Smart betekent ondertussen al veel meer dan een klein, wendbaar autootje. Bijna alle elektrische apparaten kunnen smart tegenwoordig als prefix dragen: smart-tv, smart-koelkast, smart-horloge, ga zo maar door. Met een mooie Nieuw-Nederlandse term noemen we dit verschijnsel Internet of Things. Bij alle ouder- en nieuwerwetse apparaten wordt nagedacht over hoe een verbinding met het internet functionaliteit aan het ding kan toevoegen voor de gebruiker. Dan hoeft een huishoudapparaat geen ‘witgoed’ of ‘bruingoed’ meer te heten, maar kan het door het leven als echte gadget.
Veel van de toepassingen zijn op dit moment nog niet echt heel nuttig en daarmee blijft het grotendeels in de categorie snuisterijen hangen. Maar met enige doorontwikkeling zijn de mogelijkheden zeer gevarieerd en kan the Internet of Things weldegelijk een grote verbetering in het dagelijks leven van de gebruiker betekenen. En aangezien die toekomst nu al aan het beginnen is, vind ik het belangrijk om kritisch te kijken naar de beveiliging van deze apparaten en de gegevens die zij verzamelen. Steeds meer mensen gaan rijden in auto’s die van top tot teen zijn geautomatiseerd, wassen met wasmachines die verbonden zijn met het huisnetwerk en verwarmen hun huizen met behulp van slimme, geconnecteerde CV-ketels. Maar wat als de controle over deze apparaten in vreemde (verkeerde) handen kan vallen?
Uit onderzoek geïnitieerd door de Amerikaanse Senator Edward Markey bij zestien verschillende autofabrikanten “blijkt duidelijk dat er onvoldoende veiligheidsmaatregelen zijn om bestuurders te beschermen tegen hackers die de controle over het voertuig willen overnemen of persoonlijke informatie willen stelen”. De inmiddels overleden security expert Jack Barnaby toonde enkele jaren geleden al aan dat hartkleppen en insulinepompen niet veilig zijn voor doordeweekse hackers.
Een andere zorg zijn de vele (persoonlijke) gegevens die ‘smart’ apparatuur over zijn gebruiker verzamelt. Denk alleen al maar aan alle apparaatjes die allerlei fysiologische en medische gegevens vastleggen. Menig smartwatch telt je stappen, meet je hartslag en bepaalt zelfs je slaapritme. Alle gegevens worden doorgestuurd naar servers ‘in-the-cloud’. Wat wordt er verder met die gegevens gedaan? Het gevaar dat een stuk van je leefpatroon gebruikt wordt om je achteraf te bestoken met specifieke advertenties is heel groot, daarvoor heb je namelijk zelf uitdrukkelijk toestemming gegeven toen je akkoord ging met de gebruikersvoorwaarden, die niemand leest. Hoe is het gesteld met je privacy? En wie garandeert dat die gegevens niet gedeeld worden met de zorgverzekeraar die je op het oog hebt?
Internet of Things vereist geen sterk wachtwoord
Buiten het gevaar dat de leverancier zelf de boer op gaat met jouw persoonlijke gegevens, zijn er ook de ouderwetse gegevensdieven. Die wordt het met de Smart Apparatuur niet erg moeilijk gemaakt. Een sterk wachtwoord wordt meestal niet afgedwongen in de hedendaagse Internet of Things-wereld. Er zijn nauwelijks apparaten op de markt die een mogelijkheid tot 2-factor authenticatie bieden, maar ze zijn wel allemaal op afstand via internet te bedienen of uit te lezen. Brute force attacks zijn bij de meeste cloud interfaces van de systemen mogelijk. Zo kan een crimineel zich voordoen als de rechtmatige gebruiker en zo in één oogopslag zien of de eigenaar van de CV-ketel thuis is. Als de Smart-TV een webcam heeft, kan even worden bekeken wat er in de huiskamer te halen valt. De bediening van je beveiligingscamera is vervolgens ook een leuke extra voor de crimineel.
Dit zijn maar enkele voorbeelden van hoe criminelen gebruik kunnen maken van Internet of Things. Het lijkt mij genoeg om de zeer creatieve en innovatieve branche die achter deze apparaten en apps zit een extra aandachtspunt mee te geven: Denk bij de ontwikkeling van een nieuw product of een nieuwe dienst al direct aan hoe een kwaadwillende er misbruik van zou kunnen maken. Gelukkig is er nog geen standaard qua besturingssysteem voor die slimme toestellen, wat een remmend effect heeft op malwareschrijvers (voor welk besturingssysteem moeten ze nou kiezen?). Nadeel hiervan is ook dat er nog geen beveiligingssoftware is voor de meeste smart devices. Ik raad de ontwikkelaars dan ook aan om vooral samen te werken met de IT securitybranche, die niet anders doet dan op deze cynische manier naar technologie kijken en er oplossingen voor te verzinnen. Als de oplossing er al in zit wanneer het product op de markt komt, is dat voor iedereen winst. Het zou toch mooi zijn als we allemaal kunnen profiteren van de voordelen van Internet of Things zonder de nadelen te hoeven ervaren?
Dirk Cools, Country Manager G DATA Benelux
