Raj Samani is Chief Scientist bij McAfee en een superster als het gaat om Information Security. We mochten hem aan de tand voelen over de toekomst van de ‘connected home’. Het Internet of Things wordt steeds groter en de veranderingen die de invoering van het toekomstige 5G-netwerk met zich mee zullen gaan brengen zijn niet allemaal positief.
Beveiliging is belangrijk, maar misschien is het nog belangrijker dat we bewust raken van de waarde van onze gegevens. Niet alleen moeten we daar zelf verstandig mee omspringen, we moeten ook meer verwachten van de bedrijven die onze gegevens in handen hebben.
DC: Wat bedoel je precies met je blog over de ‘5G realiteit’. Hoe ver is dat eigenlijk nog van ons verwijderd?
RS: Dat is niet eens zo belangrijk wat mij betreft. Het gaat meer over de belofte van 5G, die er voor zal zorgen dat we een nog nooit geziene explosie gaan hebben aan verbonden apparaten. We hebben gezien met de Mirai botnets dat het flink kan misgaan, en meer connectiviteit gaat dat alleen maar verergeren. We accepteren blind deze apparaten zonder enige verantwoording aan de kant van de makers.
DC: dat lijkt inderdaad een probleem: iedereen wil verbonden apparaten verkopen, maar als de software daarin lek is, trekken ze hunnen handen er van af.
RS: Klopt! We verzuipen straks in een zee van ‘connected crap’. Mijn eigen broer belde heel blij dat hij een internet-bel had. Daar hebben we een hele discussie over gehad, maar ik kon hem niet aan het verstand brengen dat hij dat ding niet nodig had. Het is een bel: als je niet thuis bent heb je er niks aan om te zien dat er iemand aan de deur staat! Het is alleen een extra ingang naar je netwerk.
We hebben het gedemonstreerd op een conferentie, waar we een nieuwe router uit de doos haalden en keken hoe lang het duurde voordat er iemand in zat die daar niet hoorde. Hoe lang denk je dat dat duurde?
DC: Een paar minuten?
RS: 54 seconden. Het apparaat werd gecompromitteerd door een IP-camera in Vietnam.
DC: En als je dat zegt bedoel je dat de hackers er in zaten?
RS: Het probleem is natuurlijk dat bijna alle apparaten een standaardwachtwoord hebben en dus is het vreselijk makkelijk om over te nemen. De ellende is dat de Mirai-botnet code online is gelekt en iedereen en hun hond kan nu een eigen botnet bouwen. Dat is de ellende van goede technologie: het kan ook verkeerd gebruikt worden.
RS: Mijn ergste scenario is wat er is gebeurd met het V-Tech speelgoed. Nadat het gehackt was en het bleek dat mensen kinderlijk eenvoudig konden meekijken met de camera’s en al die ellende, paste het bedrijf de privacy policy aan om zichzelf van alle verantwoordelijkheid te ontdoen: “als je dit product koopt kan het zijn dat ongeautoriseerde personen toegang hebben tot dit product.”
Dat is niet goed genoeg, en het is ook afgeschoten door de autoriteiten, maar de meeste mensen die dit gekocht hebben hebben geen idee dat ze hier toestemming voor hebben gegeven.
DC: Dat is toch wat iedereen doet? Alle vervelende dingen in de overeenkomst zetten die niemand leest?
RS: Precies. Vorig jaar hebben we tijdens hacker-conferentie Black Hat een manier laten zien om in-car entertainment systemen met ransomware te besmetten, we hebben daarna de makers benaderd en tot op heden niks terug gehoord. Het kan ook met fitness-apparatuur. Er moet een bepaalde verantwoording liggen bij de makers, want ‘privacy by design’ is niks meer dan een marketingterm.
DC: Wat bedoel je met die term?
