Fijn man, dat Internet of Things. Dat zullen ze ook vinden bij het casino dat de complete lijst met ‘high rollers’ – mensen die veel te veel geld uitgeven in het casino en daarom speciale behandeling krijgen – in handen van hackers liet vallen. Het verhaal, verteld door CEO van cybersecuritybedrijf Darktrace Nicole Eagan, is te bizar voor woorden.
Of ja, eigenlijk is het helemaal niet bizar als je de ontwikkelingen rond het Internet of Things een beetje hebt gevolgd, want de rode draad in al die verhalen is dat de beveiliging tegen indringers in veel van die slimme en verbonden apparaten meer dan waardeloos is.
Zo ook de thermometer die in een aquarium in een casino was geïnstalleerd. Die hield de vissen comfortabel, maar bleek ook een ideale ingang te zijn voor de hackers, die de beveiliging van het apparaat kraakten, zo het netwerk in kwamen en daarna relatief vrij spel hadden.
Als je eenmaal binnen bent in een netwerk is de rest niet meer zo moeilijk, dus de hackers vonden de lijst met high rollers en hebben die door de thermostaat weer uit het netwerk getrokken. Hoe het casino er uiteindelijk achter is gekomen is niet duidelijk, maar het laat wel zien hoe makkelijk je iets over het hoofd kunt zien dat indringers toegang geeft tot je corporate netwerk.
Zo makkelijk kan het dus zijn, want de experts zijn het er over eens dat de traditionele cybersecurity al die mogelijkheden niet goed kan afdekken. Het probleem is dat heel veel van het soort ‘slimme’ of in elk geval verbonden apparaten al heel lang op heel veel plekken zitten, en juist doordat ze simpel zijn worden ze niet snel vervangen. Ze zijn niet kapot, dus waarom zou je?
Of het nu een beveiligingscamera is, temperatuursystemen zoals airco’s of vriezers of zelfs een Amazon Echo die iemand meeneemt naar kantoor, het zijn allemaal potentiële ingangen en het wordt steeds lastiger om dat allemaal dicht te timmeren.
Hoe los je het op? Een oplossing zou kunnen zijn om een soort minimale beveiligingsnorm aan te gaan houden waar IoT-apparaten aan moeten voldoen om gebruikt te worden. Je kunt dat aan de markt overlaten, maar die doen het niet, zo zegt ex-baas van het Britse GCHQ. Die heeft ook al banken gehackt zien worden omdat ze goedkope (maar slecht beveiligde) beveiligingscamera’s hadden gekocht. “Zo lang al die apparaten blijven werken ziet niemand het probleem. Daar zal regulering vermoedelijk toch nodig gaan zijn.”
Misschien wel een goed idee, want wie wil er straks moeten toegeven dat ze beroofd zijn omdat hackers via de slimme tandenborstel binnen zijn gekomen? Leg dat maar eens uit.
[Afbeeldingen © Sergii Figurnyi – Adobe Stock]
