Wijs omgaan met slimme apparaten

We koppelen steeds meer apparaten aan het internet, maar dat gebeurt lang niet allemaal even veilig. TU/e-hoogleraar Sandro Etalle leidt een nationaal project, wat dit voorjaar is gestart, om fabrikanten en consumenten bewuster te maken van de veiligheidsrisico's.

Slimme lampen, een slimme deurbel, thermostaat, rookmelder of slimme tandenborstel. Steeds meer apparaten zijn gekoppeld aan het internet – ook wel Internet of Things (IoT) genoemd – en kun je zo met je smartphone bedienen.

Heel handig om vanaf je werkplek de bezorger voor je huisdeur te kunnen vertellen waar hij zijn pakketje kan achterlaten, of een tandenborstel die via gezichtsherkenning zijn poetsprogramma aan jouw wensen aanpast. Ze beloven je leven gemakkelijker te maken, maar tegelijkertijd brengen slimme apparaten wel degelijk risico’s met zich mee. Want wat gebeurt er met alle data die ze genereren en delen, en wat doet de fabrikant met al jouw persoonlijke gegevens?

Afgelopen zomer werd bekend dat de TU/e een nationaal onderzoeksproject gaat leiden om het Internet of Things veiliger te krijgen. Aan dit project ‘An Internet of Secure Things – INTERSECT’ nemen ruim 45 instanties – universiteiten, bedrijven, maatschappelijke organisaties en overheid – deel.

TU/e-hoogleraar Cybersecurity Sandro Etalle is samen met Harold Weffers, coördinator externe samenwerkingen, kartrekker van dit project. “Het is heel goed dat we werken met een multidisciplinair team”, zegt Weffers. “We zijn tegenwoordig volledig afhankelijk van diensten op internet. Dat gemak heeft ook een keerzijde. Stel dat een hacker via je zonnecellen op het dak zich toegang heeft verschaft tot andere apparaten die aan het netwerk hangen. Op zich al heel schadelijk, maar als individuele gebruiker kun je dan nog je schouders ophalen. Maar wat als dat bij een grote groep gebruikers gelijktijdig gebeurt en er zo een Distributed Denial of Services (DDos) aanval wordt opgezet?”

“De enorme toename aan slimme apparaten en razendsnelle ontwikkelingen van het IoT maken dat we anders naar cybersecurity moeten kijken”, legt Etalle uit. “We mogen het probleem niet bij de consument alleen neerleggen. Er zijn nu al zo’n twintig miljard slimme apparaten gekoppeld aan het IoT en dat aantal neemt snel toe. Zo’n systeem is zeer complex en dynamisch, we zien nu dat er nog weinig controle is op de ontwikkeling daarvan. Dat heeft consequenties voor veiligheids- en privacy-issues. Met het INTERSCT. project willen we het IoT beheersbaar en veilig houden en daarvoor is een systematische aanpak nodig.”

Hele keten aanpakken
Al enkele jaren is Etalle mede-auteur van de Nationale Security Research Agenda (NSRA), een leidraad voor het nationale onderzoek naar digitale veiligheid. Dat wordt hierin verdeeld in vijf pijlers: ontwerp, verdediging, aanvallen, organisatie en privacy. Door het bijeenkomen voor de NSRA ontstond een nieuwe samenwerking tussen verschillende cybersecurity-experts, met het besef dat het ‘pilaar-denken’ voor het IoT juist geen efficiënte aanpak is.

Etalle: “We moeten de hele keten aanpakken om veiligheid te kunnen waarborgen, en we moeten dat doen op een brede manier; bij ons project zijn zowel technici als ondernemers, criminologen en juristen betrokken. Het begint al bij het productdesign. Een product moet niet alleen vanuit functioneel oogpunt kwalitatief hoogwaardig zijn, maar ook wat betreft de processen rondom veiligheid. Denk aan wat er gebeurt na het faillissement van een producent: zijn apparaten blijven in gebruik en die moeten beveiligd, gemonitord en gepatcht worden. Dat wordt helaas vaak onderschat. We hopen bedrijven bewuster te maken veilige producten op de markt te brengen.”

Dat Nederland naast een sterke maakindustrie ook internationaal gezien veel belangrijke toeleveranciers kent, is voor het project daarom een belangrijk voordeel.

“Naast bewustwording van het bedrijfsleven hoopt INTERSCT. ook een maatschappelijke verandering teweeg te brengen”, aldus Weffers. “Het zou mooi zijn als mensen die nu voor een paar euro een willekeurig apparaat uit een willekeurig land – laat ik het voorzichtig omschrijven – uit het schap pakken, daar ook hun veiligheid in laten meewegen, en dan een andere keuze maken. Gebruik als individu je gezonde verstand. Die ommezwaai vraagt ook vanuit de overheid extra aandacht.”

Met de slogan ‘Even je updates checken, voordat ze je hacken’ trapte het ministerie van Economische Zaken afgelopen lente een campagne af om slimme apparaten ook daadwerkelijk veilig te houden. Want hoewel het merendeel van de gebruikers weet dat hun apparaten gehackt kunnen worden, voert slechts de helft op tijd een update uit – een van makkelijkste manieren om de beveiliging te vergroten. “Er valt dus nog veel winst te behalen”, concludeert Weffers.

IoT-lab
Steeds meer bedrijven zien het belang van cyberveiligheid, bleek ook bij het opzetten van INTERSCT. Samenwerkende partners uit het bedrijfsleven waren niet moeilijk te vinden. Op de verschillende universiteiten worden 27 promovendi aangetrokken, en ook hogescholen en TNO leveren mankracht die aan het project gaan bijdragen. Gezamenlijk gaan zij de komende acht jaar bouwstenen voor het ontwerp, beveiliging en beheer van IoT-systemen ontwikkelen, met hoogleraar Etalle als wetenschappelijk leider.

Etalle: “We gaan hier een IoT-lab oprichten waar kruisbestuiving moet gaan plaatsvinden. Het benutten van kennis is heel belangrijk. Mede door ons bedrijf voor digitale veiligheid SecurityMatters (mede opgericht door Etalle en in november 2018 voor 113 miljoen euro overgenomen door de Amerikaanse onderneming ForeScout, red.) hebben we daar veel ervaring mee. Doordat ook partijen als Brainport zijn aangesloten, profiteren niet alleen bedrijven die in het consortium zitten van de opgedane kennis, maar wordt het ook verder in de regio uitgerold. En zo hopen we met z’n allen belangrijke stappen te zetten in het structureel en duurzaam veilig maken van het IoT.” 

Bron: TU/e