Internet of Things is de buzz voorbij, de pioniers hebben intussen de krijtlijnen getrokken en de komende jaren wordt een stortvloed aan toepassingen verwacht. Met de aangekondigde komst van het mobiele 5G-netwerk zal een ongeziene hoeveelheid mobiele bandbreedte en snelheid aangeboden worden aan het grote publiek. Toch ben je je maar beter goed bewust van de risico’s van IoT oplossingen, als aanbieder maar ook als eindgebruiker, vindt cybersecurity expert Wouter Winters. Hij is COO bij ZIONSECURITY, specialist en marktleider in de beveiliging van webapplicaties en webusers. “Veel van de hedendaagse producten in de IoT-markt laten op vlak van veiligheid veel te wensen over.”

Tijden veranderen

In de twaalf jaar dat ZIONSECURITY bestaat, zag Winters de rol van IT’ers sterk veranderen. “Vroeger was informatica maar een klein onderdeel van een bedrijf, vandaag kan men niet meer zonder IT”, zegt hij. “Als een systeem down gaat en mensen kunnen hun job niet uitoefenen, gaat er tijd en geld verloren. Hoe hulpeloos voelen we ons niet wanneer blijkt dat we geen e-mails meer kunnen versturen? Hoe meer wij alles digitaliseren, des te groter de nood aan cybersecurity wordt. Ook de wetgevers hebben hier een verantwoordelijkheid in. GDPR is daar een actueel voorbeeld van, rond het beschermen van persoonsgegevens. Naast die persoonsgegevens kunnen hackers ook gevoelige informatie van klanten stelen, onderzoeksgegevens misbruiken of databasegegevens compromitteren.”

De blinde vlek in cybersecurity

Hoe groot de aandacht voor cybersecurity ook is sinds ransomware als WannaCry de voorpagina’s haalde, toch bestaat er volgens Winters een belangrijke blinde vlek. “Sinds 2015 is meer dan de helft van alle internetverkeer non-human, zonder menselijke tussenkomst. Zie het als miljoenen machines en robots die continu informatie uitwisselen. IoT volgt hier dus een belangrijke trend, samen met AI en machine-learning, maar de mens moet het wel beheersbaar kunnen houden."

“Wat wij echter in toenemende mate merken tijdens onze security audits, is dat veel van de hedendaagse producten in de IoT-markt – slimme meters, lampen, koelkasten, domotica, noem maar op – op vlak van veiligheid veel te wensen overlaten. Een inbreker die slim genoeg is om de zwakke beveiliging van IoT-apparaten te omzeilen, zit binnen de kortste keren op uw interne wifi-netwerk. En vanaf dat punt is het kwaad geschied.”

"Wat wij in toenemende mate merken tijdens onze security audits, is dat veel van de hedendaagse producten in de IoT-markt – slimme meters, lampen, koelkasten, domotica, noem maar op – op vlak van veiligheid veel te wensen overlaten"

Inbreken via de koelkast

Hij verduidelijkt zijn standpunt met een gekend verhaal van de eerste generatie slimme koelkasten, ontwikkeld door een vooraanstaande technologiefabrikant. Deze smart fridges zijn uitgerust met wifi, zodat gebruikers met de app vanop afstand kunnen kijken wat er nog in hun koelkast zit, of wat automatisch bijbesteld mag worden, enzovoort.

Het probleem met die koelkasten was niet dat er geen paswoordbeveiliging aanwezig was, wel dat het standaard paswoord in de handleiding stond en die was gewoon online te vinden”, legt Wouter Winters uit. “Het duurde niet lang vooraleer iemand een automatisch script ontwikkelde dat het internet afschuimde om te ontdekken waar dat serienummer van koelkasten zich had aangemeld. Daarna werd een ander automatisch script of robot ontwikkeld om het standaard paswoord overal in te voeren en wat bleek? Bij 90% van de koelkasten was het standaard paswoord niet veranderd. Bij die gevallen werd dus toegang verschaft tot het interne wifi netwerk, en kon gekeken worden wat er nog allemaal op dat netwerk aanwezig was. Via social engineering werd een adres achterhaald. Met als uiteindelijk gevolg dat dieven via het wifi-netwerk eerst het alarm afzetten, daarna de poort openen, het huis of bedrijf leegroven en uiteindelijk het alarm netjes weer aanzetten.”