RS: Het is het idee dat veiligheid en privacy voor gebruikers van apparaten vanaf het moment van ontwerp mee wordt genomen. Daar wordt veel over gesproken in de industrie, maar op dit moment is het een holle frase. Wist je dat er een connected toiletrolhouder is? 5G gaat het voor veel meer mensen mogelijk maken om dit soort ellende te kopen en dat gaat ook gebeuren. Mensen gaan dat kopen maar niet goed begrijpen hoe veel van hun privé-leven ze weggeven voor peanuts.
Iedereen was boos toen er onderzoek kwam naar hoe de regering omging met onze gegevens, maar we geven onze persoonlijke gegevens met liefde weg als er chocola tegenover staat. Je kunt niet klagen over privacy en dan een smartwatch kopen en al je gezondheidsgegevens naar een datacenter laten sturen waarvan je niet eens weet waar het staat of wat er verder mee gebeurt.
DC: Eens, maar consumenten zijn ook langzaam gewend geraakt aan het idee dat ze hun gegevens afgeven. Het hangt allemaal vast aan het idee dat al hun services ‘gratis’ zijn en nu dat ze eigenlijk nauwelijks meer uit het ecosysteem kunnen stappen wordt er om meer en meer data gevraagd.
RS: Ik heb daar een theorie over: mensen hebben geen idee wat hun data waard is. Sterker nog: gevoelsmatig gaat de waarde van hun data bij consumenten alleen maar omlaag, terwijl het eigenlijk alleen maar waardevoller wordt. Je kunt dat zien als een bedrijf gekocht wordt. Toen YouTube werd gekocht [in 2006] werd dat geschat op 20 dollar per gebruiker. Bij WhatsApp [in 2014] was het al 42 dollar per gebruiker. WhatsApp had geen geld: ze hadden alleen maar een service en gebruikersdata.
Ik merkte het toen ik naar de bioscoop ging en een loyalty-kaart kreeg aangeboden. Ik hoefde die niet echt, maar omdat ik een gratis kaartje kreeg bij mijn volgende bezoek vond ik het prima. Toen zei het meisje achter de kassa dat ik ook nog eens 20 pond moest betalen en dat was het moment dat ik afhaakte. Ik zei toen ook: “ik geef jullie al mijn gegevens, hoe vaak ik kom, hoe veel ik opmaak aan snacks, alles. En dan willen jullie ook nog geld? Dat slaat nergens op.” Wat bleek: volgens haar hadden al 200.000 mensen gebruik gemaakt van het aanbod.
Dat is precies het probleem: mensen hebben geen idee dat ze straks allerlei sensoren in hun huis gaan installeren die gegevens doorsturen naar grote bedrijven, die vervolgens die gegevens gaan gebruiken om nog meer geld aan je te verdienen. Remarketing levert veel op, en hoe beter ze kunnen zien wat je doet, hoe meer je waard bent als ‘doelgroep’. Het gaat niet om wat je kunt meten met je smartwatch, het gaat er om wat de bedrijven doen met alle andere data die ze uit dat ding trekken. En je krijgt er ook nog eens niks voor terug.
RS: We moeten accepteren dat het qua privacy niet meer is als vroeger, maar er moeten wel dingen gaan veranderen. Wat mij betreft moeten we aan drie regels voldoen om die omschakeling te maken:
1. Toestemming. En dan niet het soort toestemming dat je geeft omdat je het niet in de gaten hebt zoals je al zei, maar wat ik noem geïnformeerde toestemming: “dit is wat we gaan doen en we vertellen je wat we er mee doen.”
2. Transparantie. Hoe veel apps heb je op je telefoon? Van hoe veel zou je me kunnen vertellen welke data ze verzamelen, waar dat heen gaat en wat er daarna mee gebeurt? Geen enkele, weet ik zeker. Dat moet duidelijk zijn. Ik wil als consument weten: waar wil je de data voor, en wat ga je er mee doen?
