Als we het hebben over het Internet of Things (IoT) dan spreken we over alle dingen met een functie in de fysieke wereld, zoals wasmachines en koelkasten, waarvan we hebben bedacht dat het nóg veel handiger is als we ze met het internet verbinden. Dit is echter niet zonder gevaar. Want voor kwaadwillenden is het vaak erg eenvoudig om jouw apparaat te betrekken in een DDoS-aanval. Door gebrekkige beveiliging zijn de meeste IoT-apparaten makkelijk te benaderen. En als ze al een wachtwoord hebben is het er vaak eentje die makkelijk te raden is. Maar wat als jouw koelkast nu door cybercriminelen wordt misbruikt om bijvoorbeeld een site van een bank plat te leggen? Valt jou dan iets aan te rekenen? Of moet er dan bij de fabrikant aangeklopt worden? Ofwel: waar ligt eigenlijk de verantwoordelijkheid voor het beveiligen van IoT-apparaten?
Eerder gaf ik al een aantal tips over wat je zelf kunt doen om je home automation veiliger te maken. Maar wat moet er nu nog meer gebeuren? We kunnen niet van iedereen verwachten dat ze zich bewust zijn van de gevaren van IoT-apparaten of verantwoordelijk voelen om te zorgen dat hun apparaat niet wordt misbruikt voor een aanval. Meestal merk je hier als consument namelijk niets van, behalve dat je in het nieuws ziet dat er weer een DDoS-aanval plaats heeft plaatsgevonden. Ondertussen weet je niet dat jouw webcam hiervoor is misbruikt.
Maatregelen fabrikanten security IoT-apparaten
Enerzijds is het dus ontzettend belangrijk dat consumenten zich bewust worden van de risico’s en weten wat ze zelf kunnen doen. Anderzijds ligt hier ook een verantwoordelijkheid voor fabrikanten en voor de overheid. Het is belangrijk dat er veiligheidsstandaarden komen voor IoT-apparaten en dat goed gedrag wordt gestimuleerd. De overheid heeft hierin een educatieve en regulerende rol . Maar fabrikanten kunnen technisch natuurlijk veel doen. Bijvoorbeeld door te zorgen dat updates altijd gepusht worden, het aanpassen van het standaard wachtwoord op te nemen in de installatieflow en door te zorgen voor de juiste ondersteuning gedurende de levensduur van het product of voor een redelijk aantal jaren. Daarnaast zouden er vereisten moeten zijn voor technische maatregelen in de hardware en software waaraan voldaan moet worden voordat zo’n product op de markt kan worden gebracht.
Dat laatste is op dit moment nog wel een utopie. Want als je hier in de winkel bepaalde goedkope apparaten niet kunt krijgen, dan bestel je ze toch in het buitenland? Dat hiermee de kans groter is dat deze apparaten onveilig zijn, lijkt niemand zich bewust van te zijn. Bovendien zijn er nog geen internationale standaarden die de consument kunnen helpen om in te schatten of ze een veilig product hebben. Hier wordt op het moment hard aan gewerkt, maar dit kan dan ook niet snel genoeg gaan. Apparaten gaan namelijk vaak zeker zo’n 10 jaar mee. Iedereen die nu dus een onveilig apparaat koopt blijft hier lange tijd gebruik van maken en zich blootstellen aan alle bijkomende risico’s voor zichzelf en voor de maatschappij.
Testen IoT-apparaten
Zolang de standaarden nog in ontwikkeling zijn moeten zowel de fabrikanten, als leveranciers en uiteindelijk consumenten actief worden voorgelicht. Hierin kunnen zowel de overheid als beveiligingsbedrijven maar ook fabrikanten die al wat meer volwassen zijn op het gebied van security, een bijdrage leveren. Ook wij proberen ons steentje bij te dragen door het geven van awareness trainingen op het gebied van IoT-security en het testen van diverse IoT-apparaten en omgevingen van onze klanten. Hiermee tillen we de veiligheid van hun producten naar een hoger niveau. Lees hier bijvoorbeeld hoe we de security van een industriële IoT-toepassing hebben getest voor PROCENTEC.
Hopelijk kunnen we met onze kennis en ervaring zorgen dat we de IoT-risico’s substantieel verminderen. Wil je meer weten over onze activiteiten op het gebied van IoT, of ben je benieuwd naar onze visie op specifieke vraagstukken? Neem dan gerust contact met mij op via rdijkxhoorn@computest.nl.