helft van de mensen zich zorgen maakt over het verliezen van grip op apparatuur.
Dreigingen, kwetsbaarheden en mogelijke gevolgen
Het is van belang om voor apparatuur inzicht te krijgen in dreigingen, kwetsbaarheden (die door dreigingen te misbruiken zijn) en risico’s die hiermee gepaard gaan. De apparaten zijn eenvoudige computers met een processor, geheugen, netwerkverbinding en software. Onvoldoende controle van de identiteit (authenticatie), te veel autorisaties en het niet wijzigen van standaardwachtwoorden7 zijn belangrijke kwetsbaarheden. Meer apparatuurspecifieke kwetsbaarheden zijn onder meer: impliciet vertrouwen tussen apparatuur, niet registreren van apparatuur, ongecontroleerd afvoeren van apparatuur, ontbreken van een veilig update-mechanisme, hard gecodeerde wachtwoorden, web interfaces die bekende kwetsbaarheden bevatten en beveiligingssleutels die gemakkelijk te acherhalen zijn8. Dergelijke kwetsbaarheden kunnen bijvoorbeeld als volgt misbruikt worden:
De meeste vormen van softwarebeveiliging kunnen omzeild worden als men fysiek toegang tot een apparaat heeft. Een apparaat dat niet fysiek beveiligd is, is kwetsbaar. Een slecht beveiligd apparaat kan voor een aanvaller een ingang zijn naar de rest van het netwerk. Wanneer een apparaat wordt verloren of gestolen, is het dan ook zaak de toegang van deze apparatuur in te trekken.
Actoren en hun impact
Wie een dreiging vormt, hangt af van het type organisatie die eigenaar is van de apparaten. Mogelijke voorbeelden zijn (beroeps)criminelen, (activistische) hackers, terroristen, (vijandige) overheden, concurrerende bedrijven en medewerkers. De mate van dreiging en impact is mede afhankelijk van de hoeveelheid verbonden apparatuur. Enkele voorbeelden van mogelijke impact die de genoemde actoren kunnen veroorzaken:
Uitdagingen met apparaten
Voor apparaten zijn net als voor eenvoudige computers de dreigingen niet nieuw en risico’s kunnen op een ‘business as usual’ manier worden beheerst. Echter, er is een aantal specifieke uitdagingen waar bij IAM voor apparaten rekening mee gehouden moet worden. Apparaten zijn geen ‘standaard’ IT Momenteel worden apparaten vaak niet als ’IT’ gezien en maken daardoor geen onderdeel uit van de standaard IT-processen. Ze worden in gebruik genomen zonder dat de IT-afdeling betrokken is. De hoeveelheid apparatuur en de verwachte groei hierin maken dit tot een grote uitdaging. Grenzen van het interne netwerk vervagen Steeds meer apparaten worden buiten het eigen netwerk gebruikt, maar staan wel in verbinding met het eigen netwerk.
Apparaten zijn geen ‘standaard’ IT
Momenteel worden apparaten vaak niet als ’IT’ gezien en maken daardoor geen onderdeel uit van de standaard IT-processen. Ze worden in gebruik genomen zonder dat de IT-afdeling betrokken is. De hoeveelheid apparatuur en de verwachte groei hierin maken dit tot een grote uitdaging.
Grenzen van het interne netwerk vervagen
Steeds meer apparaten worden buiten het eigen netwerk gebruikt, maar staan wel in verbinding met het eigen netwerk. Waar men vroeger strikte afbakeningen kon hanteren tussen netwerken en verantwoordelijkheden, is nu een integrale ketenaanpak noodzakelijk. De keten is zo sterk als de zwakste schakel. Zeker als de keten zich uitstrekt over meerdere rechtspersonen, leveranciers, afnemers en/of klanten is dit een extra uitdaging.
Ontbreken van (de laatste) beveiligingsupdates
Veel IoT-apparaten komen niet uit de IT-wereld. Dit heeft bijvoorbeeld tot gevolg dat de baseline securitymaatregelen die bij traditionele IT standaard zijn, niet zijn ingevoerd. Het is bijvoorbeeld lang niet altijd geregeld dat een leverancier beveiligingsupdates beschikbaar stelt en de leverancier geen mechanisme heeft om updates geautomatiseerd te distribueren11. Als gevolg hiervan blijven (bekende) kwetsbaarheden in systemen langdurig bestaan. Dit terwijl het regelmatig updaten van software een van de meest toegepaste maatregelen is om misbruik te voorkomen
Een stap vooruit: apparatuur beveiligen met IAM
Om te beschermen tegen de dreigingen, zullen passende maatregelen moeten worden genomen. De lessen die de afgelopen twintig jaar in informatiebeveiliging zijn getrokken, kunnen ook op apparaten worden toegepast. Bij het definiëren en nemen van maatregelen dient er rekening te worden gehouden met de specifieke uitdagingen die op het gebied van IAM voor apparaten gelden. Het is onhaalbaar om volledig beveiligd te zijn tegen alle dreigingen omdat elke organisatie beperkte middelen heeft. Er moet daarom een afweging gemaakt worden tegen welke dreigingen men zich wil beveiligen op basis van een risicoafweging. De dreigingen en kwetsbaarheden met het hoogste risico kunnen het eerste behandeld worden door het vermijden, verminderen, overdragen of accepteren van het risico.
