Slimme apparaten communiceren continu met de cloud en ze verwerken allerlei data. Toch worden ze zelden gemonitord of geüpdatet. In een zakelijk netwerk vormen ze daardoor een serieuze kwetsbaarheid.
Laptops, tablets en smartphones zijn duidelijk computers, maar ook slimme verlichting, speakers en thermostaten zijn technisch gezien volwaardige computers. Het probleem is dat we ze niet zo behandelen, en dáár begint het zakelijke risico.
Bedrijfsrisico 1
Organisaties leggen dataverwerking vast in verwerkersovereenkomsten, beoordelen waar data fysiek staat en maken afspraken over bewaartermijnen en verwijdering. In de praktijk wordt deze strenge naleving nauwelijks toegepast op slimme apparaten. En dat terwijl alle slimme apparaten data verwerken. Even een slimme speaker op kantoor aanzetten tijdens de lunch voelt niet als een datarisico, maar zou dat wel kunnen zijn. Het betekent voor de organisatie namelijk beperkte controle en onduidelijkheid over dataopslag, -toegang en -beveiliging. Zo ontstaat een spanningsveld: de wettelijke plicht tot controle botst met apparaten die nauwelijks als IT-middel worden gezien. Hanteer daarom als organisatie duidelijke kaders een maak werknemers bewust van de rol die slimme apparaten spelen in dataverwerking.
Bedrijfsrisico 2
Slimme apparaten brengen ook een risico met zich mee dat minder zichtbaar is, maar minstens zo belangrijk: afhankelijkheid. Veel functionaliteit draait via cloudplatforms, abonnementen of externe diensten. Dat roept de vraag op wat er gebeurt als voorwaarden veranderen, diensten uitvallen of een leverancier stopt. Denk aan slimme toegangssystemen of klimaatinstallaties. Wanneer zulke systemen geen bedrijfscontinuïteit kunnen bieden, heeft een organisatie niet alleen een technisch probleem, maar een direct operationeel probleem. Kijk daarom kritisch naar afhankelijkheden, eis dat kernfunctionaliteit waar nodig lokaal blijft werken, en bedenk scenario’s waarin een leverancier of cloudomgeving tijdelijk of definitief wegvalt.
Bedrijfsrisico 3
Slimme apparaten krijgen meestal minimale beveiliging en zijn permanent verbonden met het internet. Hoewel het in de praktijk gelukkig nog niet heel vaak gebeurt, kúnnen cybercriminelen een kwetsbaar apparaat hierdoor als tussenstation gebruiken om een zakelijk netwerk binnen te dringen. Laat slimme schermen en sensoren dan ook draaien in een ander netwerk dan de kritieke systemen. Maak ook vooraf afspraken met leveranciers over digitale veiligheid, onderhoud, updates, dataverwerking en wat er gebeurt als de dienst uitvalt of stopt.
Niet ontwijken, maar bewust kiezen
Dat veel apparaten tegenwoordig een aanvalsvlak hebben, hoeft én kan je organisatie niet vermijden, maar ze moet het wel erkennen. Dat begint overigens niet bij de techniek, maar bij mensen. Want pas als voor iedereen in de organisatie duidelijk is dat ook een onschuldige speaker, een slim scherm of zelfs een slim aquarium technisch gezien een volwaardige computer is, ontstaat er ruimte om weloverwogen keuzes te maken.
