Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Beveiligingstips voor Internet of Things (IoT)

Kennisartikelen
Leestijd:
IoT (Internet of Things)
Beginnen
Steeds meer organisaties zetten IoT-apparaten in om bijvoorbeeld de ventilatie en temperatuursystemen te automatiseren. Veel organisaties zijn echter niet bewust van de risico’s van deze apparaten. Zeker nu deze apparaten op grote schaal worden ingezet en regelgeving zoals de Cyber Resilience Act strengere eisen stelt, is dit risico actueler dan ooit. In dit artikel lees je wat IoT-apparaten zijn, welke risico’s ze met zich meebrengen en hoe je ze veiliger gebruikt om zo je weerbaarheid te verhogen.

Doelgroep: 
Je hebt al enkele beveiligingsmaatregelen getroffen om digitaal weerbaar te zijn maar je weet dat je meer moet doen, ook als je organisatie klein is. Door inzicht te krijgen in de risico’s van IoT-apparaten en jouw IoT-apparaten veiliger te maken, ben je minder kwetsbaar door kwaadwillenden. 

Definitie: 
Met het Internet of Things (IoT), 'internet der dingen' in het Nederlands, worden alle apparaten bedoeld die met internet verbonden zijn. Zogenoemde 'slimme apparaten', zoals een webcam, koelkast, smart-tv, thermostaat, printer, verlichting, auto en apparatuur voor netwerkopslag. Kortom, het gaat om apparaten naast je computer, tablet of smartphone.

De risico's van IoT-apparaten

Steeds meer apparaten in organisaties zijn verbonden met internet, vaak zonder dat duidelijk is of ze daarvoor wel veilig genoeg zijn ingericht. Hierdoor kunnen IoT-apparaten een zwakke schakel vormen en toegang bieden tot gevoelige informatie of systemen. Soms is onjuiste configuratie, hoe het apparaat is ingesteld, daarvoor verantwoordelijk. Zo ontstaat het risico dat deze apparaten direct vanaf internet te benaderen zijn. 

Cybercriminelen krijgen zo toegang tot informatie die is opgeslagen in deze 'slimme apparaten' en kopiëren of wijzigen deze informatie, met alle gevolgen van dien. Bijvoorbeeld als een crimineel toegang tot jouw printer krijgt. Potentiële gevolgen daarvan zijn het bekijken van deze gevoelige bestanden, zoals facturen of het kunnen bedienen van het apparaat op afstand.

IoT-apparaten herkennen doe je zo

IoT-apparaten zijn vaak minder zichtbaar dan traditionele IT-middelen, maar wel verbonden met je netwerk. Om te bepalen of je te maken hebt met een IoT-apparaat, kijk je naar de volgende kenmerken:

  1. Het apparaat maakt verbinding met een netwerk
    Bijvoorbeeld via wifi, ethernet of bluetooth. Weet je dit niet zeker? Controleer dan de lijst met verbonden apparaten in je router of netwerkbeheeromgeving.
  2. Het apparaat is op afstand te beheren of uit te lezen
    Bijvoorbeeld via een app, webinterface of cloudplatform.
  3. Het apparaat verzamelt of deelt gegevens
    Denk aan sensoren, camerabeelden, gebruiksdata of locatiegegevens.
  4. Het apparaat reageert automatisch of op basis van input
    Bijvoorbeeld een camera die beweging detecteert of een thermostaat die zichzelf aanpast.
  5. Het apparaat heeft slimme functionaliteit
    Zoals automatisering, koppelingen met andere systemen of herkenning van gebruikers/patronen.

Als je op de meeste vragen ‘ja’ antwoordt, heb je waarschijnlijk te maken met een IoT-apparaat. Veilig Internetten maakte een handig tooltje om je te helpen met het inventariseren van je IoT-apparaten.

Vergroot de veiligheid van je IoT-apparaten

Als organisatie schaf je IoT-apparatuur aan met een bepaald doel. Denk aan dit doel om te bepalen of het nodig is dat je het apparaat aansluit op jouw bedrijfsnetwerk, of dat een gastennetwerk ook voldoet. Want op jouw bedrijfsnetwerk bevinden zich mogelijk nog veel meer andere apparaten zoals printers, scanners, webcams, televisies en netwerkopslag. Wil je dat dit nieuwe IoT-apparaat met andere apparaten in je netwerk kan communiceren? En is het daarnaast echt noodzakelijk dat het apparaat met internet verbonden wordt? Denk na over deze keuzes, dit bepaalt of je aanvullende maatregelen moet treffen. 

