Zijn we wel veilig in het ‘Internet of Things’?

17-10-2016 Stel dat een crimineel de oppas-camera misbruikt om uw huis te bekijken. Of uw koelkast verstuurt uit uw naam spam naar mensen die u niet eens kent. Wanneer het aantal van deze ‘intelligente’ apparaten snel groter wordt in het Internet of Things, dan worden ook de risico’s op een aanval via deze nieuwe connectie groter. ISO-normen kunnen helpen om deze groeiende industrie veiliger te maken.

Het bespioneren van willekeurige vreemden is nog nooit zo eenvoudig geweest. Al wat nodig is, is een zoekmachine zoals Shodan - de Google van het Internet of Things - die het internet afspeurt op zoek naar plaatjes, gemaakt door onbeveiligde apparaten. Onze huiskamers, onze huisdieren, zelfs onze koelkasten zijn slechts een klik verwijderd. Sommige ouders werd op een ruwe manier duidelijk gemaakt hoe kwetsbaar ze waren, nadat er via hun gehackte babyfoon obsceniteiten werden geschreeuwd naar hun slapende kinderen. Het is niet verwonderlijk dat over de afgelopen drie jaar het aantal klachten met betrekking tot Internet of Things-technologie alleen al in het Verenigd Koninkrijk is gestegen met 2000%.

Brave new world

In het Internet of Things wisselen miljarden aangesloten slimme apparaten grote hoeveelheden gegevens met elkaar uit over hoe wij wonen, werken en spelen. "Ze zouden ons leven gemakkelijker, gezonder en slimmer, en onze bedrijven productiever moeten maken, maar daar moet vaak wel een prijs voor worden betaald," zegt Prof. Edward Humphreys van de ISO/IEC-werkgroep information security management systems. "Wij geloven in deze technologieën door alles wat we ermee kunnen doen. Maar we moeten ons bewust zijn van de gevolgen voor de veiligheid en privacy van onze data.”

In uw enthousiasme over de nieuwste spraakgestuurde slimme tv, vergeet u bijvoorbeeld dat deze technologie in staat moet zijn om alles te horen wat u zegt, om de juiste commando's te herkennen. Als dit blijft tussen u en uw tv, dan is er niets aan de hand, toch? Maar de communicatiekanalen die deze apparaten in staat stellen om informatie uit te wisselen zijn vaker niet dan wel gecodeerd of anderszins beschermd tegen externe toegang. "Het komt op hetzelfde neer als uw deur open laten; iedereen kan zo naar binnen lopen," zegt Humphreys.

De kern van het probleem is dat de meesten van ons denken dat bedrijven en wetgevers deze risico's hebben aangepakt en er iets aan hebben gedaan. Maar als klanten geen belangstelling hebben voor de bescherming van persoonsgegevens of de noodzaak niet zien, dan doen fabrikanten er ook niets aan, omdat ze wel weten dat we onze aankoopbeslissingen daar niet op baseren - we kopen een webcam eerder vanwege de compatibiliteit, de prijs of zelfs het uiterlijk! Onderzoek van Consumers International toont aan dat er gemiddeld zes seconden naar de voorwaarden wordt gekeken voordat er via een vinkje toestemming wordt gegeven, dus waarom zouden bedrijven de moeite nemen?

"Voor zover het wetgeving betreft, wordt wat we thuis in het huishouden doen niet zo beschermd als organisatorische data", zegt Pete Eisenegger, een deskundige die op internationaal en Europees niveau werkt aan privacy-gerelateerde kwesties voor consumenten. "Neem de draagbare technologie - die houdt onze bewegingen en activiteiten bij en weet precies waar we zijn. Als we dit combineren met alle persoonlijke informatie die we invoeren, foto's die we posten en verbindingen die we maken, en de rechten daarop die we vaak onbewust weggeven, dan zouden alarmbellen moeten gaan rinkelen. Big Data-analyse maakt het gemakkelijk om te leren over het gedrag en de voorkeuren van mensen."

