Cyberveiligheid: De donkere kant van industriële IoT
Vandaag dringt digitalisering steeds verder door in de fysieke wereld. Apparaten zoals koelkasten worden met het internet verbonden, maar ook bedrijven maken steeds vaker gebruik van sensoren en geconnecteerde systemen om hun werk efficiënter te maken. Maar dat brengt ook risico’s met zich mee.
Het Internet of Things (IoT) is al langer populair in industriële omgevingen. Bedrijven verbinden bijvoorbeeld regelmatig machines met het internet, om zo meer data over hun operaties binnen te halen en die beter te doen lopen. Maar die evolutie heeft ook een donkere kant. Door fysieke apparatuur met het internet te verbinden, vergroten bedrijven de kans om slachtoffer te worden van een cyberaanval.
“Deze apparaten zijn slim”, stelt Tatiana Galibus, cybersecurity ambassador bij Sirris. “Wat betekent dat ze verbonden zijn en data doorsturen. Maar dat betekent ook dat ze mogelijk kwetsbaar worden voor de buitenwereld. In 2019 alleen zagen we een stijging van 300 procent van het aantal aanvallen op IoT-apparaten.”
We verbinden steeds grotere delen van onze wereld met het internet, maar de apparaten waarmee we dat doen zijn niet altijd even goed beveiligd. “Er komen meer en meer IoT-devices, die ook meer en meer met elkaar verbonden worden”, stelt Frank Piessens, professor aan de KU Leuven en gespecialiseerd in cybersecurity. “Dat brengt risico’s met zich mee. Eender welk IoT-apparaat dat met het internet verbonden is, kan in theorie van overal ter wereld aangevallen worden. Dat vergroot de kans op een aanval enorm.”
Windows 95
De verantwoordelijkheid voor een betere beveiliging ligt deels bij de gebruikers zelf. Zij kunnen een heel aantal maatregelen nemen om hun werk beter te beschermen. “Je ziet vaak dat deze apparaten slecht geconfigureerd zijn”, stelt Galibus. “Vaak behouden bedrijven gewoon het standaardpaswoord, in plaats van het te veranderen zoals aangeraden wordt. Soms worden dit soort apparaten ook blootgesteld aan het internet, terwijl dat niet zou mogen. Of soms worden ze niet genoeg beveiligd, terwijl ze heel gevoelige data, zoals medische gegevens, versturen.”
Maar tegelijk is IoT nog een nieuw veld, dat niet zo goed beschermd is. Er ligt dus ook een verantwoordelijkheid bij de fabrikanten. “De beveiliging van IoT loopt achter op die van klassieke computers”, stelt Piessens. “Dat is een bekend fenomeen. We hebben nu eenmaal al veel langer ervaring met het beveiligen van gewone computers. IoT-apparaten, die tegenwoordig overal in zitten, kwamen er veel recenter. De klassieke computer en server staan al veel langer in de vuurlinie. Windows 95 was aanvankelijk een veiligheidsramp. Maar na jaren aanpassingen werd Windows veel veiliger. Ik vermoed dat IoT een vergelijkbare trend zal volgen.”
Windows 95 was aanvankelijk een veiligheidsramp. Maar na jaren aanpassingen werd Windows veel veiliger. Ik vermoed dat IoT een vergelijkbare trend zal volgen.
Certificatie
Intussen ondernemen overheden ook actie en proberen ze een collectieve oplossing af te dwingen. “Een goede stap is dat de Europese Commissie certificatieschema’s probeert op te leggen”, stelt Piessens. “Zo zouden IoT-apparaten een label moeten krijgen als ze een bepaald veiligheidsniveau halen. Dat is geen garantie dat ze onhackbaar zijn, maar de lat ligt alvast hoger. IoT heeft een slechte reputatie qua veiligheid. Door een minimale certificatie ga je dat risico verminderen.”
Dat alles betekent natuurlijk niet dat we IoT met het badwater moeten weggooien. Een betere, kritischere kijk op verbonden technologie is vooral nodig. “Bij elke technologische doorbraak moeten we nadenken over de voordelen én nadelen”, besluit Piessens. “IoT heeft heel duidelijk voordelen. Je kunt er productieprocessen mee automatiseren en leren uit metingen. Maar we moeten ook nadenken over de nadelen. Je kunt het vergelijken met AI, die grote voordelen maar ook grote risico’s inhoudt. We moeten ons afvragen bij IoT of we echt alles rond ons willen verbinden, en hoe veilig dat is.”