VAN MATRASSEN TOT KUNSTHARTEN: WAAROM IOT SECURITY CRUCIAAL IS

IoT-apparaten zijn overal: er zijn miljarden apparaten verbonden met het internet. Hoe veilig is dat? De precieze risico’s hangen af van de functie van een apparaat. Maar in extreme gevallen kan IoT-security een kwestie zijn van leven en dood, zegt Jasper Nota, Senior Security Specialist bij Secura.

Nota spreekt uit ervaring, want hij testte de beveiliging van een kunstmatig hart. In dit artikel legt hij uit waarom IoT-security zo cruciaal is. Ook vertelt hij wat er kan gebeuren als een slim apparaat wordt gehackt, en welke stappen fabrikanten en gebruikers kunnen nemen om IoT-devices te beveiligen.

THE RISICO’S VAN ZWAKKE IOT SECURITY

Er zijn allerlei risico’s als het gaat om IoT-beveiliging. Als een aanvaller een slim apparaat hackt, kan dat grote gevolgen hebben, zegt Nota: ‘Het precieze beveiligingsrisico hangt natuurlijk af van de functie en omgeving van het product. De risico’s voor een slim matras zijn natuurlijk heel anders dan voor apparaten die in een operatiekamer worden gebruikt.’

Ook al verschillen de risico’s per apparaat, veel apparaten kunnen schade veroorzaken als ze niet beveiligd zijn, zegt Nota: ‘Wat gebeurt er als een aanvaller de batterij opblaast? Met wie kan een aanvaller meekijken, als er een camera in het apparaat zit? Dit zijn maar een paar voorbeelden van onderdelen die schade kunnen veroorzaken.’

DATA STELEN VIA EEN AQUARIUM

Een bekend voorbeeld van schade door een onveilig IoT-apparaat is het geval van het casino-aquarium. In 2017 installeerde een Amerikaans casino een slim aquarium met sensoren die de temperatuur van het water in de gaten hielden. Deze sensoren waren verbonden met het netwerk van het casino. Cybercriminelen wisten via het aquarium het netwerk binnen te dringen. Ze maakten 10 gigabyte aan gegevens buit.

Ik realiseer me dat als ik een kwetsbaarheid kan vinden, een kwaadwillende dat waarschijnlijk ook kan ~ Jasper Nota

ONDERDEEL VAN EEN BOTNET

‘Een ander reëel gevaar is dat een onveilig apparaat onderdeel wordt van een botnet’, waarschuwt Nota. ‘Een botnet is een groep apparaten die via een bepaalde kwetsbaarheid of misconfiguratie wordt overgenomen. Daardoor kan een kwaadwillende actor die apparaten controleren. Met behulp van een botnet kan een kwaadwillende allerlei aanvallen uitvoeren.’ Bijvoorbeeld: DDoS-aanvallen uitvoeren of gevoelige gegevens stelen uit het netwerk waar het apparaat deel van uitmaakt.

Een digitaal onveilig apparaat kan dus gebruikers schaden. Maar ook voor fabrikanten van apparaten zijn de gevaren reëel. Security issues in producten kunnen leiden tot reputatieschade of een daling van de marktwaarde van een bedrijf.

IOT-PRODUCTEN VEILIGER MAKEN

Wat kunnen fabrikanten doen om hun IoT-producten optimaal te beveiligen? ‘In het ideale geval betrekken fabrikanten security-experts in de designfase van hun product.’ Maar als een product al op de markt is, is dat natuurlijk niet mogelijk.

Sommige maatregelen zijn relatief makkelijk te implementeren zijn voordat een product op de markt komt, zegt Nota. ‘Bijvoorbeeld: zorg ervoor dat niet elk apparaat hetzelfde standaardwachtwoord heeft. En zorg dat de software in het apparaat geüpdatet kan worden. Zo kunnen eventuele beveiligingsfouten altijd worden gepatcht.’

Voor gebruikers is het belangrijk dat ze ervoor zorgen dat IoT-apparaten niet verbonden zijn aan elkaar of de rest van het netwerk.

VAN HEADSETS TOT PILLEN

Een andere manier om IoT-apparaten te beveiligen, is ze te laten testen door security experts als Nota. Op die manier kunnen eventuele kwetsbaarheden worden verholpen voordat een aanvaller er misbruik van kan maken. Nota test bij Secura vooral de cybersecurity van consumentenelektronica en medische apparaten.

‘In mijn loopbaan heb ik veel unieke apparaten getest. Slimme pillen bijvoorbeeld. Maar ook toepassingen die draaien op mixed reality-headsets, een slim matras, slimme deursloten, alarmsystemen, televisies, slimme horloges en een spierstimulator, om er maar een paar te noemen. De meeste apparaten worden fysiek naar ons testlab in Amsterdam gestuurd.’

EEN KUNSTHART TESTEN

‘Het interessantste product dat ik tot nu toe heb getest was een kunsthart. Dat was interessant omdat het echt over leven en dood gaat. Ik kan niet teveel op het onderzoek zelf ingaan. Maar we kwamen erachter dat de security van het hart goed was ontworpen. Er waren verschillende beveiligingslagen; dat noemen we ‘defense in depth.’ Uiteindelijk ontdekten we wel verschillende kwetsbaarheden die een rampzalige impact op het leven van een patiënt hadden kunnen hebben.’

ADRENALINE EN ANGST

Hoe voelt het om ernstige kwetsbaarheden in producten te vinden? Nota: ‘Dat is erg dubbel. Vanuit mijn hackershart krijg ik echt een adrenaline rush ik ernstige kwetsbaarheden vind. Aan de andere kant is het soms ook beangstigend. Een kwaadwillende heeft waarschijnlijk meer tijd dan ik om zwakke plekken te vinden.’

NIEUWE EU-WETGEVING VOOR IOT

Dit is het perfecte moment om aan de beveiliging van IoT-producten te werken. In augustus 2024 wordt namelijk een aanvulling op het Europese Radio Equipment Directive (RED) van kracht. Nota: ‘Deze wetgeving houdt in dat elk IoT-product dat op de Europese markt wordt gebracht aan minimale beveiligingseisen moet voldoen.’ De EU werkt daarnaast aan wetgeving die nog verder gaat: De Cyber Resilience Act (CRA).

Vanuit beveiligingsoogpunt is nieuwe wetgeving goed nieuws, zegt Nota: ‘Het probleem dat we nu zien, is dat hoe meer een productfabrikant investeert in beveiliging, hoe duurder het product wordt. Op dit moment betekent dit dat beveiligde apparaten minder concurrerend zijn in prijs dan onveilige apparaten.’

‘Omdat veel consumenten het verschil tussen een veilig en een onveilig product niet zien, verliest het veilige product. Deze nieuwe wetgeving legt de lat voor iedereen hoger, waardoor er een gelijker speelveld ontstaat.’

CONCLUSIE

IoT-security is cruciaal, zowel voor fabrikanten als voor de gebruikers van deze apparaten. Door prioriteit te geven aan security voorkomen fabrikanten dat hun klanten schade ondervinden, en voorkomen zij ook schade aan hun eigen bedrijf.