Internet-of-Things vraagt om nieuwe kijk op cybersecurity
Beveiligingsapparatuur wordt meer en meer onderdeel van Internet-of-Things. Dat vergt een geheel nieuwe kijk op cybersecurity, waarschuwde Ilias Chantzos tijdens het door Axis georganiseerde online evenement Inspire 2020. Hij gaf een enorme opsomming van waarop gelet moet worden bij moderne beveiligingssystemen.
Ilias Chantzos is verantwoordelijk voor overheidszaken voor EMEA bij het bedrijf Broadcom en was door Axis uitgenodigd om als gastspreker een keynote over cybersecurity te geven. Hij maakte duidelijk dat ontwikkelingen als IoT en cloud computing veel voordelen bieden, maar dat ook met veel zaken rekening gehouden moet worden om het veilig te houden. “Camera’s worden vaak voor privacygevoelige en vitale toepassingen ingezet, waardoor er een verhoogde kans is op inbreuk door kwaadwillenden. Niet voor niets is er met de GDPR strenge wetgeving gekomen om de rechten van waargenomen personen te beschermen. Dat geeft ons extra redenen om ons zorgen te maken over de cybersecurity van camerasystemen.”
Toegang tot vitale processen
Volgens Chantzos vinden regelmatig aanvallen plaats op het Internet-of-Things en verlopen die aanvallen voor 90 procent via routers en daarop aangesloten bewakingscamera’s. Hij baseert zich op cijfers van cybersecuritybedrijf Symatec, dat onderdeel is van Broadcom. “Via een dergelijke aanval zouden criminelen toegang kunnen krijgen tot de beelden, maar ook tot andere aangesloten systemen. Zelfs vitale processen voor bijvoorbeeld de energievoorziening worden daardoor kwetsbaar. Mensen realiseren zich zelden dat een camera een volwaardige computer is, die bij slechte beveiliging of gebruik van het fabriekswachtwoord het toegangspunt kan worden van het bedrijfsnetwerk. Zeker nu door de coronacrisis meer wordt thuisgewerkt en medewerkers van huis uit hetzelfde netwerk gebruiken voor bewakingscamera’s en toegang tot hun bedrijfsnetwerk.”
Cloud
Chantzos vindt Internet-of-Things geen goede benaming voor de technologie. “Want wat is het? We hebben te maken met een enorme hoeveelheid apparaten, tot aan online lampen aan toe. Thuis tel ik er al minstens dertig. Ook mijn auto bevat steeds meer verbonden apparatuur. En dat alles communiceert via wat wij de cloud noemen. Dat betekent een ingrijpende verandering van de infrastructuur. Die bestaat uit een enorme hoeveelheid apparaten, die nog veel grotere hoeveelheden informatie te verwerken krijgen. Ook waarschuwingen, waar we iets mee moeten doen. Dat kan niet zonder kunstmatige intelligentie. Veel informatie is bedoeld om ons leven te vergemakkelijken. Maar daarvoor wordt ook gevoelige informatie gebruikt. Informatie over hoe wij leven en wat wij doen. Denk maar aan camera’s die gezichten herkennen. Die technologie is voor veel mensen onbegrijpelijk.”
Inzicht vereist
Voor cybersecurity is het essentieel dat er inzicht is in hoe systemen in elkaar zitten. “Meestal weten we wel hoe een computer en een mobiele telefoon werkt en hoe je daar veilig mee om moet gaan. Maar vanuit IoT-perspectief heb je weinig aan die kennis. Een computer kan je configureren. Het IoT niet. Meestal gaat het om apparaten waar alleen de fabrikant iets aan kan veranderen. Dan heb je ook nog te maken met duizenden verschillende besturingssystemen en protocollen. Al die apparaten staan via tienduizenden kanalen met elkaar in verbinding en worden door talloze mensen beheerd. Dit alles is te beveiligen, maar dat vereist een totaal andere aanpak als de beveiliging van apparaten zoals wij die kennen. Zo dient in lagen beveiligd te worden. Beveiliging van het apparaat, van de communicatie van het apparaat, van de gateway tot de verwerkende systemen, het platform en de cloud-omgeving. Je kan de cloud als een server beschouwen. Alleen verschilt de manier sterk waarop de camera daarop wordt aangesloten. Er zijn daarvoor talloze componenten nodig met ieder hun beperkingen ten aanzien van betrouwbaarheid en beveiliging”, aldus Chantzos.
