We zitten midden in een digitale transformatie dankzij de mogelijkheden van big data, de cloud, mobiele technologie, sociale media, kunstmatige intelligentie en het Internet of Things (IoT). Het IoT schept economische kansen en helpt onze steden om slim te worden. Echter datzelfde IoT maakt onze gedigitaliseerde infrastructuur kwetsbaar en vergroot de kans op cybercriminaliteit en zelfs op black-outs. Wachten we op ‘vadertje staat’ voor de oplossing of laten we dit over aan de markt? Aan steden? Of pakken we dit samen op?
Nederland staat bekend om haar uitstekende logistiek en infrastructuur en haar strategische positie binnen de Europese Unie en heeft de ambitie de ‘Digital Gateway to Europe’ te worden. Nederland heeft een goed functionerende en state-of-the-art digitale infrastructuur en een levendige IT-sector die toponderzoek doet. Er is goede samenwerking tussen bedrijven, overheid en kennisinstellingen op het gebied van innovatie. De samenleving omarmt nieuwe ICT-ontwikkelingen in hoog tempo.
Internet of Things
Het Internet of Things speelt hierin inmiddels een rol, of zal daarin de komende jaren een rol gaan spelen. Zo worden er data verzameld via sensoren (bijv. temperatuur in de woonkamer of je hartslag), worden deze data verwerkt en komt een computer via slimme algoritmes met een besluit om al dan niet tot actie over te gaan (bijv. de verwarming lager of bij een hartritme afwijking een SMS/App naar de patiënt).
IoT speelt grote rol bij Smart Cities
Een specifiek voorbeeld van een omgeving waar IoT een vlucht neemt is Smart Cities. In vrijwel alle grote steden, zowel in Nederland als wereldwijd, lopen projecten om steden ‘smart’ te maken zodat ze veiliger, duurzamer, gezonder, prettiger en bereikbaarder worden. In deze transitie is een grote rol voorzien voor IoT en vooral voor de data die deze IoT levert. Via sensoren in bijvoorbeeld lantarenpalen kunnen zaken als luchtkwaliteit maar ook risico’s op rellen worden gemeten waarop mogelijk de politie wordt geïnformeerd dan wel de verlichting van de lantarenpaal wordt aangepast zoals we nu al zien bij een proef in Eindhoven.
DDoS-aanvallen op ’things’
Kijken we naar het ‘Internet of Things’, dan kunnen de ‘things’ zelf onderdeel worden in bijvoorbeeld DDoS-aanvallen (distributed denial of service attacks). In oktober 2016 werd DYN, een tot dan toe voor velen onbekende internet service provider, het slachtoffer van zo’n DDoS-aanval door de inzet van slimme camera’s. De dienstverlening van Twitter en Netflix, beide klanten van DYN, kwam hiermee plat te liggen. Wereldwijd hadden consumenten geen toegang. Veel van de IoT-apparaten blijken slecht beveiligd. Er is echter geen incentive voor de producent of de consument om daar kosten voor te maken. Dit wordt door velen als een vorm van marktfalen gezien (Bruce Schneier: “Your Wifi-connected thermostat can take down the whole internet. We need new regulations”, Washington Post, November 3, 2016).
>> Lees ook De 3 meest gestelde vragen over een DDoS-aanval
Securityrisico’s
Er zijn diverse bekende risico’s bij de toepassing van het internet (‘cyber’). Systemen kunnen gehackt worden om data zelf te stelen, te manipuleren dan wel onbeschikbaar te maken. Een virus dat je data wist, een hacker die zijn schoolcijfers verbetert of zijn banksaldo laat stijgen, of ransomware dat jouw data onbeschikbaar maakt (tot je betaalt) zijn hier voorbeelden van.
Systemen kunnen worden overgenomen
Ook kunnen de systemen zelf worden overgenomen, dan wel worden veranderd om tot niet bedoelde acties te leiden. Voorbeelden als Stuxnet waarbij buitenstaanders overgingen tot aanpassingen van de centrifugesnelheid in een fabriek of het platleggen van een energiecentrale in de Oekraïne zijn bekend.
Door de toevoeging van al de Internet of Things apparaten (25 miljard in 2020) en communicatie via diverse mogelijke netwerken (Wi-Fi, 4G, LoRa) zullen de securityrisico’s exponentieel toenemen: meer computers voor bijvoorbeeld DDoS-aanvallen en meer potentieel kwetsbare schakels in ketens, meer data om te stelen, te manipuleren of te chanteren.
Noodzaak tot samenwerking en kennisdeling
Het Nederlandse cyberlandschap is momenteel nog sterk gefragmenteerd. Er is een noodzaak om de samenwerking en kennisdeling te intensiveren. Kennisinstituten, vitale infrastructuur managers, ICT-bedrijven en startups moeten samenwerken om innovatie rondom nieuwe cybersecuritytechnologieën en -methodes te versnellen en door (zelf)regulering en het toetsen van eisen de maatschappelijke risico’s te minimaliseren.
Cybersecurity wordt serieus genomen
Het goede nieuws is dat de meeste grote infrastructuurpartijen (banken, telecom, energie) cybersecurity zeer serieus nemen. De functie van CISO (chief information security officer) is geïntroduceerd en geld en middelen zijn beschikbaar gemaakt. Het Nationaal Cyber Security Center (NCSC) binnen het ministerie van Veiligheid & Justitie faciliteert informatie-uitwisseling tussen organisaties via de zogenaamde ISAC’s (Information Sharing and Analysis Centres).
