Bron: De Volkskrant, 3 november 2017
Het moet een merkwaardige ervaring zijn voor de toevallige passant van de straatlantaarn in Kopenhagen die aan en uit en aan en weer uit gaat. De oorzaak is geen defect, maar Bas Boorsma, die in een Amsterdams kantoor achter zijn laptop zit. Boorsma werkt bij computernetwerkconcern Cisco en daar houdt hij zich onder meer bezig met de ontwikkeling van wat de slimme stad wordt genoemd. Op afstand bedienbare straatverlichting geldt als een schoolvoorbeeld in het genre.
Slimme lantaarnpalen
Straatverlichting is een van de eerste zaken waar lokale overheden naar kijken als ze hun stad ‘slim’ willen maken, zoals Stuttgart, dat 20 duizend lantaarnpalen online wil zetten. Onlinelantaarnpalen zijn volgens makers ervan nuttig en handig, omdat de lokale overheid een gebied tijdens een evenement of calamiteit in de avond extra goed kan verlichten. Een slimme lantaarn kan juist weer minder fel branden als er niemand op straat is, waardoor hij bespaart op energiekosten. En de beheerder weet direct welke lampen stuk zijn.
Nieuw is het bedienen van apparaten via internet allerminst. Gewone stervelingen kunnen hun lampen thuis al jaren op afstand bedienen met bijvoorbeeld verlichtingssystemen van Philips of (van iets recenter datum) Ikea. Voor thuis zijn er al slimme thermostaten, deurbellen, luiers, camera’s, verkeerslichten, vibrators, kleding, waterkokers, sluizen en de bekende broodroosters: ze worden allemaal smart. En het wordt Alleen. Maar. Meer.
Op exploderen
Het Internet of Things, ofwel Internet der Dingen, kortweg IoT, staat nu echt op exploderen, denken ict-analisten. Omdat het steeds goedkoper wordt om apparaten te voorzien van een internetverbinding en de voordelen groot zouden zijn. De voorspellingen over de groei van IoT zijn wild: in 2025 zullen volgens onderzoeksbureau IDC 500 miljard apparaten online zijn, per aardbewoner 65 stuks. Concurrent Gartner denkt dat over drie jaar 95 procent van alle nieuwe elektronica ‘IoT-gereed’ is. Nu al zijn er meer onlineapparaten dan mensen: ongeveer 9 miljard. Het gaat dus allang niet meer om een paar straatlantaarns in een hippe Scandinavische stad. De wereld ís al verbonden.
En dit is nog maar het begin: ‘We gaan alles met alles verbinden. En dan bedoel ik letterlijk alles’, zei de hoogste baas van Cisco Chuck Robbins afgelopen voorjaar in Londen, tijdens een congres over IoT. Auto’s gaan met auto’s praten, en met stoplichten en verkeersborden. Het gewas op de akkers praat met de irrigatiecomputer. De zeecontainer praat met de haven van aankomst en de verlader die de vracht verder het achterland in zal transporteren. De wereld wordt een groot netwerk van apparaten die data met elkaar uitwisselen en op basis daarvan automatische beslissingen nemen.
Voorbeeld: de zonnepanelen op uw dak zullen communiceren met de ledlamp van de buren en het gebruik direct afrekenen in een virtuele munt als bitcoin, zonder dat u of de buurman er verder omkijken naar heeft.
Spannend. En verontrustend. Want nu is het nog zo dat de meeste apparaten die online gaan op een of andere manier verbonden zijn aan een menselijke eigenaar. Uw laptop, desktop of smartphone heeft u doorgaans bij de hand en meestal hebt u aardig zicht op wat ermee gebeurt. Dat geldt misschien ook nog voor de vijf internetlampen die thuis met een app worden bediend. Maar als straks 500 miljard apparaten verbonden zijn, is het een illusie dat mensen dit netwerk nog kunnen managen.
Dit betekent een geweldige uitdaging. Want alles wat op internet zit, is in de basis onveilig, stelt marktonderzoeksbureau Gartner. Om al die IoT-apparaten veilig te houden, zullen ze geregeld voorzien moeten worden van nieuwe software, als die er überhaupt al voor verschijnt. ‘Het onvermogen om updates uit te voeren’, waarschuwt de marktvorser, ‘kan resulteren in het massaal terugroepen van producten.’
Updates
Want hoe weet je dat er een update voor de deurbel beschikbaar is? Hoe moet die update worden geïnstalleerd? Van antivirussoftware heeft diezelfde deurbel ook nog nooit gehoord. Gartner schat dat tegen 2022 maar liefst de helft van alle veiligheidsbudgetten voor IoT op gaan aan paniekvoetbal, zoals het terugroepen van producten. En dat gaat weer ten koste van de daadwerkelijke beveiliging.
