IoT Security: Gehackt via de slimme koelkast

Vorige week, tijdens de Amsterdam IoT Security Conference in de Amsterdamse RAI, werd het hete hangijzer van het Internet of Things uitgebreid behandeld. Iets waar alle aanwezigen het unaniem over eens waren, is dat onze technologie steeds slimmer wordt. Eén van de meest aansprekende kreten die tijdens de conferentie geuit werd, was dan ook dat over 25 jaar robots al in staat zouden kunnen zijn om het wereldkampioenschap voetbal te winnen. Beter dan Messi, Ronaldo, en al die andere dikbetaalde supersterren: en ze doen het voor enkel een drupje olie.

Keynote spreker Carlo van de Weijer (TU Eindhoven) rekende voor dat het nog maar twintig jaar zal duren voordat de robot net zo slim is als de mens, zeker nu ze gemiddeld elke 18 maanden twee keer zo slim worden als dat ze voorheen waren. Adequate beveiliging hiervan is een tricky issue, maar wel eentje die niet genegeerd kan worden.

MEER ROBOTS EN SLIMMERE ROBOTS

Lezers van Dan Brown’s laatste bestseller Oorsprong zullen door de Amerikaanse schrijver al gewaarschuwd zijn voor de mogelijkheden. Zo wordt onze technologie niet alleen slimmer, ook komen er steeds meer van. Niemand durft er een goede schatting van te geven en recente getallen – die aantonen dat er tot 2020 miljarden nieuwe apparaten aangesloten zullen worden op het internet – lijken nog veel te conservatief.

Het is duidelijk: binnen enkele decennia zullen we outnumbered en outsmarted worden door onze verbonden apparatuur. Zeker als deze allemaal aan elkaar verbonden zijn en allemaal met elkaar kunnen praten, ontstaat er een geheel nieuw ecosysteem van kunstmatige intelligentie. En alhoewel dit zou kunnen betekenen dat er een robot-team kan deelnemen aan de Olympische Spelen en dat de Turing-test kinderspel zal blijken voor het gemiddelde apparaat, kleven er ook significante risico’s aan.

De risico’s vallen ruwweg uiteen in twee groepen. De meest sci-fi ogende, het kunstmatige risico of kunstmatig misbruik, zal relevant worden zodra de machines zelfstandig genoeg kunnen denken om misbruik te maken van andere machines – of van mensen. Of juist dat machines niet zoals mensen in staat zijn om emoties te voelen, logisch te rederen en/of risico’s in te schatten. Hierdoor kunnen eveneens gevaarlijke situaties ontstaan, waarbij een inschatting gemaakt door kunstmatige intelligentie de foute blijkt te zijn.

MENSELIJK EN KUNSTMATIG MISBRUIK

Een tweede risicogroep is dat van het menselijk misbruik. Dit houdt in dat mensen ongeoorloofd in kunnen loggen op bepaalde netwerken of systemen, en dat kunnen misbruiken. Voor sommige zaken zal dit wat onnozel blijken. Irritant als iemand je slimme oven hackt en je eten niet genoeg verwarmd – of juist verkoolt -; maar verder weinig gevaarlijk. Het wordt pas echt vervelend wanneer iemand zich toegang verschaft tot je verwarming of verlichting.

En nog een stapje verder, wordt het gevaarlijk als het slimme auto’s of slimme pacemakers betreft. Als een ander individu met een enkele klik de auto waarin je zit onbestuurbaar kan maken, of je pacemaker zo kan beïnvloeden dat deze er spontaan mee stopt. Of, in de vergevorderde plannen van het leger en politie om robots en kunstmatig slimme snufjes in te zetten voor handhaving, kan het zelfs leiden tot oorlogen.

