Internet of Things en security

We staan op een moment in de historie van de computer waarbij er meer autonome computers connectie met het internet maken dan computers met een mens als gebruiker. We hebben in de thuis situatie al te maken met een slimme energiemeter, een settop device voor de digitale televisie, een mediaplayer die films en tv-series van het internet ophaalt en een printer die automatisch bestanden naar Google print kan sturen.

Via een Z-Wave gateway kan ik vanaf mijn tablet of smartphone thuis de lampen aanzetten, de thermostaat hoger zetten, of mijn garage deur open zetten voor mijn buurman zodat hij mijn grasmaaier kan pakken. Met een andere app op mijn smartphone kan ik mijn huis in de gaten houden via de IP camera’s in en om mijn huis.

Vrijwel iedereen loopt tegenwoordig rond met een smartphone of smartwatch waarop apps staan die doorgeven waar je bent zoals bij een Facebook check-in of een Yelp locatie melding. Sommige modellen zoals de AppleWatch van Apple kunnen zelfs doorgeven wat je hartslag en bloeddruk is.

Op het werk hebben we ook nog te maken met printers, koffiemachines en brandmelders die in contact staan met bijvoorbeeld een leverancier, om te melden dat de Café Latte op is, of een meldkamer om te melden dat er op de tweede verdieping een rook alarm is. Op weg naar het werk of vakantie hebben we een auto die automatisch contact kan opnemen met een meldkamer als er een ongeluk is of als de auto service nodig heeft. Het voertuigvolgsysteem geeft continue door waar we zijn aan een centraal systeem. Op de snelweg en in steden worden we in de gaten gehouden door camera’s die onze kentekens scannen en controleren of we op de opsporingslijst staan. In een vliegtuig zitten sensoren in de motoren, die aan de fabrikant laten weten wat de status is en waar het vliegtuig zich bevindt, zoals we onlangs konden zien na de spoorloze verdwijning van het Malaysian Airlines vliegtuig.

Internet is overal om ons heen

Kortom, we zijn overal waar we zijn omringd door apparaten die verbonden zijn met het internet, maar waar we zelf geen grip op hebben. Hoe kunnen we dan de security van die apparaten waarborgen? Wie garandeert mij dat er niet iemand toegang tot mijn slimme thermostaat kan hebben om te zien dat die in de vakantiestand staat de komende twee weken. Als je dat gaat combineren met het gegeven dat mijn auto in Spanje aan het rondrijden is, dan kunnen inbrekers op die manier redelijk makkelijk bedenken dat ik op vakantie ben en zo hun doel makkelijk uitkiezen. Als die persoon dan ook nog in staat is om via Internet mijn alarm uit te zetten en de voordeur open te doen is de cirkel rond.

Een recente studie van HP(1) toonde aan dat 70% van de devices die aan het internet gekoppeld waren, kwetsbaarheden kenden die konden leiden tot een succesvolle hack.

Ik werd zelf ook al geconfronteerd met een digitale hack door het feit dat mijn auto twee keer opengebroken was zonder braaksporen en zonder dat het alarm afging. Simpel commentaar van de garage, die na de diefstal zowat alle elektronica aan boord moest vervangen inclusief de air-bags, was dat autodieven de beveiligde alarm codes van vrijwel alle duurdere automodellen hadden gekraakt en zo die auto’s met hun eigen afstandsbediening konden openen en het alarm konden uitzetten. De oplossing was overigens heel simpel. Bij Conrad heb ik een additioneel alarm gekocht en dat moet je eerst gebruiken voor je de auto ontgrendelt. Ik heb al twee keer gehad dat het additionele alarm afging en dat ik bij controle mijn auto met ontgrendelde portieren aantrof bij het controleren. Het schrikt de dieven dus blijkbaar wel af.

Gezondheidszorg

Ook in de gezondheidszorg is de computer niet meer weg te denken. Röntgen foto’s , onderzoekresultaten en behandelplannen worden digitaal opgeslagen in een datawarehouse en kunnen in de meeste gevallen waar dan ook bekeken worden. Achterliggende reden is, dat niemand een dergelijke foto als vertrouwelijk beschouwt en men verder vertrouwt op de basale endpoint beveiliging.