Creëer bewustzijn
Allereerst moet er bewustzijn worden gecreëerd voor de noodzaak tot het beveiligingen van apparaten. Dit bewustzijn zorgt voor draagvlak voor het treffen van maatregelen. Erkenning en het creëren van bewustzijn voor deze uitdaging is dan ook een cruciale voorwaarde voor het beveiligen van apparatuur met IAM.
Bepaal de identiteit van het apparaat
Voordat een apparaat toegang kan krijgen tot gegevens zal eerst de identiteit van het apparaat moeten worden geverifieerd. Registratie van het apparaat, de identiteit daarvan en waartoe het apparaat toegang heeft, is daarvoor noodzakelijk. Voor eindgebruikers moet het gebruik van apparatuur zo gemakkelijk mogelijk verlopen.
Houd rekening met grote aantallen apparaten
Veel bestaande IAM-systemen zijn berekend op kleinere relatief stabiele aantallen medewerkers en/of klanten. Apparatuur zal snel in aantal toenemen en potentieel veel grotere aantallen bereiken dan tot nu toe beheerd moest worden. Het ontwerp van een IAM-oplossing moet daarom rekening houden met grote aantallen identiteitsverificaties, sessievalidaties en toegangscontroles. Om dit beheersbaar te houden kan gebruik worden gemaakt van self-services, waarbij gebruikers bijvoorbeeld zelf apparaten registreren. Een integrale oplossing die hiervoor nodig is, vereist een sterke IT, Security en Compliancy Management omgeving, die wordt ondersteund met de juiste tooling.
Ga uit van de levenscyclus van het apparaat
Ook al hebben apparaten hun beperkingen in vergelijking met ‘normale’ computers, toch kunnen IAM best practices goed worden toegepast. Als uitgangspunt kan hierbij de levenscyclus van een apparaat worden genomen. Na een initiële registratie, als onderdeel van het asset management, is het apparaat bekend binnen de organisatie. Een apparaat kan ergens anders worden gebruikt of door een andere eigenaar. Tot slot dient aan het einde van de levenscyclus, de toegang van de identiteit van het apparaat te worden weggenomen en dienen alle gegevens op het apparaat te worden gewist.
Gebruik een IoT security framework
Verder verdient het aanbeveling om gebruik te maken van een IoT security framework. Een dergelijk framework bespaart tijd en biedt houvast voor de beveiliging van apparatuur. Ook bieden deze frameworks ondersteuning bij automatisering, wat relevant is bij grote hoeveelheden apparatuur. Een framework moet wel worden toegespitst op het specifieke gebruik binnen de organisatie.
Wees voorbereid op incidenten
Tot slot dienen er maatregelen te worden genomen voor het geval er een incident plaatsvindt. Er moet tijdig ontdekt worden dat er iets misgaat, waarvoor goede monitoring – al dan niet gecombineerd met geavanceerde analyse – nodig is. Indien monitoring reeds gebeurt vanuit een Security Operations Center (SOC), kan dit worden uitgebreid voor apparaten. Wanneer er een verstoring ontdekt wordt, kan afhankelijk van de impact, er bijvoorbeeld de toegang voor specifieke apparaten of een hele groep van apparaten (tijdelijk) worden ontzegd. Het is belangrijk om een plan te hebben om met deze onvoorziene gebeurtenissen om te gaan en daarna terug te keren naar de normale gang van zaken.
Beveilig apparatuur met IAM
Met de groeiende hoeveelheid apparatuur verbonden met internet die actief is binnen bedrijven, groeit ook het belang van het goed inrichten van IAM. IAM is een bewezen mechanisme om toegang tot gegevens te beveiligen. Dit artikel beschrijft de belangrijkste uitdagingen en maatregelen die specifiek voor IAM van apparatuur nodig zijn. Bewustzijn van de problematiek is daarvoor een eerste vereiste.
