Het nieuwe jaar was nog maar een week oud toen het AD berichtte dat beveiligingsexperts waarschuwen voor toenemende cyberaanvallen door botnets in 2018. Dat zijn netwerken van geïnfecteerde internet of things apparaten, zoals slimme thermostaten en bewakingscamera’s. Dat de beveiliging van deze apparaten niet optimaal is – om het maar voorzichtig uit te drukken – weet u natuurlijk al. Afgelopen jaar is aan deze problematiek immers uitgebreid aandacht besteed.
Er is sprake van onwetendheid, onbekwaamheid en onkunde
Om uw geheugen nog even op te frissen, de belangrijkste conclusie was dat producenten en consumenten zich eigenlijk geen zorgen maken om de beveiliging van de ‘things’. Marcel Krom (lid Cyber Security Raad) zegt hierover het volgende: “Veel bedrijven zijn zich onvoldoende bewust van de verplichte beveiliging van producten en diensten waarin digitale componenten zijn verwerkt. Producenten willen snel nieuwe producten op de markt brengen en beseffen dan niet dat bijvoorbeeld een koelkast, cv-ketel, wasmachine of auto die met software wordt bediend een cyberrisico meebrengt. Er is sprake van onwetendheid, onbekwaamheid en onkunde. Tegelijkertijd zijn gebruikers zich niet altijd bewust van de risico’s van het Internet of Things.”
Hoe nu verder? Want dat er iets moet gebeuren is overduidelijk. Het aantal IoT apparaten groeit naar meer dan 20 miljard in 2020 en botnet dreigingen zijn serieus – Mirai hebben we achter de rug, Reaper hangt boven de markt. Uiteraard is er dan een belangrijke rol weggelegd voor de overheid, schreef ik vorig jaar. En ook de beveiligingsexperts in het AD roepen de overheid op om maatregelen te nemen om de veiligheid te vergroten, bijvoorbeeld door het uitgeven van certificaten. Een aanbeveling die de Cyber Security Raad een week later nog eens dunnetjes overdeed in het aan de regering overhandigde adviesrapport ‘Naar een veilig verbonden digitale samenleving’. Maar dat neemt niet weg dat ook producenten van IoT apparaten eindelijk hun verantwoordelijkheid moeten nemen als het gaat om de beveiliging ervan en dat consumenten zich bewust moeten worden van de risico’s. De tijd van naar elkaar kijken en wijzen is voorbij. Als we nu niet gezamenlijk in actie komen dan is de eerste ‘black out’ niet ver weg.
> Lees ook ‘Onveilige things’ (1)
> Deze column leest u ook in Security Management nummer 1/2, klik hier voor meer blogs van Arjen de Kort