Wijs omgaan met slimme apparaten
Lees meer- Onderzoek
- 19/02/2020
Wijs omgaan met slimme apparaten
We koppelen steeds meer apparaten aan het internet, maar dat gebeurt lang niet allemaal even veilig. TU/e-hoogleraar Sandro Etalle leidt een nationaal project dat dit voorjaar van start gaat om fabrikanten en consumenten bewuster te maken van de veiligheidsrisico’s.
Slimme lampen, een slimme deurbel, thermostaat, rookmelder of slimme tandenborstel. Steeds meer apparaten zijn gekoppeld aan het internet - ook wel Internet of Things (IoT) genoemd - en kun je zo met je smartphone bedienen.
Heel handig om vanaf je werkplek de bezorger voor je huisdeur te kunnen vertellen waar hij zijn pakketje kan achterlaten, of een tandenborstel die via gezichtsherkenning zijn poetsprogramma aan jouw wensen aanpast. Ze beloven je leven gemakkelijker te maken, maar tegelijkertijd brengen slimme apparaten wel degelijk risico’s met zich mee. Want wat gebeurt er met alle data die ze genereren en delen, en wat doet de fabrikant met al jouw persoonlijke gegevens?
Afgelopen zomer werd bekend dat de TU/e een nationaal onderzoeksproject gaat leiden om het Internet of Things veiliger te krijgen. Aan dit project ‘An Internet of Secure Things - INTERSECT’ nemen ruim 45 instanties - universiteiten, bedrijven, maatschappelijke organisaties en overheid - deel.
TU/e-hoogleraar Cybersecurity Sandro Etalle is samen met Harold Weffers, coördinator externe samenwerkingen, kartrekker van dit project. “Het is heel goed dat we binnenkort met een heel multidisciplinair team aan de slag kunnen”, zegt Weffers. “We zijn tegenwoordig volledig afhankelijk van diensten op internet. Dat gemak heeft ook een keerzijde. Stel dat een hacker via je zonnecellen op het dak zich toegang heeft verschaft tot andere apparaten die aan het netwerk hangen. Op zich al heel schadelijk, maar als individuele gebruiker kun je dan nog je schouders ophalen. Maar wat als dat bij een grote groep gebruikers gelijktijdig gebeurt en er zo een Distributed Denial of Services (DDos) aanval wordt opgezet?”
We mogen het probleem niet bij de consument alleen neerleggen
De enorme toename aan slimme apparaten en razendsnelle ontwikkelingen van het IoT maken dat we anders naar cybersecurity moeten kijken, legt Etalle uit. “We mogen het probleem niet bij de consument alleen neerleggen. Er zijn nu al zo’n twintig miljard slimme apparaten gekoppeld aan het IoT en dat aantal neemt snel toe. Zo’n systeem is zeer complex en dynamisch, we zien nu dat er nog weinig controle is op de ontwikkeling daarvan. Dat heeft consequenties voor veiligheids- en privacy-issues. Met het INTERSECT-project willen we het IoT beheersbaar en veilig houden en daarvoor is een systematische aanpak nodig.”
Hele keten aanpakken
Al enkele jaren is Etalle mede-auteur van de Nationale Security Research Agenda (NSRA), een leidraad voor het nationale onderzoek naar digitale veiligheid. Dat wordt hierin verdeeld in vijf pijlers: ontwerp, verdediging, aanvallen, organisatie en privacy. Door het bijeenkomen voor de NSRA ontstond een nieuwe samenwerking tussen verschillende cybersecurity-experts, met het besef dat het ‘pilaar-denken’ voor het IoT juist geen efficiënte aanpak is.
Etalle: “We moeten de hele keten aanpakken om veiligheid te kunnen waarborgen, en we moeten dat doen op een brede manier; bij ons project zijn zowel technici als ondernemers, criminologen en juristen betrokken. Het begint al bij het productdesign. Een product moet niet alleen vanuit functioneel oogpunt kwalitatief hoogwaardig zijn, maar ook wat betreft de processen rondom veiligheid. Denk aan wat er gebeurt na het faillissement van een producent: zijn apparaten blijven in gebruik en die moeten beveiligd, gemonitord en gepatcht worden. Dat wordt helaas vaak onderschat. We hopen bedrijven bewuster te maken veilige producten op de markt te brengen.”
Dat Nederland naast een sterke maakindustrie ook internationaal gezien veel belangrijke toeleveranciers kent, is voor het project daarom een belangrijk voordeel.
Gebruik je gezonde verstand
Naast bewustwording van het bedrijfsleven hoopt INTERSECT ook een maatschappelijke verandering teweeg te brengen, aldus Weffers. “Het zou mooi zijn als mensen die nu voor een paar euro een willekeurig apparaat uit een willekeurig land - laat ik het voorzichtig omschrijven - uit het schap pakken, daar ook hun veiligheid in laten meewegen, en dan een andere keuze maken. Gebruik als individu je gezonde verstand. Die ommezwaai vraagt ook vanuit de overheid extra aandacht.”
