15 waardevolle praktijkvoorbeelden van Internet of Things-toepassingen bij overheidsorganisaties: je vindt ze terug in het ‘Whitepaper IoT II Weerbaarheid in de praktijk’ van Centrum Informatiebeveiliging en Privacybescherming (CIP). Per voorbeeld lees je over de risico’s én gekozen aanpak.
Hoe staat het met de veiligheid rondom IoT? Welke uitdagingen liggen er en waarom moet dit onderwerp definitief de spotlights in? CIP-directeur Geert-Jan van de Ven neemt ons mee.
IoT, hoe het ook al weer zat
Bij IoT gaat het om met het internet verbonden apparaten, maar ook om de veiligheidsrisico’s daarbij. Van de Ven: “Onder IoT schaar ik zowel de operationele techniek, als gebouwgebonden installaties, als domotica in de thuissituatie. Ik gebruik het begrip juist breed, omdat de verschijningsvorm eigenlijk niet zo veel uitmaakt. In alle gevallen moeten we namelijk goed kijken naar de kansen en bedreigingen.”
Wat is het doel van dit whitepaper?
“Het doel is heel simpel: een wake up call. Daarnaast verbinden we er een handelingsperspectief aan, voor collega’s en bestuurders. Het whitepaper geeft namelijk ook een aantal voorbeelden waar mensen inspiratie uit kunnen halen voor hoe je IoT-security kan aanpakken. Verder is het een call to action. We moeten een inhaalslag maken op het gebied van IoT en veiligheid en dat begint met het bewustzijn dat er iets moet gebeuren. De voorbeelden in dit whitepaper helpen daarbij.”
Hoe kan zo’n voorbeeld eruit zien?
“Het kan bijvoorbeeld gaan over gebouwgebonden installaties, zoals een toegangscontrolesysteem of klimaatsysteem. Als een gebouw wordt ingericht, is er niet altijd het besef dat technische componenten aan het internet hangen en dat die componenten installaties bedienen. Die installaties moeten worden onderhouden en er moeten veiligheidsgrenzen aan worden gesteld. Er zijn zoveel contracten met afhankelijkheden van externe leveranciers. Vaak zijn die contracten dichtgetimmerd. Het openbreken is een forse klus, met vaak vergaande financiële consequenties. Toch is er vaak al veel te winnen met een aantal relatief eenvoudige basismaatregelen.”
“Ben je zelf in een situatie gekomen waarvan je denkt dat die vermeldenswaardig is voor collega’s, deel ze.”Geert-Jan van de Ven
“De breedte van de voorbeelden zorgt ervoor dat mensen zich herkennen. Er zit altijd wel een casus in waarbij mensen denken: wacht even, dit herken ik. Wellicht is het in de publiciteit geweest, of heeft het in je eigen organisatie gespeeld. Grijp dit aan. Ik wil er ook een oproep aan verbinden. Een aantal organisaties heeft zich publiekelijk of anoniem kwetsbaar opgesteld door hun casus te delen. Maar ben je zelf in een situatie gekomen waarvan je denkt dat die vermeldenswaardig is voor collega’s, deel die dan. Het CIP kan je daarbij helpen.”
Want waar staan we nu als het gaat om IoT-security?
“Mijn perceptie is dat we nu in het begin van de bewustwording staan. We kennen inmiddels een aantal casussen waardoor er meer maatschappelijke aandacht is voor kwetsbaarheden in producten. Bijvoorbeeld waar mensen in het kader van hybride werken gebruik maken van thuisinfrastructuur, waar ook de veelbesproken goedkope camera of slimme lamp onderdeel van uitmaakt. Daarnaast het besef dat je bij gebouwgebonden installaties geen zeggenschap hebt over de kwaliteit van informatievoorziening, over de afscherming, risico’s, en de afdichting daarvan. Dat besef is meer en meer gaan opkomen. De afgelopen 2 jaar merk je dat er meer aanleiding is om het over IoT én IoT-consequenties te hebben.”
Op welke manier kunnen we dat besef verder uitbouwen?
