Opdrachtgever: Avéro Achmea
Contenttype: Longread, interview
Doelgroep: Onafhankelijke verzekeringsadviseurs
Onderwerp: Cybersecurity
De risico’s van Internet of Things
“Elke ondernemer krijgt te maken met IoT”
Wist u dat volgend jaar het internet of Things (IoT) ruim 31 miljard apparaten telt? IoT groeit als kool. Bedrijven hebben daar heel veel voordeel bij, maar het trekt helaas ook criminaliteit aan. Hoog tijd om er eens wat dieper op in te gaan.
Het Internet of Things breidt enorm snel uit. In 2021 besteden bedrijven naar schatting meer dan 250 miljard euro aan IoT-technologie. Het grootste deel daarvan wordt gebruikt in bedrijfsbeveiliging en voorraad- of magazijnbeheer. Wat zijn de risico’s van IoT? Daarover hebben we het met René van Etten, cyberexpert en directeur van ThreadStone Security.
Beveiliging is meer dan een firewall en virusscanner
“De aandacht voor cybersecurity is vaak onvoldoende bij het mkb”, vertelt Van Etten. “Dat geldt zeker voor IoT. Een groot deel van de ondernemers is zich niet goed bewust van de risico’s. Ze missen het overzicht en hopen er maar het beste van. Ze denken dat het met een firewall en virusscanner wel los zal lopen. En inderdaad, een firewall is een goeie start. Bescherming tegen virussen ook. Maar informatiebeveiliging gaat veel verder dan dat. Het gaat verder dan alleen techniek. Het is belangrijk om ook naar processen kijken. Bijvoorbeeld als mensen uit dienst gaan. Hoe regel je dat ze geen toegang meer hebben tot je netwerk? En heb je iets geregeld om te voorkomen dat ze een klantenbestand meenemen naar de volgende werkgever? Daar gaat nog veel fout in het mkb.”
“Veel ondernemers vinden IoT een lastig onderwerp
en hopen er maar het beste van”
Het mkb gebruikt massaal Internet of Things
“Veel ondernemers weten niet dat ze IoT in hun netwerk hebben. Medewerkers kunnen tegenwoordig zelf van alles koppelen aan het netwerk. Denk aan een internetradio. Leuke gadget, en heel fijn als je op een kamer zit met mensen die van dezelfde muziek houden als jij. Maar het is wel een volwaardig IoT-apparaat. Of denk aan een beveiligingscamera waarvan je online de beelden kunt monitoren. Of een alarmsysteem dat meldingen stuurt naar bijvoorbeeld een app op je telefoon. Het maakt allemaal gebruik van netwerkverbindingen. En dat is precies wat IoT is. De It’ers binnen het bedrijf weten vaak niet wat medewerkers allemaal in het netwerk hangen. Het valt ook buiten hun verantwoordelijkheid. Maar wat heeft het voor zin om al je computers, servers en routers te beschermen, als er een hele reeks andere apparaten die niet of nauwelijks beveiligd zijn aan het netwerk hangt?”
Een hacker weet er wel raad mee
Veel ondernemers communiceren met Voice over IP (VoIP). Dat is telefonie, maar dan via aan het netwerk gekoppelde apparaten. Skype en Facetime zijn voorbeelden van VoIP. “Als je zulke systemen of apparaten gebruikt, dan moet je ze beheren. Er moet een duidelijke eigenaar zijn, die verantwoordelijk is voor firmware en security-updates.” Bellen met beeld, ofwel videoconferencing, is steeds gebruikelijker. “Vooral kleine ondernemers denken dat ze klaar zijn als ze bij de bouwmarkt een camera hebben gekocht en na een halfuurtje puzzelen de eerste beelden kunnen zien. Vaak realiseren ze zich niet dat heel de wereld die beelden kan zien omdat ze niet weten dat ze het standaard password moeten veranderen. Een hacker weet wel raad met zo’n camera. Als-ie zijn vak verstaat, krijgt hij in no time via dat apparaat toegang tot het hele netwerk. De e-mail, de database, de fileserver, maar ook alle aangesloten computers en laptops.”
