Bezoek van staatssecretaris Mona Keijzer van Economische Zaken en Klimaat aan Qbit

Volgens onderzoeksbureau zijn in 2020 20 miljard slimme apparaten online. Allerlei apparaten, zoals lampen, sieraden, auto’s, thermostaten en zonnepanelen, zijn verbonden met het internet. Dit biedt, in combinatie met bijvoorbeeld kunstmatige intelligentie, oneindig veel mogelijkheden. Op dit moment betekent het vaak dat we onze smartphone als afstandsbediening gebruiken. De verwachtingen zijn dat het zogenaamde internet der dingen (Engels: Internet of Things (IoT))  in de (nabije) toekomst productieprocessen verbetert en dat het oplossingen biedt voor problemen rondom energie en milieu, criminaliteit, gezondheidszorg en onderwijs. Er is ook een nadeel. Al die apparaten zijn vaak niet of slecht beveiligd. De software is verouderd en updates worden niet uitgevoerd. In 2016 al zagen we een glimp van wat de mogelijke gevolgen kunnen zijn van slecht beveiligde apparaten. Een zogenaamde DDoS-aanval  zorgde ervoor dat een groot deel van het Amerikaanse internet aan te oostkust platlag. De aanval werd uitgevoerd via het Mirai-botnet. Mirai, dat Japans voor toekomst betekent, maakte gebruik van slecht beveiligde IP-camera’s en WiFi-routers. Een ander risico is dat hackers via een apparaat onze huis binnendringen. Een vreemde praat via de babyfoon met je kind, gebuikt jouw IP-telefoon om te bellen en zet je harde schijf met persoonlijke foto’s en video’s online. Het is niet de vraag of je wordt gehackt maar wanneer en hoe vaak. Steeds meer organisaties dringen aan op een betere beveiliging van slimme apparaten.

Het Ministerie van Economische Zaken en Klimaat tezamen met het Ministerie van Justitie en Veiligheid lanceerden in april vorig jaar de ‘Roadmap Digitaal Veilige Hard- en Software’. De Roadmap biedt een samenhangend pakket aan maatregelen om de onveiligheden in hard- en software te voorkomen, kwetsbaarheden te detecteren, en om de gevolgen daarvan te mitigeren. Maatregelen die worden voorgesteld zijn bijvoorbeeld standaarden en certificering, aansprakelijkheid en bewustwordingscampagnes. Andere belangrijke maatregelen zijn ook wettelijke eisen, toezicht en handhaving. Het is de verwachting dat op Europees niveau, als onderdeel van de Radio Equipment Directive, minimale eisen worden gesteld aan de beveiliging van slimme apparaten zodat onveilige apparaten van de markt kunnen worden geweerd. Deze maatregelen worden op z’n vroegst eind volgend jaar ingevoerd. Agentschap Telecom houdt hier toezicht op de naleving van de richtlijn. Qbit is daarnaast van mening dat de overheid consumenten en fabrikanten van slimme apparaten ook financiële prikkels moet geven om veilige slimme apparaten te maken en te kopen. De markt voor slimme apparaten is op dit moment in onbalans. De focus ligt op innovatie, functionaliteit en time-to-market. Er is onvoldoende aandacht voor beveiliging. Dit verhoogt de prijs van een apparaat en vertraagt de marktintroductie. Consumenten willen bovendien niet voor beveiliging betalen als dit betekent dat een slim apparaat vier of vijf keer zo duur wordt.

Qbit ontwikkelt een IoT security test lab dat zich voornamelijk richt op de het structureel testen en onderzoeken van de beveiliging van slimme apparaten. Het lab is in samenwerking met partners opgezet en kan in de toekomst ook door derden en deels op afstand (virtueel) worden gebruikt. Uniek is dat Qbit via het lab ook middelen vanderden ter beschikking wil stellen en delen. Dit kan gaan om mensen, testapparatuur en –programmatuur. Via het lab moet een zo representatief mogelijke test-omgeving worden gecreëerd waar zoveel intrusive als non-intrusive kan worden getest.

Qbit test en onderzoekt op dit moment in samenwerking met Consumentenbond, studenten van Hogeschool van Amsterdam en het Noorderpoortcollege de beveiliging van allerlei consumenten elektronica. Dit onderzoek is mede mogelijk door een subsidie van provincie Groningen. Tijdens het bezoek van de staatssecretaris laten medewerkers van Qbit en een aantal afstudeerstagiairs de resultaten van de tests zien, en de risico’s van onveilige apparaten. Jerry Romp laat zien hoe hij wist in te breken op een veelgebruikte router en zo toegang kan krijgen tot een thuisnetwerk. Jasper Nota liet zien hij de controle over een slimme babyfoon overneemt en Willem Westerhof vertelde hoe je via kwetsbaarheden in de omvormers van zonnepanelen het Europese stroomnetwerk in onbalans kunt brengen. Tijdens het bezoek werden natuurlijk tips besproken waarmee een consument zelf een aantal risico’s kan wegnemen. Denk aan het regelmatig uitvoeren van updates en het wijzigen van standaard wachtwoorden. Een consument moet bij de aankoop van slimme apparaten ook kijken welke informatie beschikbaar is over bijvoorbeeld updates. Eind november drong de Autoriteit Consumenten & Markt erop aan dat de consument voor hun aankoop informatie moeten ontvangen over toekomstige updates van het apparaat.