“48% van de IoT bedrijven in de VS zijn al gehackt”

Enkele praktijkvoorbeelden:

In 2016 haalde het Mira botnet een groot deel van het internet neer, opererend vanaf diverse IoT devices (DVRs, camera’s, routers, etc.). Tip: bekijk Rusland op de kaart

• In 2017 ontdekten onderzoekers een groot beveiligingslek bij een pacemaker bedrijf, wat pacemakers hackbaar maakte en zo 465.000 mensen in gevaar bracht.
• Onderzoekers ontdekten in 2017 ook dat babymonitors met de naam CloudPets gehackt waren, waardoor men ongestoord in huizen mee kon kijken. Door de ophef is dit bedrijf hierna failliet gegaan.

• Een petrochemische fabriek werd geïnfecteerd met ransomware in 2017 doordat een connected koffiemachine gehackt werd.

• 2018 zag de komst van Alexa en Google Home naar veel huishoudens. Onderzoekers ontdekten dat apps met malware van deze devices afluisterapparaten maakten.

Bovenstaande voorbeelden zijn verontrustend, en laten zien dat een toekomst waarin IoT devices omnipresent zijn, de privacyrisico’s ook aanzienlijk toenemen.

Het besef is gelukkig wel aan het groeien, dat veiligheid hoger op de agenda’s dient te staan dan tot nu toe het geval is geweest. Zo is er in Europa met de komst van GDPR wetgeving ook een verplichting ontstaan voor fabrikanten om datalekken te melden. Tijd voor meer stappen.

Wat kan er door fabrikanten en overheden gedaan worden om deze risico’s te beperken?

• Fabrikanten moeten zorgen voor firmware updates voor hun producten tijdens de hele levensduur van het product.
• Fabrikanten moeten openheid van zaken geven in het geval van hacks van databases met klantdata.
• Fabrikanten zouden IoT devices op een manier moeten maken die het voor gebruikers eenvoudig maakt om veilig met het product om te gaan (automatisch zoeken naar netwerken, discoverability, ease of updates, etc.).

• Overheden dienen te zorgen dat IoT producten aan bepaalde veiligheidsstandaarden (security standards) voldoen.
• Overheden dienen er op toe te zien dat de privacy van gebruikers gehandhaafd wordt door de grootbedrijven.
• Overheden dienen een rol te spelen bij het ‘opvoeden’ van consumenten, om bewust te zijn van de risico’s van IoT devices.

En wat kun je hier zelf aan doen?

• Zorgen dat je thuisnetwerk zo goed mogelijk is afgeschermd van het internet. Door een moderne modemrouter te gebruiken en een sterk wachtwoord op zowel de router als het WiFi netwerk te zetten wordt de kans op een hack klein.
• Oude connected devices de deur uit doen. Indien de firmware oud is kan er vanuit worden gegaan dat het veiligheidsrisico groot is.
• Alleen connected devices gebruiken van gerenommeerde merken. Er is een giga-hoeveelheid aan Chinese IoT devices voor een prikkie te koop, deze zijn echter zeer onveilig (inherent), ook omdat er geen doorontwikkeling is om aan nieuwe veiligheidsstandaarden te voldoen.
•  Opletten dat je connected devices regelmatig van een update voorzien worden. Dit minimaliseert veiligheidsrisico’s.

Zodra IoT devices door mainstream fabrikanten voor de massa beschikbaar komen, verwacht ik dat veel van deze problemen wel opgelost zullen worden. Er is hiernaast zeker een rol weggelegd voor overheden, om af te dwingen dat producten voldoende veilig zijn en blijven. Maar uiteindelijk ben je als consument zelf toch de bepalende factor. Ik houd mijn devices persoonlijk altijd geüpdatet met de laatste software en firmware. Jij ook?