IoT is onmisbaar voor een concurrerende positie
IoT is vooral in productie en voorraadbeheer onmisbaar voor een concurrerende positie. “Productielijnen zijn vaak 20 tot 30 jaar geleden ontworpen met hele andere uitgangspunten dan een computer. Ze zijn gebouwd op jarenlange continuïteit. Met name rond 2000 zijn veel bedrijven hele productielijnen aan computers en netwerken gaan koppelen. Om er meer informatie uit te kunnen halen. Ten behoeve van het rendement en de marge natuurlijk. Niemand stond erbij stil dat de productie met al zijn missiekritische systemen daarmee indirect ook aan het internet kwam te hangen. Met alle gevaren van dien. Er is nog een wereld te winnen als het gaat om beveiliging van de talloze kwetsbaarheden. Want je wil toch voorkomen dat die lijn, die ooit ontworpen is met continuïteit als belangrijkste kenmerk, zomaar stilgelegd wordt door een kwaadwillende hacker?”
Vandaag besteld, morgen in huis
Met de eisen van de moderne klant is logistiek topprioriteit van bijna elke leverancier van consumptiegoederen. Vandaag besteld, morgen in huis. Of zelfs vandaag nog, als je voor een bepaald tijdstip bestelt. Om dat mogelijk te maken zijn strak georganiseerde logistieke en voorraadsystemen nodig. Magazijnlocaties worden gekoppeld aan het netwerk, om de administratieve voorraad en de werkelijke voorraad continu synchroon te houden. Auto’s worden uitgerust met gps en een mobiele simkaart, gekoppeld aan het netwerk, zodat de klant altijd kan zien waar zijn pakje is. Elk onderdeel in die keten, van front office of webshop via het magazijn tot de auto van de bezorger, moet beveiligd zijn. Zelfs een zzp’er met een webshop krijgt ermee te maken, al op het moment dat hij zijn webshop koppelt met bijvoorbeeld de bezorgdienst van PostNL. Of met de betaalsite van Paypal. Zonder IoT ben je niet concurrerend en met IoT moet je zeker weten dat je kwetsbaarheden stuk voor stuk zijn afgedekt.
“Je wil toch voorkomen dat je bedrijfscontinuïteit zomaar
stilgelegd kan worden door een hacker?”
IoT-botnets bedreigen het internet
Botnets zijn grote hoeveelheden netwerkapparaten die allemaal zijn overgenomen door een hacker. De kracht van al die apparaten wordt gebundeld door ze allemaal tegelijk op hetzelfde moment dezelfde opdracht te laten uitvoeren. Microsoft noemde in 2018 botnets als grootste cyberdreiging van de komende jaren. Dat lijkt misschien gek, want botnets bestaan al meer dan 20 jaar. Maar vroeger bestonden zulke kwaadaardige netwerken uit besmette computers. Tegenwoordig zijn het juist veel meer IoT-apparaten die worden geïnfecteerd. En die botnets zijn vele malen groter en krachtiger dan de botnets van vroeger. Een botnet met de veelzeggende naam IoT-reaper moet volgens virusexperts in staat zijn het internet grotendeels plat te leggen. En het bestaat volledig uit IoT-apparaten. Voor een ondernemer kunnen problemen ontstaan als een camera of een ander IoT-apparaat dat in gebruik is bij het bedrijf, deel uitmaakt van zo’n botnet. Omdat het apparaat dan kan worden gebruikt voor criminele doeleinden.
Elke ondernemer moet passende maatregelen nemen
René van Etten: “Er zijn nog niet veel voorbeelden waarin een rechter uitspraak heeft gedaan, maar ik durf niet uit te sluiten dat een ondernemer wiens apparaten zijn gebruikt in een cyberaanval, met een zekere mate van aansprakelijkheid kan worden geconfronteerd. Volgens de AVG (Algemene verordening gegevensbescherming) moet elke ondernemer passende maatregelen nemen voor beveiliging. Wat die passende maatregelen precies zijn, staat er alleen niet in vermeld. Hinder kun je er zeker van ondervinden, omdat de netwerkadressen van de bewuste apparaten vaak worden geblokkeerd door de provider. Voor een mkb-er is dat meestal het adres waarmee zijn netwerk aan het internet gekoppeld is. In dat geval kun je niet meer mailen of googelen of je website beheren, dan ben je in feite afgesloten van de wereld.”
