Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Basisbeveiligingsmaatregelen slimme apparaten (IoT)

Kennisartikelen
Leestijd:
IoT (Internet of Things)
Beginnen
We gebruiken steeds meer slimme apparaten, zoals televiesies, webcams en apparatuur voor huis- en kantoorautomatisering (zoals thermostaten en verlichting). Deze apparaten – ook wel Internet of Things (IoT) genoemd – worden doorgaans aan een thuis- of kantoornetwerk en het internet gekoppeld om ‘slimme’ functionaliteiten te bieden.

Doelgroep:
Dit artikel richt zich op thuiswerkers en kleinere organisaties. Het bevat tastbare voorbeelden en handelingsperspectieven die gebruikers met een beperkte achtergrond in digitale beveiliging uit kunnen voeren. 

In samenwerking met:
Rijksinspectie Digitale Infrastructuur (RDI)

Door onjuiste configuratie, inadequaate veiligheidsmaatregelen en kwetsbaarheden in de hard- of software ontstaat het risico dat deze apparaten direct vanaf het internet te benaderen zijn door ongeautoriseerde personen. Kwaadwillenden kunnen hiermee het apparaat van afstand bedienen, informatie stelen of toegang krijgen tot het thuis- of kantoornetwerk. In dit artikel wordt de problematiek toegelicht en worden mogelijke consequenties geschetst. Ook wordt uitgelegd wat je kunt doen om vast te stellen of jouw apparaten kwetsbaar zijn voor misbruik vanaf het internet en worden concrete stappen beschreven waarmee je eventuele kwetsbaarheden weg kunt nemen.

De belangrijkste feiten

Mogelijk zijn er, naast computers, ook andere smart-apparaten met jouw netwerk verbonden, zoals printers, scanners, webcams of televisies. Dergelijke apparatuur wordt steeds vaker ontworpen om verbonden te zijn met het internet. Mogelijk zijn deze apparaten niet voldoende beveiligd. 

Onvoldoende beveiliging kan risico’s opleveren voor de bedrijfsvoering. Bekijk daarom of je de connectiviteit nodig hebt voor de bedrijfsvoering en besef dat elke vorm van connectiviteit een risico oplevert.

Ga in eerste instantie na of connectiviteit noodzakelijk is voor het functioneren van het apparaat. Indien connectiviteit van apparaten vanaf internet noodzakelijk is, tref dan afdoende maatregelen om deze toegang te beveiligen. Als de connectiviteit niet nodig is, zorg er dan voor dat het apparaat geen verbinding maakt met het internet. 

Probleemstelling

Slimme apparaten zijn in een korte tijd razend populair geworden. Veel producenten verleiden consumenten met slimme apparaten die nieuwe functionaliteiten toe voegen (in vergelijking met hun ‘domme’ voorgangers). Denk hierbij aan het bedienen van de verlichting van afstand met een telefoon. Beveiliging wordt niet altijd voldoende meegenomen bij de ontwikkeling van slimme apparaten. Zo kunnen basale beveiligingsmaatregelen ontbreken en kunnen slimme apparaten kwetsbaar zijn voor digitale aanvallen.

Omdat slimme apparaten doorgaans minder goed (te) beveiligen zijn, vormen ze voor kwaadwillenden een interessant doelwit. Doelwitten worden onder andere gevonden door online zoekmachines, zoals SHODAN, die zich richten op het identificeren van (slecht geconfigureerde) apparaten. Door toegang te krijgen tot het apparaat kan een kwaadwillende beschikking krijgen over de informatie die is opgeslagen op het apparaat. Ook kan deze hiermee de functionaliteit van het apparaat misbruiken. De aard van het apparaat bepaalt wat de mogelijke consequenties zijn. Zo zou een kwaadwillende via de scanner documenten kunnen inzien, of kantoorautomatiseringsapparaten zoals thermostaten of verlichting aan of uit kunnen zetten.

Als smart apparaten zoals lampen, koelkasten, omvormers en televisies gekoppeld zijn aan het thuis- of bedrijfsnetwerk kunnen deze apparaten gebruikt worden om het achterliggende netwerk te bereiken. In dit geval dienen deze apparaten als stepping-stone die een kwaadwillende actor kan gebruiken om het netwerk in te komen. De dreiging van kwetsbare slimme apparaten is dus niet alleen een probleem voor het desbetreffende apparaat zelf, maar ook voor het achterliggende netwerk. Daarnaast kunnen geïnfecteerde apparaten gebruikt worden als onderdeel van een IoT-botnet om andere netwerken aan te vallen (e.g. een DDoS aanval). 

Een eigenschap van slimme appraten is dat ze makkelijk in te brengen zijn in het bestaande netwerk. Denk bijvoorbeeld aan een WiFi accesspoint dat iemand nog thuis had liggen om het bereik in de vergaderruimte te vergroten of een internetradio voor op de werkvloer. Deze apparaten worden in veel gevallen vaak in gebruik genomen zonder na te denken over de bijbehorende cyberrisico’s, met als gevolg dat er geen passende beveiligingsmaatregelen worden genomen.

Om bovengenoemde risico’s te beperken is het nodig om de toegang tot het betreffende apparaat zo beperkt mogelijk te houden. Is het noodzakelijk dat bepaalde apparaten toch via het internet en/of netwerk bereikbaar zijn? Tref dan aanvullende beveiligingsmaatregelen.

Ben ik kwetsbaar?

