Apparaten die zijn verbonden met internet vormen een steeds grotere bedreiging voor onze privacy en veiligheid. Het beschermen hiertegen vereist een fundamentele aanpak. Een nationaal onderzoeksproject gaat de komende jaren onderzoek doen naar deze aanpak, door technisch onderzoek te combineren met juridische en criminologische benaderingen. Onderzoeksleider professor Sandro Etalle plaatst het project ‘INTERSECT’ in de context van kansen en dreigingen in de netwerksamenleving.
Rob Jastrzebski
Niet minder dan 75 miljard apparaten zullen medio 2030 wereldwijd via het internet met elkaar verbonden zijn. Dat biedt voordelen in tal van maatschappelijke domeinen (verkeer, logistiek, telematica, huishouden) maar schept ook uitdagingen op het gebied van cybersecurity. Een consortium van 45 partijen van overheid, wetenschap en bedrijfsleven, onder leiding van de TU Eindhoven, buigt zich de komende acht jaar over de uitdagingen voor veiligheid en beheersbaarheid in een vernetwerkte wereld. Doel van de brede samenwerking is het realiseren van een blauwdruk voor een Internet of Secure Things.
Inhoudsopgave:
– Investeren in de security van de hard-ware
– Veiligheid, beheersbaarheid en privacy
– Paradox van de moderne samenleving
– Afweging tussen schade cyberaanval en kosten tegenmaatregelen
– Wie draait er op voor de schade?
– Integrale aanpak securityvraagstuk
– Rat race tussen ontwikkelaars en cybercriminelen
– Kans maal effect
– Feitelijke digitale kwetsbaarheid onder ogen zien
Investeren in de security van de hard-ware
De urgentie van een brede aanpak voor een veilig Internet of Things blijkt uit het feit dat de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) tien miljoen euro heeft vrijgemaakt om het project aan te jagen. Met deze financiële middelen uit het fonds voor de Nationale Wetenschaps Agenda, wordt bevorderd dat overheden, universiteiten, hogescholen en toonaangevende techbedrijven hun krachten bundelen om toekomstige digitale en fysieke rampspoed rond een ‘lek’ IoT te voorkomen. Daarvoor moeten we volgens Sandro Etalle terug naar de basis. “De enige manier om het Internet of Things structureel en duurzaam veilig te maken, is meer investeren in security van de hard- en software.”
Veiligheid, beheersbaarheid en privacy
“De razendsnelle ontwikkelingen in de ICT-wereld dwingen ons om op een andere manier te gaan denken over cyber security”, betoogt Etalle. “Het Internet of Things dat zich in rap tempo steeds fijnmaziger in de samenleving vertakt, heeft een ongekende omvang, complexiteit en dynamiek, waarbij de grenzen tussen de digitale en fysieke wereld steeds diffuser worden. Dat levert grote vraagstukken op het gebied van governance, security en privacy op. Aandachtsgebieden die tot op heden gefragmenteerd worden benaderd. De hard- en software-industrie ontwikkelt nieuwe apparaten, systemen en programma’s, die snel op grote schaal worden ingevoerd en pas daarna komen we erachter dat die nieuwe vindingen consequenties hebben op het gebied van veiligheid, beheersbaarheid en privacy. Dat moet anders! Om het Internet of Things overzichtelijk, beheersbaar en veilig te houden, moeten we over al die aspecten integraal nadenken in de ontwerpfase van apparaten en systemen. Er is een maatschappij brede nieuwe visie nodig op hoe we met het IoT willen omgaan en hoe we het goed kunnen beheersen en besturen om onze veiligheid en privacy te waarborgen. Dat hebben we nu nog niet goed geregeld.”
Paradox van de moderne samenleving
Het is dé paradox van de wereld van de 21e eeuw: verknoping van het internet met alle aspecten van het zakelijke en privéleven via ‘smart’ apparaten, gadgets en sensoren, kan helpen het leven gemakkelijker en comfortabeler te maken. Zelfrijdende auto’s, koelkasten die zelf boodschappen bestellen, domoticatoepassingen voor security en energievoorziening altijd onder handbereik via een app op de smartphone, zijn geen toekomstmuziek maar een werkelijkheid in wording. Daartegenover staat de realiteit van toenemende cybercriminaliteit, de digitale kwetsbaarheid van vitale processen en infrastructuur voor hackers, grote internetbedrijven die via smart gadgets meeluisteren in de auto en in huishoudens en cameranetwerken en webcams die onwetende burgers van de straat tot in de slaapkamer blootstellen aan ongewenst meegluren door kwaadwillenden.
>> LEES OOK: Tien trends in slimme apparaten
Door de grote afhankelijkheid van de samenleving van vitale diensten en processen die vrijwel volledig via internet worden bestuurd en bediend, is het ook bepaald niet ondenkbeeldig dat een hack of DDoS-aanval leidt tot maatschappelijke ontwrichting of ernstige fysieke incidenten. Het rapport van de Algemene Rekenkamer van afgelopen voorjaar, waarin werd gewaarschuwd dat de vitale waterstaatkundige werken in Nederland niet optimaal zijn beveiligd tegen hackers, spreekt in dat verband klare taal.
