Waren het pakweg zes jaar geleden mobiele devices die de kwetsbaarheid van bedrijfsnetwerken groter maakten, nu zijn het IoT-devices die de digitale kwetsbaarheid vergroten van een al complex security-landschap. Dat blijkt uit steeds meer onderzoeken, waaronder van de overheid zelf. De politiek roept al op tot overheidsmaatregelen, zij het voor de consumentenmarkt. Bedrijven moeten samen met de politiek en overheid betere IoT-security afdwingen. De digitale veiligheid van het bedrijfsleven is op cybersecurity-gebied te belangrijk om aan marktwerking over te laten.
IoT dringt steeds verder door in het bedrijfsleven. Van een met een sensor uitgeruste vuilnisbak die aangeeft wanneer hij vol is – en zo vuilniswagens de meest optimale route laat rijden – tot en met sensors in bruggen die aangeven wanneer onderhoud nodig is.
De marktwaarde van IoT-oplossingen zal wereldwijd in 2025 rond de 300 miljard euro bedragen. Volgens onderzoeksbureau Gartner zijn er in 2017 wereldwijd 8,4 miljard verbonden apparaten in gebruik. In 2020 zal het aantal stijgen naar 20,4 miljard.
IoT moet als onderdeel van een digitaal ecosysteem – waar ook big data en data analytics, kunstmatige intelligentie en machine learning deel van uitmaken – leiden tot verbeterde, meer efficiënte processen en betere inzichten. Het welzijn van mensen en het concurrentievermogen van bedrijven kan zo naar een nieuw niveau gebracht worden.
IoT vergroot kwetsbaarheid bedrijfsnetwerken
Tot zover het goede nieuws. Want de snelle opkomst van IoT brengt op cybersecurity-gebied veel uitdagingen en bedreigingen met zich mee voor het bedrijfsleven. Uit diverse recente onderzoeken blijkt dat IoT-devices de kwetsbaarheid van bedrijfsnetwerken behoorlijk vergroten.
Volgens het Cybersecurity Insights-rapport, ‘The CEO’s Guide to Data Security’ van de Amerikaanse zakelijke operator AT&T, is het aantal cyberaanvallen op zwakke plekken in IoT-apparaten en -sensors in de eerste helft van 2016 toegenomen met 400 procent. Verder is het aantal (distributed) denial-of-service-cyberaanvallen in 2016 verdubbeld, met als voorname oorzaak het gebrek aan toereikende beveiligingsmaatregelen voor IoT-devices, aldus Dimension Data in een rapport van juni 2017.
Overheid ziet gevaar IoT-devices
Ook de overheid ziet de dreiging van IoT, zo blijkt uit het Cybersecuritybeeld Nederland 2017 in mei van dit jaar. Veel IoT-apparaten bevatten kwetsbaarheden waarvoor geen beveiligingsupdates uitkomen, wat misbruik mogelijk maakt voor onder meer DDoS-aanvallen.
Ook de sterke afhankelijkheid van een beperkt aantal buitenlandse aanbieders van infrastructuurdiensten brengt risico’s met zich mee. Hoewel grote leveranciers zich beter tegen aanvallen kunnen wapenen, zorgt de afhankelijkheid ervan voor grote impact als zij wel geraakt worden.
IoT-leveranciers beveiligen slecht
In reactie op het Cyber Security Beeld Nederland 2017 stelt het adviesorgaan Cyber Security Raad dat het zich veel zorgen maakt over de kwetsbaarheid van IoT-devices. Ze zijn volgens de CSR vaak slecht beveiligd en vormen een bedreiging voor veiligheid en privacy.
Producenten van IoT-toepassingen moeten daarom veiligheidsmaatregelen treffen, maar doen dat niet omdat zij de complexiteit van het Internet of Things niet overzien, hun producten snel op de markt willen brengen om de concurrentie voor te zijn en een gebrek hebben aan kennis, prikkels, toezicht en handhaving. Dit blijkt uit WODC-onderzoek naar kansen en bedreigingen inzake IoT.
Politiek roept op tot maatregelen
De Tweede Kamer riep de regering in juni dan ook op maatregelen te nemen tegen onveilige IoT-apparatuur. Het (demissionair) kabinet wordt gevraagd te onderzoeken welke minimale veiligheidseisen aan IoT-apparatuur en -sensors kunnen worden gesteld, hoe die eisen kunnen worden afgedwongen en welke andere maatregelen nodig zijn om consumenten te beschermen tegen slecht beveiligde apparatuur zoals met internet verbonden waterkokers of koelkasten.
