BROODROOSTER GIJZELT TV, KOELKAST ZET DE SLUIZEN OPEN

BROODROOSTER GIJZELT TV, KOELKAST ZET DE SLUIZEN OPEN

Ontbreken IoT-security leidt tot nieuwe gevaren

Internet als de nieuwe nutsvoorziening; zonder water, elektriciteit of internet zijn we blijkbaar nergens. Een gasaansluiting was tot voor kort ook noodzakelijk, maar blijkbaar hebben we die ingeruild voor internet. Naast dat we internet “nodig hebben” voor onze computers om te kunnen surfen, e-mailen en app-en, zijn steeds meer apparaten aangesloten op internet om hun werk goed te kunnen doen. Een slimme thermostaat, een slimme gas- en electrameter, een smart-tv, een smart-fridge, slimme verlichting en ga zo nog maar even door. Maar ook in meer professionele en industriële omgevingen worden steeds meer systemen gekoppeld aan internet.

Naast huis-, tuin- & keukenapparatuur en industriële toepassingen groeit ook het gebruik op andere vlakken, zoals de medische wereld. Slimme apparaten die continu je gezondheid (of ziekte), bloeddruk of hartslag controleren en rapporteren aan je dokter. En apparaten die kunnen reageren of ingrijpen op ontwikkelingen zijn inmiddels continu on-line.

Wat er zo slim is aan sommige van die apparaten blijft geheim; een thermostaat regelt nog steeds gewoon de warmte in huis, de gas- en electrameter worden alleen maar op afstand uitgelezen en je hebt nu Youtube en Netflix direct op je tv. Wat minder slim is, dat hiermee ook allerlei achterdeurtjes kunnen worden opengezet die ook voor andere doeleinden kunnen worden ingezet.

Het Internet-der-Dingen oftewel Internet-of-Things (IoT) maakt een enorme en snelle groei door en men verwacht dat dit in 2020 leidt tot een omzet van meer dan 700 miljard Euro. Volgens een oud gezegde kun je iets snel, goedkoop of goed maken met een keuze uit maar twee opties. Vaak wordt ‘goed’ dan vergeten om de boot niet te missen, want geen fabrikant wil een succes mislopen. Daarom worden nieuwe producten in een rap tempo ontwikkeld en geleverd die eigenlijk nog niet af zijn en vooral op beveiligingsgebied ruimschoots te kort schieten.

Een goed voorbeeld hiervan is Tizen, het door Samsung ontwikkelde besturingssysteem dat wordt gebruikt op smart-tv’s, telefoons en andere slimme apparaten. Deze software lijkt op Linux of Android, maar is op een dusdanige manier opgezet dat zelfs de meest basale en alom bekende security risico’s hierin niet zijn afgedekt. Buffer-overflows, memory-injections en meer, het zit er allemaal nog in en binnenkort zal een Israëlische onderzoeker tijdens een Kasperskey Labs Summit meer dan 40 zero-day kwetsbaarheden in Tizen aantonen. Miljoenen zogezegde ‘slimme’ Samsung apparaten kunnen een groot risico gaan worden wanneer zij voor andere doeleinden dan de oorspronkelijke (tv kijken, vriezen, wassen, brood roosteren) worden ingezet.

Het is de verantwoordelijkheid van de fabrikanten en ontwikkelaars van deze producten om voor een goede beveiliging te zorgen en wellicht om tot nieuwe samenwerkingen en standaarden te komen. Met de kennis van nu over cyber-security, advanced threats, botnets, malware, ransomware en meer zouden de huidige en alle nieuw te ontwikkelen producten toch direct vanaf de ontwerptafel moeten zijn voorzien van de allerbeste beveiliging. Maar helaas spelen de commerciële doelen en de tijdsdruk een te grote rol en wil men graag voorop (blijven) lopen – dit dan ten koste van de security.

De risico’s zijn groot en niet meer alleen denkbeeldig. Eind 2016 legde het Mirai-botnet onder meer Netflix, Twitter en andere online diensten plat en dit botnet bestond voor een groot deel gewoon uit IP-camera’s, digitale video recorders en andere kleinschalige systemen. Toegang tot deze systemen was eenvoudig verkregen door gebruikersnamen en wachtwoorden te raden en de systemen te infecteren met malware. Systemen uit meer dan 160 landen voerden daarna gelijktijdig een DDoS-aanval uit op een DNS-platform waardoor de genoemde diensten onbereikbaar werden.

Overheden spelen een grote rol vanwege het uitblijven van passende initiatieven vanuit de industrie en het risico hiervan voor de samenleving in brede zin. Of het nu gaat om het lampje in de gang, een op afstand regelbare pacemaker of een regionaal WiFi-netwerk, wanneer de security niet vanuit de markt wordt geborgd, dan dient een overheid (wellicht helaas) zelf in te grijpen en passende maatregelen af te dwingen.

Tot het moment IoT-security kan worden gegarandeerd, raden wij u aan om zorgvuldig om te gaan met zogenaamd slimme apparatuur in en om uw huis en uw bedrijf, maar ook op publieke WiFi-netwerken. Realiseer de risico’s en ga er niet te makkelijk en automatisch vanuit dat fabrikanten hun verantwoordelijkheden altijd serieus nemen. Nadenken is iets dat we gelukkig allemaal nog wel kunnen zonder een slimme internet-aansluiting.

“Door de SECWATCHED™-certificering kan men nu aan de klanten laten zien dat het bedrijf vertrouwelijk en integer met de klantgegevens omgaat.”

- Directeur aanbieder Cloud-dienst met meer dan 250 klanten

SecWatch