Het wordt nog een hele opgave om het Internet of Things (IoT) veilig te maken. Veel ip-camera's, deurbellen en andere apparaten die met internet zijn verbonden, vertonen ernstige kwetsbaarheden. Het gevaar is levensgroot dat hackers deze machines in hun greep krijgen en daar schadelijke dingen mee gaan doen. Sensoren in IoT-apparaten wisselen enorme hoeveelheden data uit, die voor cybercriminelen interessant kunnen zijn. De overheid wil een consumentencampagne starten, maar hoe zinvol is dat?
Probleem is dat een groot aantal leveranciers het nalaat hun apparatuur goed te beschermen. Soms ontbreekt zelfs de meest elementaire vorm van beveiliging.
Veel discussie over IoT-veiligheid
Dit bleek het Alert Online Seminar over IoT-veiligheid dat KPN op zijn hoofdkantoor in Rotterdam organiseerde. In de markante toren dicht bij de Erasmusbrug op de Kop van Zuid ontspon zich een levendige discussie tussen vertegenwoordigers van het bedrijfsleven, de overheid en consumenten(organisaties). Over veiligheid is het laatste woord nog niet gezegd. Veel maatregelen zijn denkbaar, maar die stuiten vaak op bezwaren of zijn weinig effectief.
Prof. Michel van Eeten, hoogleraar Bestuurskunde en specialist in internetveiligheid bij de TU Delft, temperde de verwachtingen in zijn keynote. Hij zou al blij zijn als het IoT wat minder onveilig werd. Volledig safe zullen de apparaten die eraan hangen nooit worden. In principe is het niet heel moeilijk om de veiligheid van bijvoorbeeld ip-camera's te vergroten. Net als pc’s kan je ze met een wachtwoord beveiligen. Regelmatige updates kunnen ook helpen. Security moet eigenlijk al bij het ontwerp van het product worden meegenomen.
‘Veiligheid gaat ook over mensen’
Joost Farwerck, KPN’s nieuwe CEO en voorzitter van de Raad van Bestuur, zei tijdens zijn openingstoespraak dat het ouderwets is om te veronderstellen dat het alleen maar om veilige hard- en software gaat. 'Veiligheid gaat ook over mensen', zei Farwerck. 'Die moeten de juiste processen en procedures volgen.' Ontwikkelaars moeten zich bewust zijn van de veiligheidsaspecten van de apparatuur die ze ontwerpen. Ook dienen zij regelmatig een training te krijgen, stelde Deloitte onlangs in een studie. Verder is voldoende monitoring nodig van de apparaten en systemen die met internet zijn verbonden.
KPN wil graag het debat hierover op gang brengen. Steeds meer IoT-apparaten worden via haar netwerken met internet verbonden. IoT is in opmars. Maar op gebied van veiligheid moet er nog heel veel gebeuren. Volgens ethisch hacker en Zerocopter-topman Edwin van Andel kan dit tot de gekste situaties leiden. Een papegaai is er al in geslaagd via spraakassistent Alexa een halve webwinkel leeg te kopen. Via een bug in de fitnessapp Strava kon men achter de locatie van een geheime Amerikaanse legerbasis komen. Een connected tandenborstel wist via internet LinkedIn-connecties te krijgen.
‘Veiligheid nog ondergeschoven kindje’
'Veiligheid is voor veel fabrikanten een bijzaak', constateerde Nelly Ghaoui, senior policy coördinator bij het ministerie van Economische Zaken en Klimaat. De voornaamste reden dat veiligheid een ondergeschoven kindje is de drang om heel snel nieuwe producten op de markt te brengen. Zowel Ghaoui als Van Andel brachten dat tijdens het debat naar voren.
