Cybersecurity: ‘Hackers verleggen hun aandacht richting IoT’
Het Zweedse Axis Communications speelt met zijn netwerk-videocamera’s al decennialang een vooraanstaande rol op het gebied van fysieke beveiliging van objecten. “Die camera’s worden nu ook steeds vaker zelf object van aanval”, zegt Edwin Beerentemfel, Manager Business Development bij Axis. Hij legt uit hoe dat komt en wat Axis ertegen doet.
Nu het Internet of Things (IoT) oprukt, begint steeds meer het besef door te dringen dat we er wat security betreft weer een zorg bij hebben, stelt Beerentemfel als we hem spreken over cybersecurity in samenhang met IoT. Het probleem waar hij op doelt, is dat het gros van al die nieuwe IoT-devices niet of onvoldoende beveiligd is. En mede omdat de IT-wereld de beveiliging rond systemen als Windows en Linux tegenwoordig redelijk op orde heeft, zijn hackers er als de kippen bij om daarvan misbruik te maken. “Hackers verleggen hun aandacht richting IoT”, zegt hij. “En dat is begrijpelijk, want trek je de parallel, dan is een server of desktop uit de IT-wereld tegenwoordig een soort bankkluis vergeleken met het doorsnee IoT-device, waarop hooguit een roestig veiligheidsslotje is aangebracht.”
Ervaring Axis
Een bedrijf als Axis is als geen ander in staat om de risico’s verbonden aan IoT goed in te schatten. Toen de term ‘Internet of Things’ nog moest worden uitgevonden, hingen hun videocamera’s tenslotte al in de lokale netwerken van bedrijven. En toen die naar buiten toe werden uitgebouwd, hingen ze ook als een van de eerste ‘dingen’ aan internet. Het is daarom in het geheel niet vreemd, aldus Beerentemfel, dat Axis met de cybersecurity van zijn IoT-devices (lees: zijn netwerkbeveiligingscamera’s) behoorlijk voorop loopt.
Onderscheidende kenmerken
Er zijn diverse beveiligingszwaktes die maken dat hackers zich veelal eenvoudig toegang kunnen verschaffen tot een IoT-device. “Eén voorbeeld is het gebruik van standaardwachtwoorden voor root-accounts, die dan soms niet eens te wijzigen zijn”, aldus Beerentemfel. “Dat is dus uit den boze!” Een ander voorbeeld is dat er specifieke achterdeurtjes in de software worden ingebouwd via niet gedocumenteerde accounts, zodat men zich nog te allen tijde op afstand toegang kan verschaffen tot devices. “Met name op dat vlak zijn er een groot aantal incidenten geweest met fabrikanten. Wij als Axis garanderen dat we die achterdeurtjes niet hebben. Kijk, we kunnen niet garanderen dat er nooit iets kan gebeuren met een Axis-camera, maar wij erkennen dat en handelen daarop proactief. Vooral daarmee onderscheiden wij ons.”
Een tweede onderscheidend punt van Axis is producttransparantie. Er zijn in onze markt maar weinig échte fabrikanten actief. De meeste partijen kopen slechts producten in, om die vervolgens onder hun eigen merk door te verkopen. Dat betekent, zegt Beerentemfel, dat zij vaak onvoldoende invloed kunnen uitoefenen indien er bepaalde kwetsbaarheden in bijvoorbeeld de firmware worden ontdekt. “Dus partners, en ook eindgebruikers, moeten zich heel goed afvragen met wie ze precies zakendoen. Bij ons is dat volledig transparant: koop je een Axis-product, dan krijg je ook een Axis-product. Dat betekent maximale controle indien die firmware eventueel aanpassing nodig heeft.”
Cybersecurity op drie niveaus
De cybersecurityaanpak van Axis kent drie niveaus. Op de eerste plaats levert het bedrijf bij zijn producten de nodige tools voor securitymanagement. Op dat vlak heeft Axis onlangs nog de AXIS Device Manager geïntroduceerd, meldt Beerentemfel. Voortbouwend op zijn populaire AXIS Camera Management-platform biedt men hiermee een proactief instrumentarium tegen cybercrime, waarmee je centraal zowel je apparatuur als het netwerk kunt beveiligen. Beerentemfel somt op: “Dus je kunt je devices centraal van wachtwoorden voorzien, je kunt wachtwoorden wijzigen, digitale certificaten installeren, zien of devices on- of offline zijn, je kunt bepaalde policies pushen naar nieuwe devices, je kunt vrij makkelijk back-ups maken en back-ups terugzetten indien nodig, en nog veel meer.”
Het tweede niveau van beveiliging bestaat bij Axis uit adequaat vulnerability-management. “Als fabrikant hebben wij de verantwoordelijkheid om snel te reageren op ontdekte kwetsbaarheden en daarover ook transparant te zijn. Daarvoor hebben we onder meer een vulnerability respons- en support-policy opgesteld die we op onze website publiceren. En binnen onze R&D-afdeling hebben we een aparte groep mensen gealloceerd die vanuit een securitymodel de firmware in onze camera’s ontwikkelen. Dus we nemen ook hier weer een zeer proactieve houding in. Daarbij voorzien we onze partners tevens van tools waarmee ze nieuwe firmware snel over hun klanten kunnen uitrollen.”
Hardening Guide
Als derde verdedigingslinie helpt Axis zijn partners en klanten via een ‘Learning & Collaboration’-programma bij het opbouwen van kennis en inzicht over mogelijke dreigingen en wat daaraan te doen. Voor dit kweken van bewustwording worden regelmatig trainingen gegeven op cybersecuritygebied, wordt er op Axis-events steevast aandacht aan het onderwerp besteed en publiceert men white papers en self assessment tools. Zo stelt Axis aan zijn partners en andere geïnteresseerden zijn zogeheten ‘Hardening Guide’ ter beschikking. Beerentemfel daarover: “Die Hardening Guide kan een ieder gratis downloaden en daarin vind je drie scenario’s terug: voor een basisbeveiligingsbehoefte, een gemiddeld niveau van beveiliging en een complex niveau. Want wat geïndiceerd is, is afhankelijk van het type klant. Waarbij je in het complexe scenario te maken hebt met certificaten voor end-to-end encryptie en netwerk-authenticatie op basis van 802.1X. Iets dat normaal gesproken niet nodig is voor een gemiddelde kleine retailer. Op dat niveau ben je voldoende beveiligd door wachtwoorden op de juiste manier te gebruiken en services, zoals bijvoorbeeld een FTP-service, uit te zetten die niet gebruikt worden.”
Kansen partners
Gevraagd naar wat Axis zijn partners specifiek te bieden heeft, zegt Beerentemfel tot slot: “Natuurlijk leveren we allereerst hoge kwaliteit camera’s. Daarnaast zijn we intern goed gestructureerd. Dat krijgen we ook terug van partijen uit de markt waarmee we al samenwerken. En verder doen we heel veel op gebied van educatie, de ontwikkeling van tools en het beschikbaar stellen van nieuwe services. Als reseller of system integrator word je er door je klanten op afgerekend als je onveilig werkt, doordat je niet de juiste componenten gebruikt. Dus kun je maar beter zakendoen met een partij die cybersecurity hoog in het vaandel heeft staan en over genoeg expertise beschikt om jou als partner te kunnen ondersteunen. Axis is zo’n partij.”
Door: Dick Schievels
