Inhoudsopgave
    

Het internet der onveilige dingen
Gijs Ettes
door Gijs Ettes
leestijd: 7 min

Steeds meer apparaten in huis zijn met internet verbonden, maar de beveiliging schiet nog vaak tekort. "Security heeft lang niet altijd prioriteit."

Beleeft het Internet of Things (IoT) dit jaar zijn definitieve doorbraak? Onderzoeksbureau Gartner denkt van wel. Het aantal verbonden apparaten verviervoudigt de komende jaren, tot 20 miljard in 2020. IoT is de wereld van verbonden apparaten, die autonoom met elkaar communiceren en onderling informatie uitwisselen. De mogelijkheden die dat biedt zijn eindeloos. Zo kunnen IoT-apparaten inzicht geven in de efficiëntie en dienstverlening van overheden, de maakindustrie en transportsector. Bij je thuis zorgt IoT dat bijvoorbeeld je alarmsysteem, thermostaat en verlichting met elkaar kunnen praten.

Nieuw is het echter niet. Al in de jaren 90 werd gesproken over het internet der dingen en toepassingen om met RFID (radiogolven) computers in staat te stellen om objecten en mensen te inventariseren. Het concept van IoT stamt zelfs uit 1982, toen op de Carnegie Mellon University een blikjesautomaat werd gekoppeld aan het internet. Dankzij sensoren kan het apparaat, dat nog steeds wordt gebruikt, aangeven hoe het zit met de voorraad en koeling van blikjes. 

Inmiddels zijn er meer verbonden apparaten dan wereldburgers, een ontwikkeling die is te danken aan het feit dat de hardware makkelijker en goedkoper is om te maken, zo denkt Martin Aarts van IoT-platform Yookr. "Ook zorgen nieuwe netwerkprotocollen dat je lokaal geen netwerkinfrastructuur meer hoeft te hebben. Apparaten kunnen overal verbinding maken, ongeacht waar je ze neerzet." 

Security-onderzoeker Han Sahin van Securify wordt niet heel enthousiast van de opmars van IoT. "Als je een apparaat op het internet wilt aanbieden, moet je je altijd afvragen of dat wel noodzakelijk is. Vaak worden ze out-of-the-box aangesloten en levert de fabrikant geen actieve ondersteuning, waardoor devices op een gegeven moment op het publieke internet verschijnen en een aantrekkelijk doelwit voor hackers worden."

Prioriteiten

Anno 2017 heeft praktisch elk nieuw elektronisch apparaat de mogelijkheid om met het internet te verbinden. Bij consumentenproducten is de toegevoegde waarde vaak ver te zoeken, getuige de vele hilarische voorbeelden op Twitter-account @InternetOfShit. Is het wenselijk dat speelgoed, kleding en je koffiemachine 'connected' zijn? Het is een vraag die Victor Gevers van GDI.Foundation zich regelmatig stelt. Hij ontdekte bijna 67.000 'slimme' babycamera's die zonder hacken toegankelijk waren; de inloggegevens voor zowel de camera als serviceprovider stonden gewoon online. 

"In de race om als eerste een innovatief IoT-device op de markt te brengen, zijn bedrijven meer gericht op functionaliteit en gebruiksgemak, dan op beveiliging en privacy", aldus security-expert Vincent Toms, eveneens van GDI.Foundation. "Bij de beveiliging gaat het op meerdere vlakken fout. Zo wordt gebruikgemaakt van onbeveiligde protocollen voor communicatie en zijn de apparaten zelf inherent onveilig." Sahin beaamt dat: "Security van verbonden apparaten heeft lang niet altijd prioriteit. Soms wordt pas aan het einde van de ontwikkeling gekeken of de veiligheid acceptabel is. Sommige beveiligingsrisico's worden zelfs op de koop toe genomen als bestrijding ervan het op de markt brengen van een product vertraagt."

Lek

Toch denkt Sahin dat IoT wel degelijk voordelen kan bieden. "Denk aan een voertuig, dat een signaal naar hulpdiensten stuurt als het betrokken raakt bij een ongeluk. Of systemen die simpele processen in de industriële sector automatiseren en altijd verbonden moeten zijn." Veel IoT-apparaten draaien echter op energiezuinige, en relatief eenvoudige hardware die niet overweg kan met encryptie. Een IoT-device dat wordt toegevoegd aan een netwerk, brengt daardoor beveiligingsrisico's met zich mee. 

