Kan elk met internet verbonden ‘ding’ gehackt worden?

Van bruggen tot koelkasten en van medische apparatuur tot verlichting: steeds meer dingen kun je op het internet aansluiten. Het zorgt ervoor dat we efficiënter kunnen werken, dat onze leefomgeving verbetert en dat onze zorg beter wordt. Maar wat betekenen al deze nieuwe internetverbindingen voor onze security en privacy?

Overheden investeren flink in concepten die van hun stad een Smart City moeten maken. Ze verbeteren zo bijvoorbeeld de verkeersdoorstroom en kunnen met behulp van sensoren zien welke vuilnisbakken vol zijn. Steeds meer bedrijven maken van hun kantoren slimme gebouwen, die zijn uitgerust met tal van sensoren om bijvoorbeeld voor werknemers een prettige en efficiënte werkomgeving te realiseren. En dan zijn er natuurlijk ook nog de consumenten, die van hun huis een slim huis maken door het uit te rusten met slimme meters en verlichting die ze kunnen bedienen met hun smartphone.

De mogelijkheden zijn bijna onbegrensd. Werkelijk alles kan met het internet worden verbonden en dat biedt ons veel kansen. Maar er zijn helaas ook een paar bedreigingen. Want of het nu gaat om een elektronische enkelband voor thuisdetentie, een slimme energiemeter, een auto of om een medicijnpomp: elk ‘ding’ dat met internet verbonden én niet goed beveiligd is, kan in principe gehackt worden.

“Wanneer zoiets gebeurt, lopen we het risico dat consumenten zo’n product links laten liggen vanwege vermeende veiligheidsimplicaties“, zegt Jeroen Slobbe, Security & Privacy Consultant bij Deloitte. “Terwijl de functionaliteit ervan echt heel goed is, zoals bijvoorbeeld bij die medicijnpomp die het leven van patiënten een stuk aangenamer kan maken.”

Standaardisatie is moeilijk

Mede ingegeven door de vele publiciteit rondom dit soort hacks, ontstaat er steeds meer bewustwording over het belang van security en privacy, constateren de experts. “Iedereen in de keten is hier volledig van doordrongen“, zegt Ewout Visser, director Security Services bij KPN. “Tegelijkertijd heeft nog geen enkele partij in de keten het volledige antwoord. De grote diversiteit aan connected devices en de protocollen waarmee deze communiceren maakt dit een complex vraagstuk. Telecomoperators kunnen hier een belangrijke verbindende rol in spelen doordat zij in staat zijn om op basis van analyses van het dataverkeer onregelmatigheden te detecteren. Je ziet de eerste ontwikkelingen op dit vlak nu ontstaan.”

KPN is een van de mede-initiatiefnemers van de Internet of Things Academy, een open platform om Internet of Things te stimuleren en waar ook een belangrijke rol is weggelegd voor privacy en security. Ook introduceerde het telecombedrijf onlangs LoRa, een netwerk dat het mogelijk maakt om miljoenen apparaten die zeer weinig stroom en data gebruiken, kostenefficiënt te verbinden met internet. Om de veiligheid van dit netwerk te kunnen monitoren, voert Deloitte als onafhankelijk security adviseur penetratietesten uit op LoRa.

Security and privacy by design

Het gegeven dat er steeds vaker al in een vroeg stadium wordt nagedacht over hoe privacy en security moet worden gewaarborgd in nieuwe connected devices, is al een hele vooruitgang ten opzichte van een tijdje terug. Want alle experts zijn het er over eens: security and privacy by design moet het uitgangspunt zijn bij de ontwikkeling van nieuwe producten die met het internet in verbinding staan.

Wat dit proces bemoeilijkt is de snel voortschrijdende techniek. “Eerst wordt er een functionaliteit bedacht en daarna pas komt de security en privacy ter sprake, niet andersom. Mensen ontwikkelen immers geen producten zodat ze gehackt gaan worden”, zegt Kees Plas, director Cyber Risk Services bij Deloitte. “Vervolgens ontstaan er ethische dilemma’s. Neem je een risico op het gebied van security en privacy voor lief, omdat je de functionaliteit anders moet beperken en de efficiency- of bijvoorbeeld de gezondheidswinst dan minder groot is? Bij IEEE 802.11p, een standaard voor de wifi-verbindingen waar zelfsturende auto’s gebruik van maken, is er ten behoeve van de snelheid en dus de functionaliteit bijvoorbeeld voor gekozen om een stukje authenticatie achterwege te laten.”

De hele keten

De veiligheid van een connected device is niet alleen afhankelijk van hoe het apparaat ontwikkeld wordt, maar ook van andere belanghebbenden in de keten. “En dus moeten ook die verantwoordelijkheid nemen ten aanzien van security en privacy,” zegt Suzanne Rijnbergen, senior portfoliomanager Cyber Security bij KPN.

“Dus zowel de eindgebruikers van de connected devices, als de fabrikanten, security experts, de netwerkbeheerders en de overheid hebben hierin een taak. Neem bijvoorbeeld zo’n slimme meter: dat apparaat zelf moet beveiligd worden, zodat consumenten er niet mee kunnen rommelen. Daarnaast moet het netwerk van de energieleverancier beveiligd worden en dan is er ook nog het thuisnetwerk dat bescherming nodig heeft. Je wil immers niet dat kwaadwillenden aan je energieverbruik kunnen zien of je thuis bent of niet.”

Daar sluit Plas van Deloitte zich bij aan: “Je moet ervan op aan kunnen dat de data die je binnenkrijgt klopt en dat de gegevens echt afkomstig zijn van de betreffende sensor. Daar zijn meerdere partijen voor verantwoordelijk en die moeten met elkaar in gesprek gaan om gezamenlijk tot een veilige oplossing te komen.”

[Afbeelding: © fotohansel – Fotolia.com]