In het Cyber Incident & Breach Trends Report 2018 (via CSO) lezen we dat 95 procent van de datalekken gemakkelijk te voorkomen waren geweest. Als je je bedenkt dat er zich vorig jaar meer dan twee miljoen van deze incidenten voor hebben gedaan – met een schade van 45 miljard dollar – dan zet dat je toch aan het denken…Het Cyber Incident & Breach Trends Report 2018 is gebaseerd op de statistieken van organisaties die datalekken opsporen. Zij beschrijven onder mee hoe cybercriminelen hun slag slaan. Daarbij is er ook aandacht voor het Internet of Things (IoT). Laten we in dit artikel eens dieper ingaan op de beveiliging van het IoT.De zwakke schakel in het IoTHet meest bijzondere feit uit het rapport is volgens ons dat volgens de auteurs 95 (!) procent van de inbreuken voorkomen kon worden als bedrijven aandacht hadden besteed aan “eenvoudige en verstandige benaderingen om de veiligheid te verbeteren”. Daaronder verstaan de auteurs onder meer het trainen van personeel op het gebied van gegevensbeveiliging en privacy.
Wij schreven eerder al dat de gebruiker vaak de zwakste schakel in Internet of Things-beveiliging is. De meeste mensen zijn zich niet of amper bewust van de risico’s van hun IoT-apparaten. Hierdoor worden standaardgebruikersnamen en wachtwoorden bijvoorbeeld nauwelijks veranderd. Dat komt mede omdat veel van deze apparaten automatisch werken, zonder dat er handmatige tussenkomst van de gebruiker nodig is. Het gevolg daarvan is dat mensen het soms niet eens doorhebben dat hun apparaten zijn gecompromitteerd.
Tekst gaat door onder de afbeelding.
In dit kader is het ook interessant om nog eens te kijken naar het shadow Internet of Things. Het shadow IoT wordt namelijk in toenemende mate gesignaleerd. We spreken over shadow IoT als mensen in een organisatie IoT-apparaten gebruiken, zonder dat de IT-afdeling hiervan op de hoogte is. Denk maar eens aan fitness-trackers en gameconsoles, die werknemers verbinden aan het bedrijfsnetwerk. Het probleem is dat IT geen apparaten kan beveiligen waarvan ze niet afweten.
Dat mensen soms wat laconiek reageren op datalekken is omdat de impact vaak niet duidelijk is. Als voorbeeld gebruiken we de impact van een gebrek aan IoT-beveiliging op de gezondheidszorg.
IoT-apparaten in de zorg verzamelen namelijk gevoelige informatie. En persoonlijke gezondheidsinformatie die in verkeerde handen valt, kan gevaarlijk zijn. Cybercriminelen kunnen de gegevens van patiënten bijvoorbeeld misbruiken om nep ID’s te maken of verzekeringsclaims in te dienen op naam van de patiënt. Deze data brengt op de zwarte markt heel wat op. Onder de geïnteresseerden in deze data bevinden zich echter niet alleen criminelen: ook werkgevers en verzekeringsmaatschappijen kunnen belang bij de data hebben.
Ook wij denken dat er heel wat datalekken voorkomen kunnen worden, onder meer dus door mensen op de gevaren te wijzen en hen te trainen. Wij zien echter ook een gebrek aan (overheids)toezicht en afstemming tussen leveranciers. Ons advies zou zodoende zijn om zo spoedig mogelijk regelgeving in te voeren, IoT-apparaten van een keurmerk of certificering te voorzien en bredere regelgeving over data-opslag en het combineren van data van privé personen en bedrijven in te voeren. Hopelijk is daarmee bijna 100 procent van de datalekken te voorkomen.
Meer lezen over dit onderwerp?
Misschien vind je deze artikelen ook interessant:
Wat is IoT (Internet of Things): een introductie
Slim speelgoed gemakkelijk te hacken
Deep fake-technologie; een gevaar voor onze privacy?
E-health: Een overzicht van nieuwe technologie in de zorg
