Kijk even op je smartwatch. 10 tegen 1 dat je er al een hebt en anders weten we wel wat Sinterklaas dit jaar voor je meebrengt. Zo’n horloge bevat heel veel persoonlijke informatie: hoe het staat met je fysieke en sociale gezondheid, bijvoorbeeld. Die gegevens worden allemaal opgeslagen, ergens in een cloud. Is dat veilig? Hetzelfde geldt voor de toepassingen die je kan gebruiken via je smartphone. Je kunt hiermee tegenwoordig je auto openen, of zelfs starten. Betekent dit dat de carhacker de carjacker van de toekomst is?
Internet of Things (IoT) en beveiliging: er is nog een lange weg te gaan. Steeds vaker gaat het gesprek van de dag over de gevaren van een internetverbinding. En er is ook veel dat verontrust: Edward Snowden, de diefstal van gigantische aantallen creditcardgegevens, de Chinese en Noord- Koreaanse hackers. Maar dat de kranten bol staan over (falende) internetbeveiliging wil echter niet zeggen dat de technologie er ook bol van staat. Dat is een probleem, want technologie is tegenwoordig alom aanwezig.
Als beveiliging zat ingebakken in elke telefoon, auto, thermostaat en draadloze printer die verbonden is met internet, hoefden we niet te praten, of zelfs maar na te denken, over de risico’s van het IoT. Het zou er gewoon zijn. We hoefden ons geen zorgen te maken over wat er kan gebeuren als we een foto nemen met onze telefoon of een film bekijken op onze tablet of televisie. Als alles goed zat, zou technologische innovatie nagenoeg onbegrensd zijn.
Er bestaan wel wat hulpmiddelen, maar het beveiligen van een koelkast of een neushoorn (waarover later meer), is wel wat anders dan het beveiligen van een laptop. Het IoT vraagt om ingebouwde cloudbeveiliging. Dan zijn de berichten van je koelkast naar de kruidenier of van je auto naar Facebook, continu beschermd door een onzichtbaar leger aan beveiligingsmaatregelen. De cloud is tenslotte het tussenstation op de weg van een slim apparaat naar de dienst waarmee het communiceert. Cloudbeveiliging kan er bijvoorbeeld voor zorgen dat een muziekbestand dat je wilt afspelen in je auto geen virus bevat. Het kan ook zorgen dat de identiteit van je telefoon geverifieerd is voordat deze met je thermostaat praat. Dat is een totaal ander model van internetbeveiliging dan voor een computernetwerk, en dat moet ook wel.
Toen we alleen nog te maken hadden met laptops en desktopcomputers, installeerde bijna iedereen daar wel antivirussoftware op. Deze software controleerde de datastromen voortdurend op kwaadaardige content. Maar een thermostaat, horloge of insulinepomp beschikt eenvoudigweg niet over de processorkracht of batterijvoorziening om deze processen continu te monitoren. Er is bovendien nog een ander probleem: de technieken die we gebruikten voor het beveiligen van een bedrijfsnetwerk zijn nooit bedoeld voor mobiele apparaten. Vroeger bouwden we het equivalent van een hoog hek om het bedrijfsnetwerk heen en controleerden het verkeer dat door de poort kwam. Bij IoT zijn die dingen meestal in beweging. Een auto is bijvoorbeeld verbonden met een internetprovider in Duitsland, maar wat gebeurt er als hij de grens oversteekt naar Frankrijk? We hebben een beveiligingscocon nodig die zich binnen de cloud aan jouw ‘ding’ hecht. Er zijn trouwens meer ‘dingen’ in beweging dan je in eerste instantie zou denken. Zo zijn de neushoorns in Zuid Afrika nu voorzien van chips die hun locatie, verbinding en gezondheid meten en een drone waarschuwen als er stropers in de buurt zijn.
Al deze voorbeelden tonen het risico van manipulatie aan: stropers kunnen de systemen van de neushoorns hacken, koelkastcriminelen kunnen je vergiftigen. Maar ze tonen ook aan dat, als de beveiliging goed wordt aangepakt, er een echte verandering mogelijk is. Een goed voorbeeld hiervan is Times Square in New York. Tweeënveertig jaar geleden was dit een brandhaard van prostitutie, criminaliteit en drugs. Wie destijds met zijn gezinnetje New York bezocht zou niet eens overwegen langs Time Square te gaan. Vergelijk dat eens met het huidige Times Square. Het is een levendig winkelgebied en iedereen die New York bezoekt gaat er wel even kijken. De meest vertrouwde merken ter wereld betalen een fortuin om hun naam op billboards van Times Square te vertonen. Wat is er veranderd? De beveiliging. Strengere regels, meer blauw op het plein en geen tolerantie bij criminaliteit. Deze maatregelen maakten van Times Square een veilig oord. Toeristen lopen vrij en blij rond en zijn zich nauwelijks bewust van alles wat hen beschermt. Dat gevoel van veiligheid en zekerheid, zonder impact op de vrijheid, moet ook in het IoT verweven zijn.
IoT onzichtbaar beveiligen
Beveiliging moet geïntegreerd zijn in technologie, net zoals het geïntegreerd is in Times Square. Het moet net zo naadloos en onopvallend zijn als de kreukelzone van een auto. Van al die dingen die ons veilig houden zonder dat het een inbreuk maakt op onze privacy, onze innovatiekracht of onze manier van leven. Als we beveiliging net zo algemeen en normaal kunnen maken als de verzegeling van voedselverpakkingen of van een fietshelm, krijgt innovatie pas echte slagkracht. We voelen ons dan misschien zelfs veilig genoeg om niet meer te praten over de risico’s, maar over de gemakken van het IoT.
Christophe Birkeland, CTO of Malware Analysis bij Blue Coat Systems
Als ik een eigen videotheek had, alle banden zou ik verhuren en niks 7,50 voor een dagfilm, gewoon vier gulden. En de eigenaar van de Filmfreak? Die ram ik al zijn banden in zijn strot! En wie toch 7,50 betaald is Pipo de clown!!!!!!!