Van automatische diervoederbakjes tot stoplichten: de gekste iot duikt op in zakelijke netwerken

Steeds meer apparaten worden met het internet verbonden. Kijk maar eens in je thuisnetwerk, moeiteloos kom je waarschijnlijk al op zo’n dertig apparaten. Dat zijn lang niet altijd meer alleen echte computers, maar ook wasmachines, thermostaten, slimme verlichting, maar ook kiezen dierenliefhebbers ook vaak voor een slimme voederbak voor hun huisdier.

Met de thuiswerktrend duiken deze apparaten ook steeds vaker op in bedrijfsnetwerken omdat ze op een of andere manier er toch mee verbonden worden. Dat zorgt voor risico’s. Van computers en smartphones ben je gewend dat er regelmatig updates voor verschijnen, maar of dat voor slimme voederbakjes geldt: is maar de vraag.

In zakelijke netwerken vind je ook dit soort apparaten. Denk hierbij aan bijvoorbeeld aan de apparatuur voor het automatisch naar beneden draaien van de zonwering, maar voor gemeenten en andere wegbeheerders de stoplichten op een weg. Steeds meer apparaten worden verbonden met het internet en dat maakt ook dat je zowel privé als zakelijk goed moet kijken naar de manier waarop apparaten verbinding maken mét en welke rechten ze precies krijgen.

Daarom is het goed om ook thuis goed te kijken naar je netwerk. Het beste is het om verkeer zoveel mogelijk van elkaar te scheiden en apparaten alleen maar de toegang te geven die ze echt nodig te hebben. Dat wordt segmenteren genoemd, dat doe je door gebruik te maken van VLAN’s. Een VLAN voor bepaalde iot, en eentje voor je computers en eentje extra voor andere iot. Door slimme scheidingen te maken kun je opvallend verkeer monitoren en als het nodig is ingrijpen. Gaat die goedkope ip-camera opeens heel ander verkeer genereren dan wordt het tijd om toch eens te kijken of het apparaat heel andere dingen aan het doen is.

De methoden die je in je in bedrijfsnetwerken ziet, kun je ook prima thuis toepassen. Het verkeer binnen het datacenter wordt Oost-Westverkeer genoemd. Van de client naar de server Noord-Zuid. Door je verkeer langs deze richtingwijzers te leggen is het vaak relatief eenvoudig om een goede structuur op te bouwen.

Het nadeel van veel iot-apparaten is dat ze niet vaak of soms helemaal nooit updates krijgen. We vroegen Palo Alto wat hun advies is om met bijvoorbeeld stoplichten om te gaan: Jesper Olsen, CSO bij Palo Alto:

“Bepaalde IoT-apparaten gaan zo lang mee dat ze bepaalde cybersecurity updates, die op nieuwe producten worden toegepast, overslaan. Verkeerslichten worden bijvoorbeeld gewoon geplaatst en pas vervangen als ze niet meer werken. In sommige steden kunnen ze echter mogelijk aangesloten zijn op een groter netwerk en kunnen ze een bedreiging vormen voor de infrastructuur en de beveiliging van de toeleveringsketen, vanwege verouderde cyberbeveiligingsmaatregelen. Het is noodzakelijk dat dergelijke apparaten regelmatig worden gecontroleerd op hun rol in het netwerk waar ze deel van uitmaken, zodat de nodige cybersecuritymaatregelen kunnen worden genomen.”

Het advies dat het bedrijf is om zo slim en klein mogelijke segmenten op te bouwen binnen je netwerk: microsegmentation zoals dat heet. Het is belangrijk om onder andere via je dhcp-clientlist van je router in de gaten te houden welke apparaten allemaal zijn aangesloten. Ook is het goed om volgens het Zero Trust-principe te werken, waar je past rechten biedt als je zeker bent dat die rechten noodzakelijk zijn en toegekend moeten worden aan een apparaat of gebruiker. Daarbij is het belangrijk om bekende beveiligingsproblemen zo goed en snel mogelijk tegen te gaan. Verder kun je er vanuit gaan dat vooral ook iot-apparatuur onbekende beveiligingsproblemen kan hebben en dus moet je dat verkeer monitoren en zo snel mogelijk ingrijpen als dat nodig is. Raadgevingen die zowel voor zakelijke als thuisnetwerken gelden. 

Palo Alto onderzocht onder 1900 IT-beslissers, welke iot-apparaten opgedoken zijn in het netwerk. Hieronder zie je een overzicht.