In de ultra-verbonden wereld is de inzet hoog. Een recent experiment liet zien dat het mogelijk was in te breken in een rijdende auto via het entertainmentsysteem, en het gaspedaal uit te schakelen. "Elektronische pacemakers kunnen levensreddend zijn, zolang ervoor wordt gezorgd dat er niet mee kan worden geknoeid. Het aantal digitale technologieën dat nu in opkomst is en wordt geïntegreerd in de structuur van ons leven is overweldigend," zegt Humphreys. "We zien een nieuwe wereldorde in internettechnologie ontstaan. Dit gaat niet alleen over producten, maar hele systemen." Als het niet lukt om een enkel apparaat te beveiligen, kan dat gevolgen hebben voor een reeks van andere apparaten. In 2013 hebben hackers miljoenen creditcardnummers van een grote Amerikaanse winkelier ontvreemd doordat ze toegang tot de systemen wisten te krijgen via een aan het internet gekoppelde centrale verwarming. Kwetsbare apparaten kunnen worden gebruikt om andere toestellen aan te vallen. We moeten denken aan de veiligheid in IoT als een inenting. Als u uzelf niet beschermt, loopt u het risico een infectie door te geven aan anderen. Hoe beter we apparaten met sterke beveiligingstechnieken beschermen of "vaccineren", hoe beter het is voor ons allemaal.

"Daarom kan ik het belang van het gebruik van informatiebeveiliging en privacy-normen niet genoeg benadrukken", aldus Humphreys. "We hebben een aantal oplossingen om de risico's te minimaliseren, en er komen er nog meer aan - maar organisaties moeten ze ook gebruiken."

Standaarden zoals NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002 bieden een gemeenschappelijke taal om zaken aan te pakken rond governance, risico’s en compliance op het gebied van informatiebeveiliging. NEN-ISO/IEC 27031 en NEN-ISO IEC 27035 helpen organisaties om effectief te herstellen van cyberaanvallen. Er zijn ook ISO/IEC-normen waarin encryptie en authenticatie worden gedefinieerd, die in producten en toepassingen kunnen worden verwerkt om online transacties, creditcard-gebruik en opgeslagen gegevens te beschermen.

Voor Humphreys zijn privacy-normen nu aan de beurt. "We werken aan een solide basis van normen die gegevens beschermen in onze digitaal verbonden wereld, en die het consumentenvertrouwen herstellen. We hopen dat deze kunnen worden gebruikt om oplossingen te ontwikkelen die opgewassen zijn tegen de specifieke uitdagingen van het Internet of Things."

Maakt het consumenten wat uit?

Het probleem wordt nog bemoeilijkt door het feit dat velen van ons, soms met tegenzin en soms vrijwillig, onze privacy en veiligheid opgeven in ruil voor toegang tot moderne technologie. Deze apparaten zijn de ‘must-haves’ van het dagelijks leven. Betalen we met onze data te veel voor deze moderne gemakken?

De gemiddelde persoon besteedt zes seconden bij het bekijken van voorwaarden. Laten we eens kijken naar het gedrag van consumenten elders online. Mensen posten regelmatig foto's van zichzelf en video's van hun kinderen, delen hun politieke overtuigingen, hun reisbestemmingen en hun koopjesjacht. Het gaat er niet om of we wel zoveel van onze privacy moeten afstaan, zeker als dat een bewuste keuze is, maar of we de gevolgen van ons handelen begrijpen en of we nog de controle hebben over de gegevens die over ons worden verzameld.

Naarmate het internet het makkelijker maakt om mensen op te zoeken en te identificeren, kan deze informatie wanneer die in de verkeerde handen valt, gevaarlijk voor ons worden. Bewustwording rond beveiliging van het internet groeit. Uit onderzoek van de National Consumers League in de Verenigde Staten bleek dat 76% van de Amerikaanse tieners zich zorgen maakt over privacy en over de mogelijk negatieve consequenties die hun online activiteiten hebben, maar mensen leggen zelden het verband met IoT.

