Het uitdijende Internet of Things biedt consumenten en het bedrijfsleven niet alleen gebruiksgemak en groeikansen, maar het levert ook zeer serieus te namen beveiligingsrisico’s op. Marc Witteman, CEO van beveiligingsbedrijf Riscure, zal tijdens het D&E Event dieper ingaan op het onderwerp IoT Security.
Door: Dimitri Reijerman
In juni 2017 werden twee containerterminals in de Rotterdamse haven getroffen door NotPetya, een uiterst agressieve ransomware voor Windows-systemen. Het duurde weken voordat APM Terminals zijn systemen weer had draaien, nadat het een schade van vermoedelijk honderden miljoen euro’s heeft geleden. Witteman: “Het fenomeen Ransomware is behoorlijk vervelend. We zien welke impact dit op de economie kan hebben. Stel je voor dat dit ook gebeurt met je telefoon, je elektrische auto of thermostaat. Als je je daar een voorstelling van maakt, kom je tot de conclusie dat dergelijke cyberaanvallen niet alleen een bedreiging vormen voor het individu, maar ook voor de samenleving.”
Het is duidelijk: kwaadaardige software, zoals ransomware, kan een hele maatschappij of bedrijfstak flink ontwrichten. Bovendien zijn cyberaanvallen in principe door iedereen met een beetje kennis van zaken uit te voeren. “Het gaat nog een stapje verder omdat het niet alleen wordt gebruikt door criminelen voor geldelijk gewin. Er kunnen ook nation states achter zitten”, zegt Witteman. “Denk aan de beïnvloeding van de verkiezingen in de VS door landen als Rusland en China. Met electronic warfare zou je de vloot van een tegenstander kunnen stilleggen. De beveiliging van allerhande apparaten wordt steeds belangrijker, terwijl deze apparaten steeds meer in gebruik zijn.”
Afwachtende houding
Volgens Witteman leunen veel partijen, ondanks het toenemende aantal incidenten, nog steeds teveel naar achteren: “Wij denken dat er te weinig aandacht is voor security. In eerste instantie vanuit de consument. Ze vraagt er niet om, daar begint het mee. De fabrikanten hebben ook niet zoveel interesse daar veel geld in te steken, want security verkoopt kennelijk niet goed. De politiek maakt zich nog niet zo druk dat ze daadwerkelijk een betere beveiligingskwaliteit willen afdwingen.”
Witteman trekt op het vlak van regulering een vergelijk met de autobranche: “Als je kijkt naar auto’s is er traditioneel heel veel aandacht voor safety. Die aandacht wordt zowel door fabrikanten als de wetgever gegeven. De wetgever verplicht dat je gordels en een airbag hebt, in die zin werkt de wetgever mee. De autofabrikant ziet ook de voordelen. Een bedrijf als Volvo, dat altijd adverteert met veiligheid, ziet dat de consument gebaat is bij veiligheid.”
In de ogen van Witteman zou de markt voor software en hardware op een soortgelijke manier gereguleerd kunnen worden. “De wetgever heeft hier een rol om de samenleving te beschermen”, aldus de CEO van Riscure.
Complex probleem
Maar de beveiliging van IoT-apparatuur kent meer kanten: “Er zit ook een technische component aan”, vertelt Witteman. “Elektronica wordt steeds krachtiger. En het heeft ook een economisch aspect, geheugenchips worden goedkoper. Deze complexiteit heeft ook een keerzijde. Het is veel moeilijker om vast te stellen of software veilig is, omdat de omvang van softwarecode is gegroeid en complexer is geworden. Tien jaar geleden konden we de beveiliging van een apparaat in een maandje evalueren, tegenwoordig zou dat veel meer tijd kosten. En die tijd hebben veel fabrikanten simpelweg niet.”
Riscure, dat onder andere voor grote techbedrijven werkt, certificeert ook software. “Apparaten moeten gecertificeerd gaan worden. Steeds vaker krijg je een discussie tussen overheid en fabrikanten over welke normen moeten gelden. De overheid zal zijn eisen moeten aanpassen aan de wensen van de industrie, maar daarmee kan het een papieren tijger worden. Ik ben er daarom nog niet van overtuigd dat de overheid effectief zal zijn in het bestrijden van dat risico.”
“Wat kun je wel doen? Meer onderzoek stimuleren naar een beter veiligheidsniveau zonder dat de kosten enorm toenemen. Dat onderzoek zou de overheid kunnen stimuleren.” Witteman denkt daarbij aan een toekomst waarin kunstmatige intelligentie benut kan worden om automatische controles op software uit te voeren.
Concluderend stelt Witteman dat hij twee boodschappen heeft voor zijn toehoorders op het D&E Event: “Één: aan de horizon komt er iets aan wat ons gaat helpen. Maar dat is nog niet voor iedereen beschikbaar. En twee: er is ook meer awareness nodig. Dat kan door mensen op te leiden om zo de grootste valkuilen te vermijden. Vooral bij kleinere bedrijven is er nog te weinig aandacht, ze willen er niet voor betalen.”
Marc Witteman spreekt tijdens het Design Automation & Embedded Systems Event op 7 en 8 november in respectievelijk Mechelen en Eindhoven. U kunt het D&E Event na registratie gratis bezoeken.