De expert geeft advies
Volgens cyberexpert René van Etten is het vooral belangrijk om goed te letten op de basale veiligheidsmaatregelen bij de installatie van IoT-apparatuur. Is de firmware up to date? Is het wachtwoord aangepast naar een sterk wachtwoord? Zijn de gebruikersbevoegdheden goed ingesteld? En daarna: blijven controleren. Nieuwe updates installeren zodra ze beschikbaar zijn. Periodiek checken of de bevoegdheden nog kloppen, of dat er bijvoorbeeld mensen met bevoegdheden het bedrijf intussen hebben verlaten. Kortom: beheer, beheer, beheer.
[Kader]
Het internet der dingen is niets nieuws
Al in 1999 bedacht Kevin Ashton de term Internet of Things. Ashton werkte aan technologieën om het internet te verbinden met de fysieke wereld. Toen nog hoogst experimenteel, maar tegenwoordig de gewoonste zaak van de wereld. Ga maar na: we kijken nauwelijks meer op als een collega een app gebruikt om thuis de verwarming vast aan te zetten. Of om te checken of zijn Tesla voldoende is opgeladen. Of om te zien of de Albert Heijn op de hoek zijn favoriete koffie alweer op voorraad heeft. Alles om ons heen is online. En vrijwel elke ondernemer heeft op een of andere manier te maken met IoT.
[Kader oplossingen]
Als adviseur bent u dagelijks bezig uw klanten te helpen met het beschermen van hun bedrijf. Online bescherming is daarbij belangrijker dan ooit. Als verzekeraar helpt Avéro Achmea u daar weer bij. Natuurlijk met verzekeringen die passen bij elke klantsituatie. Uiteraard met een uitstekende prijs-kwaliteitverhouding. Maar we gaan graag nog een stapje verder voor uw klanten.
Avéro Achmea werkt samen met zorgvuldig geselecteerde, professionele cybersecuritypartners. Dankzij onze jarenlange samenwerking kunnen we uw klanten helpen beschermen tegen vrijwel elke cyberdreiging.
[Opsomming]
- U las in dit artikel al over het belang van een firewall. Waarschijnlijk hebben de meeste mkb’ers daar wel voor gezorgd, maar het kan nooit kwaad om dat te checken.
- Ook de noodzaak voor een robuuste antivirusoplossing kwam in dit interview met René van Etten aan bod. Heeft uw klant al een goede virusscanner geïnstalleerd om zijn computers, laptops, servers en mobiele apparaten te beschermen?
- Zoals gezegd gaat databeveiliging verder dan alleen een firewall en antivirus. Betrouwbare backupsoftware met een degelijke backupstrategie zijn van levensbelang. Mocht er iets misgaan, dan kan uw klant dankzij de backup vaak dezelfde dag weer gewoon aan het werk.
- Over beheer liet onze expert in dit artikel niets aan duidelijkheid te wensen over. Patch management is daarbij van levensbelang. Onze partner weet precies hoe hij uw klanten ook op dat gebied moet ontzorgen.
Wilt u na al deze tips nog meer weten over onze beschermende producten voor cybersecurity? We hebben al onze diensten en oplossingen voor u samengebracht op een handige overzichtspagina. En als u meer wilt weten over het onderwerp zelf, dan hebben we ook nog een training cybersecurity voor u. Let op: er is maar beperkt plaats.
[LinkedIn post]
Elke ondernemer krijgt te maken met Internet of Things. Dat brengt geweldige kansen met zich mee. Maar ook serieuze cyberrisico’s. Welke dat zijn? Dat leest u in dit artikel met René van Etten, directeur van ThreadStone Security.