Zo integreer je IoT in het schoolnetwerk
De opkomst van het Internet of Things (IoT) levert cybersecurity specialisten een aantal unieke beveiligingsuitdagingen op. Het is allemaal ingewikkeld, maar niet onmogelijk.
Het zijn interessante tijden voor systeembeheerders. De transitie van standaard voorgeschreven apparatuur naar Bring Your Own Device (BYOD) levert IT-afdelingen al de nodige hoofdbrekens op. Het is immers een stuk ingewikkelder om een cybersecurity op te zetten die voor álle apparaten veilig is dan een systeem wat helemaal gericht is op één specifiek type device.
Deze uitdaging is inmiddels op de meeste onderwijsinstellingen overwonnen. Maar de volgende beveiligingsuitdaging staat voor de deur: het Internet of Things (IoT)
IoT: nóg meer verschillende apparaten
Met het Internet of Things worden naast desktops, laptops, tablets en smartphones ook allerlei alledaagse apparaten zoals sensoren, slimme verlichting of camera’s onderdeel van het netwerk. Dat biedt veel voordelen, maar het maakt je netwerk ook kwetsbaar. Hackers zouden bijvoorbeeld via een niet-goed beveiligde thermostaat toegang kunnen krijgen tot het netwerk.
Slimme apparaten zijn overal, ook binnen het onderwijs. Soms installeren onderwijsinstellingen die zelf, omdat ze handig zijn. Denk aan slimme beveiligingscamera’s, slimme thermostaten of snoepapparaten die via het internet met leveranciers communiceren. Ook scholieren en studenten nemen steeds meer slimme apparaten mee naar school. Denk aan smartwatches, en activity trackers.
Slimme apparaten zijn inmiddels zó gewoon aan het worden, dat gebruikers er niet bij stilstaan dat ze verbinding maken met het netwerk. Behalve wanneer de wifi plat ligt, tenminste. Dat maakt dat het makkelijk is te vergeten om deze devices te beveiligen.
IoT maakt cybersecurity ingewikkelder
Systeembeheerders hebben er een hele kluif aan om het overzicht te bewaren. Gelukkig zijn niet alle smart devices op het schoolterrein verbonden aan het schoolnetwerk. Sommige apparaten werken via een 4G-verbinding.
De systeembeheerder zou inspraak moeten hebben op elk besluit wat het schoolnetwerk aangaat. Dat vergt ruggengraat, bijvoorbeeld door een veto uit te spreken over het verbinden van slimme thermostaten met het netwerk. De thermostaat wordt er niet veiliger door, maar de schade is beperkt. Een hacker kan dan wel spelen met de temperatuur, maar heeft geen toegang tot vertrouwelijke gegevens.
Weinig invloed op de smart devices
Als systeembeheerder heb je vaak weinig invloed op de beveiliging van de apparaten zelf, die wordt door de fabrikant bepaald. Helaas wordt hierop vaak bezuinigd, omdat de consument vooral goedkope devices wil. Je hebt zelfs weinig tot geen invloed op de vraag of een gebruiker zijn software regelmatig update.
Veiligheid en privacy
Denkend aan cybersecurity rondom het Internet of Things gaat de aandacht primair uit naar de beveiliging van data. Ook op het gebied van privacy levert het IoT uitdagingen op. De informatie die een device verstuurt is op zichzelf vaak redelijk onschuldig. Pas wanneer je deze informatie combineert met informatie uit andere bronnen kan iemand conclusies trekken die ver ingrijpen in de persoonlijke levenssfeer.
Fitbits en andere devices die medische gegevens doorsturen trekken om die reden al een tijdje de aandacht. Maar ook toestellen die je locatie realtime doorgeven zijn mogelijk gevaarlijk. De politie waarschuwt al jaren niet op Facebook te laten weten dat je op vakantie bent omdat dit inbrekers op ideeën zou brengen.
Vooral op universiteitscampussen kunnen kwaadwillenden heel makkelijk opgaan in de massa om digitaal af te luisteren of in te breken op een smartphone of tablet. In het beste geval is het een student die een grap wil uithalen. Er zijn weinig mogelijkheden om slimme apparaten binnen de grenzen van het onderwijsterrein te monitoren. Ook de apparaten zelf houden meestal geen logbestand bij. Dat maakt het het lastig om te signaleren (of te bewijzen) dat er iets aan de hand is. Cybercriminelen zijn zich hiervan terdege bewust.
Zelfs als het technisch mogelijk is, is het maar de vraag of het bestuur van een onderwijsinstelling deze stap zou durven zetten, want de privacy is een hoog goed.
De boete die een Zweedse school kreeg wegens het schenden van privacy van leerlingen zal schoolbesturen terughoudend maken als het aankomt op het volgen van individuele apparaten. Wel kunnen onderwijsinstellingen een gebruiksovereenkomst opstellen voor gebruik van het netwerk. Hierin kun je vastleggen dat je bevoegd bent tot het doen van onderzoek in bepaalde (bedreigende) gevallen.
Wat moet je doen om het Internet of Things veilig te houden
Gelukkig is het Internet of Things niet enkel slecht nieuws voor cybersecurity specialisten. De explosieve groei van het aantal apparaten dat met het internet verbindt maakt de beveiliging uitdagender, maar neit onmogelijk. Er zijn wel degelijk maatregelen die je, als onderdeel van een strategisch beveiligingsplan, kunt nemen om je netwerk te beveiligen.
- Zorg voor een goed omschreven veto-recht voor de systeembeheerder.
- De afdeling ICT is verantwoordelijk voor de veiligheid van het netwerk. Die verantwoordelijkheid kunnen ze alleen dragen wanneer ze risico-devices kunnen weren.
- Zorg dat de systeembeheerder beperkingen kan aanbrengen op het soort data dat binnen een netwerk van en naar bepaalde apparaten gezonden kan worden
- Beveilig élk apparaat, ook de printer of de snoepautomaat
- Zorg dat je voor elk gebruikte apparaat (ook de beveiligingscamera’s) de inloggegevens kunt veranderen
Er zijn nog altijd teveel plaatsen waar je kunt inloggen met Welkom01 of met de standaard pincode 0000. - Blijf benadrukken dat gebruikers (zowel medewerkers als leerlingen of studenten) altijd hun software moeten updaten wanneer een nieuwe versie beschikbaar komt.
- Werk met verschillende netwerken. Een netwerk voor algemeen gebruik (openbare wifi) moet gescheiden zijn van het netwerk waarop vertrouwelijke gegevens zijn opgeslagen.
- Bepaal welk soort apparaten wél en niet op welk netwerk kunnen inloggen op de wifi. Ook leerkrachten zullen er blij mee zijn wanneer leerlingen of studenten iets minder online kunnen. Overigens blijft het in noodgevallen mogelijk om via 4G (of in de toekomst, 5G) te communiceren.
Het Internet of Things vergt serieuze aandacht van cybersecurity specialisten. Het ad hoc beveiligen van onderdelen is onvoldoende, een integrale aanpak is noodzakelijk. Daarbij ligt een belangrijke verantwoordelijkheid bij de functionaris die verantwoordelijk is voor de IT-security, veelal een systeembeheerder of hoofd ICT. Hij of zij moet optreden als poortwachter van het netwerk, op basis van een breedgedragen en strategisch beveiligingsplan.