De veiligheid van iot-apparatuur is een heet hangijzer. Fabrikanten, consumenten en overheden staan voor enorme uitdagingen. Panklare oplossingen ontbreken. Het kan nog jaren duren voordat dit probleem is beteugeld. Dit bleek dinsdag tijdens het Alert Online Seminar dat KPN in Rotterdam organiseerde. Thema van deze bijeenkomst die in het kader van de jaarlijkse cybersecurity awareness campagne werd gehouden, was dit jaar ‘veilige hard- en software’.
Door kwetsbaarheden in de hard- en software hebben kwaadwillenden gemakkelijk toegang tot apparaten die met internet zijn verbonden. Via deze zwakke schakels kunnen hele netwerken waar deze apparaten deel van uit maken, besmet raken.
Ouderwetse gedachte
Het internet of things vormt voor KPN een groeiende business. Het verbinden van apparaten behoort tot de kerntaak. ‘Bij 5G komt een groot deel van de business straks uit de iot-omgeving,’ aldus de kersverse KPN-topman Joost Farwerck. Volgens de nieuwe ceo is het een ouderwetse gedachte om te veronderstellen dat het alleen maar om veilige hard- en software gaat. ‘Veiligheid gaat ook over mensen. Die moeten de juiste processen en procedures volgen’, zei Farwerck.
Het seminar was bedoeld om op gebied van iot-veiligheid de samenwerking tussen overheid, bedrijfsleven en consumenten te verbeteren. Vertegenwoordigers van al die partijen waren naar Rotterdam gekomen om over dit onderwerp van gedachten te wisselen. Probleem is dat de fabrikanten veiligheid nog te veel als een bijzaak en kostenpost zien. Volgens ethische hacker en ceo van Zerocopter, Edwin van Andel, is de haast waarmee nieuwe producten op de markt worden gebracht, fnuikend voor de veiligheid. ‘Time-to-market is de oorzaak van veel ellende.’
Fabrikanten aan zet
Bijna niemand van het panel dat Alert Online over dit onderwerp samenbracht, ziet dit probleem snel opgelost. Prof. Michiel van Eeten, hoogleraar Bestuurskunde en specialist in internetveiligheid bij de TU Delft, zou het mooi vinden als het iot minder onveilig werd. Hij constateerde dat zelfs de meest geavanceerde bedrijven met producten komen die nauwelijks zijn te resetten. Volgens hem wordt de consument als slachtoffer vaak de schuld gegeven. ‘Educatieve programma’s of bewustzijnsverhoging helpen nauwelijks. Sommige apparaten zijn zo onveilig dat hier geen kruit is tegen gewassen. De consument wil best wel’, stelt Van Eeten. Het probleem ligt volgens hem duidelijk op het bord van de fabrikanten.
Voorstellen om de fabrikanten financieel aansprakelijk te stellen als er wat misgaat gedurende de levensduur van een product zijn moeilijk uitvoerbaar. Zeker als de hardware van de ene fabrikant en de software van een andere leverancier komt is het lastig een schuldige aan te wijzen. Nelly Ghaoui, senior policy coördinator bij het ministerie van Economische Zaken en Klimaat, ziet nogal wat juridische haken en ogen. ‘Bepaling van de omvang van de schade, het aantonen van de causaliteit en de definiëring van het probleem zijn moeilijk.’ Bovendien kan zo’n maatregel de innovatie doden. Ook klonken er bezwaren tegen een maatregel om fabrikanten te dwingen gedurende de hele levenscyclus van iot-apparaten met updates te komen. Volgens ethisch hacker Van Andel maken al die updates een product nog niet beter.
Uit markt bannen
Ben Kokx, director product security bij Philips, was het daar niet mee eens. ‘Software heeft regelmatig onderhoud nodig,’ zei hij. Probleem is wel dat diverse onderdelen van systemen een verschillende levensduur hebben. Een smart koelkast kan gemakkelijk zeven à acht jaar mee, maar de tablet waarmee deze wordt bediend maar vier à vijf jaar.
Ook werd de gedachte geopperd om iot-apparatuur die kwetsbaarheden vertoont, uit de markt te bannen. Volgens Yvo Verschoor, onderzoeker bij de Consumentenbond, is dit in het algemeen een goed idee. ‘Onveilige auto’s komen ook niet op de weg, maar nadeel is dat dit de innovatie remt. In de praktijk zal dit moeilijk werken.’ Nelly Ghaoui betoonde zich ook positief. Zo kan je de ergste uitwassen voorkomen. ‘Zo’n maatregel legt wel de lat.’ Ook hacker Van Andel zag mogelijkheden.
