Whitepaper: IoT-security voor Nederlandse bestuurders
De publiek-private netwerkorganisatie Centrum Informatiebeveiliging en Privacybescherming (CIP) heeft onlangs een whitepaper over IoT-security gepubliceerd. Met het document wil het CIP ‘bestuurders, andere leidinggevenden en beleidsmakers’ bewust maken van het belang van goede IoT-beveiliging. De whitepaper is gratis te downloaden via IoT Journaal (36 pagina’s, 1,18 Mb, PDF). In 2018 heeft de organisatie overigens eveneens een IoT-security whitepaper het licht laten zien (23 pagina’s, 661 Kb, PDF). Wat de redactie van IoT Journaal betreft, zijn beide aanbevelenswaardig.
“Deze whitepaper van CIP, gerealiseerd in samenwerking met publieke en private partners, is een zeer welkome stap in het veiliger maken van IoT-gebruik. Organisaties kunnen deze whitepaper gebruiken om IoT risico’s in kaart te brengen en deze organisatorisch en technisch te beheersen. Ook is het een belangrijke publicatie voor de bewustwording van onze digitale afhankelijkheden en spoort het organisaties aan om actie te ondernemen. In een gedigitaliseerde wereld verdient en eist IoT-veiligheid namelijk de aandacht van ons allemaal.” Kijk, dat is nog eens een binnenkomer bij een whitepaper. Het CIP heeft een aardig grote ambitie. Het wil de top van organisaties in Nederland bijspijkeren als het gaat om cybersecurity. Op zo’n beetje alle gebieden, waaronder IoT.
Voorbeelden uit de praktijk
In de whitepaper komen vijftien praktijkvoorbeelden van IoT-security aan bod, waaronder ‘IoT en kantoren’, ‘IoT en thuiswerkplekken‘ en ‘IoT en Operationele Technologie’. De voorbeelden komen zowel uit de koker van overheidsinstanties als van de aangesloten commerciële organisaties. Het aardige van de praktijkvoorbeelden is dat de problemen in kaart worden gebracht én de oplossingen. Plus wat aanbevelingen van algemene aard. Zo kwam een gemeente (‘IoT en Operationele Technologie’) na een zogenoemde ‘discovery scan’ erachter dat er niet alleen technische risico’s waren. In de loop van de jaren was IoT-ecosysteem flink uitgebouwd met spullen als videocamera’s, verkeerslichten en hydraulische verkeerspalen., Daarbij waren er echter onvoldoende afspraken gemaakt over eigenaarschap, gebruik en beheer met de diverse gebruikersgroepen. Volgens het CIP kan dat weer leiden tot ‘risico’s ten aanzien van de beveiliging van het OT-netwerk in zijn geheel’. De organisatorische aanbeveling klinkt dan ook logisch: Breng stakeholders in kaart, en beschrijf de verantwoordelijkheden van deze stakeholders. Verder waren er in de bewuste gemeentelijjke IoT-systemen ook de nodige technische kwetsbaarheden aangetroffen, met als dieptepunt switches met standaard wachtwoorden.
