Internet of Things: Mogelijkheden en bedreigingen

Wij zijn allang niet meer alleen online. Ook machines, horloges, auto’s, die slimme thermostaat en de koelkast. Samen vormen ze één groot ‘internet of things’, oftewel het internet der dingen. Dat biedt heel veel mogelijkheden. Maar het maakt het onze zakelijke en persoonlijke leefomgeving gevoelig voor cyber crime. Momenteel staat het verlies van privacy hoog op de agenda. Alle data dat middels deze apparaten op het internet terecht komt, en daar altijd blijft staan, maakt het onoverzichtelijk en dus een risico.

Een moeder neemt haar dochter mee voor het aanschaffen van een paar leren rijlaarzen. Precies dezelfde als Anky heeft, dus de dochter zal binnenkort wel kampioen zijn! Ze is een goede techneut en dus gebruikt ze haar Google glasses om te kijken waar de laarzen het goedkoopst zijn. Ze schaft ze aan door een app te downloaden die toegang heeft tot haar digitale portemonnee. De aanschaf wordt door middel van spraakinstructies en QR codes geregeld.

Dit is geen toekomstmuziek, dit de hedendaagse realiteit. We moeten gaan denken in termen van een onderling verbonden wereld met onderling verbonden oplossingen.
De verbinding van apparaten met het internet, maakt het mogelijk toegang te krijgen tot externe gegevens en zo de fysieke wereld van een afstand te besturen. Ik heb het hier over:

• Beveiligingssystemen zoals alarmsystemen, thermostaten, Wifi camera’s en babyfoon;
• Installaties die brandstof controleren;
• Apparaten in ziekenhuizen zoals monitoren voor hart en longfuncties;
• Printers, ook die op kantoor;
• Koelkasten, televisie;
• Draagbare apparatuur zoals muziekapparatuur, horloges etc;

Apparaten die onderdeel zijn van het IoT, een geïntegreerd systeem dat is verbonden met het internet. Ook de optische barcodes die we kennen van allerlei dagelijkse producten, krijgen een uitgebreide ID-tag. Op die manier kan de identiteit van een product op afstand worden gedecodeerd. Door de invoering van meer intelligentie in de id-tag, wordt het product ineens een slim object.

Als ik dit in security perspectief plaats, dan zie ik dat de (definitie van de) identiteit van de gebruiker aan het veranderen is. Het internet of things (IoT) is aan het veranderen in een ‘identiteit’ van mensen of apparaten. De identiteit van cybercriminelen komen dan neer op een waarde die is toegekend aan een identiteit, die ontleend is aan kenmerken en niet te onderscheiden is of het mens of apparaat is.

In 2015 is de groei van toegang tot Cloud toepassingen, onderling verbonden IoT’s en de opkomst en groei van identiteiten in de sociale media, de standaard waarmee organisaties een identiteit kunnen opzetten en invullen. Partijen moeten in overweging nemen dat een identiteit niet langer alleen toegang tot een toepassing geeft. Identiteitscontrole is niet meer alleen voor mensen! Meer onderling verbonden apparaten zijn een bredere aanvalsrisico, dus is het belangrijk dat wij de beveiliging van begin af aan overwegen. Al was het alleen al om een BOTOT (botnet of things) te voorkomen.

Ondanks de oprichting van nieuwe overheidsorganen zoals de AIVD en NCSC, zijn cyber aanvallers bewust dat de standaarden van de meeste landen niet zijn afgestemd op wat aanvaardbare normen voor digitale gedrag definieert. We moeten anticiperen op aanvallen en exploitatie van deze zwakheid met behulp van klanten, leveranciers en medewerkers. Het bewustzijn van de gebruiker wordt steeds belangrijker, want ongezien (en ongemerkt…) leveren de beveiligingslekken, de mogelijkheden aan criminelen om de mogelijkheden van deze apparaten te misbruiken.

Deze apparaten zijn sterk afhankelijk van gedeelde bibliotheken en een snelle ontwikkelingscyclus. Deze beperkingen maken dat upgrade van de firmware, patches, op veel van de IoT apparaten een steeds groter risico gaat vormen, waarvan niemand zich eigenaar voelt. Het feit dat ze ook "altijd online" maakt ze zeer gevoelig voor aanvallen en inbraak."

De beveiligingsmogelijkheden, of het gebrek hieraan, maken dat de criminelen op afstand aanvallen kunnen uitvoeren of de apparaten gebruiken om aanvallen te vergemakkelijken. Naast het stelen van persoonlijke informatie zijn er helaas ook al meerdere voorbeelden van incidenten waarbij op de (fysieke) veiligheid d.m.v. IoT werd gecompromitteerd.