Het is slecht gesteld met de beveiliging van draadloze netwerken in Amsterdam. Dat heeft cybersecurity-specialist James Lyne vandaag aangetoond toen hij de hoofdstad aandeed tijdens zijn World of Warbiking-tournee. Op zijn speciaal geprepareerde racefiets testte Lyne de draadloze veiligheid van bedrijven, woningen en mobiele apparaten. Van de 14.213 draadloze netwerken die hij al fietsend onderzocht, was maar 33% afdoende beveiligd. Bijna 45% heeft helemaal geen beveiliging.
Nauwelijks beveiligd
James Lyne is Global Head of Security van Sophos en inmiddels wereldwijd boegbeeld van de cybersecurity. Tijdens zijn World of Warbiking-tour onderzoekt hij de wi-fi-veiligheid; eerder in San Francisco, Hanoi, Sydney en Londen en nu in Amsterdam. Met wi-fi scanners, access points en GPS-ontvangers op zijn fiets, scant hij de beveiliging van de duizenden wi-fi-netwerken in de stad en test hij het gedrag van mobiele internetters. Hij noemt de resultaten in Amsterdam alarmerend. Lyne: "Er zijn schrikbarend veel draadloze netwerken niet of nauwelijks beveiligd. Het is bijna een open uitnodiging aan kwaadwillenden om misbruik te maken van die onveiligheid. Ondanks de jarenlange waarschuwingen van overheden en bedrijven, nemen bedrijven en particulieren online veiligheid onvoldoende serieus."
Iets beter
Lyne scande in de twee uur dat hij door Amsterdam fietste 14.213 draadloze netwerken. Daarvan is 43% open toegankelijk, zonder beveiliging. 4% is beveiligd via Wired Equivalent Privacy (WEP), waarvan al jaren bekend is dat het eenvoudig te omzeilen is. 19% is beschermd via Wi-Fi Protected Access (WPA) – inmiddels ook een achterhaald protocol. Slechts 33% van de beveiliging voldoet aan de huidige beveiligingsstandaarden (WPA2). In San Francisco, Hanoi, Sydney en Londen kwamen vergelijkbare resultaten naar voren, al doet Amsterdam het wel iets beter dan Londen waar slechts een kleine 20% van de netwerken goed beschermd was.
Internet of Things
Volgens Lyne is netwerkbeveiliging met de opkomst van het Internet of Things van levensbelang, zeker nu het niet alleen gaat om gegevens die mensen bewust versturen, maar om grote hoeveelheden data die apparaten en servers automatisch onderling uitwisselen zonder tussenkomst van menselijk handelen. Als cybercriminelen de communicatie tussen apparaten onderling en tussen apparaten en servers kunnen onderscheppen, krijgen ze de beschikking over een massa waardevolle gegevens. Het gaat dan bijvoorbeeld om persoonlijke gegevens van klanten en om procesinformatie.
Onvoldoende bewust
Op verschillende plekken in Amsterdam zette Lyne zelf ook een open draadloos netwerk op. Binnen enkele seconden maakten Amsterdammers hiermee verbinding zonder zich te bekommeren over de veiligheid van die verbinding. Lyne kon zien dat zijn netwerk niet alleen gebruikt werd voor Facebook, Twitter en webmail, maar ook voor online bankieren. "Kennelijk zijn mensen zich onvoldoende bewust van wat je prijsgeeft via een onbekende Wi-Fi-verbinding. Ik had niet alleen wachtwoorden en saldo-informatie kunnen inzien, maar ook zelf bankhandelingen kunnen verrichten. Dat heb ik niet gedaan – ik ben binnen de grenzen van het wettelijk en moreel toelaatbare gebleven. Maar anderen houden zich niet aan die grenzen."