Martijn van Lom, Kaspersky: Security by design moet de basis van elk product en dienst worden
Nieuwe technologie – IoT, blockchain, AI, VR/AR - biedt ongekend veel nieuwe kansen en nieuwe mogelijkheden. Voor bedrijven, voor de financiële wereld, voor consumenten, burgers en patiënten. Nieuwe uitdagingen zijn er ook, stelt Martijn van Lom, in het dagelijks leven General Manager Kaspersky Labs Benelux. Zeker op het gebied van security en privacy. “De IT van morgen heeft de beveiliging van morgen nodig.”
Nieuwe technologie is eigenlijk volgens Van Lom een raar begrip. Blockchain, kunstmatige intelligentie en machine learning, virtual en augmented reality, 3D-printing zijn namelijk niet nieuw. “Jaren geleden kwam ik al met internet verbonden witgoed zoals afwasmachines en koelkasten tegen,” stelt Martijn van Lom. “M2M bestaat al veel langer. Het grote verschil met een paar jaar geleden is de enorme versnelling die je nu ziet in toepassingen en gebruik.”
Die enorme proliferatie van nieuwe technologie en allerlei combinaties ervan gaat ook veel sneller dan bij voorgaande generaties - zoals de kleuren-tv, de pc, of smartphones. “Zelfs de smartphone had een jaar of vijf nodig om van hype naar mainstream te gaan. Maar waar een connected wasmachine drie jaar geleden nog een hype was, lijkt het er nu bijna op dat je geen apparaat meer kunt kopen zonder dat het de mogelijkheid heeft om aan een smart home, smart building of smart city-netwerk verbonden te worden.”
Beveiliging groeit niet mee
Die enorme en steeds snellere proliferatie baart Van Lom ook zorgen. Want de benodigde mate van beveiliging groeit niet mee. “Vroeger was security een zaak van specialisten. Bij IT-dienstverleners, bij leveranciers van security-hardware en -software. Maar een speelgoedfabrikant die een pop levert die updates krijgt via internet, is geen specialist. Dat bewustzijn zit er veel minder in dan bij security-specialisten.”
Dus de kans is groot dat men niet over security nadenkt bij het ontwerp, noch bij het plaatsen van zo goedkoop mogelijk ingekochte WiFi-componenten. Dat geldt niet alleen voor de speelgoedfabrikant, maar ook voor de leverancier van een koffiezetapparaat of droger die je op afstand aan kunt zetten. Los van het nut om alles met internet te verbinden, zit in de gebrekkige beveiliging een enorm risico. De hackbaarheid en daarmee het misbruik groeit namelijk exponentieel. Zeker als een gebruiker verwacht dat de producent wel over die beveiliging heeft nagedacht.
Te weinig holistisch beeld
Ook gebruikers – zoals bedrijven bij smart buildings en fabrieken, zorginstellingen, overheden bij smart cities – zijn nog weinig holistisch bezig. Veiligheid wordt vaak niet vanaf het begin meegenomen. Technologie wordt nog veel door de producenten ervan gepusht, zodat smart infrastructuren gefragmenteerd en zonder overkoepelend ontwerp tot stand komen waar security en privacy vanaf het begin ingebakken zit.
“Uiteindelijk moeten er hier standaarden voor komen. Certificering die een basisgarantie biedt voor het niveau van beveiliging. Wet- en regelgeving zoals waar nu de Nederlandse politiek en organisaties zoals de Cyber Security Raad het nu over hebben op IoT-gebied. Maar zover is het nu nog niet. Bovendien is dit een onderwerp dat niet alleen op Nederlands niveau geregeld moet worden maar internationaal. Anders kun je apparatuur uit andere landen importeren met een gebrekkiger wetgeving of certificeringsverplichting en ben je terug bij af.”
Privacy, security by design
Uiteindelijk is het nodig dat elke leverancier van apparatuur of systemen die verbonden kunnen worden met internet – vrijwel alles, zo lijkt de trend – al in de eerste fase nadenkt over maximale bescherming en minimale privacy-inbreuk, meent Van Lom. Privacy en security by design dus. Dan is het geen enkel probleem dat gebruiksgemak voorop staat.
“Zo voorkom je dat je met goede bedoelingen het tegenovergestelde bereikt. Zoals het uitrusten van bedreigde dieren in Zuid-Afrika met een chip om hen te volgen. Dat systeem werd gehackt door stropers die vervolgens wisten waar ze op de dieren konden jagen. Of kijk naar cryptomunten: die moesten veiliger zijn dan gewoon geld, maar zijn omarmd als voorkeursvaluta door cybercriminelen.”
