Op grote snelheid groeit momenteel het Internet of Things. Maar erg goed voorbereid daarop zijn we niet. Vooral de beveiliging laat erg te wensen over. Dat bleek gisteren tijdens het congres De Slimme Wereld van NRC Live in Rotterdam. Cruciale infrastructuur is soms alleen beveiligd met het standaard wachtwoord van de fabrikant. En speelgoed met een internetverbinding wordt eenvoudig gehackt, waardoor namen en foto’s van kinderen op straat komen te liggen.


Je mobiele telefoon maakt er deel van uit; net als je smartwatch, je slimme thermostaat, je router en je smart tv. Steeds meer apparaten hebben een verbinding met het internet en zo ontstaat langzamerhand een Internet of Things. Dat is vaak reuzehandig, want via internet kun je – bijvoorbeeld met je smartphone – al die verschillende apparaten op afstand bedienen.

Die groei van het Internet of Things gaat steeds sneller. Verwacht wordt dat in 2020 al 30 miljard grotere en kleinere apparaten verbonden zullen zijn. Niet alleen elektronische hulpmiddelen, maar ook talloze kleine sensoren die onzichtbaar zijn, maar die belangrijke grootheden monitoren, bijvoorbeeld de klimaatregeling in gebouwen of crowd management op straat.
 

Onvoorbereid

Dit alles moet ons  veel gemak opleveren (lees het dossier De Slimme Stad), maar wat bij het congres De Slimme Wereld, gisteren gehouden door NRC Live in Rotterdam, vooral naar voren kwam, is hoe onvoorbereid we zijn op dat gigantische netwerk van verbonden apparaten en apparaatjes.

Het grootste probleem is de beveiliging van al die verbindingen. Of liever, het totale gebrek daaraan. Dat kwam onder meer naar voren tijdens een paneldiscussie tussen Mary-Jo de Leeuw van het platform Internet of Toys, Max Remerie van het Nationaal Cyber Testbed en Tweede Kamerlid Kees Verhoeven van D66.
 

Speelgoed

De interactieve pop Cayla, die geluid opneemt,
maar slecht beveiligd bleek te zijn.

De Leeuw kaart de problemen aan die er zijn met connected toys, speelgoed dat aan het internet hangt. Dat is hartstikke leuk, maar de fabrikanten van die poppen en kindercomputertjes doen vaak nauwelijks hun best om die internetverbinding fatsoenlijk te beveiligen.

Ze vertelt over de hack van Vtech, waarbij hackers zich toegang verschaften tot de servers van het Chinese speelgoedbedrijf. Daarmee hebben ze toegang tot de gegevens van honderdduizenden kinderen, zoals wachtwoorden, chatgesprekken (met hun robotje) en foto’s. ‘De houding van speelgoedbedrijven is: wij maken speelgoed en cyberveiligheid is niet onze eerste prioriteit’, zegt De Leeuw. Het frustreert haar dat ze bij diverse instanties bot vangt wanneer ze weer eens een zwak punt van een speelgoeditem aankaart. ‘Een sticker met een duidelijk waarschuwing op de doos zou al voor een deel helpen.’
 

Overheid moet afdwingen

Parlementslid Verhoeven merkt op dat er in de Kamer zelden wordt gesproken over cyberveiligheid. Hij neemt in de discussie wel een duidelijk standpunt in: ‘Bedrijven gaan in sommige sectoren uit zichzelf laks om met de beveiliging, want ze zijn vaak alleen maar geïnteresseerd in winst maken. Dan moet de overheid maar bepaalde dingen afdwingen, vinden we bij D66. Wij proberen dat in het regeerakkoord te krijgen.’
 

FCC als voorbeeld

Strengere regels dus, met als sanctie dat een nieuw product in Nederland niet mag worden verkocht. Dat roept de vraag op hoe je dat gaat handhaven. Verhoeven: ‘Wij zijn voor een Europese toezichthouder die apparaten kan weren van de markt, zoals in de VS de FCC dat doet.’ Deze Federal Communications Commission is  verantwoordelijk voor alle regelgeving rond telecommunicatie, waaronder internet en radio-, televisie-, kabel- en satellietcommunicatie.
 

Open source

Remerie van het Nationaal Cyber Testbed constateert dat de softwareontwikkeling zo snel gaat, dat het maken van een goede beveiliging nauwelijks is bij te benen. Daarom zou er meer geld moeten gaan naar open source softwarebeveiliging. Dat zijn alle drie de panelleden met elkaar eens. De eindconclusie: leg bedrijven strengere regels op en investeer in open source softwarebeveiliging. En als relativering: 100 % beveiliging is een illusie (lees ook: ‘Cyberspace nooit 100 % veilig’).

 

Kwetsbaar Internet of Things

Als afsluiting van NRC Live De Slimme Wereld nam specialist Omri Sagron zijn publiek mee langs de beginselen van het hacken. Sagron is specialist cyberveiligheid bij Comsec Consulting en werkte eerde bij het ict-centrum van het Israëlische leger.

Hij liet zien hoe de controllers van zonnepanelen of windturbines via een speciale zoekmachine voor IoT-apparaten, Shodan, te vinden zijn. Als je bij een inlogschermpje van het apparaat vervolgens het juiste wachtwoord kunt gokken (bijvoorbeeld het standaardwachtwoord van de fabrikant, vaak iets als: "password"), ben je binnen. Nog minder moeite kost het om via Google met het web verbonden camera's te vinden die bijvoorbeeld in babyfoons zitten. Veel mensen hebben geen idee dat hun privébeelden onbeveiligd op internet staan.

Sagron liet zien waarom juist het Internet of Things (apparaten die met internet zijn verbonden) zeer kwetsbaar is voor aanvallen. De meest fundamentele reden is het feit dat bij het IoT alles met alles is verbonden. Terwijl een goede beveiliging er juist om vraagt om die verbondenheid zo laag mogelijk te maken; elke connectie is immers een route om via aan te vallen.

Verder moeten IoT-apparaten vaak energiezuinig zijn en daarom hebben ze geen sterke processor aan boord. Daardoor kan het apparaat geen software draaien die een tegenmaatregel tegen hacken of virussen kan vormen. Ook zijn veel apparaten in het IoT oud, waardoor ze niet erg veilig zijn ontworpen en ze lastig of niet te updaten zijn. Daarnaast wreekt het zich dat er te weinig experts zijn op het gebied van IoT-beveiliging. ‘Cyberwarfare – bijvoorbeeld via het hacken van cruciale infrastructuur – is hierdoor een erg asymmetrische manier van oorlogsvoering: met een kleine handeling kun je grote problemen veroorzaken, met behoorlijk wat bijkomende schade’, aldus Sagron.