Artikel:

Internet of Things: grip op data houden

21 juli 2021

Internet of Things (IoT) is de keten waarin sensoren en slimme apparaten, ofwel ‘dingen’, communiceren, acteren en data kunnen genereren. Het innovatieve potentieel van IoT is heel groot, maar gaat ook gepaard met een grote complexiteit en nieuwe risico’s op het gebied van onder meer cyber security, privacy en compliance.

IoT is een belangrijke maatschappelijke en zakelijke ontwikkeling, mogelijk gemaakt door de technologische revolutie. De ontwikkeling dat steeds meer apparaten en netwerken met elkaar ‘autonoom’ communiceren en data produceren, introduceert ook een groot aantal vraagstukken. En daarmee dus uitdagingen.

Traditionele raamwerken en good practices volstaan niet meer

BDO (partner van INTERSCT.) heeft recentelijk bij waterbedrijven onderzoek gedaan naar verschillende aspecten omtrent IoT-gerelateerde elementen, zoals de slimme meters, cyber security- & governance-raamwerken, onderliggende infrastructuur, applicaties en data. Een onontgonnen gebied, waarin vragen bovendrijven als: wat voor compliance raamwerk moeten we toepassen? Hoe houden we grip op de gegenereerde data? Wat doen apparaten zelf? Hoe voorkomen we dat objecten en netwerken gehackt worden? En in bredere zin: wat mag en wat mag niet?

Er zijn nog geen duidelijke regels. Daarom zijn veel organisaties nog zoekende naar antwoorden op die prangende vragen. Over het algemeen hanteren organisaties vooralsnog de traditionele aanpak, met generieke standaarden, zoals ISO 27001. Hierbij proberen ze de risico’s te identificeren en invulling te geven aan wet- en regelgeving, zoals de AVG. Ondertussen verschijnen al wel meer specifieke standaarden die echter ook niet per se alles dekken. De ontwikkelingen gaan namelijk zo snel dat traditionele raamwerken en good practices die niet altijd goed bijbenen. Professioneel omgaan met IoT vraagt om het toepassen van maatwerk en de juiste specificaties binnen een bepaalde context.

Risicoprofiel identificeren

Een belangrijke complicerende factor daarbij is de grote fragmentatie van apparaten en doelbindingen. Het eerste dat organisaties kunnen doen om een stap in de goede richting te zetten, is scherp in beeld brengen welke apparaten (om welke reden) welke data vergaren en hoe communicatie tussen apparaten en een centraal systeem plaatsvindt.
Daarnaast is het ook steeds belangrijker om te begrijpen op welke basis acties of beslissingen autonoom worden genomen.

Vervolgens is het mogelijk het risicoprofiel van die apparaten te identificeren. En zodoende vragen te beantwoorden als: zijn onze apparaten wel veilig, of kunnen ze zomaar door iedereen gebruikt worden? Kennen we de leverancier van die apparaten eigenlijk wel? Aan welke veiligheidsnormen willen we dat die apparaten voldoen en hoe controleren we, bijvoorbeeld, mogelijke algoritmen? Wat zijn de gevolgen als onze data worden onderschept of gemodificeerd?

Houd zicht op hele ecosysteem

De grote valkuil – onder druk van de snel stijgende klantvraag – is een systeem selecteren op enkel functionele eigenschappen. Juist omdat het gaat om een keten van ‘dingen’ kan een klein foutje in een apparaat of netwerk verstrekkende gevolgen hebben voor de gehele keten. Om zelf zicht op het ecosysteem te houden, is het bovendien van groot belang om het aanbod van de leveranciers kritisch onder de loep te nemen, want de ervaring leert dat er een wereld van verschil zit in de mate van aanpak en informatiebeveiliging bij de verschillende aanbieders. Voldoen die systemen en/of IT-systemen van die aanbieders wel aan de juiste security-standaarden? En hoe duurzaam en robuust zijn de systemen, met het oog op technologische ontwikkelingen? 

Integrale aanpak essentieel

Goed dat u serieus werk wilt maken van IoT. Benut vooral de kansen, maar wees scherp op de bijbehorende risico’s, zoals het beveiligen van de data en apparatuur. De betrouwbaarheid van de gegevens mag nooit in gevaar komen. Daarbij wordt de bruikbaarheid en beschikbaarheid in kritische ketens steeds belangrijker. Om grip te houden op de data, is het belangrijk de risico’s te beheersen die gepaard gaan met IoT. Professioneel omgaan met IoT vraagt dan ook om een specifieke, pragmatische en integrale aanpak. Niet alleen voor een breder perspectief op de technologische mogelijkheden van IoT maar - misschien wel juist - ook op de operationele, veranderkundige en financiële consequenties van de te nemen maatregelen.

‘Focus niet op een enkele use case’

BDO is kennispartner van Hogeschool Leiden, waar het lectoraat Digital Forensics & E-Discovery zich bezighoudt met toegepast onderzoek gericht op het werkveld van digitale experts bij politie, opsporingsdiensten en bedrijfsleven (e-discovery). Jos Griffioen is associate lector van het lectoraat en docent bij de specialisatie Forensisch ICT van de opleiding Informatica.

“Wij doen onderzoek naar onder meer huistoepassingen, zoals slimme lampen en waterkokers. Wat we zien is dat bedrijven onder druk van de zich razendsnel ontwikkelende markt veel verouderde technologie gebruiken. Bovendien worden bij IoT twee principes structureel niet toegepast: security by design & privacy by design. Mijn advies voor alle organisaties die met IoT te maken hebben, is tweeledig. Ten eerste, focus niet op een enkele use case, maar overzie het hele plaatje; doe eerst een stap achteruit om te zien waarop de technologie nog meer van invloed is. Ten tweede, neem bij de ontwikkeling van ‘dingen’ de bestaande security frameworks in acht, evenals de huidige standaarden van hardware- en softwaredesign. Ja, dat maakt het bouwen van IoT-systemen iets duurder, maar vooral robuuster en veiliger. En daar hebben we allemaal voordeel van. Uiteindelijk is professioneel omgaan met IoT ook veel meer een ethische dan een technische kwestie.”

Meer informatie

Onze specialisten praten graag met u verder over wat IoT voor uw organisatie kan betekenen. Wij bieden u graag nieuwe perspectieven over de mogelijkheden binnen uw organisatie.