De mens blijft de zwakste schakel
Ook de markt komt met diverse preventieve en reactieve oplossingen als antivirussoftware, monitoren en testen. Uitdagingen zijn er vaak bij zogeheten ‘legacy apparatuur’ welke nog niet is afgeschreven maar niet voldoet aan de laatste securityprotocollen (bijv. oudere MRI scanners). Modernere apparatuur wordt gecertificeerd. Er is veel aandacht voor ‘awareness’ al blijft de mens vaak de zwakste schakel.
Gebrek aan mankracht en geld
Daar waar dit soort grotere partijen een en ander goed op de orde lijken te hebben, zijn zij wel kwetsbaar door zwakkere broeders en zusters in hun ’keten’ of ‘netwerk’ van partners waarmee ze samenwerken. Gebrek aan awareness, expertise, mensen en geld is hier het probleem. Niet voor niets de Alert Online campagne van het NCSC en dat de commissie Verhagen in het rapport ‘Digitaal Droge Voeten’ pleit om minimaal 10 procent van het ICT budget uit te geven aan cybersecurity.
Risico’s van huis-, tuin- en keukenapparatuur die met het internet zijn verbonden
De uitdaging wordt nu dus nog groter door de enorme opkomst van de ‘things’. De markt wordt overstelpt met huis-, tuin- en keukenapparatuur welke met het internet verbonden kan worden voor ons gemak. Deze apparaten zijn vaak goedkoop en niet voorzien van securitystandaarden om de verkoopprijs en productiekosten laag te houden. Zoals aangegeven bij het DYN voorbeeld kan deze apparatuur in DDoS-aanvallen op vitale partijen worden ingezet. Het feit dat de markt zelf niet tot ‘security by design’ komt voor deze producten is een vorm van marktfalen waar de overheid regulering zou moeten afdwingen/aanjagen.
Het kan niet alleen aan de markt worden overgelaten om veilige systemen te bouwen
Als we veilig en vertrouwd onze steden willen digitaliseren (‘Smart Cities’) zullen we ons ook hier van de risico’s bewust moeten zijn. De ‘things’ zelf zullen ‘secure’ moeten zijn en de data moeten accuraat en correct zijn om verkeerde toepassingen ervan te voorkomen. Testen van de apparatuur in die ketens, zelfregulering en certificering is hierbij cruciaal. Vanwege de grote publieke belangen en de complexe vraagstukken kan het niet alleen aan de markt worden overgelaten om hiervoor veilige systemen te bouwen. Naast het bedrijfsleven is een rol voor overheid en kennisinstituten essentieel.
>> Lees ook 800.000 huishoudens smart in beveiliging en veiligheid
Nationaal Cyber Testbed
In 2016–2017 vond op verzoek van de Metropoolregio Rotterdam Den Haag een verkenning plaats naar nut, noodzaak en haalbaarheid van een eventueel Nationaal Cyber Testbed. De resultaten werden op 14 februari 2017 gepresenteerd door The Hague Security Delta (HSD) en TNO tijdens een slotbijeenkomst op de campus van HSD.
De focus ligt op het cyber secure maken van IoT-systemen en het verminderen van de kwetsbaarheid van Nederlandse steden. Het zal fungeren als kenniscentrum en verbindt partijen die IoT-systemen willen implementeren met kennisinstituten, universiteiten en bedrijven. Het is aanjager voor de zelfregulering en certificering van IoT-cybersecurity. Het werkt nauw samen en deelt kennis op dit onderwerp met de beleidsmakers bij de Rijksoverheid en internationale partijen.
Doel is een kenniscentrum en samenwerkingsverband om IoT-apparaten en -systemen te testen op cybersecurityaspecten. Voor IoT bestaat een dergelijk testbed nu niet en voor individuele organisaties is de inrichting ervan niet haalbaar. Op dit moment worden concrete usecases met onder meer KPN, TNO en de gemeente Den Haag uitgewerkt.
>> Lees ook Dekra opent testlab voor Internet of Things
Het testbed is meer dan een security-activiteit op zich, de ambitie is ook om economische activiteit te ontwikkelen, resulterend in meer bedrijvigheid en banen rondom IoT in Nederland. Qua financiële haalbaarheid van zo’n testbed is de vraag of dit zonder de Rijksoverheid kan.
Qua financiële haalbaarheid van zo’n testbed is de vraag of dit zonder de Rijksoverheid kan
Tot slot
Er is geen eenduidige oplossing om de cybersecurity issues van het Internet of Things aan te pakken. De overheid kan het niet alleen en er is geen incentive voor bedrijven dit zelfstandig op te pakken. De oplossing zit hem in publiek-private initiatieven als het Nationaal Cyber Testbed. Gezien de risico’s die we lopen – ook in Nederland – en het tempo wat we moeten maken, kan dit niet zonder regelgeving en financiële steun van de Rijksoverheid. Het biedt ook economische kansen voor de BV Nederland om een belangrijke internationale rol in te nemen. Het alternatief is wachten op die ene black-out met alle mogelijke gevolgen van dien.
Drs. Max E. Remerie, Kwartiermaker Nationaal Cyber Testbed en voorheen lid directieraad Siemens Nederland.
>> Dit artikel is opgenomen in Security Management nummer 6