Nieuwe waarschuwingen over veiligheid IoT

Van verschillende kanten en in zowel binnen- als buitenland zijn de afgelopen tijd waarschuwingen van officiële instanties gekomen over de veiligheid van onder andere IoT (internet of things) en slimme apparaten. Zo bracht onder meer de Nederlandse Cyber Security Raad een rapport uit waarin het de mogelijke gevaren van de digitale samenleving aankaart.

Het lijkt erop dat het Internet of Things (IoT) steeds meer zijn weg begint te vinden bij bedrijven; steeds meer machines worden online aangesloten. De voorspellingen zijn dat er in 2020 zijn er ruim 20 miljard connected apparaten zijn, aldus Ericsson en Gartner. Van wearables, slimme koelkasten en thermostaten tot smart straatverlichting, containers, vuilnisbakken, verkeerslichten en melkkoeien.

Hoewet het Internet der Dingen enorm veel mogelijkheden te bieden heeft, schuilen er ook gevaren in de digitale revolutie. In de afgelopen weken kwamen er van verschillende instanties, zowel nationaal en internationaal, officiële waarschuwingen naar buiten rondom dit thema. 

Ook in eigen land

Zo brachten wetenschappers van de MIT een bericht naar buiten dat hackers in staat zijn om productielijnen onklaar maken of zelfs fabrieken op te blazen via de smartphone apps waarmee deze worden beheerd. In Nederland waarschuwt de Cyber Security Raad voor de slechte beveiliging van IoT apparaten.

MTI-onderzoekers Alexander Bolshev van IOActive en Ivan Yushkevich van Embedi onderzochten 34 beheer-apps, allemaal willekeurig gedownload uit de Google appstore. Ze vonden maar liefst 147 veiligheidslekken. Slechts twee apps waren helemaal veilig. Bij sommige apps was het mogelijk om de informatie aan te passen die de machine naar de beheerder stuurt. De beheerder krijgt dan bijvoorbeeld bericht dat alles goed gaat, terwijl in het echt de temperatuur bijvoorbeeld veel te hoog oploopt. Ook lukte het om servers foutieve bevelen te laten geven aan complete productielijnen.

Om het risico te spreiden, gebruiken fabrieken vaak meerdere informatiebronnen. Maar toch kwamen Bolshev en Yushkevich er doorheen. “Niet gek”, vindt cyber-safety-specialist Beau Woods van het Atlantic Council. ‘De apps zijn zo gemaakt dat beheerders altijd op verschillende manieren bij elk apparaat kunnen. Dat is juist om de veiligheid te vergroten op het moment dat er iets stukgaat of kortsluit. Maar dit vergrootook de kansen voor kwaadwillenden om in te breken.’

Actie nodig

In Nederland is het de Cyber Security Raad, een onafhankelijk adviesorgaan van de overheid, dat aan de bel trekt. Het Wetenschappelijk Onderzoeks- en Documentatiecentrum heeft een verkennend onderzoek laten doen en stelt dat de uitbreiding van slimme apparatuur met internet ook een wildgroei aan onveilige apparaten kan veroorzaken. De Raad roept de overheid dan ook op om extra maatregelen te nemen om consumenten te beschermen tegen schadelijke uitwassen van het Internet of Things.  ‘Uit dit onderzoek blijkt dat als er geen maatregelen worden getroffen het IoT ingrijpende gevolgen kan hebben. IoT – toepassingen zijn op dit moment vaak slecht beveiligd en vormen daarmee een bedreiging voor onze veiligheid en privacy. Het Mirai – botnet, bestaande uit gehackte IoT – apparaten, laat zien dat de impact nu al groot kan zijn en dit zal in de toekomst alleen nog maar toenemen. Het is van belang dat de veiligheids – en privacyrisico’s worden aangepakt om schade zoveel mogelijk te beperken en voorkomen. Om onze welvaart en ons welzijn voor nu en de toekomst veilig te stellen is gerichte actie nodig.’

Het nemen van de juiste maatregelen is moeilijk omdat er veel verschillende apparaten zijn die allemaal op andere manieren en niveaus zijn beveiligd. Bovendien worden ze zelden ge-update. De CSR adviseert om:

• te zorgen voor certificering, keurmerken en toegangseisen, om onveilige apparaten van de (Europese) markt te weren; 
• publieke informatie beschikbaar te stellen over welke fabrikanten en leveranciers hun apparaten onvoldoende beveiligen; 
• via een ‘labelling-systeem’ consumenten te informeren over (i) het level van beveiliging van het betreffende apparaat; (ii) of het apparaat automatisch security-updates kan ontvangen; (iii) de duur dat het product door de leverancier wordt onderhouden; en (iv) of het apparaat van het internet kan worden afgeschakeld met behoud van de ‘reguliere’ functionaliteit;
• fabrikanten wettelijk aansprakelijk te stellen voor ook economische schade
• internetaanbieders te vragen om besmette IoT-apparaten in hun netwerken helpen opruimen, analoog aan de succesvolle aanpak van botnets;
• door voldoende mandaat en capaciteit te zorgen dat toezichthouders goed kunnen handhaven

Afgelopen week verscheen op AD.nl ook een bericht waarin wordt gesteld dat 2018 het jaar wordt waarin bedrijven het Internet of Things definitief zullen omarmen. Onder meer KPN komt aan het woord, een bedrijf dat drie jaar geleden al een speciaal landelijk dekkend netwerk ontwikkelde: het Long Range Low Power-netwerk (LoRa). Het is bedoeld voor apparaten die slechts af en toe met het internet contact maken, zoals een vuilniscontainer die een melding moet geven als hij vol is. KPN sloot inmiddels ruim 3 miljoen apparaten aan op het internet. Een aantal waar het bedrijf tevreden mee is, maar waarvan het denkt dat het nog veel meer kan worden. ‘2018 moet het jaar worden dat bedrijven echt met IoT mee aan de slag gaan.’ Ook Vodafone en T-Mobile bouwden de afgelopen jaren hun eigen IoT-netwerken.

Door: Kelly Bakker 

Bron: CSR, engineersonline