Het ‘internet of things’ (IoT) belooft ons een hoorn des overvloeds aan voordelen, en daar zullen we heus ooit wel de vruchten van plukken. Maar als de IoT-ontwikkelaars niet snel veel meer aandacht aan security besteden, zullen ze meer lijken op wilde weldoeners die onze leefwereld en economie tot een mijnenveld van sluimerende rampen omtoveren.

Het connecteren van alle mogelijke toestellen en systemen – zowel in de industrie, de nutsvoorzieningen als bij de consumenten thuis en onderweg – gekoppeld aan een optimaal gebruik van de stroom data uit die ‘smart world’, zal ongetwijfeld meer voordelen opleveren dan we vandaag kunnen bedenken. Dat kan gaan van een meer spaarzaam omgaan met schaarse middelen als energie, tot een makkelijker, gezonder en meer comfortabel leven. Tot daar het rooskleurige beeld van de toekomst dat het IoT ons biedt. Maar…

ALLES GEHACKT

Stellen dat het internet of things (IoT) een ramp is wat security betreft, is helaas geenszins een overdrijving. Je kan haast geen voorbeeld van een IoT-systeem aanhalen, of je kon lezen dat het werd gehackt.

Een korte lijst van grote en kleine voorbeelden… ‘Slimme elektriciteitsmeters’, pompen in waterdistributiebedrijven, tweewegs-babyfoons, webcams in pc’s en monitoringsystemen, insulinepompjes (een potentieel dodelijke hack), de Nest-thermostaat, ‘slimme’ led-lampen, ‘slimme tv’s’, consumentenrouters, fitness trackers (zoals FitBit), voice-over-ip-systemen, ‘point of sales’-systemen (de aanval op de Target-keten in de VS), toasters en koelkasten (jawel, op zijn minst één koelkast werd misbruikt voor het versturen van boodschappen met malware), huisbewakingssystemen, usb-sticks… En wie herinnert zich niet de aanval op de Iraanse centrifuge-installaties voor het verrijken van uranium – met ‘dank’ aan de Stuxnet malware voor industriële sturingssystemen.

In de sector waar IoT allicht het snelst vooruitgang boekt – de geconnecteerde auto – bulkt het ondertussen van systemen die door hackers van buitenaf, ook zonder fysieke toegang tot het voertuig, succesvol werden belaagd, zoals remmen, gaspedaal, deurvergrendeling etc. En dat bleek soms kinderlijk eenvoudig. Zo knutselde een 14-jarige tijdens een ‘hackaton’ op één nacht tijd met 14 dollar aan materiaal afkomstig uit een RadioShack elektronica shop een draadloos systeem in elkaar dat de subsystemen in een wagen kon bedienen.

Je zou haast blij zijn dat RadioShack begin februari in faling is gegaan en duizenden winkels gaat sluiten. Volgens een studie van de Amerikaanse senator Edward Markey (D-Mass)hebben haast alle auto’s op de VS-markt wel ergens een kwetsbaar systeem, maar hebben “de producenten daar geen weet van” en zijn hun maatregelen om “toegang vanop afstand te voorkomen inconsistent en maar wat lukraak.” Voor zijn rapport had hij 19 wereldwijde auto-producenten aangeschreven, waarvan er drie helemaal niet antwoordden (waaronder Tesla). Voorts constateert hij dat de autobedrijven grote hoeveelheden data verzamelen, en die met derden delen, buiten medeweten van de chauffeurs.

Bij Gartner concludeert vp research Earl Perkins dan ook uiterst ‘sec’ dat “de meeste producenten van IoT-toestellen geen topprioriteit maken van security, maar zakelijke overwegingen voortrekken. Aspecten als gemak, gebruiksvriendelijkheid en ‘time-to-market’ primeren nog in deze fase boven security.” Een rapport van de Amerikaanse Federal Trade Commission (de Amerikaanse consumentenwaakhond), acht IoT-specifieke wetgeving nog “voorbarig”, maar de eerbiediging van de bestaande privacy wetgeving moet wel krachtig worden afgedwongen.

OOK INDUSTRIËLE SYSTEMEN

Een bijkomend – ernstig – probleem is dat ook heel wat industriële automatiseringsomgevingen, waar het internet of things een beroep zal op doen, uiterst kwetsbaar zijn in een geconnecteerde wereld. Dat blijkt uit een studie bij Onrix, door Stephen Smith, over de ‘cyber readiness’ maturiteit van de industriële controlesystemen in Belgische bedrijven (een studie met deelnemers uit o.a. de voedingsindustrie, de chemische sector, productiebedrijven en de farmaceutische wereld).

En met die maturiteit is het evenmin rooskleurig gesteld. Voor 41 procent van de respondenten zijn die systemen ‘cruciaal’ voor de dagelijkse werking, naast 13 procent voor wie ze ‘heel belangrijk’ zijn, maar “toch antwoordt 54 procent dat ze niet denken dat bedrijven in hun industrie zich bedreigd voelen door cybersecurity-dreigingen”, aldus Smith. En dat terwijl de meeste systemen al 5 tot 15 jaar oud zijn, of nog ouder, en dus nooit met het oog op security werden ontworpen, gebouwd en onderhouden… maar ondertussen wel vaak werden geopend naar de buitenwereld of naar de bedrijfsinterne netwerken. Voorts worden niet zelden gebrekkige security-procedures gehanteerd, die vaak nog de verantwoordelijkheid zijn van het ict-departement, en niet zozeer van de experten van de industriële automatisering (die vaak wel beslagen zijn wat ‘veiligheid’ betreft, maar geen kijk hebben op cybersecurity). En worden de eventuele noodplannen vaak niet geoefend.

Een toestand die ook wordt onderschreven door Luc Beirens, director cyber security services bij Deloitte Belgium. “Stel dat van dergelijke systemen de ‘firmware’ moet worden gepatcht. Niet alleen moet de leverancier zeker zijn van de kwaliteit van zijn patch, maar hoe moet je die dan ook nog installeren ?” Vaak zijn de systemen daar niet of slechts moeilijk op voorzien. En voorts is het in het IoT-gebeuren vaak ook moeilijk te weten waar alle toestellen zich precies bevinden, zeker als het mobiele toestellen zijn.

Het gebrek aan security in geconnecteerde omgevingen van industriële automatisatie, is des te zorgwekkender omdat de ‘kritieke nationale infrastructuur’ – wat nodig is voor het overleven van de maatschappij – hierdoor gevaar loopt. “In Frankrijk wordt daarbij niet alleen gekeken naar nutsbedrijven, de banken, telecombedrijven en transport, maar ook naar de voedingsindustrie”, vraagt Smith aandacht voor meer security in de breedte, en doorheen de hele ‘value chain’ van bedrijven (het bedrijf Target werd gehackt via een lek bij een onderaannemer die instond voor koelsystemen).

SECURITY VANAF ‘DAG NUL’

De oplossingen zijn gekend, maar zullen tijd vergen. Zo moeten ontwikkelaars van IoT-toestellen en van industriële systemen worden opgeleid, zodat security van bij de aanvang, vanaf ‘dag nul’ in een project zit ingebakken. Voorts moet ook het besef bij de gebruikers inzake mogelijke gevaren worden aangescherpt. Het is helaas “inherent aan nieuwe ontwikkelingen dat eerst risico’s worden genomen, vooraleer men die ook onderkent en er wat aan doet”, aldus Luc Beirens.

Guy Kindermans