Hoe houd je het Internet of Things veilig?
Volgens schattingen van researchbureau IDC zijn er over ruim vijf jaar wereldwijd ongeveer 200 miljoen apparaten met het internet verbonden. Ook in het bedrijfsleven zal het aantal machine-to-machine (M2M)-connecties de komende jaren snel stijgen. Dit wordt vaak aangeduid met het begrip Internet of Things. De snelle groei van het Internet of Things en de explosie van mobiele toestellen zorgen voor een transformatie van netwerkinfrastructuren. Dit is nodig om te kunnen voorzien in de groeiende behoefte aan connectiviteit en real-time data.
Internet of Everything?
De termen Internet of Things en Internet of Everything worden echter vaak als elkaars synoniemen gebruikt, maar er bestaat wel degelijk een (nuance) verschil, meent techbedrijf Cisco. ‘We bevinden ons nu dik tien jaar na de internetrevolutie van rond de eeuwwisseling, maar eigenlijk staan we nog maar aan het begin. De basis is nu gelegd voor de verbinding van apparaten: het ‘Internet of Things’. De volgende logische stap is het verbinden van mensen, processen en dingen – van computers tot sensoren. Dat is het “Internet of Everything”.’
Processorkracht en sensors
Op dit moment kunnen allerlei producten al een internetverbinding hebben, zoals het inbraak- of rookalarm, de auto en zelfs de deurbel. Overigens onderscheiden Internet of Things (IoT)-producten zich niet alleen vanwege de aanwezige internetverbinding, maar ook vanwege de processorkracht om data te kunnen verwerken en te versturen en de sensors waarmee het apparaat is voorzien. Doordat de IoT-apparaten op elk gewenst moment aan- en uitgezet kunnen worden hebben ze doorgaans ook lager energieverbruik en dankzij het real-time beheer via de smartphone zijn ze veiliger en betrouwbaarder. Tenminste in theorie, want het beveiligingsrisico van het Internet of Things kan sterk verschillen.
De ernst van de beveiligingsrisico’s is helemaal afhankelijk van de specifieke toepassing, bevestigt Raj Samani, EMEA CTO bij beveiligingsbedrijf McAfee. De risico’s rond een ‘internet-enabled’ auto zullen heel anders zijn dan die van een ‘internet-enabled’ koelkast. En ook een tandenborstel die via internet bediend en uitgelezen kan worden, kent andere beveiligingsrisico’s dan bijvoorbeeld een connected auto.
Bescherming van privacy
Daarbij is het bovendien belangrijk dat niet alleen wordt gekeken naar de beveiliging maar ook naar potentiële gevaren voor de bescherming van de privacy. Zo kunnen slimme energiemeters ook misbruikt worden om niet alleen de activiteiten van een gezin te meten, maar bijvoorbeeld ook welke films of tv-series ze kijken. Het lijkt misschien wel mooi en hip om een smart tv bij de ingang van je bedrijf te hebben, maar het loont om eens de beveiliging onder de loep te nemen of na te denken over de privacyrisico’s die er mogelijk aan kleven.
Grote gevolgen
Maar ook dichter bij huis is er recent een voorbeeld geweest van IoT-hacks. Zo is in Houston een incident bekend waarbij een hacker toegang wist te krijgen tot een internet-enabled babyfoon met IP-camera van Chinese fabrikant Foscam en waarbij de hacker zelf door het apparaat tegen de baby begon te praten. Dit is dan redelijk onschuldig, maar dat hoeft het niet altijd te zijn. De laatste tijd is er veel aandacht voor de beveiliging van connected auto’s.
De verwachting is dat op de lange termijn auto’s in staat zijn om ons zelfstandig naar de gewenste plaats van bestemming te rijden. In sommige Amerikaanse staten zijn de eerste zelfrijdende auto’s al toegestaan op de openbare weg, maar voordat het in Nederland zover is, hebben we hier vooral te maken met zogenoemde ‘connected cars’ die rondrijden terwijl ze een internetverbinding hebben voor de boordcomputer. Chinese hackers zijn er dit voorjaar in geslaagd in te breken op het computersysteem dat in de Tesla zit. De (goedwillende) hackers kregen het voor elkaar om op afstand de deuren en het schuifdak te openen, de verlichting in- en uit te schakelen en de claxon te laten loeien van een rijdende Tesla Model S.
Hacken van voertuigen
En mogelijk komt dat in de toekomst vaker voor omdat auto’s in toenemende mate worden voorzien van computersystemen die kunnen communiceren met sensoren en andere IT-systemen buiten het voertuig. Die intelligentie is bedoeld om het gebruiksgemak en vooral de veiligheid van de auto’s te vergroten. Naast het hacken van internetenabled auto’s is er volgens Samani al duidelijk bewijs dat er ook verschillende andere hacks mogelijk zijn, zoals bijvoorbeeld bij vliegtuigen. Dit kan grote gevolgen hebben als hackers controle krijgen over stuurbewegingen en de snelheid. En we hebben natuurlijk al gezien dat de ultracentrifuges van de kerncentrale in Iran zijn besmet met malware.
Beveiligingsfouten
En er zijn meer aanwijzingen dat het Internet of Things nog niet geheel veilig is. Een recent onderzoek van HP onder de tien populairste IoT-producten, heeft circa 250 beveiligingsrisico’s aan het licht gebracht. We hebben het dan over webcams, tv’s, thermostaten, stroomvoorzieningen die op afstand bediend kunnen worden, sprinklerinstallaties, deursloten en alarmsystemen. En al die apparaten kunnen met behulp van apps op de smartphone worden beheerd en bediend.
Uit het onderzoek van HP is gebleken dat b na al die apparaten (90 procent) persoonlijke informatie verzamelen. Dat is wellicht nog niet zo verbazingwekkend, maar wel het feit dat 70 procent van de onderzochte IoT-apparaten die persoonsgegevens ook via een onversleuteld netwerk verstuurt. Bovendien had meer dan helft van de devices een onbeveiligde gebruikersinterface en nam meer dan driekwart van de apparaten ook genoegen met een eenvoudig en onveilig wachtwoord, in plaats van een wachtwoord dat is opgebouwd uit een combinatie van cijfers en letters, kleine letters en kapitalen en leestekens.
Volgens HP zouden fabrikanten van IoT-devices hun producten goed moeten controleren op de beveiliging, inclusief de apps en de communicatieprotocols om van een veilig Internet of Things te kunnen spreken. Raj Samani van McAfee denkt dat het belangrijk is dat beveiliging en privacy onderdeel gaan uitmaken van het aankoopproces. Dit betekent dat de mensen die deze producten kopen, eerst de nodige informatie moeten zien te verzamelen en op basis daarvan beslissen of ze zulke apparaten ook inderdaad willen kopen en gebruiken.
Wat vaak helpt om de beveiliging te verbeteren, is bij IoT-apparaten de standaard wachtwoorden op de apparaten wijzigen omdat dat vaak by default is ingesteld op ‘admin’. Ook moet de software waarop het apparaat draait, volledig bijgewerkt zijn met patches en laatste versies zodat er geen bekende beveiligingslekken meer misbruikt kunnen worden.
