IoT: al je apparaten online, hoe doe je dat veilig?

Een bedrijfswagen die zelf aangeeft dat het tijd is voor een onderhoudsbeurt. Een espressoapparaat dat ziet dat de koffiebonen bijna op zijn. Slimme apparaten verzamelen informatie met sensors of chips en sturen die info via internet naar de gebruiker. Al die slimme apparaten bij elkaar noemen we ‘Internet of Things’ (IoT), oftewel Internet der Dingen. Met IoT besparen ondernemers tijd en geld, maar is het ook veilig? De EU vindt van niet. Vanaf 2024 komen er strengere veiligheidseisen voor IoT-apparaten.

Veiligheid is groot probleem

“We staan nog maar aan het begin van het IoT-tijdperk”, zegt Sandro Etalle, hoogleraar cybersecurity aan de Technische Universiteit Eindhoven. Hij leidt een groot onderzoek naar de veiligheid van IoT-apparaten. “Alles ziet er nu prachtig en interessant uit. Maar we denken te weinig na over hoe we deze apparaten moeten beheren en beveiligen. De veiligheid van IoT-apparaten is een groot probleem.”

Zwak wachtwoord

Veel smart-apparaten zijn beveiligd met zwakke wachtwoorden, weet securityexpert Arvid Landwaart. “Neem slimme beveiligingscamera’s. Via een app op je telefoon kun je kijken wat er gebeurt in je bedrijfspand. De stream is afgeschermd, maar de fabrikant geeft alle camera’s vaak een zelfde gebruikersnaam en wachtwoord”, vertelt Landwaart. Als je dat standaardwachtwoord vergeet te veranderen, kijken anderen zo met je mee.

Binnen één minuut gehackt

Kwetsbare IoT-apparaten zijn voor hackers of criminelen gemakkelijk te vinden. De website shodan.io scant automatisch naar apparaten met een onbeveiligde internetverbinding. Een crimineel checkt simpelweg die site en slaat dan toe. “Als je een ‘lek’ apparaat aan het internet hangt, is het binnen 45 seconden gehackt”, waarschuwt Landwaart. “Zo kwam ik online een slecht beveiligde camera tegen die op een werkplek gericht stond. Ik zag mensen werken. Helaas kon ik niet achterhalen waar het precies was, dus ik kon ze niet waarschuwen.”

Zombie

Slimme apparaten zijn niet alleen kwetsbaar door zwakke wachtwoorden. “Voor veel IoT-apparaten verschijnen helemaal geen software-updates”, zegt Etalle. Ontstaat er een beveiligingslek in de software, dan kun je dat niet repareren. “Soms blijven apparaten als zombie verbonden met internet, lang nadat het bedrijf dat de software ervoor verkocht failliet is gegaan.” Via de kwetsbaarheden in de software van zombie-apparaten die je niet meer kunt updaten, komen criminelen makkelijk je netwerk binnen.

Slim aquarium

Cybercriminelen gebruiken die zwakke wachtwoorden en kwetsbaarheden in de software van IoT-apparaten om je bedrijfsnetwerk binnen te dringen. “Ze hebben maar één toegangspunt nodig”, zegt Etalle. “We hebben cyberaanvallen gezien die startten vanuit het slimme aircosysteem. Ik ken zelfs een aanval die begon in een slim aquarium.” Met grote netwerken van geïnfecteerde IoT-apparaten, botnets, kunnen criminelen bijvoorbeeld DDoS-aanvallen uitvoeren of cryptomunten delven.

Bescherm jezelf

Beveilig je slimme apparaten. Etalle en Landwaart geven zes tips om je slimme apparaten zo veilig mogelijk te gebruiken.

1. Maak een apart netwerk voor je IoT-apparaten

Als criminelen toch een van je smart-apparaten hacken, komen ze in een minder belangrijk netwerk terecht. Zo kunnen ze niet in je andere netwerk waarin bijvoorbeeld je computer met belangrijke bedrijfsgegevens zit. Vraag je IT-beheerder of netwerkleverancier aparte netwerken voor je in te stellen.

2. Investeer in kwaliteit

Koop je apparaat bij een bekende fabrikant waarvan je mag aannemen dat die over tien jaar nog bestaat. Dan is de kans groter dat het bedrijf de noodzakelijke software-updates zal uitbrengen. Sinds 27 april 2022 zijn verkopers trouwens wettelijk verplicht wél updates aan te bieden voor IoT-apparaten.

3. Draai altijd de software-updates van de fabrikant

Als de mogelijkheid er is, stel dan in dat je apparaat die updates automatisch draait.

4. Gebruik sterke wachtwoorden

Als je moet inloggen op het apparaat, wijzig dan altijd de standaardgegevens. Genereer bijvoorbeeld sterke, unieke wachtwoorden met een wachtwoordmanager.

5. Verbind niet onnodig met internet

Bedenk: is het nodig dat dit apparaat verbonden is met internet? Als je de slimme functionaliteit van een apparaat niet gebruikt, schakel die dan uit. Zo heb je weer een toegangspunt minder voor criminelen.

6. Maak een plan B

Wat doe je als je internetverbinding uitvalt en je het apparaat niet meer kunt gebruiken? Hoe vang je dat binnen je bedrijf op? Bedenk alvast alternatieven.

Slimmer ontwerpen

Op de lange termijn zijn deze maatregelen geen oplossing, volgens Etalle. Er komen volgens hem ‘biljoenen’ IoT-apparaten aan. Zie die maar allemaal te beveiligen met een wachtwoord of apart netwerk. Die apparaten moeten dus slimmer ontworpen worden, zodat ze veiliger zijn als ze de fabriek uitrollen. “Producenten moeten nadenken over de vraag: hoe gaan we het apparaat beheren en monitoren als het de fabriek verlaat? Die vraag moet geen bijzaak zijn, maar in het ontwikkelproces van deze apparaten meegenomen worden.” Het duurt nog wel even voordat die vraag is beantwoord, of totdat er duidelijke wetten voor IoT zijn. Tot die tijd geldt dus: verander het wachtwoord!