Afweging tussen schade cyberaanval en kosten tegenmaatregelen
Volgens Etalle zijn we met het Internet of Things een systeem aan het bouwen dat we onvoldoende overzien en beheersen. Naast dat het lastige vraagstukken oplevert het gebied van security, is er ook de vraag over aansprakelijkheid. “Daarbij gaat het om drie dimensies: omvang, diversiteit en tijd. Hoe groter systemen en netwerken worden, hoe groter het effect van een cyberaanval. Als blijkt dat bepaalde apparaten of netwerkcomponenten hardware- of softwarematig kwetsbaar zijn voor hacking, kan het aanpakken van het probleem voor bedrijven een enorme kostenpost zijn. Bijvoorbeeld omdat op 20.000 computers besturingsprogramma’s en applicaties opnieuw moeten worden geïnstalleerd. Nog los van de bedrijfsschade die een hack kan aanrichten. Een voorbeeld: in 2016 voerden cybercriminelen aanvallen uit op bedrijven en particulieren, waarbij een digitale kwetsbaarheid in cctv-camera’s werd misbruikt. Daarop moest een fabrikant alle camera’s terugroepen voor een update.”
>> LEES OOK: Hoe blij zijn we met al die sensoren?
Wie draait er op voor de schade?
De verweving van systemen en processen via internet roept volgens Etalle nog een andere vraag op, namelijk de juridische aansprakelijkheid. Het IoT koppelt alles aan alles, waardoor het risico van keten- en domino-effecten als gevolg van een cyberaanval toeneemt. “Hoe is de aansprakelijkheid geregeld als een kwetsbaarheid in één systeem wordt misbruikt als ‘stepping stone’ om een ander proces of systeem te treffen? Wie draait dan op voor de geleden schade? Het uiteindelijke slachtoffer of de eigenaar van het systeem dat als achterdeurtje diende om binnen te komen? Had die zijn cyber security beter moeten organiseren? Of is de fabrikant van de hardware aansprakelijk? Of de programmeur van de software? Dat is nog een groot grijs gebied. Dergelijke vragen en discussies zullen we veel meer gaan zien nu steeds meer apparaten, systemen en processen een afhankelijkheidsrelatie met elkaar krijgen. En dan is er nog een probleem, namelijk de levenscyclus van apparaten en software. Die wordt steeds korter en dat kan problemen opleveren omdat veiligheidsupgrades niet meer kunnen worden uitgevoerd.”
Integrale aanpak securityvraagstuk
Acht jaar trekken de deelnemende partners in INTERSECT uit om bouwstenen voor een toekomstbestendig en veilig Internet of Things te ontwikkelen. Kennisproducten en basiseisen om slimme apparaten en netwerken optimaal te beveiligen, volgens de filosofie van een integrale aanpak van het securityvraagstuk, waarbij design, monitoring, governance, privacy en andere aspecten worden samengebracht.
Rat race tussen ontwikkelaars en cybercriminelen
Het project is net uit de startblokken dus Etalle durft nog geen verwachting te geven van de resultaten. “Het is ook een voortgaand proces. Met de kennis en kunde van de verenigde wetenschappelijke wereld en techbedrijven werken we zowel aan oplossingen voor een veilig IoT op de korte en middellange termijn, als aan een cyber security visie op de lange termijn. We moeten beseffen dat er een continue ‘rat race’ gaande is tussen de ontwikkelaars van nieuwe ‘smart’ apparaten en systemen en de wereld van hackers, criminelen en zelfs terroristen. We moeten als samenleving beter begrijpen hoe onze systemen werken. Hoe we die veilig en beheersbaar kunnen houden en welke kwetsbaarheden en bedreigingen ze kennen. Aan de andere kant moeten we ook het inzicht in de cybercrimemarkt vergroten en begrijpen hoe cybercriminelen werken en wat hun beweegredenen zijn.”
Kans maal effect
Etalle beklemtoont dat de vraag óf we het Internet of Things überhaupt wel moeten willen, gezien de schaduwkanten op het gebied van security en privacy, al lang een gepasseerd station is. Het remmen van ICT-innovaties uit angst voor die risico’s en misbruik is in zijn ogen niet de oplossing. Wel zou in zijn beleving kunnen worden nagedacht over de vraag of de meest vitale systemen en processen waarvan we ook voor onze fysieke veiligheid afhankelijk zijn (waterbeheer, energievoorziening, veiligheidstaken van de overheid) van het publieke internet ontkoppeld zouden kunnen worden. Maar de belangrijkste scope voor het project is voorlopig het integraal beschouwen van alle aspecten van veiligheid, privacy en governance in de ontwikkeling van apparaten en software die samen het digitale fundament van de samenleving vormen.
Feitelijke digitale kwetsbaarheid onder ogen zien
Etalle: “Om de risico’s van de digitale wereld goed te kunnen beoordelen, moeten we voortdurend kritisch kijken naar de formule ‘kans maal effect’. Of systemen en apparaten een risico lopen gehackt te worden, hangt niet alleen af van de kwetsbaarheid, maar ook van de vraag of ze interessant zijn voor hackers. Wat willen en kúnnen ze bereiken en hoe rendabel is een hack? Het hacken van sommige systemen is kinderlijk eenvoudig, met behulp van kant-en-klare softwarepakketten die via internet verkrijgbaar zijn. Dat is een markt op zichzelf. Maar bij andere systemen is hacken technisch heel complex en kost het de criminelen veel geld. Staat dat in verhouding tot het doel dat ze ermee beogen? Dat marktmechanisme in de wereld van cybercriminelen moeten we ook begrijpen om ons een goed beeld te vormen van onze feitelijke digitale kwetsbaarheid en de basis te leggen voor een betrouwbare en gebalanceerde cyber security.”
Rob Jastrzebski is freelance journalist
– Big brother is watching you?!
– Je camera als computer
– 5G: kansen en uitdagingen voor veiligheid
Volg Security Management op LinkedIn