Internet of Things is bezig met een ware opmars in de gezondheidszorg. Moest je vroeger nog op bed blijven als je aan de “Monitor” lag, tegenwoordig heb je maken met draadloze sensoren die data zenden naar een of meerdere ontvangers. Patiënten hoeven zelfs niet meer in het ziekenhuis te blijven, omdat de sensors ook via het GSM netwerk data kunnen verzenden.

Een ander mooi voorbeeld van IoT in de gezondheidszorg is de uitvinding van pillen met een sensor. Zodra de pil in contact komt met maagzuur, zendt hij een signaal uit naar een ontvanger die via je GSM kan laten melden dat de medicatie is ingenomen.

Veilig of niet? We weten het gewoon nog niet, omdat er geen security richtlijnen opgesteld zijn voor dit soort data en leveranciers de vuile was natuurlijk niet buiten hangen.

De wereld van de gezondheidszorg is niet voorbereid en ook niet echt opgewassen tegen aanvallen van cybercriminelen. Dit blijkt onder meer uit een rapport van de cyber divisie van de FBI(2). Daarin wordt onder meer aangegeven, dat uit een onderzoek van het Ponemon Institute blijkt dat 63% van de instellingen in de gezondheidszorg in de V.S. heeft de afgelopen twee jaar te maken gehad met een gelukte hack poging, waarbij patientgegevens buit gemaakt zijn.

De situatie in Nederland is nog niet geheel duidelijk, omdat de meldplicht voor datalekken pas in 2015 officieel van kracht wordt. Er wordt daarom aangenomen, dat veel incidenten nog ”onder de pet” worden gehouden, zeker omdat er hoge boetes staan op datalekken. Een onderzoek van Safenet toonde aan, dat wereldwijd in het eerste kwartaal van 2014 sprake was van 254 datalekken, waarvan 25% in de gezondheidszorg. We kunnen dus wel aannemen, dat er ook in Nederland sprake is van geslaagde hacks.

Waarom moeten we eigenlijk bezorgd zijn voor datalekken in de gezondheidszorg, vragen veel mensen zich af.. Als je medische gegevens bekend worden voor derden, kan dat grote impact hebben op je leven. Een baan of promotie kan aan je neus voorbij gaan omdat bekend is dat je psychische of lichamelijke problemen hebt. Het kan ook zo zijn dat je daarom meer verzekeringspremie moet gaan betalen. Criminelen kunnen je gegevens doorspelen aan personen in de markt voor “grijze” geneesmiddelen, die niet toegestaan zijn in Nederland. Er zijn genoeg mensen die in de hoop langer te leven, ingaan op het aanbod van dergelijke medicijnen. Ook roddelbladen geven goed geld voor informatie over de medische staat van BN’ers.

Mensen hebben recht op privacy, zoals ook vastgelegd is in de Nederlandse wet. Als die wet echter makkelijk omzeild kan worden, heb je aan die wetgeving niets.

Oplossingen

Als eerste zou er goede wetgeving en beleid moeten komen voor de beveiliging van het Internet of Things. Dit zou bijvoorbeeld kunnen voorkomen, dat apparatuur met default wachtwoorden in productie genomen kan worden en dat er een afgesproken beveiligingsniveau van kracht wordt voor dat soort devices. Wat we thuis kunnen doen is isolatie van dat soort devices, om te voorkomen dat bijvoorbeeld een zwakheid in de beveiliging van de ijskast gebruikt kan worden om een aanval op mijn PC te doen. Verder zouden we de ingaande en uitgaande datastromen van het thuisnetwerk moeten monitoren op afwijkingen. Ik verwacht dat op termijn de meeste internet routers wel uitgerust zullen worden met een dergelijk IDS/IPS systeem, tenminste als de overheid of toezichthouder dat als eis gaat stellen. Zo komen we dus weer uit bij wetgeving en beleid. Als security community zouden we dit item onder de aandacht van onze volksvertegenwoordigers moeten brengen. Wie gooit de eerste steen……?

Bronnen:

(1) HP Study Reveals 70 Percent of Internet of Things Devices Vulnerable to Attack

(2) FBI Cyber Division Bulletin: Health Care Systems and Medical Devices at Risk for Increased Cyber Intrusions

White paper op www.nictiz.nl: In vier stappen voldoen aan de meldplicht datalekken.

Bekijk hier de uitzending van RTL Z toekomstmakers welke Hans interviewde n.a.v. dit artikel op het Cqure kennisplatform. Hans is te zien op 8:20 min.