Internet of Trouble

Zorgen over the Internet of Things

The Internet of Things wordt steeds meer alllesomvattend. Het internet dringt steeds dieper onze privésfeer in. Vragen als ‘Hoe veilig is de verbinding waarover alle verzamelde gegevens worden verstuurd?’ ‘Hoe veilig is de cloud waarin deze gegevens worden bewaard?’ ‘Mag de aanbieder mijn gegevens aan derden verkopen?’ en ‘Hoe betrouwbaar is het authenticatiesysteem waarmee de gebruiker zich aanmeldt bij de gegevens?’ dringen zich steeds nadrukkelijker op. Het zijn zaken waarover de meeste ontwikkelaars van smart-apparaten en veel consumenten onvoldoende nadenken.

Dat de zorgen over the Internet of Things terecht zijn, is in de afgelopen maanden wel gebleken. Voorbeelden zijn de 1,4 miljoen Jeeps die Fiat Chrysler terugriep nadat bleek dat een hack van het met het internet verbonden entertainmentsysteem de hele controle van de auto uit handen gaf aan derden en de fitnessarmband Fitbit waarop via bluetooth een stukje programmeercode kan worden geïnstalleerd. Sommige industrieën beginnen de ernst van de situatie langzaam in te zien. Zo worden steeds vaker ethische hackers door de automotive-industrie ingeschakeld om met PEN-tests na te gaan hoe hackbestendig technologieën zijn. Dat is een goede ontwikkeling, maar vrijblijvend (het is op eigen initiatief van fabrikanten) en beperkt.

Het wordt tijd dat er standaarden worden opgesteld die door alle fabrikanten van smart-technologieën dienen te worden gerespecteerd. Een onafhankelijk orgaan dat audits uitvoert en de macht heeft om de verkoop van onveilige producten te verbieden, lijkt daarbij onontbeerlijk.

Internet of Trust

In die richting denkt ook de Online Trust Alliance, een samenwerkingsverband van IT-security en technologiebedrijven dat momenteel werkt aan ‘the Internet of Trust Framework’. Dit raamwerk wil een richtlijn bieden aan fabrikanten en ontwikkelaars om het aantal en de omvang van aanvalsvectoren te verkleinen en het aantal zwakke plekken te minimaliseren. Daarnaast probeert de organisatie verantwoorde omgang met privacy en data te bewerkstelligen en van security een ‘state of mind’ te maken bij fabrikanten en ontwikkelaars. ‘Privacy & Security by Design’ moet het model worden van een in te voeren bindende gedragscode.

‘Privacy & Security by Design’ moet het model worden van een in te voeren bindende gedragscode

Wachtwoordkwaliteit

Een ander aspect waarbij veiligheid voorop moet komen te staan zijn de apps van het IoT. Hiermee worden de gemeten gegevens toegankelijk gemaakt voor de gebruiker. Ze bieden vaak een gemakkelijke optie voor cybercriminelen om aan gegevens te komen, omdat er slecht over security is nagedacht. Authenticatie is soms slechts éénmalig nodig, als er überhaupt al met een wachtwoord gewerkt wordt. Aan de kwaliteit van wachtwoorden worden meestal te weinig eisen gesteld. Dit soort apps, met veel privé-data, moet veel veiliger worden ontwikkeld. Want dat gegevens de moeite waard zijn voor cybercriminelen is al gebleken toen wij de Vicepass Trojan ontdekten. Deze trojan gaat op zoek naar alle wachtwoorden van alle IoT-apparaten die binnen het netwerk te vinden zijn.

Gebruikers moeten ook alerter zijn op de security-issues rondom IoT. Zij moeten hun smart devices met sterke wachtwoorden beveiligen en de apparaten zoveel mogelijk uitzetten wanneer deze niet worden gebruikt. Verder is het belangrijk dat gebruikers niet klakkeloos akkoord gaan met de gebruiksvoorwaarden. Het gedeelte over de opslag en verwerking van de verzamelde gegevens moet goed worden doorgenomen. En dan volgt de vraag: Zijn die voorwaarden wel echt aanvaardbaar?

Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 1-2016