IoT van vrijheid naar veiligheid

In mijn vorige blog kwam uitgebreid tot uiting dat het huidige IoT een walhalla is voor cybercriminaliteit. Dat we niet kunnen wachten met het dempen van deze bodemloze put totdat ons IoT-kalf is verdronken realiseren we ons terdege. Hackers kunnen altijd binnenkomen in onze systemen, het is aan ons het ze zo moeilijk mogelijk te maken.

We moeten dus veel meer aandacht besteden aan onze netwerkbeveiliging. IoT devices zie je als paddenstoelen uit de grond schieten, en dat is niet te stoppen. Nederland heeft als eerste in de wereld een landelijk dekkend IoT netwerk. Met deze technologische primeur kan ons landje wel eens één groot Internet of Things Test Lab worden. De recente DDOS aanvallen waarbij grootschalig gebruik werd gemaakt van IoT devices zijn dan ook niet onopgemerkt gebleven.

Het antwoord op de DDOS aanvallen
De grote technologiereuzen in onze wereld zien als geen ander de noodzaak van beveiliging in. De Broadband Internet Technical Advisory Group (BITAG) waar onder andere Google, Microsoft en Intel aan deelnemen hebben daarom recentelijk een adviestrapport uitgebracht. Het BITAG document laat aan duidelijkheid niets te wensen over en geeft uitdrukkelijk advies om IoT apparaten van uitgebreide functionaliteiten op het gebied van veiligheid te voorzien. Om altijd recente software te voeren moet een IoT apparaat automatisch beveiligingsupdates installeren. Hiervoor moet een sterk password worden afgedwongen waardoor zoveel mogelijk zekerheid ontstaat dat updates van geauthentiseerde bronnen afkomstig zijn.

Een veiligheidslabel voor IoT?
Fabrikanten moeten veel meer aandacht geven aan de veiligheid van de gebruikers. IoT toestellen moeten altijd hun kritieke basisfuncties kunnen uitvoeren, zelfs als de verbinding met het internet of het relevante cloud-platform is weggevallen. Poorten die niet gebruikt worden moeten standaard zijn uitgeschakeld en ieder apparaat moet een unieke logincode hebben. Beveiliging en encryptie moet hoge prioriteit krijgen, interne data en communicatie moet versleuteld zijn. De BITAG stelt zelfs een veiligheidslabel voor om te kunnen garanderen dat IoT devices aan de norm voldoen. Of het zover zal komen is twijfelachtig, niet iedereen ziet dit soort richtlijnen juichend tegemoet. De daadwerkelijke beveiligingsnorm zal zich ergens in het midden gaan bevinden.

Standaardisering als oplossing?
Er staan inmiddels naar schatting zo'n 5 miljard IoT apparaten online. Door het ontbreken van standaardisering ontstaat een wildgroei van apparaten met een grote diversiteit aan open en gesloten protocollen. Op zich niet nieuw, bij iedere startende technologiegolf ontstaat een strijd tussen de diverse protocollen en standaarden. Vooraanstaande fabrikanten proberen hierbij een stempel te drukken om vooral hun ontwikkeling tot standaard te verheffen. Inmiddels zijn de standaardiseringsinitiatieven al niet meer op 10 vingers te tellen. Naast de in mijn vorige blog genoemde OCF en Thread Group noem ik nog Internet Protocol for Smart Objects (IPSO), oneM2M, Industrial Internet Consortium (IIC), AllSeen Alliance, Open Internet Consortium (OIC) en HomeKit (Apple). Je ziet nu al commissies gaan, komen en fuseren en ook dat hoort bij nieuwe ontwikkelingen met grote potentie.

Veiligheid als facilitator voor stabiel en veilig IoT
Meestal ontstaat er na een aantal jaren van wildgroei een gezamenlijke standaard waar de overgrote meerderheid van belanghebbenden zich aan conformeert. Bij IoT kan dit wel eens anders gaan, omdat ook de consument hierbij een belangrijke rol speelt. De gemiddelde consument is gefocust op functionaliteit en denkt daarbij in de verste verte niet na over het nut of de noodzaak van een veilige ICT-omgeving. Er moet eerst nog het een en ander worden gehackt. Dan komt het besef vanzelf. De hang naar veiligheid en stabiliteit die hieruit ontstaat, kan wel eens de facilitator worden naar echte standaardisering.

De relatie tussen IoT en cybercrime

In mijn vorige blog had ik het over veiligheid en privacy als de grote vraagstukken binnen een IoT omgeving. McKinsey signaleerde dit al in 2015, naast interoperabiliteit vormen dit de big issues voor het slagen van de IoT gedachte. Microsoft kwam onlangs met het verheugende nieuws dat de door hen gesteunde OCF en de Thread Group een interoperabiliteitspact hebben gesloten.

In de Thread Group zijn chipproducenten als ARM, Quelcomm en Samsung verenigd. Het interoperabiliteitspact tussen beide organisaties zorgt ervoor dat straks een belangrijk deel van de IoT-producten in onze woonomgeving met elkaar kunnen communiceren. Voor Microsoft is dit een belangrijke en strategische stap. De samenwerking van deze 2 standaardiseringsorganisaties heeft immers tot gevolg dat het paradepaardje van Microsoft, Windows 10, gaat communiceren met allerlei IoT-devices in en rondom het huis.

Microsoft en Google werken al samen
We kunnen dus straks spraakcommando's geven aan Cortana, de digitale assistent in Windows 10, om bijvoorbeeld de verwarming een standje lager te zetten, het licht te dimmen, de gordijnen te openen of het koffieapparaat aan te zetten. Een leuk voorbeeld van deze mooie ontwikkeling is dat Cortana van Microsoft de Nest van Google kan bedienen. Dit is wat de consument wil en ook verwacht, zo hoort IoT te functioneren. Aan interoperabiliteit wordt hard gewerkt, de grotere fabrikanten zien hier de noodzaak van in, de rest die wil overleven zal volgen.

IoT het walhalla voor cybercrime
Het tweede puntje dat Mckinsey in 2015 aankaartte was veiligheid en daarmee sloeg hij de spijker behoorlijk op z'n kop. We worden overspoeld met berichten over hackers die de verlichting of de thermostaat in een woning overnemen. Er worden zelfs drones ingezet om in te breken in onbeveiligde netwerken met ioT devices. Ook in de automobielindustrie zijn berichten over hacks en cracks niet ongewoon. Een gehackte auto spreekt al wat meer tot de verbeelding als we nadenken over enge dingen en nare gevolgen. Duidelijk is dus dat veiligheid een belangrijk issue is bij IoT. We moeten er immers al helemaal niet aan denken dat onze medische sensoren en actoren worden gehackt. Dat alle onbeveiligde IoT devices op zich weer toegangspoorten tot onze privé ICT omgeving kunnen vormen is daarnaast een aanslag op ons steeds kleiner wordende stukje privacy.

Security, een hot item
Dat er wat moet gebeuren op het gebied van beveiliging is duidelijk. Ook hier zie je goede initiatieven uit de hoek van Google, Microsoft, Intel en andere technologiereuzen. Zij hebben vanuit een gezamenlijk initiatief genaamd BITAG een document geformuleerd met aanbevelingen voor de IoT industrie. Dit soort aanbevelingen worden door vendoren serieus genomen en is zeker een stap in de goede richting. Gebruikers van IoT apparaten zijn vaak geen technologiekenners en zullen ook weinig tot geen aandacht geven aan beveiliging. Dat juist dit wel eens de grote facilitator naar een stabiel en veilig IoT kan worden kom ik in mijn volgende blog op terug.