Internet of Things (IoT) brengt risico’s met zich mee omdat slechts een beperkt deel van de miljarden apparaten die aan een netwerk worden verbonden, goed is beveiligd. De kwaliteit van de security loopt bovendien erg uiteen. Dit stelt John Shier, senior security advisor van de Britse securityspecialist Sophos.
Computable sprak Shier tijdens het Mobile World Congress (MWC) vorige maand in Barcelona. Ook andere veiligheidsexperts spraken daar hun ongerustheid over de veiligheid van het IoT uit.
Een gevaar vormen de vele apparaten die zonder enige beveiliging uit de fabriek komen en ook onmogelijk veilig zijn te maken. Shier: ‘Sommige fabrikanten hebben maar één doel voor ogen: zo snel en goedkoop mogelijk producten op de markt brengen. Ze doen dat omdat de vraag naar IoT-apparaten prijsgevoelig blijkt te zijn. Daarom wordt vaak bespaard op de processor. Apparatuur wordt voorzien van rekenkracht die net voldoende is om te kunnen werken.’
Als een zwakke chip wordt ingebouwd en de rekenkracht minimaal is, kan geen sprake zijn van encryptie. Gevolg is dat de data die deze apparaten uitwisselen, onbeveiligd zijn. Ook komt het voor dat apparaten met een standaardwachtwoord worden beschermd dat naderhand niet is te veranderen.
Buitenstaander
Naast deze ‘hiaten’ zijn er ook IoT-apparaten die sterk beveiligd uit de doos komen. Tussen deze twee uitersten zit een hele reeks hardware met enige vorm van beveiliging. Ook zijn er fabrikanten die leergeld hebben betaald. Shier noemt als voorbeeld de polsbandjes van Fitbit. De stromen gegevens over iemands fitness-activiteiten bleken anderhalf jaar geleden gemakkelijk te onderscheppen. Fraudeurs konden deze waardevolle gegevens manipuleren en aan derden aanbieden. Inmiddels heeft de fabrikant van wearables haar leven gebeterd. De veiligheid kreeg hoge prioriteit. Software en protocollen werden herschreven waardoor de trackers nu beter bestand zijn tegen aanvallers. Fitbit heeft stappen gemaakt. En die zijn ook voor iedereen zichtbaar. Maar dit is de uitzondering.
Shier: ‘In het algemeen kom je er als een buitenstaander moeilijk achter hoe veilig IoT-apparaten zijn. Dat geldt zeker voor consumenten. Die weten vaak niet wat ze kopen. Zakelijke gebruikers zijn doorgaans beter af. Maar ook die hebben soms nauwelijks meer informatie over een product dan de consument.’
Onverantwoord
De veiligheidsadviseur van Sophos denkt wel dat onveilige apparaten op den duur van de markt zullen verdwijnen als bedrijven doorkrijgen dat het gebruik ervan onverantwoord is. Hij raadt bij de aanschaf van IoT-hardware aan steevast naar de veiligheid te vragen. Kijk of wordt voldaan aan de minimale criteria. Vraag ook of updates mogelijk zijn, het wachtwoord is te wijzigen en de verbindingen zijn beveiligd.
Blijft het antwoord uit, dan kan je beter met een andere leverancier in zee gaan. Een gewild doelwit voor hackers zijn ip-camera’s met een digitale videorecorder aan boord. ‘Vooral de laag geprijsde ip-camera’s van onbekende merken missen vaak de meeste elementaire vormen van beveiliging. Als ze worden besmet met malware zijn ze gemakkelijk op afstand door criminelen te controleren.’
Grote aantallen ip-camera’s kunnen samen botnets vormen waarmee grootschalige aanvallen zijn te doen. In het najaar van 2016 vond met zo’n botnet een massale DDoS-aanval plaats die een groot deel van het internet aan de Amerikaanse oostkust lamlegde. IoT-botnets bestaan vaak uit apparaten met een standaardwachtwoord die geen mogelijkheden tot updates bieden. Volgens Shier worden goedkope, nauwelijks beveiligde apparaten vooral door kleinere bedrijven aangeschaft. De kopers beseffen niet hoeveel risico ze hiermee lopen. Maar de meeste schuld hebben de fabrikanten van zulke inferieure spullen.
Veiligheidsregels
Niet alleen de selectie van de juiste apparatuur is belangrijk, ook de implementatie verdient aandacht. Je kunt de beste apparatuur kopen, maar toch falen als de ingebouwde veiligheidsvoorzieningen niet worden benut. Shier: ‘Als je een slechte gebruikersnaam en wachtwoord gebruikt, kan het toch misgaan, ook al heb je alle securitytechniek die in de wereld te koop is.’
Ip-camera’s in combinatie met een digitale videorecorder mogen niet zomaar aan internet worden gekoppeld. ‘Beveilig die apparatuur met een firewall,’ stelt Shier. Ook is het verstandig een virtueel particulier netwerk (vpn) te gebruiken waarbij de verbinding is versleuteld.
Shier raadt verder aan het eigen bedrijf regelmatig te checken op veiligheid. Vooral industriële controlesystemen die aan internet zijn gekoppeld, zijn kwetsbaar. Kijk hoe sterk je bent blootgesteld aan gevaren bij gebruik van IoT-apparatuur. Vermijd onnodige risico’s. Het is verstandig om voortdurend de toestand van zulke apparaten te monitoren. Kijk uit en wees er zeker van dat je alles goed onder controle hebt. De veiligheidsregels die in een bepaald bedrijf gelden, moeten ook daarbuiten van kracht zijn. ‘Security is een levensstijl,’ benadrukt de Sophos-adviseur. ‘En wie thuis werkt, moet dezelfde regels in acht nemen.’