RELEVANTE RISICO’S IOT SECURITY

Goed, dat liep snel uit de hand, van een slimme maaltijd tot aan de Derde Wereldoorlog. Laten we iets nauwkeuriger kijken naar de uitdagingen zoals gesteld tijdens de Amsterdam Security Conference. Zo gaf van de Weijer uitleg over de problemen met slimme auto’s. Hier zit een risico in het feit dat zelfstandig rijdende auto’s weliswaar heel snel kunnen rekenen, maar niet per se intelligent zijn. Zo kunnen ze complexe verkeerssituaties niet goed inschatten en houden ze daarbij niet genoeg rekening met onvoorspelbaar gedrag van andere weggebruikers.

Van de Weijer pleit daarbij voor duidelijke kaders, zowel voor de slimme auto’s zelf (protocollen voor hoe ze exact reageren op situaties en een zekere mate van flexibiliteit hierin houden), als voor de beveiliging van deze auto’s voor invloeden van buitenaf. Het laatste wat je wilt is dat een hacker een chaos op de weg veroorzaakt en mensenlevens in gevaar brengt door het overnemen van voertuigen.

Andere ontwerpen die uitgebreid besproken zijn waren onder meer drones en de bijkomende regel- en wetgeving die noodzakelijk is voordat ze goed toegepast kunnen worden in ons land; en de privacy-zorgen die allerlei slimme oplossing met zich meebrengen. Dit werd nog eens uitgelicht door Tinus Kanters, die namens de gemeente Eindhoven werkt aan een project in het uitgaansgebied Stratumseind.

Hierbij wordt gebruikt gemaakt van allerlei slimme oplossingen om escalaties en incidenten vroegtijdig te signaleren en waar mogelijk te voorkomen, bijvoorbeeld door het gebruik van kleuren, lichtintensiteit en geuren om agressie te verminderen. Lastig is hierbij de verwerking van de data: wat mag daar allemaal mee gedaan worden, en door wie? De gemeente heeft het opgelost om de data zoveel mogelijk te anonimiseren en enkel te gebruiken voor een specifiek doel.

Toch blijft ook dit een belangrijk punt om in de komende jaren in de gaten te houden: de angst van de bevolking voor een ‘Big Brother’-scenario waarbij ze continu en bij alles wat ze doen in de gaten worden gehouden worden is onverminderd groot. Zeker om het Internet of Things en het verbinden van apparaten vanuit een commercieel perspectief aantrekkelijker te maken, is het van cruciaal belang om de publieke perceptie in de juiste banen te leiden door het invoeren van extra beveiligingsmaatregelen en zorgvuldig met de verzamelde data om te gaan.

WAT ZIJN DE VOLGENDE STAPPEN?

Hackers hebben bewezen dat ze nagenoeg ieder apparaat dat verbonden is kunnen hacken, van de zelfrijdende auto’s en slimme koelkasten tot aan medische apparatuur. Zeker nu er steeds meer apparaten verbonden raken en de uitgewisselde data ook steeds waardevoller kan zijn, vormt dit inmiddels een ware nachtmerrie voor iedere security-specialist. Tel daarbij op dat de markt voor slimme apparaten groeiende is, en daardoor concurrentie toeneemt – waardoor er minder tijd, geld en aandacht besteed wordt aan het beveiligingsvraagstuk -, en het is al snel duidelijk waarom het nu zo belangrijk is om tot strakke normen en guidelines te komen.

Het probleem kan ook niet zomaar bij de consument neergelegd worden. Ervaring heeft ons al te vaak geleerd dat zij zich niet geroepen voelen om regelmatig wachtwoorden te veranderen en updates uit te voeren. Dit zal niet veranderen als meer van hun apparatuur verbonden zal zijn.

Dit plaatst de volledige verantwoordelijkheid voor het beveiligen van die steeds groter wordende en steeds slimmer wordende hoeveelheid verbonden apparaten bij de fabrikant. En daar begint en eindigt het dan ook: dit is het moment om duidelijke afspraken te maken binnen de industrie om in ieder geval een minimum aan beveiliging te garanderen.

Zo voorkomen we samen dat de toenemende hoeveelheid cowboys met hun lage prijzen een bedenkelijk laag beveiligingsniveau als standaard gaan aannemen. Het laatste wat we moeten willen, is een toekomst waarbij beveiliging en privacy een dure, high-end optie is.