Internet of Things: de noodzaak van goede informatiebeveiliging
Deze maand besteedt Privacy Company aandacht aan het Internet of Things (IoT). Hierbij hebben al verscheidene onderwerpen de revue gepasseerd. Zo is onder andere bekeken wat het IoT nou eigenlijk is, wat het allemaal over je weet en welke impact deze kennis heeft op je privacy. Ook is gekeken naar de verhoudingen met betrekking tot verantwoordelijkheid voor zowel de beveiliging als de algehele gegevensverwerkingen op het IoT. Hierbij is al even genoemd dat een goede beveiliging van het IoT nog niet zo makkelijk is. Daarom zal ik in deze blogpost verder in gaan op de noodzaak van goede informatiebeveiliging binnen het IoT en de verschillende problemen die zich bij het beveiligen voordoen.
De noodzaak van goede informatiebeveiliging
Het IoT verzamelt persoonsgegevens, het gaat immers over informatie die aan een specifiek persoon (de gebruiker) kan worden gekoppeld. Doordat het om persoonsgegevens gaat moet er volgens de wet (nu nog de Wet bescherming persoonsgegevens, straks de Algemene Verordening Gegevensbescherming) sprake zijn van passende technische en organisatorische maatregelen om de veiligheid van persoonsgegevens te waarborgen. Hoe dit zich vertaalt naar een specifiek beveiligingsniveau hangt onder andere af van het soort gegevens dat door de apparaten die verbonden zijn met het IoT worden verzameld. Als dit om medische gegevens gaat (bijvoorbeeld bij een fitness-tracker) zal er aan strengere eisen moeten worden voldaan dan wanneer er (slechts) locatiegegevens worden verzameld. Daarnaast is ook de hoeveelheid gegevens die verzameld wordt een factor die bepaalt hoe goed de beveiliging moet zijn. Als het IoT op grote schaal gebruikt wil worden, zonder dat hiermee inbreuk wordt gemaakt op de privacywetgeving, zullen producenten dit beveiligingsniveau moeten kunnen garanderen, of in ieder geval moeten kunnen aantonen dat er voldoende maatregelen zijn genomen. Anders lopen zij onder de AVG een groot risico op hoge boetes.
Complexiteit
Het garanderen van een toereikend beveiligingsniveau op het IoT is echter nog niet zo eenvoudig. Het IoT staat of valt immers met de interconnectiviteit van de verschillende apparaten die op het netwerk zijn aangesloten. En er is slechts één lek nodig om toegang te verkrijgen tot het gehele netwerk. De zwakste schakel bepaalt in feite de staat van beveiliging van het gehele netwerk. Op dit moment is dit nog een groot probleem. Apparaten gebruiken verschillende beveiligingsprotocollen die niet goed op elkaar aansluiten. Dit biedt kwaadwillenden mogelijkheden om het netwerk binnen te dringen.
Het probleem is hier vierledig:
- Het zijn de smart-devices zelf die goed beveiligd moeten worden, het gaat dan om de slimme koelkasten en thermostaten.
- Ook de telefoon of tablet en de applicatie die je gebruikt om toegang tot de smart-devices te krijgen moeten voldoende beveiligd zijn als dit geen mogelijke zwakke plek wil vormen.
- Dan is er nog de verbinding zelf, de brug tussen de smartphone en het smart-device. Hierbij speelt nog mee dat het lastig is om te bepalen wie in geval van een onvoldoende beveiligde verbinding uiteindelijk de verantwoordelijke partij is.
- Als laatste is er nog de gebruiker zelf. Het is vaak gemakkelijk om een standaardwachtwoord voor een apparaat niet te veranderen, zodat dit wachtwoord makkelijk weer te achterhalen is. De gebruiker is echter niet de enige die die wachtwoord kan achterhalen, wat weer een beveiligingsrisico oplevert.
Kortom, het beveiligen van het IoT is een complexe zaak, waar nog veel uitdagingen voor zowel fabrikanten als gebruikers liggen. De interconnectiviteit van apparaten is een kracht, maar tegelijk ook de grootste zwakte van het IoT.