Neem in ieder geval de volgende maatregelen. 

  • Stel de firewall van jouw internetrouter zo in dat deze apparaten niet bereikbaar zijn vanaf internet
  • Update regelmatig de router waarmee je het apparaat met het internet verbindt
  • Schakel UPnP (Universal Plug and Play) in je router uit. Hierdoor zijn je router en je apparaten niet meer van buitenaf toegankelijk
  • Veel apparaten worden geleverd met standaard gebruikersnamen en wachtwoorden zoals 'admin/admin', 'root/password' of 'user/1234'. In sommige gevallen is zelfs geen standaard wachtwoord ingesteld. Bijna al deze standaard gebruikersnamen en wachtwoordcombinaties zijn per apparaat op het internet terug te vinden. Verander ze dus direct! Stel een sterk en uniek wachtwoord in. Stel ook eventuele andere beschikbare beveiligingsmaatregelen op deze apparaten in:
    • In de handleiding van het apparaat lees je hoe je de inloggegevens en andere instellingen aanpast.
    • Mocht je de handleiding niet meer hebben, kijk dan op de website van de fabrikant of neem contact op.
  • Gebruik, waar mogelijk, versleutelde verbindingen zoals HTTPS om met deze apparaten te communiceren
  • Bezoek regelmatig de website van de leverancier om na te gaan of er updates voor de (besturings)software (firmware) van de apparaten zijn. Of zet automatisch updaten aan en installeer firmware-updates als deze beschikbaar zijn
  • Zoek online of er veiligheidsrisico's over jouw apparaat bekend zijn. Wellicht vind je hier specifieke tips om jouw apparaat veiliger te maken. Blijkt jouw apparaat echt té onveilig, stel jezelf dan de vraag of je dit apparaat wel moet gebruiken.

Voorbeeld

Een organisatie met 25 medewerkers houdt kantoor op een bedrijventerrein. Met een webcam als beveiligingsmaatregel heeft de IT-manager op afstand de mogelijkheid om te zien wat er rondom het bedrijfspand gebeurt. Hoewel het een goed middel is om inbrekers af te schrikken, biedt het een cybercrimineel de mogelijkheid om toegang te krijgen tot die camera. Voorkomen moet worden dat een kwaadwillende zo gevoelige gespreken afluistert en de organisatie vatbaar wordt voor afpersing. De IT-manager besluit daarop dat de firewall zo ingesteld moet worden dat de webcam niet met het internet verbonden is. 

Minimumeisen aan digitale veiligheid van IoT-apparaten per eind 2027

Voor de digitale veiligheid van IoT-apparaten komen minimumeisen, onder andere in de Cyber Resilience Act (CRA). Producten die hier niet aan voldoen, zijn vanaf december 2027 op de gehele EU-markt verboden. Tot de minimumeisen behoort dat deze apparaten niet meer met zwakke, standaard wachtwoorden zijn uitgerust. Ook moeten deze IoT-apparaten software-updates ondersteunen, getest zijn op veiligheidslekken, opgeslagen persoonlijke en financiële gegevens afschermen en je moet als gebruiker de mogelijkheid hebben om deze data te beheren en te verwijderen.  

IoT-apparaten vereisen updates

IoT-apparaten maken het leven makkelijk, maar ook kwetsbaarder. Via IoT-apparaten kunnen criminelen digitaal bij je inbreken. Je voorkomt dit door de software van je IoT-apparaten en van je router regelmatig te updaten. Doe dus je updates en houd je bedrijf veilig.

Ten slotte

IoT-apparaten brengen gemak, maar vergroten ook het aanvalsoppervlak van je organisatie, ofwel de mogelijkheden om digitaal bij jou in te breken. Door bewust om te gaan met de inzet en beveiliging van deze apparaten verklein je de risico’s aanzienlijk. Wil je verder aan de slag met IoT-beveiliging? Bekijk dan ook aanvullende publicaties zoals het CIP IoT whitepaper en de BIO-handreiking voor IoT-beveiliging.

Empty layout section

Formulier
Heeft deze pagina je geholpen?