‘Maak fabrikanten aansprakelijk voor IoT-security’

De gevaren van onveilige slimme apparaten werden in de herfst van 2016 pijnlijk duidelijk. Het Internet of Things (IoT)-botnet Mirai kreeg onder andere Spotify, Twitter en GitHub op de knieën door DNS-serviceprovider Dyn aan te vallen. Volgens Mikko Hyppönen van F-Secure vallen de Mirai-aanvallen echter in het niet bij wat nog gaat komen. “Hackers die gevoelige gegevens stelen via de IoT-koffiemachine; dat wordt de echte wake-upcall.”

CAAZ2660_410x615-410x615 We spreken de Chief Research Officer van F-Secure half november als hij in Amersfoort is voor een toespraak tijdens het congres Cyber Security van Heliview. “De IoT-revolutie vindt plaats, of je nu wilt of niet”, zo zal hij die middag zijn gehoor voorhouden. “Zelfs broodroosters krijgen een chip. Waarom? Niet om de klant te dienen, maar om data over het gebruik van het apparaat voor analyses terug te kunnen sturen naar de fabrikant. Zo’n chip kost misschien maar twintig cent, terwijl de voordelen voor de leverancier enorm zijn.”

“De fabrikanten kunnen het zich echter niet permitteren om meer dan het minimale te investeren in de security van slimme apparaten”, zo benadrukt Hyppönen tijdens een interview met Infosecurity Magazine. “Security zorgt niet voor extra inkomsten. Klanten vragen bij de aanschaf van een koffiemachine echt niet aan de verkoper hoe de firewall werkt of hoe de encryptiemechanismen in elkaar zitten. Daar komt bij dat de leveranciers van slimme apparaten vaak geen ervaring hebben met bijvoorbeeld het ontwikkelen van veilige software.”

Wake-upcall?

“Voor de gevolgen van de geringe aandacht voor security waarschuwen we nu al meer dan twee jaar, maar niemand luistert”, zegt Hyppönen bijna verongelijkt. “Ik geloof ook niet dat de recente DDoS-aanvallen met het Mirai-botnet de ‘wake-upcall’ zijn. Zelfs als je mensen vertelt dat hun apparaten deel uitmaakten van de grootste aanval ooit uitgevoerd op de basisinfrastructuur van het internet, dan nog interesseert het ze niets. De reactie is dan: ‘Nou en? Mijn apparaten werken toch nog gewoon? Wat is het probleem?’ Ze gaan echt geen geld stoppen in het verhelpen van het probleem.”

Voor Hyppönen staat echter vast dat de wake-upcall komt. “Wat is de belangrijkste drijfveer voor hackers? Geld verdienen! Daarvoor zullen ze ook het Internet of Things gaan inzetten.” Dat kan bijvoorbeeld door een slimme televisie te ‘gijzelen’ en na betaling van losgeld weer vrij te geven, of door via de gehackte videocamera stiekem opnames te maken van mensen en te dreigen met het publiceren van de beelden als een betaling uitblijft.

“Maar binnen zakelijke omgevingen bieden kwetsbaarheden in slimme apparaten hackers ook toegang tot het interne netwerk, waar de waardevolle gegevens zich bevinden”, waarschuwt Hyppönen. “Dat zal de wake-upcall zijn, dat de slimme koffiemachine die zonder overleg met IT is aangesloten op het bedrijfsnetwerk de zwakke schakel vormt in de beveiliging.”

Leveranciers aansprakelijk stellen

Doordat security voor de fabrikanten van slimme apparaten geen ‘unique selling point’ is, is het oplossen van het ‘IoT-securityprobleem’ volgens de Chief Research Officer van F-Secure niet eenvoudig. “Wat er volgens mij moet gebeuren, is dat we de leveranciers van IoT-devices aansprakelijk moeten stellen voor de problemen en schade die slecht beveiligde apparaten veroorzaken. Een fabrikant is nu al aansprakelijk als een broodrooster je een schok geeft of in de fik vliegt. Dat zou ook zo moeten zijn als diezelfde broodrooster je wifiwachtwoord lekt. De fabrikant moet niet alleen verantwoordelijk zijn voor de ‘safety’, maar ook voor de ‘security’.”

Het standpunt van Hyppönen dat de fabrikanten van de slimme apparaten verantwoordelijk zijn voor de security, is ook door de politiek opgepakt. Zo pleit D66 voor een verkoopverbod op apparaten die niet veilig op het internet zijn aangesloten. De Europese Commissie denkt na over een labeling van IoT-hardware waarop is te zien hoe goed het apparaat in kwestie is beveiligd. “De vraag is dan in hoeverre klanten bij de aanschaf van een nieuw apparaat letten op dit label. Vergelijk het met het CE-label voor productveiligheid: wie let daar bij de aanschaf van een product op?”

Risico’s serieus nemen

“Ik ben geen voorstander van nieuwe regulering of EU-wetten, maar het is duidelijk dat er op het gebied van IoT en security iets moet gebeuren”, benadrukt Hyppönen. “De fabrikanten gaan uit zichzelf echt niet extra investeren in security. Het kan echter nog jaren duren voordat nieuwe regelgeving gereed is.”

“Tot die tijd moeten we de risico’s van het Internet of Things uiterst serieus nemen, en ook meenemen in onze threat assessments”, zo adviseert Hyppönen bedrijven die bewust of onbewust al gebruikmaken van slimme, met het internet verbonden apparaten. “Je moet goed weten wie bepaalde apparaten zou willen hacken en waarom. Als je dat in kaart hebt, dan kun je ook op de juiste plaatsen gaan investeren om de beveiliging aan te scherpen.”

Beveiligen vanuit het netwerk

Om het IoT-securityprobleem te tackelen, hebben bedrijven echter wel behoefte aan een nieuw type beveiliging. “We kunnen de beveiliging niet afdwingen op de endpoints, want antivirus installeren op een broodrooster gaat echt niet gebeuren”, aldus de Finse security-expert en veelgevraagd spreker. “De beveiliging van IoT-devices zal daarom vanuit het netwerk moeten komen.”

Vooralsnog zijn er echter weinig tot geen oplossingen beschikbaar die voorzien in deze beveiliging vanuit het netwerk, constateert Hyppönen. “Het is toch eigenlijk best gek dat de grote netwerkleveranciers een dergelijke oplossing nog niet bieden?”

Daar komt volgens de Chief Research Officer echter snel verandering in. Zo brengt F-Secure volgens Hyppönen in de zomer van 2017 een oplossing op de markt die zorgt voor een extra veilig Wifi-netwerk om IoT-devices op aan te sluiten. “Hiermee dwingen we niet alleen extra beveiliging op de endpoints af. We bieden de gebruikers van IoT-devices ook privacy, bijvoorbeeld door het verkeer te blokkeren als de televisie gebruikersdata naar Samsung wil sturen’. Daarnaast verwacht ik dat we ik de loop van 2017 grote aankondigingen gaan zien van de ‘big boys’.”