“Door IoT niet meer als iets bijzonders te zien, maar op te nemen in de reguliere bedrijfsvoering. De planning, de uitvoering, de ‘controls’. Als het daar onderdeel van is, gaat het er in ieder geval over. Dan is het nog niet weggewerkt, maar het betekent wel het begin van inzicht.”
Van de Ven specificeert: “Zie het niet meer als onderdeel van het facilitair proces. Of van het huisvestingsproces, of wat aan een partij is uitbesteed waar je toevallig vierkante meters huurt. Nee, het is onderdeel van jouw verantwoordelijkheid, van jouw primaire proces. Weet dus waar het over gaat en beleg taken ook expliciet bij professionals. Zoals bijvoorbeeld de Chief Information Security Officer (CISO) die al veel ervaring heeft met informatieveiligheid binnen het reguliere ICT-domein.”
Wat is de waarde van dit whitepaper voor bestuurders?
“Dat het niet in technische taal is beschreven, maar met duidelijke, praktische voorbeelden die bestuurders kunnen herkennen. Ik ben ervan overtuigd dat iedere bestuurder die dit leest, tenminste 1 voorbeeld zal herkennen: o ja wacht even, daar ben ik ook mee geconfronteerd.”
“Het is urgent, omdat we inmiddels echt afhankelijk zijn van die IoT-middelen.”
“Bestuurders hebben natuurlijk al veel uitdagingen en verplichtingen, en de aandacht gaat altijd naar dat wat het meeste afbreukrisico heeft. Maar waarom het wel urgent is, is omdat we inmiddels echt afhankelijk zijn van die IoT-middelen. Binnen het waterdomein realiseren ze zich bijvoorbeeld al langer dat IoT een cruciaal onderdeel is. Bij de sluis en de brug die op afstand worden bediend. Daar zijn al grote stappen voorwaarts gezet. Ook binnen het provinciaal en gemeentelijk domein is inmiddels ervaring met IoT opgedaan in het kader van onder andere smart mobility en openbare orde en veiligheid.”
“Aan de andere kant is IoT nog een jong vakgebied, waar nog niet alles is uitgekristalliseerd. Het vakgebied is zich aan het ontwikkelen en bovendien speelt schaarste op de arbeidsmarkt een rol. Daarom moet dit nu in de spotlight komen en moeten we goed gebruik maken van opgedane kennis en ervaring.”
Waar kunnen organisaties dan het beste mee beginnen?
“Ik kom weer terug bij het inzichtelijk krijgen. Weet waar je het over hebt. Verdiep je. Zorg dat je het overzicht hebt. Zo ontstaat ook de urgentie en prioritering. En faciliteer de mensen in je organisatie die daarmee aan de bak gaan.”
Hoe helpt het CIP daarbij?
“We willen graag die signaalwerking verzorgen. Maar we willen ook lessons learned en succesverhalen delen om inspiratie uit te halen. Daarnaast werken we aan de professionaliteit van het vakgebied. Hoe kan bijvoorbeeld een curriculum eruit zien voor iemand die werkzaam is in dit vakgebied? En hoe kunnen we het contact met vakgenoten ondersteunen? We doen dat bijvoorbeeld met de IB&P-hulp(link naar andere website) waar collega-professionals beschikbaar zijn voor peer-to-peer-advies. Bestuurders krijgen daar met de 7-driver KPI-aanpak(link naar andere website) handvatten aangereikt hoe te sturen op IB&P.”
Tot slot, hoe moeten we gezamenlijk verder met IoT?
“Op het reguliere informatieveiligheidsdomein zijn we al een eind. Dus als we IoT nou niet meer zien als iets bijzonders, maar als iets reguliers, dan kunnen we de instrumenten die we al hebben daarop inzetten. Een aantal bruikbare baselines ligt er al, zoals het kader Cybersecurity Implementatierichtlijn Objecten dat de watersector hanteert. En de Baseline Informatiebeveiliging Overheid die al overheidsbreed voor generieke informatievoorziening wordt gebruikt.”
“En laten we bij de inkoop en inzet van nieuwe technologie ervoor zorgen dat het integraal onderdeel is van de aanpak. Dat we nieuwe voorzieningen van begin af aan gewoon goed neerzetten.”