Wat is het IoT?
Het Internet of Things (IoT) is een netwerk van verbonden apparaten die via het internet communiceren en gegevens verzamelen en delen. Hierbij kun je denken aan je computer, smartphone, beveiligingscamera’s, babyfoon en je slimme thermostaat. Maar ook in de industrie en gezondheidszorg worden veelvuldig IoT-toepassingen gebruikt om onder andere apparatuur te monitoren en te onderhouden.
Wat zijn de risico’s van het IoT?
Doordat veel IoT-apparaten niet goed geconfigureerd en daarmee onvoldoende beveiligd zijn, kunnen kwaadwillenden hier misbruik van maken. Zo kregen hackers via een slimme thermometer van een aquarium toegang tot de database van een casino. Ook kon de locatie van Nederlandse kinderen achterhaald worden door een lek in een smartwatch voor kinderen. En soms zijn het niet eens hackers, maar delen IoT-apparaten uit zichzelf informatie van gebruikers zoals de slimme Alexa assistent. Al deze zaken zorgen ervoor dat persoonlijke data op straat komt te liggen wat serieuze gevolgen heeft voor de privacy voor consumenten en de aansprakelijkheid van bedrijven.
Waarom zijn er veel onveilige IoT-producten?
Hoe kan het dat er zoveel IoT-producten op de markt zijn waarvan de security niet op orde is? Investeren in beveiliging is simpelweg geen interessante zakelijke overweging voor producenten. Een klant betaalt niet namelijk niet meer voor een product dat pretendeert veilig te zijn. Veiligheid wordt aangenomen. Verder hebben leveranciers er groot belang bij deze producten zo snel mogelijk op de markt te brengen. Aspecten die niet direct van invloed zijn op het functioneren van het apparaat zoals beveiliging, worden dan al snel achterwege gelaten bij de ontwikkeling.
Aan de andere kant beschikken consumenten vaak niet over de informatie die nodig is om een afgewogen beslissing te maken en daarin security als factor mee te nemen. Verder is de prijs een belangrijke factor in de aankoopbeslissing. Het helpt daarbij ook niet dat de markt wordt overspoeld met goedkope apparaten uit lagelonenlanden. Al deze zaken leiden tot IoT-producten met kwetsbaarheden.
Wat zijn oorzaken van IoT-kwetsbaarheden?
In de praktijk zorgen onderstaande zaken het meest voor IoT-kwetsbaarheden:
- Het ontbreken van een (eenvoudig) updatemechanisme, waardoor securityproblemen niet of nauwelijks opgelost kunnen worden bij al verkochte producten.
- Onveilige standaardconfiguraties, waardoor de verantwoordelijkheid van security bij de gebruiker wordt neergelegd. Denk aan standaard wachtwoorden die zwak zijn, het standaard aanbieden van beheerinterfaces op publieke netwerken etc.
- Onvoldoende securitybegrip bij ontwikkelaars. Veel van de lessen die in ‘reguliere’ software engineering lang geleden zijn geleerd, moeten opnieuw geleerd worden voor IoT software development.
- Het ontbreken van of slecht geïmplementeerde cryptografie. Vaak het resultaat van de beperkte processorkracht van de gebruikte hardware waardoor standaardoplossingen niet gebruikt kunnen worden.
Hoe kan het IoT veiliger gemaakt worden?
Om IoT-producten veiliger te maken moet bij de ontwikkeling en het onderhoud ervan de focus liggen op kwaliteit, niet puur op security. Door de focus op kwaliteit te leggen krijg je namelijk niet alleen security, maar ook performance, reliability en durability van IoT-toepassingen. De relatie werkt deels twee kanten op: een product van zeer slechte (software)kwaliteit is niet goed veilig te maken, terwijl een kwalitatief hoogwaardig (software)product gemakkelijk te beveiligen is voor zover dat nog nodig is.
Verder is een veilig IoT een kwestie van hardware en software en een ecosysteem. Een product wordt verkocht maar heeft daarna onderhoud en ondersteuning nodig. IoT-devices hebben doorgaans een langere levensduur dan bijvoorbeeld laptops en/of telefoons. Tijdens de gehele levensduur van het apparaat zal periodiek onderhoud nodig zijn om beveiligingsproblemen die bekend zijn geworden, te verhelpen.
