IoT-apparaten schieten vaak tekort op gebied van beveiliging. Strengere regelgeving moet consumenten beter beschermen tegen onveilige producten.
Steeds meer alledaagse producten zoals een horloge, camera of deurbel krijgen een slimme variant. Deze digitale producten zijn verbonden met het internet en vormen zo een geheel nieuw netwerk, ook wel The Internet of Things (IoT) genoemd. Slimme apparaten schieten als kolen uit de grond, maar hinken vaak achterop als het gaat over beveiliging.
Pieter-Paulus Vertongen, CEO van Aaltra en Erik Van Buggenhout, co-founder van NVISO waarschuwen voor de wildgroei aan goedkope, slecht beveiligde toestellen zonder ‘security by design’. Ze benadrukken het belang van Europese regelgeving die consumenten moet beschermen tegen onveilige producten.
Van douches tot autobanden
The Internet of Things (IoT) is een breed begrip. Vertongen omschrijft IoT als “alle producten die aan het internet hangen”. In eerste instantie denken we aan slimme apparaten zoals horloges, camera’s of deurbellen, maar IoT duikt op in de wildste producten. “Er bestaan slimme douches, ovens maar ook autobanden met chips die verbonden zijn met het internet”, stelt Van Buggenhout.
Security loopt achter
Hoewel veel van deze slimme producten bedoeld zijn om ons leven eenvoudiger te maken, staan we vaak niet stil bij de digitale achtergrond ervan. “IoT loopt achter op wat je over het algemeen ziet bij de security van IT-infrastructuur”, begint Vertongen. Volgens hem komt dit door de hoge investeringskosten om IoT-producten van security te voorzien.
Bovendien beschikken dergelijke toestellen over beperkte hardware. “Als je daar securityprotocollen op wil draaien, moeten deze ook sterk genoeg zijn”, stelt Vertongen.
Hacken voor de jaren 90
Doordat security vaak ontbreekt bij digitale producten, zijn ze een eenvoudig doelwit voor cyberaanvallen. “De kwetsbaarheden binnen deze digitale producten zijn meestal elementair. Je zou het kunnen vergelijken met het gebruik van eenvoudige wachtwoorden, zoals ‘admin-admin’”, duidt Van Buggenhout. “Die systemen worden op grote schaal ingezet in botnets. “Het gevolg hiervan zijn bijvoorbeeld DDoS-aanvallen of verspreiding van malware.”
IoT zit nog in het pre-GDPR-tijdperk.
Pieter-Paulus Vertongen, CEO van Aaltra
Bovendien verzamelen IoT-apparaten continu data zoals locatie, temperatuur of tijdstippen van aanwezigheid. “Gebruikers weten vaak niet welke gegevens precies verzameld worden en waar die terechtkomen”, aldus Vertongen. “Volgens de GDPR-wetgeving moet er duidelijk gemaakt worden wat er met jouw gegevens gebeurt.” “Bij IoT zitten we duidelijk nog in het pre-GDPR-tijdperk.”
lees ook
Veel bedrijven updaten privacytraining niet regelmatig
Auto zonder remmen
Vertongen en Van Buggenhout pleiten allebei voor een security by design-aanpak. “Het is te complex en vaak duur om achteraf nog security in te bouwen.” Van Buggenhout duidt dit met een analogie. “Ik vergelijk het met een auto. Een auto heeft remmen, niet om ervoor te zorgen dat je trager rijdt, maar wel zodat je het lef hebt om sneller te rijden.”
“Zit je in een auto zonder remmen? Dan ga je niet snel rijden. Dus, om de auto ten volle te benutten, heb je goede remmen nodig. Wanneer je dan een auto hebt met een sterke motor maar nog geen remmen, kom je misschien tot de conclusie dat je wel remmen nodig hebt om snel te rijden. Kan je dat dan nog integreren in de auto? Waarschijnlijk wel, maar dat is niet eenvoudig en kost bovendien veel geld.”
Wildgroei aan chips
Veel IoT-producten op de markt voldoen niet aan de vereisten voor cybersecurity, vooral omdat ze goedkoop en functioneel moeten zijn, zonder dat er tijdens de ontwikkeling aandacht is voor security by design. Volgens Van Buggenhout leidt dit tot een wildgroei aan slecht beveiligde apparaten, waarbij chips in uiteenlopende toepassingen worden ingebouwd zonder voldoende beveiliging. De eenvoudige productie vergroot dit probleem nog verder.
Vogel voor de kat
Om consumenten te beschermen tegen onveilige producten, is er een Europese verordening in het leven geroepen die fabrikanten minimumeisen oplegt. “De Cyber Resilience Act is bedoeld om te voorkomen dat onveilige of snel in elkaar gestoken IoT-producten op de markt komen”, stelt Vertongen.
Bedrijven die producten op de markt brengen zonder de mogelijkheid om die vanop afstand te updaten, zijn een vogel voor de kat.
Pieter-Paulus Vertongen, CEO van Aaltra
“Er zijn bedrijven die hun producten op de markt brengen zonder de mogelijkheid om die vanop afstand te updaten. Dan ben je een vogel voor de kat.” Zonder updates kunnen toestellen namelijk een blijvend risico vormen zodra ze in gebruik zijn.
Veiligheidslabel
In Amerika gaan ze nog een stapje verder om het bewustzijn bij consumenten te vergroten. Het Cybersecurity Trust Mark is een initiatief van de VS dat meer transparantie wil bieden aan consumenten en bedrijven omtrent de veiligheid van digitale producten. “Je zou het label kunnen vergelijken met een EPC- of energielabel, maar dan voor cybersecurity”, duidt Vertongen. Momenteel is het label nog niet geïmplementeerd in Europa en ook niet in België, maar Vertongen en Buggenhout zijn alvast overtuigd van de meerwaarde.
lees ook
Slimme apparaten moeten veiligheidslabel dragen in Duitsland
“Consumenten kopen vaak onbewust kwetsbare IT-producten omdat ze de risico’s niet kunnen inschatten”, aldus Vertongen. Bovendien zou een universeel label zorgen voor eerlijke concurrentie. “Bedrijven die meer investeren in beveiliging, worden hier bijgevolg voor beloond.”
“Het is jammer dat klanten vandaag niet voldoende op de hoogte gebracht worden over hoe veilig een product is”, vertelt Buggenhout. “Ik ben ervan overtuigd dat consumenten meer willen betalen voor een product waarvan ze weten dat het veilig is.” “Nu zijn ze onvoldoende geïnformeerd.”