IoT: ‘Internet of Threats’

In mijn vrije tijd mag ik graag koken, tennissen, motorrijden en naar de bioscoop gaan. Ik moet echter constateren dat dat steeds minder wordt. Ongemerkt ben ik de laatste tijd steeds meer tijd gaan spenderen aan het oplossen en verhelpen van storingen van ons private IT park. Met vijf kinderen, een vrouw met een eigen bedrijf en een thuiswerkplek is dat geen sinecure kan ik vertellen. Niet om op te scheppen, maar we hebben het over drie iMacs, een PC (Windows XP), drie laptops met Windows 8, een tablet op basis van Android, twee iPads, twee printers, twee routers, een modem en dan nog zes telefoons (een mix van Apple, Sony en Huawei).

vdbrink_hijdoethetnietEnige tijd geleden ben ik ermee gestopt om iedereen continue op zijn hart te drukken dat de laatste updates gedraaid moeten worden. Gewoon niet meer te doen. Ook het ‘niet zo maar klakkeloos klikken op dubieuze links naar software installaties‘ bleek een onhoudbare policy. Een licentie van het anti-virus programma is verlopen, een melding over een ‘trojan horse‘ wordt genegeerd, een ‘phishing e-mail‘ komt voorbij, zomaar wat voorbeelden van zaken die volstrekt ongepland een deel van mijn vrije tijd op kunnen slokken. Ik krijg namelijk met enige regelmaat een niet functionerend apparaat in mijn handen gedrukt. Of er ligt een laptop om mijn bureau met een post-it met daarop het alles zeggende :-(. Gelukkig is er altijd een uitgebreide analyse aan vooraf gegaan en krijg ik een gedetailleerde beschrijving die zo ver gaat als: “Pap, hij doet het niet.” De zwaar geïrriteerde ondertoon waar dat meestal mee gepaard gaat maakt duidelijk dat ‘de storing’ zeer ongelegen komt en dat directe hulp gewenst is.

Die irritatie kan ik ze niet kwalijk kan nemen. Het zijn gebruikers. Totaal geen sjoege van wat er ‘achter de schermen‘ gebeurt. Interesseert ze niet. Hoeft ook niet. Het gevolg is dat er dingen worden gedaan die niet altijd even verstandig zijn. Ik ben geen systeembeheerder, verre van zelfs. Opgegroeid met Apple waar alles ogenschijnlijk vanzelf goed gaat en een commerciële opleiding met dito job. Kortom, ik moet het doen met datgene wat ik vind via Google. Meestal gaat dat goed, maar de keren dat ik tegen zaken aan loop die mij het idee geven dat er iets mis is op het gebied van beveiliging nemen met de dag toe. Dat baart mij zorgen. Het is immers met de beste wil van de wereld ondenkbaar dat ik grip krijg op de 21 devices die bij Van den Brink BV worden gebruikt. 21 apparaten, allemaal met hun eigen IP adres en verbonden met internet. En alsof dat nog niet genoeg is: ik leef in de wetenschap dat dat alleen maar meer zal worden. Veel meer!

Gartner heeft recentelijk voorspelt dat we in 2020 met z’n allen wereldwijd 26 miljard met internet verbonden apparaten zullen gebruiken. We hebben het hier over the ‘Internet Of Things‘ (IoT) wat zo’n beetje alles zal bevatten en overal toegepast kan worden: thuis, in de gezondheidszorg, in auto’s, in machines, in meetapparatuur, in vliegtuigen, in koffiezetapparaten, in koelkasten, ….. Mensen en dingen worden verbonden via internet. Voor ons gemak, voor ons welzijn, voor het verbeteren van de efficiency, voor het besparen van kosten, voor een betere ‘quality of life‘, voor… bedenk het maar. Prachtig, maar er is een keerzijde. In veel gevallen genereren of bevatten deze ‘things‘ zeer persoonlijke data. Data die je beslist niet verder wilt hebben dan je eigen reikwijdte. Denk daarbij bijvoorbeeld aan je BSN- of bankrekeningnummer, maar ook gegevens over je gezondheid.

In dat licht onderzocht HP onlangs de beveiliging van een tiental populaire IoT producten. De uitkomst daarvan was alles behalve geruststellend. Zes van de tien apparaten vertoonden zwaktes. 90% verzameld persoonlijke informatie; 60% heeft onbeveiligde ‘user interfaces‘. 76% gebruikt geen encryptie bij het versturen van data. 80% beschikt niet over een sterk password. Bij 60% was het mogelijk om via de firmware ‘in te breken‘. Met andere woorden: het is vandaag de dag nog relatief eenvoudig om misbruik te maken van deze ‘devices‘. Je zou je af kunnen vragen hoe erg het is als men digitaal in weet te breken in je koelkast, maar bedenk je dat die koelkast in een netwerk ‘hangt‘ samen met al je andere apparaten. En daar zit de crux. Je bent in die keten immers zo sterk als je zwakste schakel en dat kon best wel eens je koelkast zijn.

Hoe ga ik dat straks allemaal controleren en beter nog onder controle houden? Zo’n handige ‘wearable‘ die laat zien wat ik op een dag aan calorieën verbrand, een koelkast waarvan ik de inhoud via een app ‘anytime, anyplace‘ kan bekijken of een ‘inplantable‘ die 24/7 mijn gezondheidstoestand controleert. Allemaal zijn ze verbonden met de cloud en ontvangen en versturen informatie. Het zijn revolutionaire ontwikkelingen die absoluut een positieve bijdrage gaan leveren aan ons bestaan, maar helaas is het benodigde internet vaak een bedreiging. Vanuit zakelijk perspectief is dat meer dan herkenbaar. Cybersecurity heeft dusdanige vormen aangenomen dat onze organisatie daar structureel op is ingericht. Bedreigingen wenden we af met apparatuur, we zijn ISO gecertificeerd, kennen een reeks aan security services en applicatieontwikkelaars ondersteunen we met scans en audits. Maar bovenal: er isbewustzijn. Iedereen in de organisatie is doordrongen van ‘het gevaar‘ en informatiebeveiliging is een speerpunt in alles wat we doen. Je zou zelfs kunnen zeggen dat het in ons DNA zit.

Terug naar mijn huishouden. Ik zie de bui al hangen. Nog minder koken, nog minder naar de bioscoop en nog minder motorrijden. In mijn spaarzame vrije tijd loop ik thuis rond als een soort van Chief Security Officer. Mijn gezinsleden continue attenderend op het gevaar en de risico’s van het gebruik van ‘dingen‘. Ze bewust maken van het feit dat IoT niet alleen staat voor the ‘Internet of Things’, maar helaas ook voor the ‘Internet of Threats‘.

Over Robèr van den Brink

Robèr van den Brink is Business Development Director bij IT-Ernity Internet Services.

Laatste artikelen