Pas op! Hoe slimme apparaten een hele organisatie kunnen platleggen

Door Jesse Frericks, Martijn Kunz en Lars Ploeg.

Een casino in de Verenigde Staten is in 2017 het slachtoffer geworden van een hack. Bij deze hack hebben cybercriminelen 10 GB aan (persoons)gegevens buitgemaakt, waaronder de gegevens van zogeheten high rollers, rijke en gokbeluste bezoekers.

De manier waarop de cybercriminelen op het netwerk van een zwaarbeveiligd casino hebben kunnen inbreken is opmerkelijk. De criminelen braken in op de slimme thermometer van een aquarium, die op zijn beurt verbonden was met het bedrijfsnetwerk. Hierdoor kregen de criminelen vrij spel.

Het Internet of Things (IoT) is een verzamelnaam voor apparaten, zoals deze thermometer, die via internetverbindingen communiceren met andere apparaten of systemen. Deze slimme apparaten nemen zelfstandig beslissingen, waardoor menselijke handelingen niet meer nodig zijn. Toepassingen van slimme apparaten binnen een kantoorpand zijn zaken als: verwarmingen, rookmelders, beveligingscamera’s en een slim alarmsysteem.

Kwetsbaarheden

Slimme apparaten hebben risico’s die anders zijn dan die van normale IT-toepassingen, namelijk:

  • Wachtwoordbeheer
    Veel IoT appraten maken gebruik van standaardwachtwoorden. Deze standaardwachtwoorden staan vaak vermeld in (online) handleidingen en zijn daarmee ook toegankelijk voor kwaadwillenden. Deze wachtwoorden worden vaak niet gewijzigd of kunnen niet gewijzigd worden. Als het wachtwoord (publiekelijk) bekend is, wordt het makkelijk voor de hacker om het apparaat over te nemen en te misbruiken.
  • Interfaces
    Het ecosysteem rondom het IoT apparaat uit zich in onveilige interfaces. Als gevolg van onveilige web-, backend API-, cloud- of mobiele interfaces kan het IoT apparaat een kwetsbaarheid zijn. Veel voorkomende problemen met betrekking tot deze interfaces zijn het gebrek aan authenticatie/autorisatie, ontbrekende of zwakke versleuteling en een gebrek aan invoer- en uitvoerfiltering.
  • Updates
    IoT apparaten zijn vaak niet veilig te updaten. Zo ontbreekt er vaak firmwarevalidatie, waardoor de authenticiteit van de firmware niet gevalideerd kan worden. Of er ontbreekt de mogelijkheid om updates veilig en versleuteld te transporteren. Ook ontbreekt er een anti-rollback mechanisme, waardoor het voor kwaadwillenden mogelijk wordt verouderde software met bekende bugs opnieuw te installeren. Tot slot worden gebruikers van IoT-apparaten niet geïnformeerd over belangrijke beveiligingswijzigingen wanneer updates beschikbaar komen.
  • Privacybescherming
    Op sommige slimme apparaten wordt persoonlijke informatie van de gebruiker opgeslagen en verwerkt. Als dit onveilig of zonder toestemming opgeslagen, verwerkt of gedeeld wordt, is dat in strijd met de Algemene Verordening Gegevensbescherming (AVG). Dit moet dus worden vastgelegd in het verwerkingsregister.
  • Apparaatbeheer
    Weinig IoT apparaten komen met goed asset management, waarmee IoT-apparaten ingezet, onderhouden, geüpgraded en verwijderd kunnen worden. Ook ontbreekt vaak de mogelijkheid tot het beheren van de patches en updates die nodig zijn om een organisatie veilig te houden. Tot slot ontbreken er mogelijkheden waarmee netwerkverkeer van en naar het IoT apparaat in de gaten kan worden gehouden en kan worden gereageerd op verdacht netwerkverkeer.

Beheersbaar maken van deze risico’s

Vanuit Ordina benaderen wij interessante informatiebeveiligingsvraagstukken zoals hierboven omschreven vanuit het TOP-model. TOP staat voor Techniek, Organisatie en Persoon. Wij gebruiken deze assen waarlangs we onze maatregelen vormgeven. Netwerksegmentatie en logging & monitoring zijn twee uitgesproken manieren om kwetsbare IoT devices onder controle te houden. Met pentesting en andere technische maatregelen maken wij dit verder inzichtelijk.

In de organisatie is het van belang om IoT apparaten goed te beheren, in te kopen en te plaatsen. Wij adviseren graag als het gaat om slim patchmanagement en vulnerabilitybeheer.

IoT apparaten brengen risico’s uit onverwachte hoek met zich mee. Laptops, servers en de cloud zijn bij de meeste mensen top of mind. Maar recent nog bleek het mogelijk een slimme Airfryer op afstand in te schakelen. En die zag bijna niemand aankomen.

Meer weten? Neem dan contact op met Jesse Frericks, Martijn Kunz of Lars Ploeg.