Gedachteloos verbinden
Van Lom waarschuwt er ook voor om gedachteloos alles met internet te verbinden. “Natuurlijk zitten er vaak voordelen aan. Zo werkte de digitale aansturing van mijn Tesla een keer niet. Ik kon starten en rijden, maar verder niets. Nog voordat ik op het werk aankwam, nam iemand van Tesla contact met mij op. Ze wisten van het probleem en konden dat met een update verhelpen.”
Geweldig dat dit proactief gebeurt, stelt Van Lom. Maar ook wat bedreigend. Want los van het feit dat zijn auto niet meer te bedienen is zonder digitale aansturing: “Hadden ze bewust met bellen gewacht totdat ik van de snelweg af was en zo ja, hoe wisten ze dat? Dit geldt voor veel technologieconcerns, die gegevens van gebruikers verzamelen en bijvoorbeeld doorverkopen voor gepersonaliseerde reclame. Maar dezelfde tools kunnen gebruikt worden door cybercriminelen of door inlichtingendiensten.”
Het is het bekende Big Brother-idee, recent benadrukt door het nieuws dat onderzoekers van Kaspersky Lab nieuwe Android malware hebben gevonden die in staat is gebruikers van Android smartphones digitaal en fysiek af te luisteren. De malware heet 'Skygofree' en kan berichtenverkeer via verschillende messengers af luisteren. Ook kan het de microfoon van de smartphone ongemerkt activeren om gebruikers van het toestel fysiek af te luisteren en ongemerkt foto's maken met de frontcamera van smartphones zodra het toestel ontgrendeld wordt.
Te laat?
Is het al te laat om deze ontwikkeling tegen te gaan? Van Lom ziet hier twee aspecten. Aan de ene kant verwacht hij dat er al over vijf jaar kinderen geboren worden voor wie het huidige concept privacy eigenlijk niet meer geldt. Omdat de ontwikkelcycli voor technologie steeds korter worden, is het steeds lastiger om snel groeiende problemen zoals ransomware aan te pakken.
Anderzijds ziet hij het bewustzijn groeien bij bedrijven, overheden en burgers dat men zelf actief moet worden om data en privacy te beschermen. De komst van regels zoals privacy-verordening GDPR is een goed begin.
Toch is dat bewustzijn nog te beperkt. Zo was het logisch geweest wanneer de CSO van de NS vooraf de vraag gesteld had wat de privacy-gevolgen waren van het plaatsen van camerasystemen in billboards. Dat dit niet is gebeurt, tekent dat het bewustzijn over de bedreigingen voor privacy en security in bestuurskamers wellicht groeiende, maar nog altijd te beperkt is.
Bij spionerende billboards is de impact nog beperkt. Maar wat als pakketdrones massaal worden gehackt en voor een aanslag worden gebruikt? Als mensen in een ziekenhuis overlijden omdat via een achterdeurtje in een connected medisch device het ICT-systeem gegijzeld is door ransomware?
Zo sterk als zwakste schakel
“Alles is zo sterk als de zwakste schakel. Het internationale bancaire SWIFT-systeem zet blockchain technologie in om communicatie en transacties beter te beschermen. De meeste staatsbanken hebben zelf ook afdoende bescherming opgebouwd. Maar één zwakke broeder in Bangladesh was in 2016 toch voldoende om een digitale bankroof uit te voeren waarbij vele miljoenen buitgemaakt worden”, stelt Van Lom.
“We worden steeds meer overgeleverd aan technologie, die steeds complexer wordt en waarbij steeds meer partijen in een lange keten betrokken zijn. Dat zie je alleen al in de – noodzakelijke - bundeling van eerst afzonderlijke security-producten in Advanced Threat Protection. Als security-aanbieders werken we al lang samen omdat geen enkele aanbieder alle bedreigingen in zijn eentje kan vinden en aanpakken.”
Dat, besluit Van Lom, moet in een connected samenleving het uitgangspunt worden voor de hele keten, van leverancier tot eindgebruiker en elke partij er tussenin. Samenwerking, transparantie, een holistische aanpak – security en privacy by design – en goede regulering. “Alleen zo zorgen we er dat we de grip op technologie en veiligheid niet volledig verliezen.”