IoT-apparaten zijn hoe dan ook een makkelijk doelwit. Het zijn er lekker veel én ze zijn vaak slecht beschermd tegen de boze buitenwereld. Onbeveiligde apparaten worden gemiddeld binnen twee minuten aangevallen en gekaapt door cybercriminelen, constateert Symantec. ‘De beveiliging van veel IoT-apparaten is helaas nog altijd beroerd’, zegt Candid Wüest, onderzoeker bij het bedrijf.
Voorbeelden van waar het mis gaat, zijn er te over. Vorig jaar verspreidde de Mirai-worm zich over maar liefst 380 duizend apparaten als routers en camera’s. Dit netwerk werd gebruikt om DDoS-aanvallen mee uit te voeren, zodat hele delen van het internet werden lamgelegd. Het uitvoeren van zo’n aanval is kinderspel. Wie een beetje thuis is op het dark web koopt voor een habbekrats een pakketje om een doelwit plat te leggen. ‘Het illustreert de fundamentele ongelijkheid in de cybersecurity: het kost veel en veel meer tijd om een lek te ontdekken dan om het te misbruiken’, zegt ethisch hacker Ruben van Vreeland.
Troep op de markt
Eén ding is duidelijk, aldus de bekende veiligheidsexpert Mikko Hypponen dit jaar op The Next Web-conferentie: de consument gaat het probleem niet oplossen. ‘Die neemt gewoon niet de moeite het standaardwachtwoord aan te passen.’ Omdat niemand nu eenmaal de handleiding leest, zegt Hypponen. ‘Dat deden we al niet bij onze eerste videorecorder, waardoor de cijfertjes voor altijd op 12.00 bleven knipperen.’
Als de consument – zeg maar u – zich al niet geroepen voelt, wie ruimt de rommel dan wel op, vraagt Laurence Pitt, veiligheidsdirecteur bij Juniper Networks zich retorisch af. ‘Er komt veel IoT-troep op de markt. Allemaal onbeveiligd, omdat niemand zich verantwoordelijk voelt. De fabrikant hoeft zich nergens aan te houden, behalve dat zijn apparaat niet spontaan in brand vliegt.’
Stel je voor: een netwerk van apparaten die met elkaar communiceren waarvoor niemand zich verantwoordelijk voelt. Met de exponentiële groei van IoT lijkt een cyberramp haast onontkoombaar.
Blockchain
Beveiliging van het netwerk en alle apparaten die eraan hangen, plus het bewaken van de integriteit van data die al die apparaten produceren: dat wordt de belangrijkste uitdaging voor IoT, zeggen netwerkexperts daarom. Neem de zelfrijdende auto. Die produceert enorme hoeveelheden data, en ontvangt gegevens van andere auto’s, maar ook van stoplichten. Hoe weet je zeker dat een seintje van een stoplicht (‘Ik sta op groen’) echt afkomstig is van het stoplicht bij de kruising waar de autonome auto op af koerst? Hoe weet je zeker dat het niet van een ander stoplicht komt, of nog erger, dat het komt van de laptop van een hacker die zich voordoet als het stoplicht bij de kruising?
Blockchain kan uitkomst bieden, stelt Gill Pratt, hoofd van de onderzoeksafdeling autonoom rijden van Toyota in San Francisco. Blockchain is de technologie die schuilt achter bijvoorbeeld bitcoin. Een blockchain is een keten van versleutelde transacties die over duizenden computers wordt verspreid en wordt gezien als een veilige methode om onlinetransacties vast te leggen en inzichtelijk te maken. Doordat niemand ongezien wijzigingen kan aanbrengen in een blockchain, wordt het concept beschouwd als een van de bouwstenen voor de beveiliging van IoT. ‘Transacties’ zijn hierbij een breed begrip: de mededeling ‘ik ben groen’ door een stoplicht, kan een blockchaintransactie zijn. Doordat er niet mee geknoeid kan worden, kan blockchain helpen bij de beveiliging van de volledig autonome auto, aldus Pratt, die onlangs sprak op een bijeenkomst van Toyota in het Belgische Zaventem.
Microbetalingen
De Canadese auteur van boeken over IoT, Don Tapscott, wil het nog wel wat scherper formuleren: ‘Blockchain is de grootste innovatie in de computerwetenschappen van de afgelopen decennia.’ Tot nu toe was internet een grote fotokopieermachine, stelt Tapscott, ook aanwezig op het Londense IoT-congres. Neem dit voorbeeld: als u een foto naar een kennis mailt, verstuurt u een kopie. Het origineel blijft op uw smartphone of desktop staan. Voor waardetransacties is dat niet werkbaar: als u een digitale euro zou mailen, blijft ook dan het origineel op uw computer staan. Voor waardetransacties gebruiken we daarom nu banken, notarissen, tussenpersonen die we vertrouwen. Maar deze instanties zijn niet inzetbaar voor minieme bedragen, bijvoorbeeld als een ledlamp een paar microcent moet afrekenen voor het gebruik van de stroom van het zonnepaneel van de buren.