De ISO-commissie voor het consumentenbeleid (ISO/COPOLCO) zet deze onderwerpen op de standaardisatie agenda. Alleen omdat de consument de gevolgen van weinig beveiliging niet altijd begrijpt, betekent nog niet dat ze niet hoeven te worden beschermd. "Bewustwording onder consumenten, hun houding rond en waardering voor veiligheid en privacy zijn een belangrijk stuk van de puzzel die we moeten aanpakken", zegt Bill Dee van ISO/COPOLCO. "Bij COPOLCO hebben we een rapport afgerond over de blinde vlekken in de strategische privacy normen, en we leggen nu de prioriteit bij ‘privacy ingebouwd’ in producten en diensten die worden gekocht of gebruikt door consumenten."

Privacy by design

Voor Eisenegger ligt de kern van het probleem in het feit dat een groot deel van de apparatuur die consumenten dagelijks gebruiken, wordt verkocht met weinig of geen aandacht voor privacy en gegevensbescherming. "Hoewel er veel internationale standaarden zijn die organisaties kunnen gebruiken om goed op onze persoonlijke gegevens te letten, om het Internet of Things veiliger te maken, moeten we vanaf het begin een veilige technologie toepassen, met goede, real-time controle op de privacy. Het veranderen van onze houding zorgt er niet alleen voor dat veiligheid standaard is ingebouwd, maar maakt de beveiliging ook makkelijker in gebruik en gemakkelijker bij te houden."

Een deel van het probleem waarom bedrijven apparaten onvoldoende beschermen ligt bij het feit dat de ontwerpers die deze technologieën ontwikkelen, zelden deskundigen zijn op het gebied van veiligheid en privacy. "Ingenieurs zouden moeten werken met ontwerpprocessen die een sterke nadruk leggen op deze functies zodat minder kwetsbaarheden ontstaan, waar op dit moment nog veel te veel achteraf worden gerepareerd," zegt Eisenegger. In de hoop dit te veranderen, stelt ISO/ COPOLCO voor om een standaard te ontwikkelen voor het digitaal ontwerp van privacy in producten en diensten.

"Als we een privacy ontwerpproces kunnen ontwikkelen dat is gebaseerd op de continue verbeteringscyclus in ISO 9001, zoals ISO 10377 dat al heeft gedaan voor de veiligheid van het product, zouden we een grote stap voorwaarts maken," voegt Eisenegger toe. "Zo'n standaard kan gaan over het gemakkelijker maken van het terugvinden en beveiligen van onze gegevens, ervoor zorgen dat de vertrouwelijkheid rond Big Data analytics wordt geborgd en de privacy rond producten wordt beoordeeld.

"In plaats van ons af te vragen of de consument de standaard beveiliging en privacy-opties in technologieën, producten en diensten maar moet accepteren, moeten we ons afvragen wat ontwikkelaars kunnen doen om het vertrouwen van de consument te winnen", zegt Eisenegger. "Het is de nieuwe arena voor de internationale veiligheid en privacy standaarden. Iets wat producten en diensten ‘vaccineert’, wat onze informatie goed beschermt en real-time controle biedt over hoe die informatie met onze toestemming kan worden gebruikt. Wat de hoeveelheid gegevens minimaliseert die door apparaten wordt verzameld. Wat ons op de hoogte houdt van derden die onze gegevens verwerken, en de opspoorbaarheid en verantwoordelijkheid verbetert."

Dus hoewel er een brede set van cyber security standaarden beschikbaar is, is er nog veel werk voor de ISO in het Internet of Things. "De NEN-ISO/IEC 27001-familie van standaarden kan organisaties goed helpen bij het beveiligen van verzamelde informatie. Maar we moeten oplossingen ontwikkelen die specifiek gericht zijn op de risico's van het IoT", zegt Eisenegger. Normen kunnen deze kwesties op een effectieve manier op de internationale agenda zetten.

We kunnen niet langer niks doen. Onze huizen, activiteiten en persoonlijke gegevens zijn nu door alledaagse apparaten onomkeerbaar verweven en verbonden met miljarden andere mensen. Het Internet of Things trekt privacy en veiligheid naar een geheel nieuw niveau door wie we zijn en wat we doen online toegankelijk te maken. Om ons leven te beschermen tegen nieuwsgierige ogen, moeten we de deur sluiten en hem op slot doen.

Eerder door u bekeken

Ook interessant voor u