Meer en meer toestellen zijn uitgerust met internet of things-functionaliteiten en er zijn ook steeds meer IoT-toestellen in omloop. Door die toename zullen er in de nabije toekomst hoogstwaarschijnlijk grote DDoS- en DeOS-aanvallen plaatsvinden. Eerder waarschuwde Interpol al dat nagenoeg elk IoT-toestel, van koelkast tot smartphone, kwetsbaar is voor dergelijke aanvallen.
Hoewel producenten verantwoordelijk zijn voor de beveiliging van hun IoT-toestellen, zetten ze er nog altijd te weinig op in, waardoor er onveilige producten op de markt komen. Het gebrek aan beveiligingsmaatregelen voor IoT-apparaten zorgt voor groei van het aantal DeOS (deconstruction of service) en DDoS (denial of service)-aanvallen. Bij een lek brengen producenten wel veiligheidsupdates uit, maar dat garandeert niet dat gebruikers die updates ook effectief uitvoeren. Het gebrek aan aandacht voor de beveiliging van deze toestellen opent mogelijkheden voor potentiële aanvallen.
Consumenten staan niet stil bij de veiligheid van hun smart devices, en zijn er zich niet eens van bewust dat er veiligheidsissues kunnen zijn. Dat is zorgwekkend, want niet alleen gloeilampen en huishoudtoestellen bevatten IoT-technologieën, maar ook elektronische kluizen of autosleutels. Natuurlijk houdt het ene in het IoT-ecosysteem meer risico’s in dan het andere. De gevolgen van een gehackte kluis zijn erger dan de gevolgen van een gehackte koelkast.
Items met een bepaalde waarde moeten daarom dezelfde beveiligingsintegriteit hebben als banktransacties of online identiteiten voor eGov-systemen. De gevolgen zijn aanzienlijk als een elektronische autosleutel of kluis gecompromitteerd wordt. Daarom is er nood aan beveiligingstandaarden op het vlak van IoT. De verschillende gradaties van IoT-bedreigingen moeten worden gedefinieerd met duidelijke legale aspecten en overwegingen. Zonder die regelgeving kan iedereen zomaar zijn eigen IoT-netwerk creëren.
Iam en biometrische authenticatie
Net zoals identity and access management (iam) een belangrijke rol speelt bij het internet, is het ook een cruciale factor bij de beveiliging van IoT. Door van iam een essentieel onderdeel te maken van IoT, kan het IoT-netwerk worden beveiligd. De gebruiker moet aantonen dat hij is wie hij zegt te zijn als hij zijn smart device gebruikt. Het meest gangbare is het onthouden van een gebruikersnaam en wachtwoord, maar dat kan aangevuld worden met een smartphone of token, of met biometrische gegevens zoals gezichtherkenning, vingerafdruk of gedragsanalyse. Daarbij is het belangrijk dat de identiteit van het ‘thing’ in IoT op dezelfde manier behandeld wordt als de digitale identiteit van een persoon. Want een virtueel netwerk, zoals het internet, maakt geen onderscheid tussen personen en machines.
Ook voor biometrische authenticatie is er dus een belangrijke rol weggelegd binnen het IoT. Hoe meer manieren van biometrische authenticatie we met elkaar combineren, des te beter we de identiteit van een persoon kunnen achterhalen. Bij het analyseren van één biometrische eigenschap bestaat de kans dat een false positive wordt gecreëerd. Dat is het geval als een systeem foutief een biometrische eigenschap als een match beschouwt. Maar als enkele van die methoden gecombineerd worden, daalt het aantal false positives. Met behulp van machine learning wordt het aantal valse algoritmes bijna volledig geëlimineerd.
Het idee van het profiel dat gebouwd wordt rond een bepaalde identiteit – waarin wordt geanalyseerd wat normaal gedrag is, en wat afwijkt van dat gedrag – gecombineerd met artificiële intelligentie, kan een oplossing bieden. Maar om dat te bewerkstelligen, moeten de fabrikanten nog stappen zetten.
Giovanni Verhaeghe, vice president corporate development bij Vasco Data Security
Er is al vaker iets van gezegd en geroepen en het is stuitend verbijsterend hoe producenten en professionals om gaan met IoT en beveiliging. Als men er even over wil nadenken en je gaat IoT promoten maar geeft verder weinig tot niets om het beveiligen van hetgeen je promoot dan wordt het er allemaal niet zo heel geloofwaardiger op.
Dat brengt mij dan heel erg eenvoudig op het standpunt, IoT? Gewoon een commercieel verhaaltje waar je het gewoon niet van hoeft te hebben. Geen toevoegende waarde, geen gedachte over de veiligheid. Zo eenvoudig is het dan.
Een relatief eenvoudige beveiliging van IoT zou zijn deze sensoren niet aan te sluiten op het internet maar op een ‘concentrator unit’ die middels een closed loop de dienstverlening verzorgt. Door een (architectonische) scheiding aan te brengen tussen de infrastructurele hardware en software verdwijnt de noodzaak(?!!) om van het ‘universele’, maar voor een IoT toepassing onveilige en dus ongewenste, internet gebruik te maken.