Bijna iedereen heeft wel een soort Internet of Things-apparaat in huis. Of het nu gaat om een aangesloten thermostaat of koelkast, of iets simpels als een fitnesstracker, we verzenden en ontvangen voortdurend gegevens via internet, de hele dag, elke dag.
En maar heel weinigen van ons beveiligen die gegevens daadwerkelijk. We nemen alle mogelijke voorzorgsmaatregelen om onze computers en, in mindere mate, onze smartphones te beschermen, maar we laten de meeste IoT-apparaten, die in wezen kleine computers bevatten, zonder beveiliging. Dit betekent dat in theorie uw persoonlijke gegevens, waaronder alles van gezondheids- en financiële gegevens tot gesprekken die u in de privacy van uw eigen huis voert, mogelijk toegankelijk zijn voor hackers. Stel je voor dat een hacker toegang heeft tot de feed van de video-babyfoon die je in de slaapkamer van je kind gebruikt en je kinderen ziet slapen en spelen. In feite is het mogelijk, en het is slechts één voorbeeld van de risico’s van onbeveiligde IoT-apparaten.
Dus waarom maken niet meer mensen van IoT-beveiliging een prioriteit? De antwoorden lopen uiteen, maar feit blijft dat er een probleem is en dat IoT-fabrikanten zullen moeten oplossen.
Het is niet belangrijk en het is te moeilijk
In veel gevallen zijn IoT-apparaten om een van de volgende twee redenen (of een combinatie van beide) niet veilig: gebruikers zijn zich niet bewust van de risico’s en het is te moeilijk of ze weten niet hoe ze ze moeten beschermen.
Eerlijk gezegd was het idee van een IoT-aanval tot voor kort grotendeels theoretisch en waren eventuele aanvallen beperkt van omvang, als gebruikers er al van wisten. Echter, in het kielzog van de IoT-aangedreven aanval op internetinfrastructuurbedrijf Dyn, waarbij hackers misbruik maakten van een beveiligingslek in aangesloten camera’s, wordt het idee van een grootschalige aanval werkelijkheid. Toch lachen veel consumenten om het idee van een beveiligingsprobleem met IoT-apparaten; wie wil er tenslotte een koelkast of koffiepot plunderen?
Het probleem is dat hackers er waarschijnlijk niet om geven, of zelfs niet weten, dat ze een apparaat aanvallen. Voor hen is het gewoon een aangesloten apparaat dat gegevens kan verzenden, wat betekent dat het heel goed mogelijk is dat een koelkast, naast het opslaan van SPAM, spam, DDoS-pakketten of allerlei soorten ravage veroorzaakt. In tegenstelling tot een computer, die vaak tekenen van infectie vertoont, zoals een vertraging of andere problemen, zal een gehackt koffiezetapparaat hoogstwaarschijnlijk blijven werken zoals voorheen, wat betekent dat het probleem onverminderd kan aanhouden voor wie weet hoe lang.
Om het probleem nog groter te maken, weten de meeste consumenten niet hoe ze hun IoT-apparaten moeten beveiligen. Weinig consumenten veranderen het standaardwachtwoord of installeren belangrijke firmware-updates omdat ze het niet belangrijk vinden of niet weten hoe ze het moeten doen. En dat in de veronderstelling dat de apparaten effectief kunnen worden beschermd. Een groot probleem met de snelle verspreiding van IoT-apparaten is dat sommige fabrikanten onvoldoende beveiliging in hun ontwerpen opnemen. Met fabrikanten die graag apparaten op de markt willen brengen, wordt beveiliging een bijzaak; iets dat “later” kan worden aangepakt, behalve dat al snel duidelijk wordt dat er geen “later” is.
Waarom de druk op fabrikanten ligt?
Omdat consumenten niet over de kennis of vaardigheden beschikken om hun IoT-apparaten effectief te beschermen, hebben fabrikanten de verantwoordelijkheid om beveiligingsfuncties in hun microchip- en microcontroller-apparaten in te bouwen. Enkele van de functies die de veiligheid drastisch kunnen verhogen en de privacy van gebruikers kunnen beschermen, zijn onder meer:
Vereisen dat gebruikers hun eigen eenmalige aanmelding maken bij het eerste gebruik. Toestaan dat apparaten automatisch worden bijgewerkt wanneer dat nodig is. Penetratietesten om kwetsbaarheden te identificeren en te beveiligen. Gebruik de juiste koppelingsopties, zodat gebruikers ervoor kunnen zorgen dat hun apparaten alleen zijn verbonden met de netwerken die ze specificeren, en niet met de keuze van een buur of hacker. Nieuwe software testen op bekende kwetsbaarheden en exploits. Versleutel alle gegevens die van en naar het apparaat worden verzonden.
Hoewel het opnemen van deze beveiligingscontroles in een apparaat geen ondoordringbaarheid voor aanvallen garandeert, worden wel veel van de hiaten gedicht die zijn ontstaan doordat consumenten zich niet bewust zijn van of zich zorgen maken over IoT-beveiliging. In de toekomst kunnen consumenten IoT-beveiliging evenveel aandacht geven als andere verbonden apparaten, maar tot die tijd is het aan de fabrikant om de last op zich te nemen of de prijs te betalen zonder het vertrouwen van de klant.
