Wij schreven eerder vandaag al over een achterdeur in beveiligingscamera's die op dit moment gretig wordt misbruikt door een nieuw stuk malware. Consumenten, maar vooral fabrikanten lijken maar niet te leren van de fouten die de afgelopen jaren zijn gemaakt op dit gebied. En dit is nog maar het begin. De kans is erg groot dat het nog veel erger wordt.

Er zijn nog steeds te veel consumenten die geen moeite doen hun slimme apparatuur te configureren. Standaard wachtwoorden, namen en domeinen maken het voor aanvallers een fluitje van een cent om ergens binnen te dringen met slechts de handleiding van het product dat ze willen misbruiken.

Maar ook fabrikanten hebben er een handje van. Hoe vaak hebben we al niet gehoord dat een apparaat stiekem een verborgen account bevat of met een aangepaste udp-packet kan worden binnengedrongen? Zelfs kinderspeelgoed is een paar keer de mist in gegaan.

Het is daarom belangrijk om niet alleen gebruikers op te voeden, maar vooral ook fabrikanten op het juiste spoor te zetten.

Beveiliging, vertrouwen en data integriteit

De opkomst van IoT verandert ons persoonlijke technologie-beveiligingsparadigma en een hoop op de manier waarop consumenten en bedrijven met elkaar omgaan. Onder andere door de grote scope van beschikbare data en de gigantische hoeveelheid van apparaten die deze data verzamelen. McKinsey & Company schatten dat het IoT-ecosysteem een waarde van 6 triljoen dollar in 2025. Succesvolle IoT-aanbiedingen zijn afhankelijk van de perceptie van het voordeel wat het bedrijven en consumenten kan opleveren terwijl er een goede beveiligings-, vertrouwens- en data-integriteitsbasis kan worden gemaakt.

Er zijn belangrijke manieren waarop IoT-technologieën de risico's van databeveiliging kunnen verminderen en tegelijkertijd de consumentenervaring kunnen verbeteren.

Het hebben van een goede beveiliging voor IoT is iets waar elk bedrijf zich uitgebreid mee bezig zou moeten houden. Dat betekent dat er beveiligingsmaatregelen genomen moeten worden om er zeker van te zijn dat consumenten een goede ervaring krijgen met het product. Wij belichten zes punten waarmee je dat voor elkaar kan krijgen.

Het "embedden" van beveiliging

Beveiligingsmaatregelen moeten een grote rol spelen in elke fase van de ontwikkeling van een product. Van het ontwerp tot implementatie. Sommige organisaties hebben moeite met de extra tijd en extra kosten die zij moeten steken in beveiligingsinitiatieven. Iedereen wil zo snel mogelijk de mooiste functies aan hun product toevoegen, maar velen laten zich vervolgens verrassen door de complexiteit die daarbij komt kijken.

Beveiliging wordt er vaak op het laatste moment aan de haren bijgetrokken en meestal pas aan het eind van het proces toegevoegd, als dat überhaupt al gebeurt. Diezelfde organisaties zouden inmiddels moeten weten dat er een hoop juridische implicaties kleven aan de manier waarop een bedrijf omgaat met IoT-beveiliging. Bedrijven lijken vooral heel veel waarde te hechten aan de "gebruikerservaring". Loyale klanten geven gemiddeld 300 procent meer geld uit aan een bedrijf dat ze vertrouwen dan een ander bedrijf.

Dat betekent echter ook dat, als blijkt dat jouw product negatief in het nieuws komt omdat de beveiliging te wensen over laat, klanten net zo makkelijk naar een ander gaan, hoe goed je product verder ook is.

Test, test en hertest

Uit een recent onderzoek bleek dat 80 procent van alle IoT-applicaties niet wordt getest op beveiligingslekken. Dat is een gigantische hoeveelheid aan endpoints die beschikbaar zijn voor misbruik. Als je IoT-applicaties en diensten ontwikkelt, zal je continue interne en 3rd-party kwetsbaarheidsanalyses en penetratietests moeten uitvoeren.

Het is beter om de beveiliging al toe te passen tijdens het ontwikkelproces dan deze er achteraf snel aan toevoegen. Als je een systeem haastig op de markt brengt zonder te testen, riskeer je het vertrouwen van de consument te verliezen.

