Titel - Title

Opinie

Een drone kan gehackt worden, wat nu?

De ontwikkelingen & uitdagingen van Internet of Things

Internet of Things biedt ons veel verschillende mogelijkheden en maakt ons leven er steeds gemakkelijker op, maar deze ontwikkelingen brengen ook de nodige risico’s met zich mee. Zo hebben we eerder al onderzocht dat er in de beveiliging van de Google Glass en een pacemaker lekken zaten. Na onderzoek is nu gebleken dat ook de security van sommige commercieel verkrijgbare drones ruimte heeft voor verbetering. Dit roept vragen op: welke risico's zijn er voor de maatschappij en het bedrijfsleven? Kunnen we deze apparaten nog wel vertrouwen? En wat doet de overheid?

Drones gaan onze maatschappij de komende jaren sterk veranderen. Ze zijn relatief goedkoop en bieden een ongekend aantal nieuwe mogelijkheden. De allereerste drones werden ontwikkeld voor militaire doeleinden, maar tegenwoordig worden ze ook voor commerciële doeleinden ingezet zoals het bezorgen van pakketten. Bovendien worden drones steeds meer gebruikt voor de maatschappelijke relevante toepassingen, zoals het monitoren van de natuurlijke fauna, het bezorgen van medische pakketten in getroffen rampgebieden en het tegengaan van ontbossing.

Aan de andere kant kan een drone als aanvalsvector gezien worden, zoals mijn collega Jeroen Slobbe in zijn blog beschreven heeft. Maar ook de drone zelf kan aangevallen worden van binnenuit.
 

Over welke scenario’s hebben we het dan?

  • Een aanvaller kan een drone overnemen en er onder iemand anders’ naam schade mee aanrichten. Een voorbeeld hiervan is dat een drone in een grote mensenmassa gestuurd kan worden, terwijl het lijkt alsof de rechtmatige eigenaar dit doet. Dit kan verregaande gevolgen hebben. Een aanvaller kan op deze manier dus ook drones naar zich toe laten vliegen en ze zo ontvreemden van de eigenaar.  Als de besturing bovendien over Wi-Fi gaat, wordt het bijna onmogelijk om de aanvaller te achterhalen.
  • Een aanvaller kan voorkomen dat de drone zijn taak kan doen. Stropers kunnen bijvoorbeeld een drone volledig de andere kant op sturen of zich een pakketje van Amazon toe eigenen.
  • Een aanvaller kan de communicatie van een drone afluisteren, waaronder ook de video stream.

Wat betekent dit voor onze privacy?

Naast het veroorzaken van veiligheidsincidenten, kan een drone ook flink impact maken op uw privacy. Via internet kan al eenvoudig meegekeken worden met webcams, veiligheidscamera’s en babyfoons, maar ook meekijken met een niet-beveiligde drone behoort tot de mogelijkheden. Daarnaast beschikken drones over opslagcapaciteit. Als de drone fysiek gestolen wordt, dan hebben kwaadwillenden via een speciale kabel naar de computer eenvoudig toegang tot video’s die eerder met de drone gemaakt zijn.

Tenslotte kan een drone, al dan niet als gevolg van een hack, uw persoonlijke leefgebied betreden en op deze manier uw privacy schenden wanneer u bijvoorbeeld in de tuin ligt te zonnen. Daarom is het van belang om goed na te denken over de privacy implicaties van drones om zo de privacy van eigenaar en omstanders zoveel mogelijk te waarborgen.
 

Nieuwe standaarden (voor communicatie)

Op 1 juli is de regeling beroepsmatig gebruik van drones, die onder de regeling op afstand bestuurbare luchtvaartuigen valt, flink aangescherpt. Hierin staat onder meer beschreven dat de operator van een drone (in dit geval een bedrijf) een certificaat dient te hebben om te mogen vliegen, het ROC (RPAS operator certificate). Deze nieuwe regels zijn ingesteld om zo te kunnen zorgen voor een acceptabel veiligheidsniveau, zowel in de lucht als op de grond.

De gestelde beveiligingsstandaarden van drones hebben (nog) geen authenticatie en houden bijvoorbeeld geen rekening met het feit dat drones niet weten wie hun legitieme eigenaar is. Als er bijvoorbeeld een drone in een menigte terecht zou komen, dan kan niet bepaald worden of de rechtmatige eigenaar ook degene is die op dat moment de bestuurder was. De verantwoordelijkheden komen dus scheef te liggen. Deze controlerisico’s zouden onder andere gemitigeerd kunnen worden als drones zelf meer ‘beslissingen’ gaan nemen, zoals het herkennen van gevaarlijke situatie en vervolgens weten hoe zij zich uit een dergelijke situatie kunnen manoeuvreren.
 

De oplossing: Security & Privacy by design

Nieuwe technologieën brengen nieuwe uitdagingen met zich mee, dat is de afgelopen jaren ruimschoots gebleken. Het mooie is dat er ook altijd een oplossing wordt gevonden. Met door onderzoek aan te tonen dat een drone hackbaar is, zetten we een stap in de juiste richting. Nu het gebruik van drones nog relatief in de kinderschoenen staat, is het rekening houden met security en privacy aspecten nog relatief gemakkelijk en goedkoop. Om drones te beveiligen tegen aanvallen op het device zelf is het van belang om de communicatie van bestuurder naar drone te beveiligen en deze te authentiseren en te versleutelen. We zullen hier onderzoek naar blijven doen en gaan graag in discussie met consumenten, het bedrijfsleven en overheden om het Internet (of things) veilig te houden en de privacy ervan te borgen.

Deloitte Innovation BV

Dit onderzoek is ondersteund door Deloitte Innovation BV.

Sinds 2008 hebben we binnen Deloitte een aparte BV om innovatie te stimuleren; Deloitte Innovation. Deze afdeling fungeert als een corporate incubator; zij identificeert, ontwikkeld en lanceert nieuwe producten en diensten voor onze klanten. Om dit te bewerkstelligen worden medewerkers vrij gemaakt van al hun verplichtingen zodat zij 100% van hun tijd kunnen besteden aan het nieuwe concept. Op dit moment werken er 40 fte voor de BV.  Daarnaast helpt de BV om innovatie nog verder in het DNA van onze organisatie te krijgen, bijvoorbeeld door mee te denken over de wijze waarop exponentieel groeiende technologie zowel de business van onze klanten als die van ons gaat beïnvloeden.  

Vond u dit nuttig?

Gerelateerde onderwerpen