04 feb Nieuwe technieken in de wasstraat, wees kritisch!
Door de snelle opkomst van heel veel verschillende kleine en goedkope controllers zien we een algehele trend ontstaan. Het voorrecht van ontwikkelen van nieuwe electronica is niet enkel meer weggelegd voor grote bedrijven, maar kan nu ook gedaan door kleine bedrijven en zelfs iemand thuis. Deze ontwikkelingen brengen voor en nadelen met zich mee. Het grote voordeel is dat ideëen waar voorheen niemand wat mee kon in verband hoge kosten, nu ineens wel uitgewerkt kunnen worden. Door deze lage drempel schuilt er ook een groot gevaar. Al deze nieuwe onderzoekers kunnen door de lage drempel prachtige dingen bedenken en maken. Echter maakt ze dat nog geen beveiligings experts. Al deze kleine gadgets mits aangesloten op het bedrijfsnetwerk zijn in feite kleine toegangspunten. Dit kan door middel van bedrade of draadloze communicatie. Onderzoek toont aan dat heel veel internet of things apparaten onveilig zijn en onbedoeld informatie prijsgeven. Informatie wat niet hoort om op straat te liggen. Veel van deze apparaten slaan bijvoorbeeld bij draadloze communicatie wifi gegevens van het toegangspunt op. Door deze gegevens niet te beveiligen, is het mogelijk deze uit te lezen uit een apparaat wat defect in de prullenbak ligt. Met een paar simpele stappen zijn de gegevens alsnog te extraheren uit het kapotte apparaat. Met het in werk treden van het AVG protocol moet iedereen zich bewust zijn van wat je toevoegd aan je bedrijfsnetwerk. Wees kritisch en stel de juiste vragen en documenteer deze antwoorden.
Belangrijke vragen kunnen zijn:
- Is het apparaat te updaten ? Zoja: op locatie of ook op afstand ?
- Wordt er ook daadwerkelijk door ontwikkeld in de vorm van updates ?
- Maakt het apparaat gebruik van encryptie ?
- Is men bewust van eventuele bedreigingen die kunnen onstaan in de SOC (system on a chip) of in het besturingssysteem?
- Verwerkt het apparaat klant en/of betaal gegevens ? Zoja: welke zijn dat ?
- Wat gebeurt er met verzamelde (belangrijke) data ?
- Wie kan nog meer bij deze data komen ?
- Techniek bestaand of zelf ontwikkelt, hoe lang blijft deze (minimaal) leverbaar ?
Dit is een kleine opsomming van vragen die op zijn minst gesteld dienen te worden. Wees kritisch op techniek wat aangesloten wordt op het bedrijfsnetwerk en/of op het internet. Kan de aanbieder zijn verhaal niet overtuigend onderbouwen dan is het verstandig om met bijvoorbeeld uw IT afdeling/ leverancier in een driehoek dit traject aan te gaan, zij kunnen u zeer waarschijnlijk helpen met het inschatten van risico’s en deze op juiste waarde inschatten en zonodig daarop actie ondermenen.