3. Waarde. Ik wil iets terug voor al die gegevens, en ik wil weten wat dat is, zodat ik een geïnformeerde keuze kan maken.
Als aan die drie voorwaarden is voldaan, weet ik wat ik opgeef aan privacy als ik ergens gebruik van wil maken en dan kan ik als individu bepalen hoe veel privacy ik wil laten gaan voor dat apparaat, of app, of wat het ook is.
Op dit moment accepteren we zo goed als blind alles, en niet alleen is dat onverstandig, mensen realiseren zich ook nog eens niet dat al die bedrijven die gegevens ook nog maar eens veilig moeten houden! Wie denk je dat er in de problemen komt als de gegevens gestolen worden?
DC: Gegevens beveiligen is een vak apart: hoe moeten al die kleinere partijen die Internet of Things-dingen maken dat eigenlijk doen? Is er een standaard qua beveiliging? Komt die er aan?
RS: Een standaard zit er niet echt in. Het probleem is dat er niet te testen valt met digitale veiligheid, want du moment dat je zegt “dit is veilig tegen zus en zo” duikt er een nieuwe kwetsbaarheid of aanvalsmethode op en ben je terug bij af. Wannacry was daar ook een goed voorbeeld van.
Wat we wel moeten doen is zorgen dat de markt zich dit soort dingen begint af te vragen. We moeten veiligheid niet offeren aan het altaar van innovatie. Dat zeg ik, terwijl de realiteit ook is dat absolute veiligheid niet meer bestaat. Inmiddels moeten we het doen met ‘redelijke’ veiligheid. Dat is lastig, zeker in de zakenwereld.
DC: In welke zin?
RS: Security-problemen worden nog steeds alleen maar als IT-issues gezien, terwijl de consequenties in veel gevallen op menselijk niveau zijn. Wij moeten als beroepsgroep veel duidelijker maken wat die problemen zijn, want in veel organisaties worden we redelijk genegeerd.
DC: En als het misgaat heb je het ook nog eens gedaan zeker?
RS: Precies. Als je in een bedrijf zit waar security helemaal niet serieus wordt genomen moet je je afvragen of je wel op de juiste plek zit en of dat bedrijf er nog wel gaat zijn in de toekomst.
DC: Even terug naar de consumentenmarkt. We zien veel ‘veilige routers’ en andere apparaten voorbijkomen de laatste tijd, die je Internet of Things veilig zouden maken. Werkt dat spul echt?
RS: Wij hebben natuurlijk ook wel zoiets, maar dan in software. We geloven dat hardware altijd hetzelfde probleem zal hebben: de kosten. Als je een slimme meter koopt, of een ander relatief goedkoop apparaat, is het niet de moeite om daar voor 50 dollar aan beveiligings-software op te zetten, want dan wordt het te duur. Security aan de poort is zeker de moeite in dat opzicht, essentieel zelfs. Wij proberen een platform op te zetten dat kan samenwerken met bestaande routers, zodat één onvoorziene kwetsbaarheid niet heel veel hardware nutteloos maakt. Die gateway is echter wel belangrijk, want al je andere apparaten zijn vermoedelijk niet apart beschermd.
DC: Hoe gaan de Google’s en Apple’s van de wereld met onze veiligheid om? Zijn die wel verantwoord bezig?
RS: Die doen wel hun best, maar ze zijn ook verwikkeld in een gevecht om de woning. Ik ben heel benieuwd wie daar als winnaar uit gaat komen. Ik vind Apple fascinerend in dat opzicht. Tim Cook heeft de privacy policy van Apple geschreven en daar staat in: “jij bent niet het product.” Een grote organisatie die de waarde van persoonlijke gegevens ziet en dat gebruikt om te zorgen dat je in hun ecosysteem gaat zitten vind ik heel interessant. Privacy wordt zo een USP en ik persoonlijk vind dat fantastisch, dat die keuze er is.
[Afbeeldingen © AA+W – Fotolia]