"Veel bedrijven vinden cybersecurity nog altijd een dure kost. Maar geloof me, when the shit hits the fan mag je die kosten al snel vertienvoudigen"

Een ander treffend voorbeeld is de smartwatch voor kinderen. "Tijdens de voorbije feestdagen hebben weer heel wat ouders zo’n ding voor hun kind gekocht zodat ze altijd contact kunnen houden via berichten of bijvoorbeeld facetime. Noors onderzoek heeft echter uitgewezen dat de veiligheid bij acht op tien smartwatches niets voorstelt. Iemand van slechte wil zou dus zomaar met een kind kunnen communiceren, zonder dat de ouders er iets van merken. Voor voedingswaren bestaan er zeer complexe kwaliteits- en controleprocedures , ter bescherming van de consument. Voor apparatuur waarmee gevoelige data wordt verzonden naar die consument zou dat ook moeten kunnen!

20 ethische hackers en een anti-hackschool

Tot zijn grote tevredenheid ziet Winters de tijden veranderen. “De markt wint de laatste jaren aan belang. Momenteel is het nog een baby business, maar binnenkort wordt die booming. Vandaag besteden we nog een groot deel van onze tijd aan het sensibiliseren van het publiek voor de enorme gevaren die schuilen in de slechte beveiliging van IoT-apparatuur. Veel bedrijven vinden cybersecurity nog altijd een dure kost. Geloof me, when the shit hits the fan, mag je die kosten al snel vertienvoudigen.”

Mede dankzij de GDPR merken we nu evenwel dat bedrijven zich bewuster worden van de gevaren. Maar er zit nog altijd een groot verschil tussen zich bewustzijn van het probleem, en er effectief iets aan doen. Daarom hebben wij 20 ethische hackers in huis. Als een klant ons vraagt een security assessment te doen, dan gaan onze hackers volledig loos op dat bedrijf. Daarna volgt een gedetailleerd rapport waarin staat wat we hebben kunnen hacken, welke gegevens we konden stelen, welke accounts we konden overnemen … Maar ook wat we gedaan hebben om dat te bereiken en wat de klant allemaal moet doen om dit te voorkomen. Daarnaast bieden we diepgaande opleidingen, waarin we bedrijven aanleren hoe ze waterdichte apps en websites kunnen ontwikkelen.”

De drie grootste security-problemen bij IoT-oplossingen

Vaak begint het probleem al bij de wijze waarop de code wordt geprogrammeerd en de onderliggende architectuur, zegt Winters. “Technologie verandert momenteel aan een razendsnel tempo. Maar de bouwstenen waarmee die technologie wordt gemaakt, zijn al jaren dezelfde. Of het nu Java, PHP of een andere codeertaal betreft, overal ter wereld wordt coderen op exact dezelfde wijze aangeleerd op scholen. Met als gevolg dat ook cybercriminelen perfect weten hoe een code opgebouwd zal zijn. Die voorspelbaarheid is volgens ons een van de grootste zwakheden in de veiligheid van IoT-apps. Beveiligde codering komt dan ook uitgebreid aan bod in onze opleiding rond SDLC of Secure Development Life Cycle.”

Een tweede groot probleem is dat er vaak geen beveiliging in de oplossing zelf voorzien is. Developers gaan er gemakshalve van uit dat alles wel veilig achter de netwerkbeveiliging zal zitten. Terwijl er zoveel mensen dag in dag uit ingelogd zijn, op hun telefoon, op het werk … Dan ben je al voorbij die firewall.”

Een derde tekort waar we tot slot vaak tegenaan lopen, is dat de communicatie tussen de IoT devices en de infrastructuur, de bedrijfsserver of een server in de cloud, vaak niet geëncrypteerd wordt. Als iemand die communicatie kan onderscheppen, kan hij veel gevoelige data stelen.”

Vroeg in de productontwikkeling implementeren

Daarom raadt Wouter Winters bedrijven aan om security van bij de prille start in de lifecycle van hun productontwikkeling te stoppen. “In onze opleidingen laten we ondernemingen zien bij welke stappen in het ontwikkelingsproces security aan bod moet komen, en hoe ze dat best aanpakken. Reeds in de architectuurfase moet over security worden nagedacht en tijdens de ontwikkelings- en testfases moet alles worden gereviewd en getest op kwetsbaarheden. Als er één les is die we aan bedrijven willen meegeven, dan is het die wel.”

Ook benieuwd naar de opleidingen van ZIONSECURITY? Ontdek hier de volgende data en docenten!