Door onderstaande stappen te zetten bepaal je zelf kwetsbaar je bent voor digitale aanvallen via slimme apparaten. 

1.         Inventariseer welke slimme apparaten je hebt; 

2.         Bepaal of deze apparaten verbonden zijn met het internet en/of een netwerk. 

Inventariseren van verbonden apparaten Loop door het huis of kantoorgebouw en noteer alle apparaten die (mogelijk) met het netwerk zijn verbonden. Denk ook aan apparaten die draadloos met het netwerk zijn verbonden. Raadpleeg de website veiliginternetten.nl voor hulp bij het inventariseren van uw slimme apparaten.

Bepalen of apparaten verbonden zijn met het internet en/of een netwerk.

Om te bepalen welke apparaten (draadloos) met een netwerk of het internet verbonden zijn, kun je het statusscherm en de logbestanden van de router of ander netwerkapparaat raadplegen. Het apparaat zou hierin terug te vinden moeten zijn. Controleer hierbij ook of de toegang tot deze apparaten vanaf internet is afgeschermd. De eenvoudigste manier om deze afscherming te bereiken is door middel van een firewall. Een firewall zorgt er, mits juist ingesteld, voor dat alleen gewenst verkeer vanaf het internet wordt toegelaten tot ujow netwerk. Het modem van jouw internetprovider bevat vaak een firewall. In de configuratie hiervan kun je nagaan of de firewall is ingeschakeld.

Wat kan ik doen?

Het is belangrijk dat je je bewust bent dat elk (slim) apparaat in je netwerk een mogelijke ingang voor een kwaadwillende persoon vormt. Bij het beveiligen van apparaten raden wij aan om de toegang vanaf het internet alleen toe te staan als dit noodzakelijk is. Staat je toegang vanaf internet toe, tref dan aanvullende maatregelen ter beveiliging. 

Krijg en houd grip op je slimme apparaten

  1. Controleer voordat je een bepaald apparaat aanschaft of het desbetreffende apparaat of merk last heeft van kwetsbaarheden op uitgebrachte apparaten. Dit geeft inzicht in de beveiligingswaarde die je kan verwachten van het apparaat. Daarnaast is het van belang om inzichtelijk te hebben hoe lang een product nog ondersteund blijft door de producent voordat je het product aanschaft. Zo voorkomt je het risico om een product aan te schaffen dat bijna End of Life is en dus niet lang meer ondersteund zal blijven.
  2. Zorg ervoor dat je een up-to-date inventaris hebt van je slimme apparaten. Zijn er apparaten in je netwerk waar je geen weet van had? Zorg ervoor dat je beheer voert over deze apparaten en passende maatregelen treft.

Beheer de netwerktoegang tot je slimme apparaten

  1. Configureer de firewall in je internetrouter zodat deze geen verbindingen toelaat vanaf het internet die niet door jouw geïnitieerd zijn. Raadpleeg de handleiding van de router voor instructies.
  2. Schakel UPnP uit in de modem/router. UPnP maakt het mogelijk om je apparaten eenvoudig te verbinden (zonder configuratie), maar het is belangrijk om na te denken of dit gewenst is. Deze functionaliteit kan ook onder andere namen zoals Personal Cloud of Media Server in de configuratie van een apparaat voorkomen. Raadpleeg de handleiding van het desbetreffende apparaat voor instructies.
  3. Maak gebruik van versleutelde verbindingen voor de communicatie met deze apparaten. Stel hiervoor in dat het apparaat gebruikmaakt van HTTPS, of maak het alleen bereikbaar via een virtual private network (VPN) met uw router. Als een apparaat dit ondersteunt, vind je instructies in de handleiding.
  4. Segmenteer slimme apparaten van de rest van het netwerk. Een eenvoudige manier om dit te doen is om de slimme apparaten enkel toegang te geven tot het gastennetwerk. De meeste modems / routers hebben een mogelijkheid om een dergelijk netwerk eenvoudig aan te leggen.

Configureer en beheer slimme apparaten

  1. Apparatuur wordt vaak geleverd met standaardinstellingen, zoals standaardwachtwoorden. Deze instellingen zijn gericht op een brede groep gebruikers en voldoen niet om het apparaat afdoende te beveiligen. Apparatuur die je in de winkel koopt, moet je daarom altijd instellen volgens de gebruikershandleiding.
  2. Stel tweefactorauthenticatie in voor toegangsbeveiliging op alle met het netwerk verbonden apparaten die dit ondersteunen.
  3. Installeer beschikbare beveiligingsupdates voor de besturingssoftware van het apparaat. Achterhaal of er updates zijn voor de apparaten op de websites van de leveranciers. Sommige apparaten kunnen ook zelfstandig automatisch updates downloaden en installeren. Is dit het geval dan is het advies deze updates te installeren. Instructies voor installatie staan in de handleiding.
  4. Raadpleeg de handleiding van de apparaten om na te gaan of er meer beveiligingsmaatregelen beschikbaar zijn en pas deze toe.
  5. Evalueer periodiek of de verbonden apparaten correct geconfigureerd zijn en de laatste updates hebben verwerkt. Controleer daarbij periodiek of een apparaat nog actief wordt ondersteund door de producent.

Tot slot

Heb je behoefte om meer te weten te komen over het beveiligen van jouw netwerk en apparaten? Raadpleeg dan de 5 basisprincipes

 

Formulier
Heeft deze pagina je geholpen?