Met de slogan ‘Even je updates checken, voordat ze je hacken’ trapte het ministerie van Economische Zaken afgelopen week zijn campagne af om slimme apparaten ook daadwerkelijk veilig te houden. Want hoewel het merendeel van de gebruikers weet dat hun apparaten gehackt kunnen worden, voert slechts de helft op tijd een update uit - een van makkelijkste manieren om de beveiliging te vergroten. “Er valt dus nog veel winst te behalen”, concludeert Weffers.
IoT-lab
Steeds meer bedrijven zien het belang van cyberveiligheid, bleek ook bij het opzetten van INTERSECT. Samenwerkende partners uit het bedrijfsleven waren niet moeilijk te vinden. Op de verschillende universiteiten worden 27 promovendi aangetrokken, en ook hogescholen en TNO leveren mankracht die aan het project gaat bijdragen. Gezamenlijk gaan zij de komende acht jaar bouwstenen voor het ontwerp, beveiliging en beheer van IoT-systemen ontwikkelen, met hoogleraar Etalle als wetenschappelijk leider.
Etalle: “We gaan hier een IoT-lab oprichten waar kruisbestuiving moet gaan plaatsvinden. Het benutten van kennis is heel belangrijk. Mede door ons bedrijf voor digitale veiligheid SecurityMatters (mede opgericht door Etalle en in november 2018 voor 113 miljoen euro overgenomen door de Amerikaanse onderneming ForeScout, red.) hebben we daar veel ervaring mee. Doordat ook partijen als Brainport zijn aangesloten, profiteren niet alleen bedrijven die in het consortium zitten van de opgedane kennis, maar wordt het ook verder in de regio uitgerold. En zo hopen we met z’n allen belangrijke stappen te zetten in het structureel en duurzaam veilig maken van het IoT.”
Maandag 6 april vindt op de TU/e de kick-off van INTERSECT plaats, met onder meer een symposium. Informatie over het programma en de aanmelding daarvoor volgt nog.
“UM-hack leert: samenwerking tussen onderzoekers en beveiligers is cruciaal”
Als cybersecurity-expert is Sandro Etalle met zijn team ook betrokken bij de ict-beveiliging van de TU/e. Front research kan zo direct worden toegepast om het universitaire netwerk te beschermen tegen cyberaanvallen. De ransomware-aanval van eind 2019 bij de Universiteit Maastricht maakt het belang daarvan direct duidelijk.
Waterdichte bescherming is onmogelijk, stelt Etalle. “We moeten ons voorbereiden op zulke aanvallen. Nu was het het UM-netwerk waar ze binnen konden komen, maar dat had elke andere universiteit kunnen zijn. Natuurlijk hebben we hier een heel goed team van veiligheidsexperts rondlopen en zijn de veiligheidsmaatregelen na Maastricht aangescherpt, maar we zijn en blijven een relatief open structuur die moeilijk te beveiligen is.”
Wat de situatie volgens Etalle extra zorgelijk maakt, is dat dergelijke gerichte aanvallen tot nog toe alleen bij industriële en politieke spionagepraktijken gezien werden. “In plaats van zich te richten op individuele gebruikers zijn criminelen nu bezig geweest om de hele infrastructuur uit te schakelen. Van de kant van de crimineel vergt zoiets een grote investering. Dat een dergelijke aanval nu bij een publieksinstelling plaatsvindt, is een teken dat deze vorm van cybercrime aan het vercommercialiseren is. De gebeurtenissen in Maastricht hebben de noodzaak om universiteiten beter te beveiligen onderstreept. Samenwerking tussen onderzoekers en beveiligers is daarom cruciaal.”
Voortdurende wedloop
Ook het onderwijs past zich aan deze nieuwe ontwikkelingen aan. Zo biedt de TU/e de mastertrack Information Security Technology, specifiek gericht op computerveiligheid. Daarin verzorgt Etalle samen met collega Luca Allodi de nieuwe mastercursus ‘Cyberattacks, Crime and Defences’. Daarmee wil Etalle studenten al in een vroeg stadium de benodigde expertise bijbrengen over de werkwijze van cybercriminelen.
“Er is een voortdurende wedloop gaande tussen wetenschappers en criminelen. Door studenten inzicht te geven in hoe criminelen denken en hoe aanvallen in de praktijk worden uitgevoerd, hopen we in de toekomst steeds meer te kunnen onderscheppen en aanvallen te voorkomen om uiteindelijk een steeds veiliger netwerk te kunnen garanderen.”
Discussie