Hannover Messe Industrie 2016
Serie Internet of Things

IvD-beveiliging: “De markt heeft gefaald”

23-jan-2017

“Het tijdperk van spel en plezier is voorbij,” zegt Bruce Schneier in november 2016 op het Magenta Security Congress in Frankfurt. De Amerikaanse expert op het gebied van IvD-beveiliging en cryptografie is Chief Technology Officer (CTO) bij IBM Resilient. In zijn bestseller 'Data en Goliath: de verborgen strijd om je gegevens te verzamelen en je wereld te beheersen' beschrijft de beveiligingsonderzoeker hoe staten en internetbedrijven ons bespioneren. In het interview vertelt de 53-jarige over het enorme belang van beveiliging voor en door het Internet van Dingen, over een falende markt en over de noodzaak van staatsregulering.

Mijnheer Schneier, op het Magenta Security Congress waarschuwde u ons voor de onbegrensde verbondenheid in het Internet van Dingen. U bent een gevestigd expert op het gebied van IvD-beveiliging. Waarom bent u zo pessimistisch?

“Cyber attacks no longer pose a risk just to data – they also put people’s lives at risk,” says IT security expert Bruce Schneier.
Source: Julian Dodd
We zijn een wereld aan het maken waarin alles met elkaar verbonden is. Deze verbondenheid, connectivity, in het Internet van Dingen bereikt binnenkort zijn top. Het is als een robot met het formaat van de gehele wereld. Maar we zijn ons niet bewust van de gevolgen.

Welke gevolgen moeten we verwachten?

Met het internet heeft de mensheid de meest complexe machine ooit gemaakt. Tot nu toe waren alleen gegevens kwetsbaar voor cyberaanvallen. Maar nu maakt de verbondenheid via het Internet van Dingen (bijvoorbeeld machine-tot-machine-communicatie, M2M) het systeem erg instabiel omdat IvD-beveiliging ernstig veronachtzaamd blijft. Door de integratie van sensoren en actuatoren zijn de gevolgen nu veel gevaarlijker: cyberaanvallen zijn niet langer een bedreiging voor gegevens, maar ze kunnen zelfs mensenlevens in gevaar brengen.

Wat zijn volgens u de grootste problemen met betrekking tot IvD-beveiliging?

Grote bedrijven zoals Microsoft, Google of Apple hebben experts voor IvD-beveiliging om bijvoorbeeld smartphones zo veilig mogelijk te maken. Maar als je een webcam koopt om je baby te monitoren, of een ijskast of thermostaat, dan zal daar geen expert voor de IvD-beveiliging bij betrokken zijn geweest. Een bijkomend probleem is dat deze apparaten minder snel vervangen worden. Terwijl veel gebruikers na slechts twee jaar al weer een nieuwe smartphone aanschaffen, kopen de meeste mensen pas na zo'n vijf jaar een nieuwe ijskast. En veel goedkope apparaten bieden niet eens een updatemogelijkheid. 

Maar mensen kopen toch deze onveilige producten.

Dat klopt, omdat de klant niet nadenkt over de beveiliging van het IvD. Bij een aanschaf denkt de klant over heel andere zaken - wat kost het apparaat en welke functionaliteit biedt het? Uiteindelijk is de klant niet geïnteresseerd of het apparaat onderdeel van een botnet is. Ze worden er immers toch niet direct door getroffen. Zolang het apparaat werkt, is de klant blij. En de producent ook. Geen van beiden zijn geïnteresseerd in IvD-beveiliging. Als het om IvD-beveiliging gaat, heeft de markt gefaald.

Hoe lossen we dit probleem op?

Als de markt faalt, moeten anderen ingrijpen. In de toekomst hebben we echt staatsregulering nodig, niet alleen maar bedrijfsbeleid. In het algemeen grijpt de staat in daar waar een dreiging is. Maar het internet is bijna geheel onaangetast gebleven door zulke regels. De tijd van spel en plezier is over: verbonden apparaten moeten een certificatieproces ondergaan! Dit is al het geval bij potentiële gevaarlijke producten zoals auto's of medische apparatuur.

Zouden nationale regels voor IvD-beveiliging nuttig zijn? Of hebben we internationale nodig?

Ik denk dat nationale regels wereldwijd effectief kunnen zijn. Bij wijze van voorbeeld, als een wet in de VS beveiligingsstandaarden verplicht stelt op routers die het land in komen, zullen producenten uit andere landen ervoor moeten zorgen dat hun producten voldoen aan de vereiste beveiliging om hun producten te kunnen verkopen op de Amerikaanse markt. 

Is staatsregulering afdoende?

Nee het is geen wondermiddel. Cyberaanvallen zullen in de toekomst altijd voorkomen, daar moeten we mee leven. Een systeem zoals het Internet van Dingen kan ook niet 100% beveiligd worden. Een ervaren en gemotiveerde aanvaller met voldoende financiële middelen zal altijd een weg naar binnen weten te vinden. We kunnen ook niet verwachten dat degenen opgepakt worden die achter de DDoS-aanvallen van het Mirai botnet zaten (deze aanval verstoorde de internetinfrastructuur in heel Liberia, red.). Maar als we accepteren dat verbonden apparaten nooit 100% beveiligd kunnen worden, kunnen we tenminste het probleem drastisch verminderen.