Leidt jouw webcam een eigen leven?

Opinie

Leidt jouw webcam een eigen leven?

Het onderbelichte aspect van IoT-security

Afgelopen maand werd security-onderzoeker Brian Krebs het slachtoffer van de eerste grootschalige DDoS (Distributed Denial of Service)-aanval uitgevoerd door een zogenaamd ‘botnet’ van ‘things’: honderdduizenden IoT (Internet of Things) apparaten probeerden tegelijkertijd zijn website op te vragen met als resultaat dat de website overbelast raakte en onbereikbaar werd.

Jeroen Slobbe & Beer Sijpesteijn - 18 oktober 2016

Mirai is de naam van dit ‘botnetwerk’, dat onder meer bestond uit op het internet aangesloten videocamera’s. Deze aanval illustreert het belang van een vooralsnog onderbelicht aspect van IoT security: De risico’s die slecht beveiligde apparaten vormen voor het netwerk waar ze mee verbonden zijn, in dit geval het internet. Een risico dat er toe leidt dat jouw webcam, smart TV, slimme koelkast en waterkoker ’s nachts gebruikt worden voor heel andere doeleinden dan jij voor ogen had.
 

Drijfveren voor IoT-security

Het omarmen van het Internet of Things zorgt ervoor dat allerlei soorten producten via het internet ontsloten worden, zoals consumentenelektronica, medische apparatuur en connected cars. Gelukkig zien de meeste producenten het belang van IoT-security in, dankzij diverse drijfveren:
 

1.       Privacy
Allereerst is er in toenemende mate aandacht voor privacy. Naast dat het klantvriendelijk is, wordt dit gedreven door de nieuwe Europese privacy wetgeving: In het kader van de aankomende General Data Protection Regulation (GDPR) kunnen hoge boetes worden uitgedeeld op het moment dat de privacy van gebruikers niet goed gewaarborgd is. Ook het lekken van data of het niet melden van datalekken kan resulteren in flinke boetes.
 

2.       Personal safety
Een tweede drijfveer is de veiligheid van de eindgebruiker – immers, deze slimme apparaten vervullen vaak een fysieke functie in de ‘echte’ wereld. Een auto of medisch apparaat dat voor meer ongelukken zorgt dan het vermijdt is zeer onwenselijk. In de Amerikaanse markt worden steeds strengere richtlijnen gegeven voor het produceren van zulke apparatuur. Ook Europa is hard bezig door het toevoegen van security paragrafen in wetgeving voor connected cars en het produceren van medische apparatuur.
 

3.       Veiligstellen van betalingsverkeer
Een laatste belangrijke drijfveer is het veiligstellen van betalingsverkeer. Verbonden apparaten kunnen de mogelijkheid krijgen om betalingen aan te gaan – denk aan een koelkast die automatisch bijbestelt als de melk op is. Hierdoor heeft de eigenaar van het apparaat, en dus de producent die haar apparaat wil verkopen, een sterk belang in het garanderen van de juistheid en tijdigheid van betaaldata.


De privacy en veiligheid van de consument, en het veiligstellen van betalingen zijn direct in het belang van de gebruiker en daarmee drijfveren voor producenten om aandacht te besteden aan security in hun apparatuur. Maar wat is de drijfveer voor het beschermen van het internet en daarmee dus de maatschappij?
 

Verantwoordelijkheid richting het ecosysteem

In het geval van Mirai zagen we dat slechte beveiliging van apparaten het mogelijk maakte een groot en gevaarlijk botnet te creëren. En zoals de aanval op het TV-station TV5 Monde laat zien, waar niet alleen de kantoorautomatisering maar ook regie- en camerasystemen waren gehackt en uitvielen, kan de impact op de bedrijfsvoering gigantisch zijn. Het verschil tussen deze twee hacks is dat in het geval van TV5 Monde het hacken van apparatuur het doel van de aanval is, terwijl bij Mirai apparatuur werd gehackt als middel, namelijk om deel te worden van het botnet.

Voor dit laatste geval, waarin hackers apparatuur misbruiken als middel voor een aanval op een ander doel, gaan de eerder genoemde drijfveren minder goed op. Als de hack al opgemerkt wordt, wordt hij anders beleefd, omdat de klant minder directe last en schade ondervindt. Toch is er ook hier een groot security risico.

Producenten en gebruikers nemen voornamelijk securitymaatregelen tegen direct merkbare hacks, waardoor het ecosysteem – het internet – minder beschermd wordt. Hierdoor wordt niet de maximale security behaald. Door ook aandacht te besteden aan securitymaatregelen ten behoeve van het ecosysteem (ook waar misschien geen directe drijfveren zijn) wordt de kans op een geslaagde aanval zoals die op Brian Krebs kleiner.

Hoewel het Internet of Things draait om het digitaal ontsluiten van fysieke apparaten is ook software in IoT-security vaak de achilleshiel. Veilige software ontwikkelen is niet eenvoudig, er is expertise en tijd voor nodig. Vanuit het oogpunt van het algemeen belang - een goed functionerend internet - moeten producenten en gebruikers ook oog hebben voor de security van het ecosysteem. Hierdoor kan het ‘Internet of Things’ een succes worden, met mooie producten voor gebruikers en een gigantische markt voor producenten. 

Vond u dit nuttig?

Gerelateerde onderwerpen