Achtergrondartikel


Drie vragen aan... Alex Bik

‘Security blijft bij het IoT onderbelicht’

Alex Bik is Chief Technology Officer bij internetprovider BIT en voorzitter van de stichting Nationale Beheersorganisatie Internet Providers (NBIP). Deze stichting voert voor ISP’s tapbevelen uit op basis van de Telecommunicatiewet en biedt on-demand beveiliging tegen DDoS-aanvallen. Volgens de CTO van BIT lenen steeds meer apparaten zich voor het uitvoeren van DDoS-aanvallen, zelfs het koffiezetapparaat...

Waar lig je wakker van?
“Waar de meeste mensen zich vooral druk maken over de security van systemen en servers, uiteraard ook belangrijk, maak ik me vooral zorgen over security en Internet of Things (IoT). Er is helaas veel te weinig aandacht voor de security van apparaten die onderdeel zijn van the IoT. Denk bijvoorbeeld aan home automation-systemen, gebouwbeheersystemen en talloze andere apparaten die aangesloten zijn op het internet en worden bestuurd met een app. Voor de leveranciers van dergelijke toepassingen geldt dat zij zich uitsluitend richten op functionaliteit en te weinig aandacht hebben voor security. Wie heeft er weleens een update voorbij zien komen die niet gericht is op functionaliteit, maar op het repareren van een bug? Als er al sprake van is dat een bug verholpen is, dan nog zal die bug geen impact hebben gehad op de veiligheid, maar nog steeds op de functionaliteit.

Aan de andere kant realiseren gebruikers zich niet wat de gevolgen kunnen zijn als apparaten aangesloten worden op het internet; die gaan er gewoon mee aan de slag. Deze combinatie, gebrek aan focus bij leveranciers en onwetendheid bij de gebruiker, zorgt voor reële dreigingen. Zo kunnen hackers de apparaten op afstand overnemen, waardoor ze de eerste beveiligingslaag (als er al meerdere zijn) al gepasseerd zijn: dan zit je dus al bij iemand op het lokale netwerk. Vervolgens kan er van alles gebeuren, denk aan de inzet van deze apparaten voor DDoS-aanvallen. Ook binnen bedrijven bestaan deze risico’s, denk aan de gebouwbeheersystemen of zelfs een koffiezetapparaat die zelf doorgeeft aan de leverancier wanneer er onderhoud nodig is. Eenvoudig te hacken systemen als er geen securitymaatregelen getroffen worden.”

Wat doe je om weer goed te slapen?
“Het belangrijkste is dat er bewustwording gaat ontstaan rondom deze securityrisico’s. Bij BYOD hebben we dit bijvoorbeeld wel gezien, maar bij IoT blijft dit nog altijd onderbelicht. De verantwoordelijkheid ligt natuurlijk bij de leveranciers, maar zij bevinden zich over de hele wereld. Dat maakt het er niet gemakkelijker op. Juist omdat ik er geen pasklare oplossing voor zie, vind ik het zorgwekkend.”

Hoe ziet de securitywereld er volgens jou over tien jaar uit?
“In netwerkland is tien jaar wel erg lang om vooruit te kijken. Ik waag me dan ook niet aan een concrete voorspelling, maar er verandert natuurlijk veel. Om bij het IoT te blijven: er worden steeds meer apparaten aangesloten op het internet en deze ontwikkeling zal zich de komende jaren alleen maar verder doorzetten. Dit is pas het topje van de ijsberg, binnen afzienbare tijd hangt het internet vol met apparaten die functionaliteit bieden aan de gebruiker. Wanneer er niet gauw meer bewustwording komt rondom de securityrisico’s hiervan, dan duurt het geen 10 jaar meer voordat we daar de gevolgen van gaan ondervinden. Er moet zo snel mogelijk iets gebeuren, anders lopen we nog jaren achter de feiten aan.”


Lees meer over