Leveranciers staan onder hoge druk de ‘time-to-market' tot het uiterste te beperken. Tegelijk bestaat er een enorme prijsdruk. Apparatuur die met internet is verbonden, is dikwijls duurder dan ‘losse’ apparatuur. Fabrikanten proberen dit prijsverschil zo gering mogelijk te maken. Bovendien hangt aan veiligheid een prijskaartje. IP-camera's bijvoorbeeld zijn erg prijsgevoelig.
Data vaak makkelijk te kraken
Volgens John Shier, senior security advisor van de Britse securityspecialist Sophos, weerhoudt dat fabrikanten ervan een krachtige chip in te bouwen die encryptie mogelijk maakt. Zonder versleuteling zijn de data die hun apparatuur uitwisselen volledig onbeschermd. Hackers kunnen die gemakkelijk kraken. Regelmatige updates zijn het geijkte recept om apparatuur te beveiligen. Maar het vernieuwen van de firmware kan een hels karwei zijn. Prof. Michel van Eeten liet zien dat zelfs een gerenommeerde fabrikant als GE het de consument bijzonder lastig kan maken. Het herstarten (resetten) van gloeilampen is zo ingewikkeld dat de gemiddelde consument er met een uitgebreide instructievideo nauwelijks uit kan komen. Van Eeten: 'En dan te bedenken dat de meeste fabrikanten helemaal geen video beschikbaar stellen'
Volgens de Delftse hoogleraar komt het moment naderbij dat bepaalde apparatuur alleen nog maar in een IoT-versie uitkomt. Hij vergeleek de situatie met die van televisies. Van de 250 tv-modellen in een bepaalde webshop waren er 234 van het type smart tv. 'Het aanbod van normale tv’s zonder internet is bijzonder klein geworden', constateerde Van Eeten. Uit onderzoek van zijn universiteit blijkt dat de consument best onveilige situaties wil voorkomen en infecties wil verwijderen. Maar het wordt hem wel heel moeilijk gemaakt. Daarom heeft een campagne om de consument meer bewust te maken van de risico’s ook weinig zin. Want de vraag is wat de consument hiermee kan.
Aansprakelijkheid
Tijdens het debat in Rotterdam werd ook de stelling geponeerd dat leveranciers financieel aansprakelijk moeten worden gesteld voor kwetsbaarheden in hun producten. Maar volgens topambtenaar Ghaoui zitten daar de nodige juridische haken en ogen aan. Vaak komen de hard- en software van verschillende fabrikanten. Het kan lastig zijn om te bewijzen wie het probleem heeft veroorzaakt en welke omvang de schade heeft.
De meningen over een verbod op onveilige apparatuur waren verdeeld. Ethisch hacker Van Andel vreest dat dit in de praktijk niet gaat werken. Achter de uitvoerbaarheid van zo’n maatregel moeten vraagtekens worden gezet. Yvo Verschoor, onderzoeker bij de Consumentenbond, vond dit in het algemeen een goed voorstel. 'Wel kan dit de innovatie een beetje afremmen.' Ghaoui betoonde zich ook positief. Wanneer fabrikanten hardnekkig weigeren ernstige kwetsbaarheden te verhelpen kan naar dit middel worden gegrepen.
Gedwongen updates
Een ander idee is om fabrikanten te dwingen gedurende de hele levenscyclus van IoT-apparaten met updates te komen. Van Andel zou hiervan voorstander zijn als het zou helpen. Maar volgens hem blijkt uit de praktijk dat al die updates een product nog niet beter maken.
Ben Kokx, director product security bij Philips, was het daar niet mee eens. 'Software heeft regelmatig onderhoud nodig', zei hij. Ghaoui deelde dit standpunt. Binnenkort komt het ministerie van Economische Zaken en Klimaat met een campagne om consumenten te bewegen hun IoT-apparatuur regelmatig van een update te voorzien.
Meer weten?
Whitepaper: 'Succesvol starten met Internet of Things'
Benieuwd of Internet of Things (IoT) ook interessant is voor uw organisatie? Met deze whitepaper bent u in één keer up-to-date.
Download
