Twee jaar geleden kondigde de Internet of Things Security Foundation een nieuw raamwerk voor beveiligingscompliance aan. Hier is een overzicht van IoT en een volledig overzicht van hoe het nieuwe kader voor beveiligingsnaleving de activiteiten van InfoSec-teams zal beïnvloeden.
Wat is “Internet of Things (IoT)”?
Het internet der dingen is een term die al relatief lang bestaat en wordt gebruikt om te verwijzen naar de interconnectiviteit van alle dingen met de mogelijkheden van internet, zoals smartphones, smart home-systemen, tablets, enz. De echte definitie van IoT is echter geëvolueerd en tegenwoordig wordt de term gebruikt om te verwijzen naar een scenario waarin mensen, objecten of dieren unieke identificatiesleutels krijgen en de mogelijkheid om gegevens in de loop van de tijd onnodig over te dragen en te ontvangen via een bepaald netwerk. voor interactie van persoon tot computer of van persoon tot persoon.
Aan de andere kant beschrijft Forbes het internet der dingen als de techniek om apparaten met een aan/uit-mechanisme met het web of met elkaar te verbinden. Deze apparaten die worden aangedreven door interconnectiviteit worden op school, op het werk en thuis voor verschillende doeleinden gebruikt. Interconnectiviteit vormt de kern van IoT, en dat is wat de enorme risico’s en beveiligingsuitdagingen met zich meebrengt.
De verbindingssnelheid is te hoog
De verschillende beveiligingsrisico’s van IoT worden verspreid door de verhoogde implementatiesnelheid en het gebrek aan accurate consumentenkennis. Hoewel de meeste mensen op de hoogte zijn van het bestaan ervan, kunnen slechts een paar mensen uitleggen wat het inhoudt en hoe beveiliging kan worden bereikt via het complexe IoT-paradigma. De Subcommissie Communicatie en Technologie en de Subcommissie Handel, Productie en Handel hebben op 16 november 2016 een gezamenlijke hoorzitting gehouden om de verschillende risico’s van IoT te bespreken.
Het eerste dat tijdens de hoorzitting werd besproken, was de denial-of-service-aanval van oktober 2016 die werd ontwikkeld door wapens te gebruiken die waren aangesloten op een onbeveiligd netwerk, zoals camera’s. Zodra alle apparaten onder de volledige controle waren van black hat-hackers, werden ze gebruikt om DoS-verzoeken naar het netwerk te sturen, waardoor het hele netwerk ondoeltreffend werd. Verschillende statistieken wezen op het bestaan van minstens 3 miljard verbonden slimme en niet-slimme apparaten als potentiële toegangspunten. Met het groeiende aantal geconnecteerde voertuigen en medische apparaten dat elke dag wordt geproduceerd, zal het beschermen van het steeds groter wordende aantal potentiële toegangspunten alleen maar een grotere uitdaging worden.
De IoT-beveiligingsstichting
Met het toenemende aantal bedrijven dat cloudgebaseerde diensten aanbiedt die zijn verbonden via draadloze netwerken, blijft beveiliging een relevant probleem dat moet worden aangepakt. De IoT Security Foundation is gewoon een internationale non-profit, collaboratieve reactie op de geavanceerde uitdagingen die worden veroorzaakt door beveiliging in de moderne hyperverbonden wereld. De IoTSF dient als een autonoom beveiligings- en regelgevend orgaan met als belangrijkste taak het verbeteren van de informatie- en gegevensbeveiliging voor het internet der dingen en het mogelijk maken en bevorderen van innovatie. De normen van het IoTSF kunnen worden vergeleken met die van de ISO. Het belang van de Internet of Things Security Foundation ligt in het unieke vermogen om beveiligingsexperts en professionals die werkzaam zijn op verschillende gebieden van informatiebeveiliging innovators te maken en apparaten te creëren op unieke maar eenvoudige manieren die ze veilig houden.
Het Internet of Things-framework
Naast het IoTSF-framework is CISCO ook naar voren gekomen en heeft het een ander IoT-framework voorgesteld. Beide frameworks hanteren een verschillende benadering van het beheren en beschermen van informatie. Het IoTSF-framework biedt een uitgebreide checklist die bedoeld is om organisaties die net beginnen te helpen, terwijl het CISCO-framework zich voornamelijk richt op het verstrekken van definities en nuttige informatie om InfoSec-experts te helpen de verschillende beveiligingsproblemen rond IoTSF tot IoT te begrijpen. Door de twee kaders te combineren, kan een stevige basis worden gelegd voor een effectief programma.
De IoTSF Framework Checklist creëert een op risico’s gebaseerde aanpak die meer lijkt op typische nalevingsprogramma’s. Risicobeoordeling omvat een grondige inspectie van alle bedrijven en producten die momenteel in bedrijf zijn om hun niveau van risicoparaatheid vast te stellen. Dit kader omvat 12 kritieke gebieden die moeten worden herzien:
Apparaattoepassing Hardwarematige en fysieke beveiliging van het apparaat Bedrijfsbeveiligingsproces en -verantwoordelijkheid Besturingssystemen van apparaat Webgebruikersinterface Authenticatie en autorisatie Privacy Bekabelde en draadloze apparaatinterfaces Configuratie Cloudnetwerkelementen Versleuteling en sleutelbeheer voor hardware Keten van veilige levering en productie
Het raamwerk biedt uitgebreide vragen voor elk van deze gebieden en biedt ook een plek om uw bewijsmateriaal te koppelen. Organisaties die de compliancecurve voor willen blijven, zijn al begonnen met het IoT-beveiligingsbeoordelingsproces en hebben de juiste stappen genomen om de integriteit van hun informatie te waarborgen.
Met het toenemende aantal verbonden IoT-apparaten is het noodzakelijk dat alle fabrikanten, bedrijven en zelfs klanten samenwerken om hun apparaten, informatie, software en hardware veilig te houden.
auteur bio
Ken Lynch is een veteraan in het opstarten van bedrijfssoftware die altijd gefascineerd is geweest door wat werknemers ertoe aanzet om te werken en hoe het werk aantrekkelijker kan worden gemaakt. Ken richtte Reciprocity op om precies dat na te streven. Hij heeft het succes van Wederkerigheid gestimuleerd met dit missiegedreven doel om werknemers te betrekken bij de doelstellingen op het gebied van bestuur, risico’s en naleving van zijn bedrijf om meer sociaal ingestelde bedrijfsburgers te creëren. Ken behaalde zijn BS in computerwetenschappen en elektrotechniek aan het MIT.