Dit kan nu niet via de bank. Maar met een cryptomunt die gekoppeld is aan blockchaintechnologie kunnen wel microbetalingen worden gedaan, omdat cryptomunten tot oneindig kleine bedragen zijn op te splitsen en blockchain ervoor zorgt dat betalingen veilig zijn. Door blockchain verandert het internet van een informatienetwerk in een netwerk van waarde, stelt Tapscott. De technologie zal daarom volgens hem de basis vormen van het allesomspannende Internet of Things.
Lokale data
Het is twijfelachtig of straks 500 miljard apparaten via blockchain met elkaar gaan communiceren, alleen al omdat de computerkracht die nodig is om al die blockchains te verwerken, onhaalbaar lijkt. Veel apparaten in het netwerk zullen daarom kwetsbaar blijven voor aanvallen.
Het netwerk moet daarom slimmer worden, zegt Boorsma van Cisco. ‘Vroeger was het netwerk dom en zat de intelligentie bij datacentra’, zegt hij. Dat betekende dat de data eerst centraal verzameld werd voor die kon worden geanalyseerd. Maar veel data blijft lokaal en hoeft helemaal niet naar een datacentrum in de cloud. ‘Neem een autonome auto. Die genereert gigabytes aan data die alleen op dit moment van belang zijn en nooit verder verspreid hoeven te worden’, zegt Boorsma. Zo scant de lidarradar op het dak de omgeving. Op basis van zijn data bepaalt de centrale boordcomputer of er sprake is van een boom of een lantaarnpaal of een voetganger, en past zijn rijgedrag daar op aan. Dat levert containers vol data op, die de auto nooit verlaten en die een paar seconden later alweer waardeloos zijn. ‘De meeste data zijn hyperlokaal’, zegt Boorsma. ’99 procent van alle gegevens blijven op hun plek. Die wil je niet opslaan.’ Alleen gegevens die langer bewaard moeten worden, of in een groter geheel worden geanalyseerd, worden uitgefilterd en verstuurd. De rest vervliegt meestal snel in de ijle cyberlucht.
Vertificaten
Niet alle data hoeft dus te worden gemonitord en geanalyseerd, maar het aantal apparaten dat in verbinding staat met internet of een ‘eigen’ netwerk, zal de komende jaren flink groeien. Ongelukken die daarbij nu al gebeuren, zullen in aantal toenemen als deze apparaten of het netwerk waarop ze verkeren, niet beter worden beveiligd.
Ook de politiek maakt zich in toenemende mate druk om de risico’s van alle niet- of slecht beveiligde apparaten. In Nederland pleit Kees Verhoeven van D66 al enige tijd voor een keurmerk voor IoT-apparaten. Deze roep heeft zijn weerklank gevonden in het kersverse regeerakkoord. Onderdeel van de cybersecurityagenda is het streven om ‘standaarden voor Internet of Things-apparaten’ vast te leggen waaraan de fabrikanten zich moeten houden.
Op Europees niveau wordt hier overigens al langer over nagedacht. Zo moet het Europese agentschap voor cyberbeveiliging een EU-brede certificeringsregeling gaan bedenken en invoeren. Dit is vergelijkbaar met etiketten op voeding waarop consumenten vertrouwen voor veilig eten. Op dezelfde manier zullen deze nieuwe Europese cyberveiligheidscertificaten de betrouwbaarheid moeten waarborgen van de miljarden apparaten die kritieke infrastructuur aansturen, zoals energie- en vervoersnetwerken, maar ook van nieuwe consumentenproducten. Het zal echter nog wel even duren voordat deze door alle lidstaten erkende certificaten op auto’s, broodroosters, deurbellen en zonnepanelen zijn geplakt.
Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit ziet haken en ogen aan zo’n keurmerk. ‘De functionaliteit van deze apparaten is zo breed dat het lastig is vast te leggen waar beveiliging aan moet voldoen’, zegt hij. Bij een waterkoker is een keurstempel niet zo ingewikkeld: die moet niet in brand vliegen en mag niet zomaar onder stroom komen te staan. Bovendien liggen de functies min of meer vast. ‘De afgelopen vijftig jaar zijn er niet zo veel ontwikkelingen geweest op het gebied van waterkokers’, zegt Jacobs. Kema-keur erop, TÜV-sticker ertegenaan, klaar.