De Europese Commissie onderzoekt de mogelijkheden voor een standaard voor minimale beveiliging, maar dit heeft nog geen resultaat opgeleverd. SP en D66, initiatiefnemers achter de motie, willen dat Nederland daarom nu al stappen zet. Zij vrezen dat veel consumenten zich niet bewust zijn van de potentiële gevaren van een hack. Daarom moet elke producent van IoT-apparatuur gaan voldoen aan basiseisen voor beveiliging. De Kamer zal de komende tijd verder kijken naar de invulling van een Nederlands stappenplan.
Gezamenlijk optrekken bedrijven, politiek, overheid
In politiek, bij overheden en adviesorganen is al meer aandacht voor het gevaar van IoT-devices, maar van harde regulering is vooralsnog geen sprake. Oproepen voor meer beveiliging in IoT-apparatuur betreffen de consumentenmarkt. De impact voor het bedrijfsleven kan echter net zo groot zijn, in het geval van door IoT-kwetsbaarheden getroffen vitale infrastructuren zelfs groter.
Het is dan ook aan het bedrijfsleven om gezamenlijk, via brancheorganisaties zoals VNO-NCW en BTG, een duidelijk standpunt in te nemen richting politiek en overheid. Er moet nu gezamenlijk actie ondernomen worden om minimale beveiliging af te dwingen. Via vrijwillige certificering als dat mogelijk is, via regulering als het moet. Want het beschermen van de digitale veiligheid van het Nederlandse bedrijfsleven is te belangrijk om aan marktwerking alleen over te laten.
Binnen BTG speelt IoT ook een belangrijke rol. Onder andere binnen de expertgroep IoT wordt nagedacht over de wijze waarop we dit thema kunnen invullen. Op 8 september staat de volgende expertgroep IoT gepland, als je interesse hebt om deel te nemen dan kan je aanmelden via deze pagina. Let wel: Expertgroepen zijn besloten en uitsluitend voor eindgebruikers."
[userquote user="906"]
IoT en de impact hiervan op security-aspecten is voor beleidsmakers een relatief jong en complex fenomeen. Er zijn zowel nationaal als internationaal allerlei initiatieven gaande om hiervoor beleidskaders en/of normen vast te stellen. Hiervoor moeten veel functionele, technische en juridische aspecten worden afgewogen en daarnaast is sprake van zowel politieke als lobby-processen, mede omdat dit het spanningsveld raakt van overheid-, markt- en consumentenverantwoordelijkheid. Dit proces vergt tijd om tot consensus te komen.
Vanuit BTG en onze internationale partner INTUG leveren we veelvuldig onze bijdragen aan de diverse consultaties, studies, symposia die aan dit thema worden gewijd. Hierin benadrukken wij het belang van de zakelijke consument, die onze leden vormen. Zij hechten grote waarde aan de bedrijfscontinuïteit, -zekerheid en –veiligheid van hun core businesses – dit tevens vanuit van het kader van hun wettelijke verplichtingen en de morele verantwoordelijkheid voor de veiligheid en privacy van de klanten. Daarnaast lopen organisaties een groot risico op bedrijf- en imagoschade als zij de veiligheid van hun datavoorzieningen niet kunnen garanderen.
Aan de andere kant is er ook sprake van een grote behoefte aan ondernemingsvrijheid, mede om de IoT-innovaties te bevorderen. Dit vergt ruimte en een zekere mate van vrijheid, die niet teveel moet worden ingeperkt door vernauwende maatregelen. Het is dus ook voor de zakelijke afnemers van groot belang dat er richtlijnen komen, die enerzijds rekening houden met ruimte voor onderneming en innovatie en anderzijds de (data)veiligheid borgen.
BTG werkt hieraan in het kader van haar kennisinstituut-ambities en zoekt hiervoor de samenwerking met onder andere het ministerie van Economische Zaken en NEN. Daarnaast organiseert BTG een expertgroep, bestaande uit leden die gezamenlijk aan dit thema werken. Het ministerie van EZ heeft IoT hoog op de prioriteitsagenda staan en organiseert hiervoor inmiddels al dialogen met de markt en de vertegenwoordigers van haar afnemers.
[/userquote]