Zelf zorgen voor slot
Uit de traditionele IT zijn beveiligingsmaatregelen bekend als anti-malware-software, inbraakdetectie en firewall. In een cloud-omgeving heb je daar weinig aan, aldus Chantzos. “Je kan de cloud beschouwen als een groot opslaggebouw zonder slot. Wil je er gebruik van maken, dan dien je zelf voor een slot te zorgen. Ook dien je zelf te zorgen voor een veilige infrastructuur. Over een paar jaar hebben we zo’n honderd aangesloten apparaten per persoon. In een stad worden die aangesloten op de 5G-infrastructuur. Bij een miljoen inwoners praat je dan over honderd miljoen apparaten op één netwerk. Dit is alleen nog met kunstmatige intelligentie te beheren en te beveiligen, maar die is op haar beurt ook weer kwetsbaar. Die systemen gaan vroeg of laat aangevallen worden. Dat zou via een camera kunnen. Door deze iets te laten waarnemen wat het oog niet ziet, maar wat wel door de kunstmatige intelligentie als instructie wordt opgevat. Cyberaanvallen zouden dus in de nabije toekomst gericht kunnen worden op het manipuleren van de kunstmatige intelligentie van systemen.
Gegevensbeheerwetgeving
De privacywetgeving kan volgens Chantzos beter worden veranderd in gegevensbeheerwetgeving. “Het gaat om de totale levenscyclus van gegevens, vanaf het moment van vastlegging tot en met het moment van definitieve verwijdering. Daarbij gaat het niet alleen om persoonsgegevens, maar om alle relevante gegevens. Vooral gegevens over de vitale infrastructuur. De privacywetgeving helpt zeker bij het krijgen van bewustzijn over gegevensbescherming. Maar de privacywetgeving op zichzelf is ook iets om rekening mee te blijven houden. Wat je nu steeds meer ziet is dat overheden kunstmatige intelligentie willen reguleren. Daarbij wordt met name gedacht aan biometrische gegevens. Er komen waarschijnlijk aanvullende eisen om te voorkomen dat biometrie onaanvaardbaar veel inbreuk gaat maken op de privacy van personen. Dat raakt ook de ontwikkelingen in kunstmatige intelligentie. Zelfs bij toepassingen waarbij geen persoonsgegevens worden verwerkt.”
Praktisch niet te doen
Volgens de specialist van Broadcom dient nog veel te gebeuren met de privacywet. “Er zijn veel spanningsvelden die tot tegenstrijdige wetgeving leiden. Zeker waar het gaat om verplichtingen van werkgevers. Als je internationaal opereert is het praktisch niet te doen om aan alle wetgeving tegemoet te komen. Dat geldt met name bij de inzet van thermische camera’s om koorts bij mensen vast te stellen.” Chantzos ziet meer in certificering. Onder andere voor het IoT. Hoe dit eruit gaat zien is nog niet bekend. Een Europees agentschap voor netwerk- en informatiebeveiliging buigt zich hier momenteel over. Uiteindelijk kan daar een nieuwe, op het IoT gerichte cybersecuritywet uit voortkomen. Daar gaat de video-industrie dan ook zeker mee te maken krijgen. “We gaan te maken krijgen met voorschriften voor digitale hygiëne en cybersecurity. Zo kan je inbreuken voorkomen en kunnen beperkende controlemaatregelen achterwege blijven. Meer regelgeving lost niets op. Dat beperkt de mogelijkheden en zorgt voor hogere kosten. Maar voordat we digitale hygiëne binnen het IoT hebben zal er opnieuw moeten worden nagedacht over de architectuur van de traditionele beveiligingstechnologie om te kijken met welke dreigingen videobewaking via externe netwerken te maken kan krijgen. Wel zal een nieuwe, op kunstmatige intelligentie gerichte manier van denken nodig zijn om die dreigingen tegen te gaan. Zeker nu regelgevers steeds meer richting governance gaan, zullen we beter voorbereid moeten zijn op hoe we deze kwesties gaan aanpakken.”