Beheer proactief IoT-beveiligingsoperaties op afstand

Een groot deel van alle IoT-bouwers en app-ontwikkelaars zijn afhankelijk van de eindgebruiker om updates te installeren en beveiligingsinstelligen toe te passen. Inmiddels heeft ervaring iedereen geleerd dat dat geen goed idee is. Het zou beter zijn om op afstand beveiligingspatches en updates door te sturen zodra deze beschikbaar zijn om kwetsbaarheden te voorkomen.

Zulke updates moeten, volgens de nieuwste versie van het IoT Trust Framework, worden ondertekend en/of op een andere manier moeten worden geverifieerd en gepusht worden vanaf een vertrouwde locatie. Updates en patches mogen geen gebruikersvoorkeuren wijzigen en dat geldt ook voor beveiligings- en privacy-instellingen.

Geautomatiseerde updates (in tegenstelling tot automatische updates) zou het consumentenvertrouwen kunnen verhogen omdat jij al het zware werk doet en gebruikers toch nog de kans geeft deze updates autoriseren, accepteren of weigeren.

Encryptie is je vriend

Het toepassen en verbeteren van encryptie wordt ook aangeraden in het nieuwe IoT Trust Framework. Laat je klanten zien dat je geeft om hun privacy door gebruikerssessies op ondersteuningssites (die door/voor je IoT-diensten worden gebruikt) volledig te versleutelen.

"De beste manieren om dit te doen zijn onder andere standaard HTTPS of http Strict Transport Security (HSTS), ook bekend als AOSSL of Always On SSL. Daarnaast moeten bedrijven de mogelijkheid geven op een betrouwbare manier hun backend-diensten en bijbehorende applicaties te authentiseren."

Transparantie is belangrijk[h]

De FTC gaf Visio een dikke boete voor het verzamelen en verkopen van gebruikersdata van smart tv's. Goede transparatie-principes zijn niet alleen belangrijk voor IoT, maar men moet wel begrijpen dat privacy-bedreigingen in een IoT-systeem meestal uniek zijn en op een transparante manier geopenbaard moeten worden op basis van drie inputs:

  • Verzamelde of gegenereerde persoonlijke data
  • Data acties die zijn uitgevoerd op die informatie
  • De context waarin de verzameling, het genereren, verwerken, openbaren en de retentie van deze persoonlijke data heeft plaatsgevonden.

Het is niet alleen de vraag of een bedrijf dit goed doet voor z'n consumenten. De algemene verordening gegevensbescherming (AVG) van Europa zegt dat er een verifieerbare overeenkomst moet zijn met de gebruiker waarin duidelijk wordt hoe deze drie inputs worden gemanaged en hoe daarover wordt geïnformeerd. Het is dus goed om van tevoren aan te geven hoe je data verzamelt, wat je doet om de privacy van de consument te waarborgen en wat je ondersteuningsbeleid is. Deze informatie moet makkelijk kunnen worden opgevraagd door consumenten. Het is dus verstandig deze informatie op je website te plaatsen en in elk geval kan worden bekeken voor aanschaf of opt-in.

Geef ten slotte ook aan welke features er niet zullen werken als gebruikers de overeenkomst weigeren.

[h]Omarm analytics en minimaliseer de hoeveelheid gevoelige data tijdens transport

De kans is ontzettend groot dat het verbinden van slimme apparaten er extra (handige) consumentendata wordt aangemaakt. Dit is natuurlijk fantastich, maar ook gevaarlijk. Naast het beschermen van datawarehouses, is het misschien nog wel moeilijker grote hoeveelheden data te beschermen als deze onderweg is. Met IoT-applicaties wordt informatie vaak verplaats van endpoints naar de cloud voor het berekenen en analyseren. Er is daardoor altijd een risico dat deze data kan worden onderschept. De huidige trend waarin men sommige berekeningen verplaatst naar IoT-endpoints en alleen minder gevoelige informatie het internet op stuurt verkleint het risico op lekken van gevoelige data.

Hoewel men zich tegenwoordig graag inlaat met real-time functionaliteit en de besparingen die men kan krijgen als er wordt ingezet op machine learning en kunstmatige intelligentie, is het verminderen van gebruikersdata die over de lijn gaat een extra pluspunt.