Hoe een IoT-community beveiliging naar een hoger niveau tilt

IoT-beveiliging, meer dan een kwestie van privacy en veiligheid 

IoT apparaten verzamelen een schat aan data, zoals persoonlijke informatie, videos en telemetry metrics. Deze data, die ook vaak het nieuwe goud wordt genoemd, is van onschatbare waarde, niet alleen voor ons, maar ook voor cybercriminelen. De toename van het aantal verbonden apparaten leidt tot meer “entry points” voor aanvallen, waardoor het risico op incidenten, ongeautoriseerde toegang en datalekken toeneemt. Hierdoor wordt IoT beveiliging niet louter een optionele toevoeging, maar een wezenlijke fundering van het gehele IoT ecosysteem. Met de groei van de smart supply chain en het gebruik van risicovolle third-party componenten neemt de dreiging voor de beveiliging van IoT apparaten aanzienlijk toe. In een smart supply chain zijn diverse apparaten en systemen met elkaar verbonden om de efficiëntie en transparantie te verbeteren.

Deze onderlinge verbondenheid maakt de supply chain echter ook kwetsbaarder voor cyberaanvallen. Risicovolle componenten van derde partijen kunnen zwakke schakels vormen, omdat deze leveranciers mogelijk niet altijd dezelfde strenge beveiligingsnormen hanteren. Daarnaast zien we omstreden IoT apparaten op cruciale plekken in onze samenleving. Enkele voorbeelden hiervan zijn Chinese camera’s bij de ingang van het ministerie van Buitenlandse Zaken, gemeente Amsterdam en de politie (Hikvision en Dahua) of dichter huis slimme stofzuigers (Roomba) die de plattegrond van je huis doorverkopen. Zou Nederland ook niet, net als de ban lijst van de US, bepaalde producten of componenten voor smart devices moeten weren?  

IoT security, een gedeelde verantwoordelijkheid 

Een proactieve benadering van IoT beveiliging, aangedreven door een toegewijde community, creëert een ecosysteem waarin veiligheid en innovatie hand in hand gaan. De tijd is aangebroken om het anders te doen en een kennisbank te bieden, om zowel op individueel als collectief niveau het belang van IoT beveiliging te erkennen en naar een hoger niveau te tillen. Met deze gedachte is IoTSF Chapter Amsterdam ontstaan. De Nederlandse markt voor IoT groeit snel en vertoont veel potentieel. Nederland is goed gepositioneerd in deze sector dankzij zijn sterke technologische infrastructuur en innovatievermogen. De Rijksoverheid heeft aan aantal mimumeisen aan digitale veiligheid voor slimme apparten opgesteld. Producten die niet voldoen aan de minimum eisen van de Radio Equipment Directive (RED) zijnaf 1 augustus 2025 verboden in de gehele EU. Daarnaast hebben we de Cyber Security Act. Compliancy met deze act zal in eerste instantie vrijwillig zijn maar zal in toekomst verplicht worden (met behorende cybersecurity certificering). Maar is dat werkelijk genoeg?  

The good, the bad and the ugly 

IoT biedt talloze mogelijkheden en draagt enorm bij aan verschillende sectoren. Het maakt ons leven, zowel persoonlijk als zakelijk, aanzienlijk aangenamer. Dit is de positieve kant van IoT, ofwel "the good". Door apparaten en systemen met elkaar te verbinden, kunnen we efficiënter werken, beter geïnformeerde beslissingen nemen en onze dagelijkse activiteiten optimaliseren. Deze technologie biedt dus enorme voordelen die ons dagelijks leven verbeteren en nieuwe mogelijkheden creëren voor groei en innovatie. De vele soorten IoT apparaten, zowel hardware als software, brengen aanzienlijke uitdagingen met zich mee op het gebied van beveiliging, interoperabiliteit, heterogeniteit en schaalbaarheid. Cybercriminelen zijn vaak goed op de hoogte van de verschillende kwetsbaarheden en beveiligingslekken in IoT systemen. Deze informatie is vrij toegankelijk via platforms zoals Shodan, Censys en GrayNoise, die scans en gegevens van internetverbonden apparaten delen. Opmerkelijk is dat deze informatie gemakkelijk te vinden is op het open internet, zonder dat men het dark web op hoeft. Echter, op het dark web ligt de waarde van een gecompromitteerd IoT apparaat  hoger dan de retailprijs. Voorbeelden van te koop aangeboden IoT-diensten en -exploits op het dark web: 

IoT Botnet Rental Services: Deze diensten bieden gebruiksvriendelijke interfaces voor het beheren van botnets, waardoor zelfs niet-technische personen DDoS-aanvallen of andere schadelijke activiteiten kunnen uitvoeren. 

