Hoe thermostaat en tv cyberwapens konden worden

Cyberspionage

Geheime diensten en criminelen kunnen inbreken in slimme apparaten, door slechte beveiliging. De markt lost het niet op: bedrijven willen gadgets verkopen, burgers doen ook weinig.

Illustratie Anna van Wieren

Van babyfoons tot thermostaten tot tv’s: we omringen ons in recordtempo met apparaten met internetverbinding. Maar hoe vaak controleren we of de beveiliging van die gadgets een beetje deugt?

Het risico van de algehele laksheid op het gebied van internetveiligheid bleek dinsdag nog maar eens bij een groot gegevenslek dat WikiLeaks publiceerde. Volgens de klokkenluiderssite hebben geheime diensten allerlei methodes om in de apparaten in te breken, vooral dankzij gammele beveiliging. Andere rapporten over internetveiligheid waarschuwen daar al jaren voor.

Gebruik encryptie, update je telefoon en tv: Zo bescherm je jezelf tegen de CIA-hacks

In auto’s zitten verplicht gordels, op elke stekker die je in het stopcontact steekt moet een keurmerk staan, maar voor ‘slimme’ apparaten zijn er al jaren vrijwel geen effectieve regels over de beveiliging. Hoe kan dat?

Internet of things

Aan de waarschuwingen van experts kan het niet hebben gelegen. „Ik lig ’s nachts wakker van de slechte beveiliging van het internet of things,” zei nota bene een directeur van de Amerikaanse geheime dienst NSA in 2016. De Britse minister van Financiën, Philip Hammond, waarschuwde in februari dat zelfs fluitketels tegenwoordig doelwit zijn van spionnen en cybercriminelen. Hoogleraar internetveiligheid Michel van Eeten ziet „een lawine van gehackte apparaten” op ons afkomen. Sla een rapport over cyberveiligheid open, en bij het kopje internet of things staan allerlei waarschuwingen over hacks.

„Ondanks dat de problemen al heel lang duidelijk zijn, lost de markt het probleem niet op,” zegt Bibi van den Berg, lid van de Cyber Security Raad en universitair hoofddocent cyberveiligheid aan de Universiteit Leiden. „Het ontbreekt aan de goede prikkels.”

De technologiebedrijven die de gadgets verkopen hebben op korte termijn vooral belang bij het verkopen van heel veel apparaten, of die nou helemaal veilig zijn of niet. Burgers zelf doen ook opmerkelijk weinig aan de beveiliging van hun slimme apparaten – omdat ze er niet opletten, en omdat ze vaak de technische kennis niet in huis hebben. Overheden reageren telkens zeer traag op onthullingen van kwetsbaarheden.

Zombiecomputers

Meeglurende inlichtingendiensten zijn lang niet het enige gevaar dat schuilt in een slecht beveiligd internet of things. Apparaten met gebrekkige beveiliging kunnen door criminelen en vijandige overheden ook gekaapt worden en ingezet worden als cyberwapen. Dat gebeurt bijvoorbeeld in zogeheten botnets: netwerken van zombiecomputers en -apparaten die aanvallen kunnen uitvoeren, bijvoorbeeld door belangrijke websites te overbelasten.

Via WhatsApp, auto’s, televisies en smartphones: Hoe de CIA in de huiskamer kan spieken

Dat is bepaald geen denkbeeldig scenario. Eind vorig jaar bleek er een internationaal botnet te zijn, Mirai geheten, dat bestond uit gehackte internet of things-apparaten. Met behulp van die smart devices voerde Mirai succesvolle aanvallen uit waardoor miljoenen mensen niet op populaire websites als Twitter, Netflix en Airbnb konden komen. Ook zaten 900.000 klanten van Deutsche Telekom door Mirai in november tijdelijk zonder mobiel internet. Er is brede vrees dat Mirai en vergelijkbare botnets ook aanvallen kunnen uitvoeren op cruciale infrastructuur of digitale betaalsystemen.

Steviger rol overheid nodig

Steviger overheidsbeleid om dat soort risico’s te verkleinen lijkt bepaald geen overbodige luxe. Beveiligingsexpert Ronald Prins van het bedrijf FoxIT stelt sinds 2015 voor dat er in Nederland een Cybercommissaris moet worden aangesteld, met vergelijkbare bevoegdheden als de Deltacommissaris voor de dijken. De Haagse technologiedenktank Rathenau Instituut bepleitte vorige week in een rapport dat toezichthouders zoals de Autoriteit Consument en Markt en het Agentschap Telecom krachtiger moeten optreden tegen het op de markt brengen van onveilige digitale apparaten en producten. D66 stelde vorig jaar voor om de verkoop van onveilige internet of things-apparaten helemaal te verbieden, dat voorstel moet nog in de Kamer worden besproken.

In de gemeente Den Haag onderzoeken bedrijven, kennisinstellingen en overheden wat de mogelijkheden zijn van een zogeheten Nationaal Cyber Testbed: een laboratorium voor het op grote schaal testen van apparatuur op veiligheid. In het Europees Parlement worden, heel langzaam, stappen gezet richting afspraken over de beveiliging van slimme apparaten.

Bibi van den Berg van de Cyber Security Raad zoekt de oplossing bij veel nadrukkelijker bewustwording van burgers. „Via onderwijs, maar misschien ook via zaken als wijkteams die langs de deuren gaan om mensen tips te geven over beveiliging van hun apparaten.”

Maar vooralsnog wordt er vooral veel minzaam overlegd en nagedacht, en zijn er weinig tot geen concrete maatregelen te bekennen. Terwijl de concrete dreigingen zich blijven opstapelen, signaleert ook zij: „Het moet blijkbaar eerst goed misgaan.”

    • Wouter van Noort