Innovatie en onveiligheid, een symbiotische relatie?

Lee Ealy-Newman

Lee Ealey-Newman, Director EMEA/APAC PKI & IoT van Digicert

Een paar jaar geleden leek het IoT nog een science fiction begrip. Door de snelle integratie van de digitale wereld met onze ‘echte’ wereld, wordt er tegenwoordig steeds meer computertechnologie in woningen, auto’s en bedrijven toegepast. Het Industriële Internet of Things (IIoT) gaat nog veel verder en biedt grote kansen in een wereld die al overloopt van mogelijkheden. In al het enthousiasme over IoT loert echter ook het gevaar dat belangrijke veiligheidsaspecten over het hoofd worden gezien. 

Uit DigiCert's 2018 State of IoT Security onderzoek onder 700 bedrijven in de wereld blijkt dat het niet serieus nemen van IoT-beveiliging kan leiden tot kostbare consequenties. Volgens de respondenten nu al miljoenen aan omzetverlies per jaar, wat nog verder gaat toenemen door de groei van het IIoT. 

Explosieve groei ‘things’

Het aantal met Internet verbonden apparaten is begin dit jaar al de 11 miljard gepasseerd, terwijl het IIoT nog maar amper daaraan bijdraagt. Het IIoT gaat bedrijven de komende jaren verder transformeren met apparatuur, machines en sensoren die zowel op veel meer plaatsen als sneller data verzamelen. Als gevolg daarvan zijn fabrieken eenvoudiger en veiliger te managen, worden supply chains efficiënter en veiliger, zijn er interessante kostenbesparingen te realiseren en verrijkt die data de business intelligence. 

De explosieve groei van met Internet verbonden ‘things’ biedt behalve businessvoordelen natuurlijk ook interessante kansen voor cybercriminelen. Kwaadwillenden hebben inmiddels al verschillende nieuwe ingangen en kwetsbaarheden ontdekt die zijn ontstaan dankzij deze technologische revolutie. 

Datakwetsbaarheid beïnvloedt openbare veiligheid

Meer data is waardevol maar het belang daarvan wordt aanzienlijk groter als we denken aan de veiligheid van kritieke infrastructuren als het IIoT. Dan praten we namelijk niet meer over zwakke Wi-Fi verbindingen en onveilige wearables. IIoT-beveiliging kan bij medische apparatuur letterlijk het verschil gaan uitmaken tussen leven en dood. 

De Stuxnet-aanval op een Iraans nucleair project en ontevreden werknemers die de papierfabrieken van hun voormalige werkgevers verstoorden, zijn twee voorbeelden van hoe IIoT-misbruik eruit kan zien. Zeker in combinatie met de macht van een staatsorganisatie, of ingang via een insider. Gelukkig zijn de meeste incidenten niet schadelijk voor het menselijk leven. 

Verdere adoptie van het IIoT betekent ook dat al decennia oude bestaande systemen moeten worden aangepast. Deze zijn vaak uitgerust met verouderde en verkeerd geconfigureerde software en hardware, die nooit zijn ontworpen om een cyberaanval te weerstaan. Achteraf inbouwen van moderne beveiliging lost daarvoor mogelijk niet alle potentiële problemen op, terwijl vervanging kostbaar en ingrijpend is. 

Er zijn nog maar weinig beveiligingsstandaarden voor dit explosief groeiende nieuwe Internet-segment, waardoor IIoT-gebruikers met dezelfde problemen te maken krijgen als bij IoT-apparatuur. Fabrikanten brengen hun producten zo snel mogelijk op de markt, zonder voldoende aandacht te besteden aan het risico dat ze mogelijk het doelwit zijn voor een gevaarlijke cyberaanval. 

Onveiligheid uit innovatie halen

Een Public Key Infrastructure (PKI) met digitale certificaten maakt het mogelijk om de onveiligheid uit IIoT-gebaseerde innovaties te halen. Producenten van ‘connected’ apparatuur kunnen zo’n PKI al in de fabriek toevoegen om kwetsbaarheden te voorkomen, voordat ze apparatuur op de markt brengen. Deze ‘security-by-design’ aanpak levert een betere beveiliging tegen lagere kosten op, dan achteraf toevoegen. 

Een PKI-systeem kan de verbindingen in grote IIoT-netwerken monitoren, gevuld met eindpunten die voortdurend met elkaar communiceren en data heen en weer sturen. Deze oplossing zorgt voor veilige wederzijdse authenticatie tussen alle apparaten, systemen en gebruikers. Dan zijn beide uiteinden van een transactie betrouwbare partijen en wordt het veilig uitwisselen van data gewaarborgd. 

Zo’n PKI-infrastructuur versleutelt ook alle data die over IIoT-netwerken wordt gecommuniceerd, met behulp van de modernste cryptografie. Dit betekent dat zelfs als hackers erin slagen verzonden data te onderscheppen, ze daar moeilijk misbruik van kunnen maken. Verder garanderen code signing certificaten de integriteit van data en voorkomt een veilige boot dat er met zo’n code wordt geknoeid. 

PKI voegt het benodigde vertrouwen toe aan IIoT-netwerken en maakt het veel moeilijker om met brute kracht, ‘Man in the Middle’, of een social engineeringaanval, gebruikers of zwakke apparaten te hacken. De onderliggende technologie is gebaseerd op gestandaardiseerde ‘open’ webprotocollen en daardoor ook prima schaalbaar voor industriële omgevingen met meer en moeilijker te controleren eindpunten. 

Ruimschoots bewezen oplossing

PKI gebaseerd op digitale certificaten is een al ruimschoots bewezen oplossing voor met het wereldwijde web verbonden systemen. Het is een autoriserende beveiligingsstandaard die gedurende tientallen jaren is doorontwikkeld en verbeterd. Nieuwe technologieën kunnen altijd risico’s met zich meebrengen, maar bewezen oplossingen als KPI stellen gebruikers terecht in staat om IIoT-toepassingen te vertrouwen. 

Een bekend voorbeeld van wat er kan gebeuren is de cyberaanval die overheidsorganisaties, financiële instellingen en een energiecentrale in de Oekraïne platlegde. Maar ook containeroverslagbedrijf Maersk en honderden andere bedrijven. Hoewel momenteel nog zeldzaam moeten we rekening blijven houden met eventuele kwetsbaarheden in systemen die met het IIoT zijn verbonden. 

Totdat fabrikanten apparatuur beter beveiligen en overheden strengere regels opleggen, moeten IIoT- gebruikers zelf zorgen voor veilige implementaties. Daarvoor kunnen ze natuurlijk de kennis en ervaring benutten die security-experts al hebben met certificaat-gebaseerde beveiliging, om de beste oplossing te bedenken. Verder is leren van het verleden ook heel belangrijk om toekomstige incidenten te voorkomen.