Zero-Day Exploits voor IoT-apparaten: Deze exploits maken ongeautoriseerde toegang en overname van IoT-apparaten mogelijk, vaak met minimale technische kennis. 

Complete Exploitkits: Deze kits bevatten tools en gedetailleerde instructies om zwakheden in IoT-software uit te buiten, waardoor zelfs beginners complexe aanvallen kunnen uitvoeren. 

IoT Malware-as-a-Service (MaaS): Dit omvat geavanceerde malware met command-and-control infrastructuur, aanpasbare payloads en ontwijkingstechnieken om detectie door beveiligingssystemen te voorkomen. Sommige diensten bieden zelfs 24/7 ondersteuning. 

Deze voorbeelden illustreren de omvang van de dreiging en benadrukken de noodzaak voor beveiligingsmaatregelen, regulaties, best practices en constante waakzaamheid bij het gebruik en beheer van IoT apparaten.  

Combineer nu deze informatie over de duistere kant van AI en een groot aantal gecompromitteerde IoT apparaten. Deze nieuwe vormen van aanvallen en risico's brengen aanzienlijke gevaren met zich mee op een geheel ander niveau, met een heel hoog dreigings profiel, “the ugly”..  

Geautomatiseerde exploitatie: AI-algorithme automatiseren van scannen naar kwetsbaarheden, gevolgd door uitbuiten van deze kwetsbaarheden. Dit opent de deur naar grootschalige aanvallen zonder menselijke tussenkomst 

Adaptieve aanvallen: Met gebruik van AI kunnen aanvallers hun strategieën in real-time aanpassen door de reacties en verdedigingsmechanismen te analyseren die ze tegenkomen tijdens een aanval. Dit aanpassingsvermogen vormt een aanzienlijke gevaar voor traditionele beveiligingsmaatregelen. Aangezien traditionele firewalls deze vaak niet effectief kunnen detecteren en mitigeren.  

Behaviroal analyse:  AI-gedreven analyses maken het mogelijk om het gedrag van IoT-apparaten en gebruikers te profileren, waardoor patronen, anomalieën en kwetsbaarheden kunnen worden geïdentificeerd. Kwaadwillenden kunnen dit gebruiken om detectie door beveiligingssystemen te ontwijken. 

Machine Learning-gebaseerde Aanvallen: Machine learning-algoritmen kunnen worden getraind om zwaktes in IoT-apparaatfirmware, communicatieprotocollen en encryptiemechanismen te herkennen en te benutten. Deze aanvallen kunnen zich aanpassen en evolueren na verloop van tijd, wat ze steeds moeilijker te detecteren maakt. 

Adversarial Aanvallen; Adversarial aanvallen kunnen worden gebruikt om AI-modellen en IoT-apparaten te misleiden om verkeerde of ongewenste beslissingen te nemen, wat mogelijk tot incidenten leidt. Deze aanvallen zijn gericht op het uitbuiten van zwaktes in de algoritmen of kwetsbaarheden van het systeem. Denk aan manipulatie van data-input om kwaadaardige doelen te bereiken. 

Waarom een IoT community? Kennis is macht 

De vorming van een IoT community is van belang om verschillende redenen. Om te beginnen biedt het een platform voor kennisdeling, waar innovaties en best practices in beveiliging kunnen worden uitgewisseld. Dit werkt doorgaans industrie oversterkend. In iedere vertical zijn IoT devices aanwezig van smart house tot industrial IoT, iedere IoT device heeft daarnaast vaak ook een eigen use case. Vraagstukken als voldoen de huidige aanbevelingen en best practices nog? IoT security is immers een gedeelde verantwoordelijkheid. Samenvattend is de implementatie van IoT security controls en het opbouwen van een deskundige community geen luxe, maar pure noodzaak. Als we dit nalaten, riskeren we de vertrouwelijkheid van onze gegevens, de integriteit van onze apparaten en uiteindelijk onze persoonlijke veiligheid. 

Door: Antoinette Hodes, Global Solutions Architect