Het gehackte aquarium ofwel het Internet of Things en uw MKB-bedrijfsvoering
Na verhalen over een gehackte tv, koelkast en de chip in de halsband van een kat, was het nu de beurt aan een aquarium. Kennelijk stond de met water en vissen gevulde glazen bak in connectie met het Internet. Waarschijnlijk om de fabrikant signalen te geven omtrent onderhoud of watertemperatuur. Het gevolg van deze niet beveiligde chip in het apparaat? Een poging tot een hack van een Amerikaans casino.
De bekende, Finse beveiligingsexpert Mikko Hypponen waarschuwt al jaren: “What is smart is also vulnerable”, of zoals anderen zeggen “dumb”. Hoe komt dat? Steeds meer apparaten/dingen komen online. Met miljarden tegelijk. Apparaten, die hun weg gevonden hebben naar bedrijven, overheden, particulieren. Het ligt voor de hand om aan te nemen dat een fabrikant denkt aan de beveiliging er van. Dat hij zijn zorgplicht, die komt met zich verantwoordelijk voelen voor de aflevering van een goed product, voor het welzijn van een klant, in acht neemt.
Dat is ook zo. Fabrikanten bouwen manieren in om de apparatuur die zij verkopen op afstand uit te lezen, bijvoorbeeld voor onderhoud. (En wie weet tegenwoordig voor wat nog meer. Data is het nieuwe goud, weet u nog?) Dit is gebeurd met de beste intenties voor uw bedrijf. Het is ook niet nieuw.
In de jaren 00 werd al bekend gemaakt dat hackers via onbeveiligde faxen en kopieermachines toegang tot bedrijven en instanties konden krijgen; een belangrijke les. Helaas heeft die les niet tot het nemen van preventieve maatregelen geleid bij de uitrol van het Internet of Things (IoT). De eerder besproken zorgplicht lijkt niet gevoeld te worden waar het de digitale component van een product betreft.
Het probleem komt in een paar smaken. 1) De fabrikant heeft geheel geen beveiliging ingebouwd . Hierdoor zijn updates vaak onmogelijk. 2) Het wachtwoord is heel simpel, bijvoorbeeld “0000”, “1234” of “Admin”. Dit noemt men ook wel het fabriekswachtwoord. Zo kan de fabrikant of leverancier het apparaat makkelijk uitlezen. Dat is makkelijk voor de fabrikant, maar wachtwoorden die makkelijk zijn, zijn dat ook voor kwaadwillenden. 3) De klant heeft het ingestelde fabriekswachtwoord niet gewijzigd (ondanks een uitnodiging daartoe). Kortom, in al die gevallen is uw bedrijf(snetwerk) een makkelijk te nemen hindernis voor kwaadwillenden.
Maar dat is toch niet erg, als een hacker in mijn koffiezetapparaat zit? Nee, zo lang dat apparaat stand alone staat, dat wil zeggen niet op het bedrijfsnetwerk is aangesloten, niet. Misschien dat u een raar mengsel koffie geserveerd krijgt, maar dat is het dan wel. Dat is het wel als het gehackte apparaat op uw ICT-netwerk is aangesloten. Op dat moment is de hacker binnengedrongen en kan op zoek naar de juiste wachtwoorden, naar mappen waar bedrijfsgeheimen of -procedés worden bewaard, etc. Stelt u zich voor dat uw kopieerapparaat is gehackt. Dan kan de hacker alle gemaakte kopieën meelezen en downloaden, inclusief het geheugen en hij heeft toegang tot uw bedrijfsnetwerk. Wat betekent het voor uw bedrijfscontinuïteit als deze informatie in verkeerde handen valt?
Nu stel ik u een paar belangrijke vragen. Heeft u zich ooit afgevraagd welke apparaten binnen uw onderneming online zijn? Weet u of deze apparaten veilig zijn voor uw bedrijf? Heeft uw leverancier, uw verhuurder u daar ooit op gewezen? Of zijn de apparaten gewoon neergezet, door de monteur aangesloten, zonder nadere vragen of opmerkingen? Dan is het vrijwel 100% zeker dat uw bedrijf, waar het IoT betreft, onbeveiligd is.
Daar kunt u iets aan doen. De adviseurs van MKB Cyber Advies Nederland kunnen u helpen bij het vaststellen van onveilige situaties en adviseren bij het oplossen van de uitdagingen waarvoor uw bedrijf zich geplaatst ziet. Neemt u vrijblijvend contact met ons op.