Bij het inzetten van het Internet of Things zijn er drie kernthema’s waar bedrijven invulling aan moeten geven: (1) hoe haal je maximaal (concurrentie)voordeel uit alle data die je verzamelt, (2) hoe creëer je nieuwe business modellen via IoT en (3) hoe zorg je dat een informatieveiligheid is gewaarborgd?
Volgens Matthijs Ros, Cybersecurity Leader van Capgemini zoekt de organisatie die effectief is in IoT continu naar de juiste verhoudingen in deze driehoek. ‘Door de innovatiesnelheid en go-to-market-drang dreigen bedrijven de beveiliging soms uit het oog te verliezen. Terwijl juist in de IoT-wereld cybersecurity een sterk onderscheidende factor kan zijn.’
Mattijs Ros: ‘Het Internet of Things groeit enorm snel. En dat is een understatement. Inmiddels zijn zo’n 22,9 miljard apparaten wereldwijd met elkaar verbonden die data ontsluiten via het internet. Dan is solide cybersecurity cruciaal. Dat lijkt vanzelfsprekend, maar is het nog niet. Zo bleek de DDos-aanval op DYN, DNS-provider voor bijvoorbeeld Google en Twitter, gedaan vanuit slecht beveiligde IoT-apparaten.
‘Volgens een recente schatting zijn inmiddels zo’n 1,3 miljoen IoT-apparaten wereldwijd geïnfecteerd. Dan hebben we het over auto’s, mediaspelers en IP-camera’s maar ook die connected Barbie met camera of nieuwe babyfoon kan geïnfecteerd worden. Er moet nog een flinke slag worden gemaakt; connected devices zijn in tegenstelling tot de gemiddelde pc, tablet en laptop eigenlijk nog nauwelijks beveiligd.’
Consumenten bewuster over veiligheid
‘Wij zien een groeiend spanningsveld. Bij IoT is sprake van een andere dynamiek dan bij IT- of OT-applicaties, vooral tussen leverancier en consument. Leveranciers willen innovatieve features liefst direct lanceren, terwijl een sterk groeiende groep consumenten zich steeds bewuster wordt van de veiligheid van features en de risico’s van het afgeven van gegevens. Met de wet Meldplicht Datalekken benadrukken we als maatschappij dat we de privacy van gebruikers zo goed mogelijk willen borgen.
‘Verder zien we dat veiligheid voor consumenten in toenemende mate een doorslaggevende factor is bij hun aankopen. Niet alle leveranciers onderkennen dat; security staat vaak onderaan de lijstjes met hun zorgen. Terwijl één gehackte teddybeer die camerabeelden verspreidt van spelende kinderen, forse reputatieschade kan opleveren. Anderzijds kan een bedrijf een interessant concurrentievoordeel bereiken als het consumenten duidelijk en klantvriendelijk vertelt wat er gebeurt met al die data uit hun wearables of smart phone apps. Want wie leest nou veertig pagina’s gebruikersvoorwaarden?’
Security op drie niveaus
‘Internet connected devices kunnen grofweg worden ingedeeld in drie categorieën: (1) devices voor het uitlezen van data op afstand, (2) devices voor het bijsturen op afstand, en (3) devices die autonoom op basis van algoritmes en zonder onze interventies kunnen handelen. Hoe verder je opschuift in deze categorieën, hoe zekerder je moet zijn van de beveiliging.
‘Security van IoT connected devices kan daarbij leren van de kennis en geleerde lessen van de bestaande IT-beveiliging. Laten we niet in dezelfde valkuilen stappen en dezelfde leertrajecten weer opnieuw doorlopen. Te snelle lanceringen leveren soms meer schade dan concurrentievoordeel op. Zeker bij het IoT pleit ik ervoor om security integraal onderdeel te maken van ontwikkeling en testen. Als je pas bij de volgende release gaat nadenken over de beveiliging, dan ben je onherroepelijk te laat.’
Matthijs Ros
Profiel: https://www.nl.capgemini.com/experts/cybersecurity/matthijs-ros
Volgen:
- Twitter: @matthijsros
- LinkedIn: https://nl.linkedin.com/in/matthijsros/nl
