Internet of Things en Security:
een uitdagende combinatie


Bijna dagelijks worden er nieuwe toepassingen gevonden voor het Internet of Things (IoT). Omdat het relatief nieuw gebied is, betekent het ook dat er nog geen robuuste en uniforme architectuur voor bestaat. Het landschap kenmerkt zich door gebrek aan standaardisatie en versplintering van besturingssystemen, programmeertalen, protocollen en interfaces. Maar… er gloort licht aan de horizon van dit fascinerende terra incognita.

Tekst: Jon Hoofwijk

SPOTLIGHT ARTIKEL

IoT combineert bestaande zaken binnen de IT zoals sensoren, communicatie, realtime processing, big data en business intelligence tot iets geheel nieuws. Daarbij gaat het vooral om waarde toe te voegen aan bedrijfsprocessen met enorme hoeveelheden informatie vanuit talloze sensoren. Fred van de Langenberg is SAP Netweaver en Security Consultant bij ERP-SEC, een bedrijf dat producten maakt voor SAP-gebruikers waaronder een security-scanner voor SAP: Protect4S. We spraken met hem over het Internet of Things, de beveiliging ervan en de architectuur voor het IoT die een aantal grote IT-spelers voorziet.

Hackers
“Vooral bij toepassingen in de medische sector en de auto-industrie is beveiliging erg belangrijk,” vertelt Fred. “Er moet natuurlijk te allen tijde voorkomen worden dat hackers bijvoorbeeld de besturing van een zelfsturende auto overnemen of een infuussysteem van een patiënt. Daarnaast bestaat het risico dat via IoT-apparatuur malware de reguliere IT-infrastructuur binnendringt. Een goed voorbeeld daarvan is de DDoS-aanval op DNS-aanbieder Dyn afgelopen najaar. De aanval werd veroorzaakt door Mirai-malware die zich via verschillende soorten consumenten-IoT-apparatuur verspreidde.”

Beveiliging
“Omdat het Internet of Things een combinatie van verschillende IT-disciplines is, erft het alle mogelijke kwetsbaarheden van de deeldisciplines netwerken, applicaties, mobiel en cloud. Bovendien introduceert het IoT geheel nieuwe kwetsbaarheden door het gebruik van nieuwe protocollen en technieken,” licht Fred toe. “Het aantal mogelijkheden voor exploitatie is veel groter dan bij een conventionele IT-infrastructuur. Bij de afweging tussen kosten en veiligheid van IoT, delft de veiligheid vaak het onderspit. Omdat IoT-apparaten goedkoop moeten zijn, zijn de beveiligingskosten per apparaat vaak relatief duur. Voor veel IoT-apparaten zijn zelfs geen regelmatige beveiligingsupdates beschikbaar, terwijl veel van die apparatuur jarenlang in gebruik is. Denk bijvoorbeeld aan een babyfoon, smart-tv, wifi-deurbel of beveiligingscamera. De fysieke beperkingen van IoT-apparaten komen daar nog eens bij: de centrale processor en de geheugencapaciteit zijn beperkt, waardoor het meestal niet mogelijk is om relatief zware en robuuste beveiligingstechnieken te gebruiken.”
OWASP
Een van de organisaties die zich inzet om beveiliging van software te verbeteren, is het Open Web Application Security Project (OWASP). Deze organisatie onderscheidt drie mogelijke profielen van IoT-security: de IoT-fabrikant, de IoT-ontwikkelaar en de IoT-Consument. Voor elk profiel geeft de organisatie aanbevelingen.

Meest kritieke kwetsbaarheden
OWASP heeft in 2014 een lijst opgesteld van de meest kritieke kwetsbaarheden van het Internet of Things.Architectuur van vier lagen
Een aantal leveranciers (Cisco, IBM, Oracle) voorzien voor de toekomst een architectuurmodel voor het IoT. Deze architectuur zou uit vier lagen bestaan.
  1. Data Center Cloud. In de bovenste laag vindt het beheer plaats van het IoT-netwerk. Ook de verschillende applicaties die IoT-data tot relevante toegevoegde waarde voor een organisatie verwerken, zijn in deze laag gehuisvest..

  2. Core Network (WAN). Deze laag zorgt voor het transport. Gegevens kunnen wereldwijd getransporteerd worden tussen verschillende netwerkdomeinen..

  3. Edge. Dit is de netwerklaag: verzamelpunten ontvangen hier al de verschillende signalen van meerdere sensors. Deze laag moet in staat zijn om lokaal via veel uiteenlopende protocollen te communiceren, zowel draadloos als bekabeld..

  4. Sensor. In de onderste laag bevinden zich de sensoren: kleine apparaatjes die fysieke grootheden kunnen meten zoals de temperatuur of de druk. Via een eenvoudige netwerklink worden deze metingen als data verstuurd.

Tot slot
Heeft Fred een advies voor bedrijven die IoT willen inzetten? Jazeker: “Wanneer besloten wordt om van IoT gebruik te maken, is het vooral aan de eigenaar van de IoT-infrastructuur om deze intrinsieke kwetsbaarheden te onderkennen. Hij moet zorgen dat een organisatie zich beschermd tegen deze kwetsbaarheden met een goede security-policy én een goed IoT-architectuurontwerp. Het ontwerp dient complementair te zijn aan de bestaande architectuur van het bestaande IT-landschap. Zo wordt voorkomen dat de IoT-architectuur kan worden gebruikt om binnen te dringen in de bestaande business-IT.”

SAP HANA en het Internet of Things
Wat is de relatie tussen SAP en het Internet of Things? “SAP investeert flink in het Internet of Things. Het platform voor realtime business, SAP HANA (High Performance ANalytic Appliance), speelt daarin een hoofdrol,” stelt Fred. “Met dit platform hebben organisaties realtime toegang tot informatie door het in lijn brengen van transacties, analyses, planning en voorspelling op een enkelvoudige in-memory database. SAP HANA is ook uitstekend in staat om grote hoeveelheden data te verwerken tot relevante informatie, zoals vereist is voor een goede werking van het IoT. In september werd bovendien bekend dat SAP het bedrijf PLAT.ONE heeft overgenomen waardoor SAP voortaan in staat is om kant-en-klare IoT-oplossingen aan te bieden. SAP biedt ook een gratis IoT-cursus aan via openSAP.”