Iets vergelijkbaars gold tot voor kort bij auto’s. Toezichthouders als de RDW hoefden lange tijd slechts de mechanische functionaliteit af te lopen en te testen in een lab of het voertuig daaraan voldeed. ‘Tegenwoordig zijn auto’s computers op wielen en zie je dat de RDW grote moeite heeft de veranderingen bij te benen’, zegt Jacobs. Dieselgate is daarvan een voorbeeld: door software werd het voor autofabrikanten mogelijk te rommelen met de uitstoot van hun diesels.
Er is nog een nadeel aan het vastleggen van eisen: fabrikanten worden er gemakzuchtig van, denkt de hoogleraar. ‘Dan vinken ze hun lijstje af en hebben ze voldaan aan hun plicht.’ De overheid moet dan constant de vinger aan de pols houden. ‘Je kunt de verantwoordelijkheid beter bij de producent houden.’
Zorgplicht
In plaats van een keurmerk kan de overheid wel minimumeisen opstellen, zegt de hoogleraar. Bijvoorbeeld de eis dat de software van IoT-apparaten geüpdatet kan worden. ‘Maar dan kom je weer bij de vraag: hoelang?’ Van een koelkast wil je dat die misschien wel twintig jaar kan worden voorzien van nieuwe software, want zo lang kan hij mee gaan, zegt Jacobs. ‘Maar moet dat dan ook gelden voor een speelgoedpop?’
Jacobs pleit liever voor een zorgplicht. ‘Bij dit soort apparaten zie je vaak dat sprake is van wat in juridische termen kennisasymmetrie wordt genoemd: de verkopende partij heeft veel kennis, de kopende weinig.’ Vergelijk het met een bank die je een rot financieel product verkoopt, zegt hij. Die kun je dan aansprakelijk stellen. Met goedkope elektronica vol software is echter het probleem dat veel van deze spullen afkomstig zijn uit landen waarop Nederland of Europa weinig juridisch vat hebben, erkent de hoogleraar.
Er is, weet Jacobs, nog een probaat middel om fabrikanten te dwingen hun producten goed te beveiligen: naming and shaming. ‘Nagel bedrijven die een potje maken van beveiliging aan de schandpaal. Dat is heel effectief gebleken.’
Internet of Things-hacks
2017 Beveiligingsbedrijf Check Point ontdekt een lek in de Hom-Bot robotstofzuiger van LG. Een aanvaller kan de ingebouwde camera overnemen, maar ook de controle over andere aangesloten slimme LG-apparaten verkrijgen, zoals koelkasten en airco’s.
2016 De Mirai-worm infecteert bijna 400 duizend kwetsbare IoT-apparaten. De apparaten worden ingezet om DDoS-aanvallen uit te voeren op websites, waardoor een flink deel van het Amerikaanse internet urenlang plat gaat.
2016 Zo’n tachtig beveiligingscamera’s van Sony blijken achterdeurtjes te hebben zodat aanvallers de controle kunnen overnemen, ontdekt cybersecuritybedrijf SEC Consult. Kort hierna blijkt ook een smartcam van Samsung lek.
2017 Speelgoedmaker Spiral Toys blijkt zijn digitale teddyberen niet goed te hebben beveiligd. Miljoenen gesprekken die door deze zogenoemde Cloudpets zijn opgenomen, blijken te kunnen te worden afgeluisterd door kwaadwillenden. Het vinden van de teddyberen is een fluitje van een cent via Shodan, de fameuze zoekmachine voor onbeveiligde IoT-apparaten.
2016 Op de hackersconferentie Def Con in Las Vegas tonen twee experts aan dat ook sekstoys kwetsbaar zijn. Doelwit is de We-Vibe 4 Plus vibrator, die van afstand kan worden bestuurd. Ook door hackers, zo blijkt. De hackers ontdekten ook dat de vibrator informatie over het gebruik naar de fabrikant stuurt.
2016 De slimme lampen van Osram zijn lek, ontdekken onderzoekers van Rapid7. De app waarmee de lampen worden bediend slaat het wachtwoord van het thuisnetwerk onversleuteld op. Hackers kunnen zo eenvoudig toegang tot het wifinetwerk verkrijgen. Een ‘elementaire fout’, aldus de onderzoekers. Maar wel een die nog altijd wordt gemaakt.
2017 Beveiligingsexpert Willem Westerhof van het Haarlemse ITsec ontdekt dat zonnepanelen van afstand kunnen worden overgenomen, waardoor mogelijk grote delen van het stroomnet platgelegd kunnen worden.
2015 Twee hackers laten aan techmagazine Wired zien dat de bediening van een Jeep Cherokee van afstand kan worden overgenomen. Zij slagen erin de firmware van de boordcomputer te herschrijven en er kwaadaardige code in te zetten. Daarna kunnen ze op afstand de aandrijving stilleggen en de ruitenwissers, de radio en de airco bedienen. De fabrikant is genoodzaakt 1,4 miljoen auto’s terug te roepen.