Beheer van risico’s met betrekking tot IoT en externe leveranciers

Onlangs is de reikwijdte van de aanval verder uitgebreid, aangezien de ontwikkeling van het Industrial Internet of Things de voorkeur heeft gegeven aan tussenkomst van derden, waardoor de vectoren van indirecte en even effectieve aanvallen zijn uitgebreid.

Het Internet of Things (IoT) is een van de belangrijkste disruptieve technologieën van het afgelopen decennium. IoT-apparaten zijn overgestapt van puur commerciële doeleinden naar dagelijkse service, waardoor het leven van huizen en steden is veranderd. Deze apparaten maken het mogelijk om activiteiten efficiënt te beheren, het productaanbod uit te breiden en steeds uniekere gebruikerservaringen te bieden op een geautomatiseerde manier als nooit tevoren. Dit is de cybercriminelen niet ontgaan die deze nieuwe koninklijke weg naar systemen en data hebben weten aan te passen.

Hoewel de toepassingen ervan onbegrensd lijken, brengt het internet der dingen nieuwe risico’s met zich mee waarmee bedrijven rekening moeten houden. Uit een recent onderzoek van Palo Alto Networks blijkt dat ongeveer 98% van het verkeer van deze verbonden objecten in een professionele omgeving onversleuteld is. Als we zwakke wachtwoordconfiguraties, verouderde software of zelfs niet-gepatchte systemen toevoegen aan de niet-uitputtende lijst van kwetsbaarheden, hebben aanvallers veel vectoren om uit te buiten om ongeautoriseerde toegang tot het netwerk van een organisatie te krijgen.

Duik in de risico’s van het internet der dingen

Deze golf van technologische vooruitgang brengt risico’s met zich mee die nog niet goed zijn beoordeeld of aangepakt. Deze kunnen voortkomen uit de infrastructuur van het bedrijf, maar ook uit elke externe leverancier van uitbestede slimme apparaten, voor zakelijke en thuistoepassingen. Dit kunnen ogenschijnlijk onschuldige apparaten zijn, zoals slimme CCTV-systemen, bewegingssensoren en airconditioners, evenals duizenden andere apparaten.

Bovendien worden cyberaanvallen steeds meer geautomatiseerd en zijn ze afhankelijk van kunstmatige intelligentie (AI) en machine learning. Deze ‘slimme’ bedreigingen kunnen elk bedrijf dat sneller draait schade toebrengen door middel van geavanceerde machinesnelheidsaanvallen, waarbij misbruik wordt gemaakt van hun IoT-netwerken. Om deze opkomende dreiging het hoofd te bieden, heeft AI nu de voorkeur om verdedigingsmechanismen te beheren en geavanceerde bedreigingen binnen industriële systemen te neutraliseren. Deze zijn echter niet immuun voor vandalisme, vooral niet als hun gegevens zijn gewijzigd, of als de systemen of AI niet goed zijn geconfigureerd.

Beheer van privacy- en cyberbeveiligingsrisico’s voor het internet der dingen

Aangezien er geen specifieke cyberbeveiligingsnormen of richtlijnen zijn voor verbonden zaken, vinden cyberbeveiligingsprofessionals het moeilijk om de opkomende risico’s van deze technologieën te beheersen. Zo ontwikkelt het Information Technology Laboratory (ITL) van het National Institute of Standards and Technology (NIST) momenteel een raamwerk voor het beheersen van privacy- en cyberbeveiligingsrisico’s voor het internet der dingen.

In mei 2021 bracht NIST de Establishment of Trust in the Security of IoT Devices: How Do We Get There uit? Een witboek waarin het landschap van vertrouwensmechanismen wordt geschetst dat momenteel beschikbaar is om de beveiliging van IoT-apparaten op de markt tot stand te brengen. Dit bericht is bedoeld om een ​​dialoog op gang te brengen over wat het betekent om te vertrouwen op de cyberbeveiliging van IoT-apparaten die door individuen en organisaties worden gebruikt; Plus de verschillende manieren om dat vertrouwen te winnen.

Dit document maakt deel uit van een reeks publicaties die in 2019 is gelanceerd door het National Institute of Standards and Technology (NIST) om meer informatie en details te geven over de cyberbeveiliging van Connected Objects en risico’s met betrekking tot vertrouwelijkheid van gegevens.

Bijblijven met veranderende technologieën

Het is duidelijk dat rekening houden met de risico’s van IoT-apparaten een steeds belangrijker criterium is voor het succes van een bedrijfsbeveiligingsstrategie. Aangezien organisaties zoals NIST wereldwijde kaders definiëren die de cyberbeveiliging van het IoT en het beheer van gegevensprivacy regelen, is het van essentieel belang om bedreigingen vanuit omgevingen van derden te monitoren en industriestandaarden, regelgeving en wettelijke vereisten te ontwikkelen. Door de omgeving van derden in kaart te brengen, kunnen met name bedrijven de risico’s van leveranciers beheren en tegelijkertijd de kosten beheersen.

De meeste IoT-apparaten en -technologieën die ondernemingen ondersteunen, worden geleverd door derden. Aangezien deze bedrijven worden bedreigd door kwaadwillende actoren, betekent dit dat de meeste risico’s met betrekking tot het internet der dingen afkomstig zijn uit de toeleveringsketen, en daarom moet hun algehele beveiliging worden versterkt.

Leave a Comment