Kwetsbaarheden van het IoT voor consumenten: wanneer interconnectiviteit gedeelde risico's betekent

• Auteur:
• auteursnaam

  Quantumrun-prognose
• 5 juli 2023

Inzicht hoogtepunten

Terwijl de Internet of Things (IoT)-industrie blijft innoveren, kampt ze met opmerkelijke cyberbeveiligingsproblemen doordat consumenten nalaten om standaardapparaatwachtwoorden bij te werken en fabrikanten die niet-geteste functies introduceren. Deze uitdagingen worden nog verergerd door het gebrek aan openbare bekendmakingen van kwetsbaarheden en bedrijven die geen duidelijk plan hebben om ze aan te pakken. Hoewel er enig gebruik wordt gemaakt van geheimhoudingsovereenkomsten, bug bounty-programma's en Coordinated Vulnerability Disclosure (CVD) als strategieën voor risicobeheer, blijft de sectorbrede acceptatie van beleid voor het vrijgeven van kwetsbaarheden laag. 

Context van IoT-kwetsbaarheden voor consumenten

Hoewel er voordelen zijn aan apparaten zoals thuisassistenten en slimme beveiligingscamera's, heeft de IoT-industrie nog een lange weg te gaan op het gebied van cyberbeveiliging. Ondanks vooruitgang in ontwerp en infrastructuur blijven deze apparaten kwetsbaar voor cyberaanvallen. Dit probleem wordt nog verergerd door het feit dat veel consumenten niet op de hoogte zijn van de best practices voor het upgraden van de besturingssystemen van hun apparaten. Volgens het IoT Magazine verandert 15 procent van alle eigenaren van IoT-apparaten het standaardwachtwoord niet, wat betekent dat hackers toegang hebben tot 10 procent van alle gerelateerde apparaten met slechts vijf combinaties van gebruikersnaam en wachtwoord.

Andere beveiligingsuitdagingen zijn geworteld in de manier waarop deze apparaten worden ingesteld of onderhouden. Als een machine of software onbeveiligd blijft, bijvoorbeeld als er geen nieuwe beveiligingsupdates kunnen worden aangebracht of eindgebruikers het standaardwachtwoord niet kunnen wijzigen, kan het thuisnetwerk van een consument gemakkelijk worden blootgesteld aan een cyberaanval. Een andere uitdaging is wanneer een ontwikkelaar stopt en niemand zijn software of platforms overneemt. 

Internet of Things-aanvallen variëren, afhankelijk van de machine of infrastructuur. Door kwetsbaarheden in software of firmware kunnen hackers bijvoorbeeld de beveiligingssystemen van elektrische voertuigen (EV's) omzeilen. Ondertussen voegen sommige IoT-fabrikanten vaak nieuwe functies toe aan hun apparaten of interfaces zonder deze grondig te testen. Iets ogenschijnlijk eenvoudigs, zoals een EV-oplader, kan bijvoorbeeld worden gehackt om te weinig of te veel te laden, wat kan leiden tot fysieke schade.

Disruptieve impact

Volgens een onderzoek uit 2020, uitgevoerd door de IoT Security Foundation, was een van de gebieden waarop IoT-fabrikanten niet genoeg deden, het openbaar maken van kwetsbaarheden. Een belangrijke manier om de beveiliging van apparaten die op het internet der dingen zijn aangesloten te verbeteren, is het voor onderzoekers gemakkelijk te maken om kwetsbaarheden die ze vinden rechtstreeks aan fabrikanten te melden. Tegelijkertijd moeten bedrijven communiceren hoe ze zullen reageren zodra deze zorgen zijn geïdentificeerd en binnen welk tijdsbestek softwarepatches of andere fixes kunnen worden verwacht.

Om opkomende cyberbeveiligingsbedreigingen te bestrijden, vertrouwen sommige bedrijven op geheimhoudingsovereenkomsten. Anderen lokken onderzoekers met bug bounties (dwz betalen voor ontdekte kwetsbaarheden). Er zijn ook gespecialiseerde diensten die bedrijven kunnen gebruiken om onthullingen en bountyprogramma's voor bugs te beheren. Een andere techniek voor het beheersen van risico's is Coordinated Vulnerability Disclosure (CVD), waarbij de producent en onderzoeker samenwerken om een ​​probleem op te lossen en vervolgens zowel het fix- als het kwetsbaarheidsrapport gelijktijdig vrijgeven om mogelijke schade voor gebruikers te verminderen. 

Helaas hebben sommige bedrijven geen plan voor het afhandelen van onthullingen. Hoewel het aantal bedrijven met beleid voor het openbaar maken van kwetsbaarheden steeg van 13.3 procent in 2019 naar 9.7 procent in 2018, is de acceptatie door de sector over het algemeen laag gebleven (2022). Gelukkig zijn er steeds meer regels die het openbaarmakingsbeleid verplicht stellen. In 2020 keurde de Amerikaanse regering de Internet of Things Cybersecurity Improvement Act goed, die van IoT-providers eist dat ze een kwetsbaar openbaarmakingsbeleid hebben voordat ze aan federale instanties verkopen. 

Implicaties van kwetsbaarheden in het IoT van consumenten

Bredere implicaties van kwetsbaarheden in het IoT van consumenten kunnen zijn: 

• Overheden die IoT-fabrikanten reguleren om openbaarmakingsbeleid en rigoureuze en transparante tests te hebben.
• Meer technologiebedrijven vormen verenigingen om gemeenschappelijke standaarden overeen te komen en uniforme cyberbeveiligingsprotocollen te ontwikkelen die apparaten interoperabel en steeds veiliger kunnen maken.
• Smartphones en andere persoonlijke consumentenapparaten die geavanceerde meervoudige authenticatie en biometrische identificatie implementeren om de cyberbeveiliging te verbeteren.
• Meer investeringen in cyberbeveiliging van elektrische en autonome voertuigen om digitale kaping te voorkomen.
• Meer afluisteraanvallen, waarbij criminelen onversleutelde communicatiekanalen overnemen; deze misdaadtrend kan ertoe leiden dat meer consumenten de voorkeur geven aan versleutelde berichten-apps (EMA's).
• Meer incidenten van social engineering-aanvallen die profiteren van zwakke wachtwoordbeveiliging, vooral onder gebruikers van oudere apparaten.

Vragen om op te reageren

• Hoe zorgt u ervoor dat uw IoT-apparaten goed beveiligd zijn?
• Op welke andere manieren kunnen consumenten de beveiliging van hun IoT-apparaten verbeteren?