Mobiel internet is een groot goed en sneller mobiel internet is dus een groter goed. 5G belooft dat aan de wereld, maar het brengt ook risico’s met zich mee. Risico’s waar we de ogen voor lijken te sluiten. Terwijl we dat al eerder hebben gedaan, tot onze schade.
Wat heeft thuis-pc’s tot een interessant doelwit én middel gemaakt voor cybercrime? De enorme aantallen pc’s die in gebruik waren, plus de opkomst van ‘always-on’ breedband internetverbindingen. De kans op een succesvolle malwareinfectie is enorm vergroot door snelle dsl- en kabelverbindingen.
Een betrouwbare internetverbinding is niet alleen van belang voor een initiële aanval, zoals op zulke thuis-pc’s, maar ook en vooral voor een volgende aanval. Denk bijvoorbeeld aan een hack elders, die dan wordt gepleegd via het middel van de eerder gehackte pc’s. Of denk aan een DDoS-aanval, waarbij de enorme aantallen thuis-pc’s – in de vorm van een botnet – in combinatie met hun forse bandbreedte de sleutel tot succes zijn.
Nu, met de komende overstap naar 5G, stevenen we af op een vergelijkbaar scenario. De verkoop van smartphones is al voorbij die van pc’s. Of er daarmee meer smartphones in gebruik zijn dan pc’s is nog de vraag. Feit is wel dat de mobiele apparaten met hun redelijk vlotte en vrijwel altijd aanwezige 4G-verbindingen al een interessant doelwit zijn voor cybercriminelen. De upgrade naar het veel snellere 5G verhoogt die aantrekkelijkheid alleen maar.
Positivisme op MWC
De afgelopen editie van Mobile World Congress stond bol van de 5G-aankondigingen en -vooruitblikken. Hogere internetsnelheden, beter bereik, het toekomstbeeld is zonnig. Maar vrijwel niemand leek aandacht te hebben voor het security-aspect. Dat verbaast en verbijstert. We hadden namelijk gedacht dat we inmiddels een punt hebben bereikt dat de industrie security van begin af aan zouden meenemen in ontwerp en ontwikkeling van nieuwe technologie.
Goed, van een securityleverancier wordt verwacht dat die wijst op mogelijke risico’s. Maar we weten nu toch dat het risico reëel is? Bovendien dreigt het gevaar nog wat groter te worden. Vrijwel gelijk opgaand met de komst van 5G loopt namelijk de ontwikkeling van het internet of things (IoT). De trend is om niet langer alleen pc’s, smartphones en tablets (naast servers natuurlijk) aan te sluiten op het wereldwijde netwerk.
Struisvogelaanpak?
Apparaten van uiteenlopende aard hebben in de nabije toekomst allemaal een eigen onlineverbinding. Daarvoor is een sneller netwerk met beter bereik nodig. Zoals een 5G-netwerk, dat belooft wel vijftig miljard smart devices te kunnen verbinden. Al die connected ‘dingen’ zijn een rijke bron aan data, voor goedbedoelende partijen en voor kwaadwillende figuren. Het IoT verlegt grenzen voor gemak, automatisering, bewustwording, amusement en productiviteit. Maar cybercriminelen zullen 5G maar al te graag inzetten om informatie te stelen, onze privacy te schenden en voor andere duistere doeleinden.
Toch wordt it-security ook op het gebied van IoT nog vaak over het hoofd gezien (of naïef optimistisch genegeerd?). Volgens velen is beveiliging eindelijk doorgedrongen tot het niveau van de bestuurskamers van bedrijven. In de praktijk zijn veel ontwikkelaars echter bezig met technologie en de gebruiksmogelijkheden daarvan, niet met de beveiliging tegen misbruik ervan. Dat is ook wel logisch, om twee belangrijke redenen.
Tijd, geld en verantwoordelijkheid
Ten eerste werken veel ontwikkelaars onder druk: van tijd en geld. Beveiliging, goede beveiliging, kóst juist tijd en geld, terwijl er daar vaak al een tekort aan is. Ook it-architecten hebben te weinig aandacht voor security. Ten tweede is er het grote probleem van verantwoordelijkheid. Wie is verantwoordelijk, wie gaat het oppakken?
Een speelgoedfabrikant zoals VTech schuift na de recente hack van zijn systemen de verantwoordelijkheid van zich af. Het heeft in zijn gebruiksvoorwaarden een ontkenning van aansprakelijkheid opgenomen die klanten accepteren als ze de producten van het bedrijf in gebruik nemen. Zonder verantwoordelijkheid gaat er niets aan deze situatie veranderen. Ondertussen gaat de onveiligheid van 5G en het IoT wel veel veranderen.
Er moet nog iets gebeuren
Johan Cruijff zei het al fraai: ‘Vaak moet er iets gebeuren voordat er iets gebeurt.’ Kennelijk zijn de vele, grote hacks van de afgelopen tijd niet genoeg geweest. Er staat ons nog een zwaar incident te wachten dat ons wakker schudt, hopelijk voordat het te erg wordt. Of de experts die het wél zien, steken de koppen bij elkaar om tot een betere beveiliging voor 5G en het IoT te komen.
De betere beveiliging moet hoe dan ook op een dusdanige manier zijn dat we de businessmodellen van developers, device-makers en anderen niet om zeep helpen. Ook hier komt het dus neer op het overbruggen van de kloof tussen it-security en business. We gaan naar een ‘hyperconnected’ 5G-toekomst, waarbij de definitie van mobile device een nieuwe en veel bredere invulling krijgt. Laten we er nú aan werken om die toekomst ook hyperveilig te maken, voor ons en al onze ‘things’. De ontwikkelingen zijn niet te stoppen, laten we ze wel beveiligen.
Volkomen eens met deze stelling. Technische vooruitgang is natuurlijk bijzonder prachtig maar het besef dat de keerzijde van die vooruitgang, criminaliteit en mogelijkheden, ver achterblijft spreekt boekdelen.
Eenvoudig voorbeeld van een realtime praktijk uitvoering.
Een device, on line aangeschaft, maakt het mogelijk binnen enkele ogenblikken toegang te verschaffen tot WPA devices die in elk huis staan. Toegang tot de elementen daarachter zeer eenvoudig. Eenvoudige opsomming van de data geextraheerd:
Persoonsgegevens
Bank gegevens
Technische gegevens
Toegangsgegevens en wachtwoorden van zaak en cloud
Toegang tot lokale zakelijke data
En wat bijzonder interessant is gebleken, dank u wel TOON van eneco, data die ondubbelzinnig aan geeft wanneer er gebruik word gemaakt van energievoorzieningen in de betreffende woning. Crimineel gezien zeer aantrekkelijk.
Dus nog genoeg om over na te denken me dunkt.