>>

Slimme koffiemachines van de Jong DUKE veilig dankzij vulnerability assessment

Uitdaging: Hoe zorgen we voor een goede security van onze slimme koffiemachines en ConnectMe-applicatie?

Oplossing: Vulnerability assessment ConnectMe-applicatie, security-onderzoek koffiemachines en evalueren van serverconfiguratie.

Resultaat: Optimale beveiliging van de volledige IoT-toepassing van de Jong DUKE.

Het IoT is inmiddels gemeengoed en er zijn nog maar weinig apparaten die niet met het internet verbonden kunnen worden. De Jong DUKE, een internationaal familiebedrijf dat koffiemachines en machines voor andere warme dranken ontwerpt en fabriceert, liep voorop in deze ontwikkeling. Het bracht in 2010 als een van de eersten in de branche een koffiemachine met netwerkconnectiviteit op de markt. Drie jaar later ontwikkelde de Jong DUKE de ConnectMe-applicatie waarmee klanten als koffiebranders, servicebedrijven en de uiteindelijke afnemers kunnen inloggen op de machines.

Om te zorgen dat de data van de koffiemachines en de eindklanten veilig is, liet het bedrijf een vulnerability assessment uitvoeren op ConnectMe en de security van de koffiemachines onderzoeken door Computest. “Klanten kunnen via de online portal van ConnectMe verbinding krijgen met onze machines en bijvoorbeeld voor bevoorrading van de koffie en de facturatie bekijken hoeveel consumpties er zijn verbruikt”, vertelt Walter van Berkel, ontwikkelaar en projectleider van de ConnectMe-software bij de Jong DUKE. “Ook kunnen zij zien hoeveel storingen de machines hebben gehad. Vanuit ConnectMe kunnen we hier bovendien analyses over aanleveren zodat klanten inzicht krijgen in de trends op dat gebied. Een andere populaire functionaliteit is dat organisaties content op de schermen van de machines kunnen tonen waarmee het ook een intern communicatiemiddel is.”

De gegevens uit de ConnectMe-portal worden door sommige klanten ook gebruikt om de apparaten actief te monitoren en op basis van die data servicebeurten in te plannen. Monique Klein, product manager van ConnectMe: “Dit laatste staat echter nog in de kinderschoenen, maar we zien voor de toekomst volop kansen om op deze manier het onderhoud efficiënter te organiseren.”

De Jong Duke graphic

Kwetsbaarheid heeft gevolgen voor hele organisatie

Een kwetsbaarheid in ConnectMe betekent niet alleen dat data van de koffiemachine mogelijk toegankelijk is. Het kan ook gevolgen hebben voor de rest van de organisatie aangezien ConnectMe deel uitmaakt van het netwerk. Van Berkel: “Dit wil je natuurlijk voorkomen. Ook aangezien de vraag naar ConnectMe heel snel groeit, kwam zowel vanuit ons ontwikkelteam als vanuit het MT en de directie de wens om nadrukkelijk aandacht te besteden aan security. Als leverancier hebben we immers een verantwoordelijkheid om zeker te weten dat we veilige producten leveren.”

De Jong DUKE zocht een partij die ervaring had in het testen van IoT-omgevingen en –toepassingen en kwam terecht bij Computest. Van Berkel: “De expertise en ervaring van de security-specialisten gaf ons direct het gevoel dat we aan hen een goede partner zouden hebben. Dit bleek in de praktijk ook het geval te zijn. Computest ging niet alleen aan de slag met het testen van de applicatie, maar bekeek ook de serverconfiguratie en onderwierp de koffiemachines aan een grondig onderzoek. Het was ook geen standaard test, we zagen dat de kennis van de security-specialist een belangrijk onderdeel is van het resultaat dat wordt opgeleverd.”

Onze beveiliging was goed, maar dankzij Computest hebben we het naar een nog hoger plan kunnen tillen.

Walter van Berkel, ontwikkelaar en projectleider

Tips om security-risico’s te beperken

Uit het vulnerability assessment kwamen enkele zaken die verder geoptimaliseerd konden worden. “Onze beveiliging was goed, maar dankzij Computest hebben we het naar een nog hoger plan kunnen tillen”, concludeert Van Berkel. “Zo gaf het testrapport hele concrete tips en aanbevelingen om de risico’s te beperken. Hierbij kregen we bovendien waardevolle adviezen voor ons ontwikkelteam die we bij de verdere ontwikkeling van ConnectMe direct kunnen toepassen.”

“Het was ook erg prettig dat de security-specialist het rapport persoonlijk kwam toelichten en duidelijk uitleg gaf over de bevindingen. Hiermee begrijp je ook als niet-techneut daadwerkelijk wat de testresultaten betekenen” , aldus Klein. “Verder kregen we nuttige handvatten voor vervolgstappen die we konden nemen. Met hetgeen is opgeleverd zijn de verwachtingen die we hadden van de samenwerking met Computest meer dan waargemaakt.”

Vertrouwen klant door Third Party Memo

Op basis van de security-maatregelen die de Jong DUKE implementeerde, kreeg het bedrijf een Third Party Memo (TPM) voor de security van ConnectMe. “De TPM is voor ons een belangrijke meerwaarde”, vindt Klein. “Het feit dat je dan kunt laten zien dat de security is getest en van een hoog niveau is, maakt het gesprek een stuk makkelijker en geeft vertrouwen.”

DUKE de Jong is geholpen. Hoe kunnen wij jou verder helpen?

Aan de slag met security in jouw bedrijf? Lees hier meer over onze aanpak! Of neem direct contact op: mail via info@computest.nl of bel 088-7331337.