Iot-beveiliging: het vergeten risico in cybersecuritystrategie

In dit artikel:

Internet of Things (IoT)-apparaten vormen steeds vaker een onzichtbare kwetsbaarheid in digitale beveiliging, omdat ze vaak buiten het zicht van het cybersecuritybeleid blijven. Dit werd recentelijk aangetoond door Nederlandse ethische hackers die via bluetooth eenvoudig controle kregen over Amerikaanse laadpalen. Dit incident onderstreept de strategische risico’s van slecht beveiligde IoT-systemen, die variëren van slimme horloges tot medische apparatuur zoals hartimplantaten en sos-horloges voor ouderen. Onvoldoende beveiliging kan leiden tot privacyinbreuken en zelfs fysieke bedreigingen.

De Europese NIS2-richtlijn dringt daarom aan op strengere beveiligingseisen voor organisaties, waarbij IoT-apparaten nadrukkelijk moeten worden meegenomen in risicobeoordelingen, iets wat bedrijven tot nu toe vaak negeren ten gunste van gemak. Bijvoorbeeld het gebruik van publieke IP-adressen voor deze apparaten vergroot het risico op cyberaanvallen aanzienlijk. Daarnaast introduceert de nieuwe Europese norm EN 18031 vanaf 1 augustus verplichte eisen voor ontwerp, implementatie en beheer van internetverbonden consumentenelektronica, waardoor niet-conforme apparaten van de markt worden geweerd. Het Verenigd Koninkrijk heeft een vergelijkbare regelgeving, de Cyber Security and Resilience (CS&R) Bill, wat betekent dat bedrijven die in beide regio’s actief zijn, aan twee verschillende normen moeten voldoen.

Om IoT-veiligheid concreet te verbeteren, wordt geadviseerd om apparaten op een apart netwerksegment met private IP-adressen te plaatsen, strengere firewallregels toe te passen en het beheer idealiter via een VPN te laten verlopen. Deze aanpak beschermt systemen tegen aanvallen zoals DDoS en is in lijn met de NIS2-eisen voor netwerksegmentatie. Verder kan kunstmatige intelligentie worden ingezet om het voorspelbare gedrag van IoT-apparaten te monitoren en afwijkingen vroegtijdig te detecteren, wat helpt bij actieve bewaking en naleving van de NIS2-richtlijn.

Uiteindelijk maken NIS2, EN 18031 en CS&R duidelijk dat het beveiligen van IoT-apparaten geen optie maar een noodzakelijke pijler van het risicomanagement is. Strategisch adviseurs en consultants spelen daarbij een cruciale rol in het waarborgen van digitale veiligheid in een wereld waarin verbonden apparaten steeds meer geïntegreerd zijn in ons dagelijks leven.