Naar schatting is zo'n driekwart van alle IoT-devices lek, wat ze kwetsbaar maakt voor hacken. Vaak is het nog maar de vraag of een beveiligingslek wordt gedicht, omdat de prioriteit van fabrikanten elders ligt. Geen van de leveranciers van de babycamera's die Victor Gevers informeerde, nam de moeite om klanten te informeren om hun wachtwoord aan te passen. Er zijn enorm veel IoT-platforms waaruit je kunt kiezen en het is lastig te bepalen hoe die omgaan met de verzamelde data en of ze gebruikmaken van veilige communicatieprotocollen.

Yookr neemt volgens Martin Aarts veel van die zorgen weg door security als speerpunt te nemen. "We bieden een parapluplatform dat alle andere platformen veilig aan elkaar knoopt. Gebruikers loggen in op een versleutelde cloudomgeving waar ze inzicht krijgen in de data van hun IoT-apparatuur. Alle gegevens blijven eigendom van de gebruiker, behalve als die expliciet aangeeft dat ze mogen worden gedeeld met derden." Yookr adviseert gebruikers over het beveiligen van hun hardware, maar houdt zich niet bezig met devicemanagement.

Oplossingen

Voor bedrijven blijft security het belangrijkste punt van zorg. Han Sahin ziet blockchain, de technologie achter cryptocurrencies als Bitcoin en Ethereum, als mogelijke uitkomst. Nu wordt voor de identificatie en authenticatie van IoT-apparaten nog gebruikgemaakt van centrale cloudservers. Omdat het aantal apparaten zo explosief groeit, worden die servers steeds zwaarder belast. Dat maakt ze kwetsbaar voor DDoS-aanvallen en ransomware, waarmee in potentie productielijnen in een fabriek lamgelegd kunnen worden. 

Met behulp van blockchain-technologie worden veilige, decentrale netwerken gecreëerd waarbinnen doorlopend gegevensuitwisseling en verificatie tussen nodes (in dit geval IoT-devices) plaatsvindt. En niet geheel onbelangrijk: alle data die in de blockchaindatabase wordt opgeslagen, is door niemand te manipuleren of vervalsen. Iedere node houdt een eigen database bij om DDoS-aanvallen te voorkomen. Bedrijven als Filament (actief in de agrarische sector) en de Australische telecomgigant Telstra gebruiken de technologie om misbruik en identiteitsfraude te voorkomen.

Bewuste keuze

Voor consumenten blijkt het lastig in te schatten hoe het zit met de veiligheid van een verbonden apparaat. "Bij de aanschaf van apparaten van onbekende merken uit China zou ik op m'n hoede zijn, maar apparatuur uit de EU kun je zonder meer kopen", betoogt Martin Aarts. "Wel adviseren we om een goede firewall in te stellen en die niet open te zetten om van buitenaf verbonden apparaten te bedienen. Doe dat liever met een cloudoplossing die van https gebruikmaakt."

Han Sahin is sceptischer. "Vaak staat een IoT-apparaat standaard open naar de buitenwereld en is weinig configuratie mogelijk. Het is raadzaam om vóór aanschaf de handleiding op te zoeken om te zien welke beveiligingsopties er zijn. Is het bijvoorbeeld mogelijk om de verbinding in zijn geheel uit te schakelen?" Daarnaast wekt het weinig vertrouwen als een apparaat afkomstig is van een start-up. "Bij dat soort bedrijven wordt vrijwel uitsluitend naar functionaliteit gekeken en is nauwelijks budget om kwetsbaarheden te testen en patchen."

Vincent Toms sluit zich daarbij aan. "Ik ben groot voorstander van devices die standaard niet aangesloten op internet zijn. Eindgebruikers kunnen dan bewust zelf de keuze maken om te verbinden. Het zal nog even duren voordat zoiets wettelijk geregeld wordt, maar door preventieve maatregelen te nemen, voorkom je veel ellende."

Auteur

Gijs Ettes is freelance journalist met een focus op tech, innovatie en privacy. Houdt van functionele gadgets, Scandinavisch design en sterke koffie.