Cyberkeurmerk nu!

Het Internet of Things gaat ten onder aan zijn eigen succes. Een ongebreidelde groei van inmiddels 6,5 miljard smart apparaten die meestal slecht beveiligd zijn veroorzaakt binnen de kortste keren een Internet hartstilstand als we daar niet iets aan gaan doen.

Mijn TV bepaalt voor mij wat ik graag wil zien omdat hij precies weet welke zenders en series tot mijn favorieten behoren. Als ik op vakantie ben kan ik, terwijl ik op het strand lig te genieten, zien wie er bij me aan de voordeur staat en of de planten in de vensterbank wel genoeg water hebben gehad. Mijn auto belt de hulpdiensten als de airbag is afgegaan en geeft file informatie als ik bijna niet beweeg. Mijn koelkast bestelt over een tijdje zelf de boodschappen bij de supermarkt omdat de boter op dreigt te raken en de melk al tegen de houdbaarheidsdatum aanloopt. Inmiddels zijn deze voorbeelden al niet meer weg te denken uit ons dagelijkse leven. Sterker nog, de vraag naar nieuwe functionaliteiten is enorm of beter gezegd, de nieuwe functionaliteiten worden ons door producenten in een dusdanig snel tempo opgedrongen dat de vraag niet eens de kans krijgt om te ontstaan. Dat is de tijd waarin wij leven en die we met zijn allen gecreëerd hebben. Niets mis mee zou je zeggen.

DDoS

Zaterdag 21 oktober vond in de VS een enorme DDoS plaats die er voor zorgde dat grote internetservices zoals Amazon, Twitter, Reddit, Spotify en vele anderen niet meer bereikbaar waren. Het wereldwijde Internet had een flink infarct gekregen. DNS service provider Dyn, dat de DNS verzorgt van vele bekende en grote internet services, werd aangevallen door een botnet dat gevormd is door Mirai malware. Mirai is malware dat zich razendsnel, en razend makkelijk, verspreid onder ‘smart’ apparatuur. Het probeert toegang te krijgen op webcams, smart TV’s, -lampen, -koelkasten, enz. simpel en alleen door standaard user en wachtwoordcombinaties uit te proberen. Omdat maar weinig consumenten hier verandering in aanbrengen, dus de standaard user veranderd en een nieuw wachtwoord kiest, is de kans van slagen erg groot. Eenmaal genesteld maakt jouw TV of IP cam, zonder dat je er weet van hebt, deel uit van een enorm ‘cyberleger’ dat aanvallen uit kan voeren voor eenieder die deze commerciële dienst dan ook maar afneemt. Beveiligingsexpert Brian Krebs was vorige maand met zijn website krebsonsecurity.com ook slachtoffer van een aanval vanuit dit botnet met een grote van maar liefst 620 Gbps. Het Franse hostingbedrijf OVH kreeg kortgeleden zelfs een aanval van meer dan 1 Tbps te verduren. Allemaal veroorzaakt door Mirai en de collectieve vuurkracht van IoT apparatuur. Gartner heeft berekend dat er inmiddels 6,5 miljard IoT apparaten actief zijn en dat er iedere dag 5,5 miljoen nieuwe online komen. De ratrace om als eerste nieuwe functionaliteit op de markt te brengen dringt beveiliging naar de achtergrond. Baant het IoT op deze manier de weg voor een totale Internet meltdown?

Predicaat ‘Bewuste keuze’

Iedere fabrikant van een elektrisch apparaat waar een stekker aan zit moet, om de markt op te kunnen en omdat het gebruik maakt van het elektriciteitsnetwerk, voorzien zijn van een keurmerk of markering uit het land of regio waar het verkocht wordt. In Europa is dat bijvoorbeeld de CE-markering en in Nederland specifiek het Kemakeur. Hiermee is geborgd dat er een minimale standaard wordt gehanteerd voor de veiligheid van het elektrisch systeem van die apparatuur. Een dergelijk systeem zou ook gehanteerd moeten worden voor apparatuur dat gebruik maakt van een publiek IP adres. Er ontstaat nu een totaal oncontroleerbare situatie, of die is er eigenlijk al, waarin een voedingsbodem is gecreëerd die iedere fabrikant van gadgets en spullen die het predicaat ‘Smart’ mee krijgen in staat stelt een Internet koppeling met zijn product aan te gaan zonder daar enig voorbehoud in te maken die de beveiliging van die Internetkoppeling ten goede komt. Voordat een dergelijk product op de markt mag komen moet er een systeem zijn wat reguleert dat er een basisniveau aan beveiligingseisen is nageleefd waardoor dit soort apparatuur minder snel een gevaar vormt voor misbruik. Ook onze vitale sectoren en persoonlijke behoeften hebben Internet tot een bijkans primaire levensbehoefte gemaakt die gelijk staat aan ons stroomnetwerk. Kunnen we overleven zonder? Ja, natuurlijk maar dat wordt wel verdomd lastig als het lang duurt. Onze maatschappij, infrastructuur en economie zijn inmiddels sterk afhankelijk van de performance en beschikbaarheid van het Internet. We hebben dus als samenleving en individuele consument een belang dat we bewust zijn van de risico’s die slecht ontworpen en slecht beveiligde functionaliteiten op Smart appliances met zich mee brengen. Realisatie van een Europees, laat staan een wereldwijd, keurmerk met een obligaat karakter zal jaren vergen. Indien vanuit de consument, door een gemeenschappelijk beveiligingsbewustzijn, een behoefte is ontstaan dat apparaten aan een basisniveau beveiliging moeten voldoen zal wellicht het proces versneld kunnen worden en niet zozeer vanuit de overheden maar vanuit de branche van producenten afgedwongen worden dat er een predicaat gehanteerd gaat worden voor producten en producenten die zich hieraan conformeren. Noem het maar het ‘bewuste keuze’ predicaat op een smart apparaat.

Het is geen rocket science te concluderen dat de ongebreidelde groei van smart apparatuur in combinatie met de slechte beveiliging ervan tot een groot risico leidt. Het is ook te voorspellen dat er nog een aantal grote infarcten op het Internet zullen ontstaan die uiteindelijk zelfs zullen leiden tot een hartstilstand. 6,5 miljard IoT devices met een jaarlijkse groei van 2 miljard veroorzaakt de ondergang door het eigen succes. Een basisniveau van beveiliging van deze apparatuur voordat het toegestaan wordt om in gebruik genomen te worden in combinatie met de Internet toegang is dan ook noodzakelijk. Hetzij afgedwongen vanuit overheid, hetzij afgedwongen door de vraag van de consument. Het opvoeden van overheid en consument is dan evident om te komen tot een Cyberkeurmerk, nu!