Internet of Things stelt first-movers voor gevoelige keuzes

Share this post:

Blogpost door Ronald Teijken |

Technologieplatform Wired bracht midden juli het verhaal over twee hackers die erin geslaagd zouden zijn de softwarebeveiliging van een Jeep te kraken. Terwijl een journalist met ruim honderd kilometer per uur over de snelweg raasde, zaten de hackers thuis op de bank in de startblokken om de auto over te nemen. De motor en de besturing van de Jeep waren niet direct met het internet verbonden, maar het entertainmentsysteem in de auto was dat wel. Hiermee bleken de hackers in staat de controle over de auto volledig over te nemen en hem tot stilstand te brengen op een drukke snelweg. Met de hackers liep het na de publicatie van het artikel goed af: ze werden gevraagd in dienst te treden bij Uber. Jeep daarentegen zag zich genoodzaakt 471.000 auto’s te voorzien van een software update die handmatig (!) moest worden uitgevoerd

De talloze mogelijkheden van het Internet of Things (IoT) worden vaak nogal achteloos gepresenteerd, maar kennen ook een keerzijde. Elk apparaat dat is aangesloten op het internet loopt immers het risico gevoelige persoonsgegevens bloot te stellen aan misbruikers. Inbrekers kunnen de GPS-data van je auto of smartphone inzien of je energieverbruik van de afgelopen week uitlezen, om zo bevestigd te krijgen dat je inderdaad duizenden kilometers verderop vakantie aan het vieren bent.

Dat dit geen vergezocht scenario is blijkt uit de opkomst van zoekmachines als Shodan, die continu het web afstruinen op zoek naar onbeschermde apparaten. Hun database bevat inmiddels al meer dan 500 miljoen onvoldoende beschermde apparaten en diensten, die variëren van stoplichten, beveiligingscamera’s, controlesystemen voor zwembaden tot garagedeuren. Vaak is de oorzaak te vinden in standaard kwetsbaarheden in de beveiliging, zoals zwakke wachtwoorden, onversleutelde netwerkdiensten, onveilige interfaces en cross-site scripting. Dergelijke beveiligingsrisico’s zijn funest voor het vertrouwen dat bedrijven en consumenten in IoT dienen te hebben om er daadwerkelijk een succes van te maken.

Voldoen aan standaard veiligheidseisen

Niet alleen apparaten die op het Internet of Things aangesloten worden maar ook hun onderliggende infrastructuren bevatten kwetsbaarheden waar hackers dankbaar gebruik van maken. Binnen een IoT-omgeving kan het systeem haar integriteit daarom niet laten afhangen van ieder afzonderlijk apparaat dat ermee verbonden wordt. Door al bij het ontwerp van een IoT-omgeving er vanuit te gaan dat ieder aangesloten apparaat een potentiële bedreiging vormt, kan de omgeving kunnen blijven functioneren zodra één of meerdere apparaten inderdaad aangetast blijken te zijn. IBM stelt dat bij het ontwerp een aantal basale veiligheidseisen in acht genomen dienen te worden: bijvoorbeeld door encryptie-, authenticatie- en autorisatiemethodes te gebruiken die een veilige uitwisseling van gevoelige informatie tussen apparaten en de onderliggende infrastructuren kunnen garanderen.

Zorgen over de veiligheid van gebruikersdata worden deels ingegeven door de snelheid waarmee organisaties IoT-toepassingen lanceren om de concurrentie te slim af te zijn. Te vaak wordt er bij een ontwerp éérst voor functionaliteit gekozen, om pas daarna de security- en privacy componenten in te bouwen. De vele media-aandacht voor de hacks van voorheen onaantastbaar geachte apparaten (denk aan de Jeep), zorgt er echter voor dat er steeds meer bewustwording ontstaat over het belang van security en privacy. Bij consumenten groeit het besef dat de extra functionaliteit alleen mogelijk is door persoonlijke data te delen met aanbieders. terwijl diezelfde aanbieders inzien dat er ook maar één geval van oneigenlijk gebruik van klantdata bekend hoeft te worden om de toekomst van hun bedrijf op het spel te zetten.

Momenteel is er nog geen alomvattende set van regels waarin de standaarden en best practices voor de beveiliging van IoT-omgevingen verankerd liggen. De angst voor misbruik van data is echter dermate groot dat overheden overwegen regulering in te stellen voor de wijze waarop data verzameld en opgeslagen worden. De door de Europese Commissie aangekondigde General Data Protection Regulation (GDPR) vertaalt de verouderde privacywetgeving naar de kenmerken van digitale technologieën. Deze wet wordt dit jaar al van kracht, wat betekent dat organisaties niet heel veel tijd meer hebben om hun mensen, processen, organisatie en ICT-voorzieningen daarop in te richten. Het biedt organisaties echter ook kansen. Bijvoorbeeld door met ideeën te komen voor toepassingen waarin de bescherming van data in het ontwerp standaard ingebouwd is. Waar individuen zelf kiezen waarvoor hun data gebruikt worden op basis van de voordelen die het hen naar verwachting opleveren. Neem bijvoorbeeld een rookmelder, die je meldt dat hij nog correct functioneert. Dit soort informatie is ook interessant voor je verzekeringsmaatschappij, die mogelijk bereid is je een korting te geven als je haar toegang geeft.

Het Internet of Things dwingt security professionals op gelijke voet te komen met de snelheid waarmee nieuwe IoT-toepassingen het licht zien, om zo de eindgebruiker te overtuigen dat dit de toekomst is. Nauwe samenwerking tussen fabrikanten, netwerkbeheerders, eindgebruikers en overheid blijft de belangrijkste voorwaarde om IoT te laten slagen. Nu het besef bij burgers, consumenten en bedrijven groeit dat de controle over individuele data van essentieel belang is, stelt dat de betrokken partijen voor de uitdaging de terechte zorgen over security en privacy weg te nemen. Door de beveiliging centraal te stellen in het ontwerp van iedere nieuwe IoT-toepassing, kan een eerste stap daartoe gezet worden.

Een recente paper geeft in detail een goed inzicht in security rondom IoT. Benieuwd waar we naar toe gaan als het gaat om beveiliging rondom Internet of Things zeker te stellen, klik hier voor de paper.