Zelfs koffiemachines hebben cybersecurity nodig

Stel je voor, dat alle koffiemachines in Nederland over een paar jaar connected zijn. Wat voor gevolgen zou een hack of DDoS-aanval daarop dan hebben voor het Nederlandse bedrijfsleven?

Zelfs koffiemachines hebben cybersecurity nodig

Cybersecurity ontsnapt aan het virtuele en raakt het fysieke. Dankzij het Internet of Things, industriële systemen, wearables en meer. Dus staan we voor de enorme opgave om álles te gaan beveiligen, in meer of mindere mate. Zelfs koffiemachines.

Stel je voor, dat alle koffiemachines in Nederland over een paar jaar connected zijn. Wat voor gevolgen zou een hack of DDoS-aanval daarop dan hebben voor het Nederlandse bedrijfsleven? Eugene Kaspersky, oprichter van Kaspersky Lab, heeft dit toekomstscenario aangestipt op securityconferentie NCSC One begin april in Den Haag. In zijn toespraak is de professionalisering van cybercrime belicht, die ons in de ‘Dark Ages of Cybersecurity’ brengt.

Van inktverspilling naar datadiefstal

Nu lijkt cybersecurity voor koffiemachines wellicht wat overtrokken, maar het is wel het overwegen waard. We leven allang in een tijdperk waarin ‘eenvoudige’ apparaten online verbonden zijn én dus te hacken. Kijk maar naar printers en multifunctionals, die zijn te hacken door bijvoorbeeld een racist om zijn propaganda te verspreiden op universiteiten.

De kwetsbaarheid van online-printers gaat echter verder dan het pushen van nazi-pamfletten of het moedwillig verspillen van bedrijfsmiddelen als inkt en papier. Zo kunnen printers gevoelige informatie lekken of zelfs kwaadaardige bestanden hosten binnen de muren van nietsvermoedende organisaties. In securitykringen zijn dit soort gevaren al jaren bekend, maar in de bredere businesswereld zorgt het nog altijd voor onaangename verrassingen.

Industriële koppelingen

De doorbraak – of eigenlijk: uitbraak – van ICT naar de fysieke wereld vergroot mogelijkheden en daarmee ook gevaren. Het Internet of Things (IoT) wordt door security-experts ook wel het Internet of Threats genoemd, omdat security vaak gebrekkig is, of zelfs afwezig. Hetzelfde geldt helaas voor industriële systemen; die blijken door koppelingen met ICT-componenten ook toegankelijk en dus kwetsbaar. Hacks van zogeheten SCADA-systemen zijn al wel vaak in het nieuws geweest, maar misschien niet vaak genoeg.

Zelfs koffiemachines hebben cybersecurity nodig

Het is op zich niet verwonderlijk dat de cyberbeveiliging van systemen in de fysieke wereld niet in één klap geregeld is. Het is immers een kwestie van geld, veel geld. De automatisering van systemen in de fysieke wereld is van een heel ander soort, stammend uit een heel ander tijdperk. Niet security, maar gerichte functionaliteit plus onderhoudbaarheid en operationele levensduur zijn daar voorname designcriteria.

Stap voor stap, vanaf nú

Het is ondoenbaar om al die systemen snel te vervangen door beter beveiligde opvolgers. Eugene Kaspersky heeft op NCSC One verteld dat de fysieke wereld technisch wel valt te beveiligen, maar dat geen enkel land daarvoor de middelen heeft. Het ontbreekt simpelweg aan expertise en mankracht om betere ICT-beveiliging van het fysieke binnen afzienbare tijd voor elkaar te krijgen.

Dit wil echter niet zeggen dat betere beveiliging onmogelijk is. Het kan alleen niet direct en niet over de volle breedte. Het advies van Eugene en mij is dan ook om security vanaf nu mee te nemen in ontwerp, implementatie, beheer en gebruik van nieuwe systemen. We moeten vooral oog hebben voor kritieke systemen, om die dan als eerste te upgraden naar betere ICT-beveiliging. Zo wordt de fysieke wereld niet alleen connected, maar ook secure.

Zijdelingse aanval en bijkomende schade

Het is belangrijk om aan ‘gepaste beveiliging’ te doen. Immers, niet elk systeem is even waardevol voor de gebruikers ervan en dus is niet elk systeem even aantrekkelijk voor aanvallers. Maak onderscheid tussen belangrijk, kritiek en ook nationaal belang. Tegelijkertijd moet de inschatting van waarde en belang ook rekening houden met ‘vlekwerking’. Denk aan mogelijkheden voor zijdelingse aanvalsbewegingen: om via een relatief onschuldig systeem binnen te dringen in een kritieker deel van de omgeving. Dan zouden de koffiemachines zomaar ineens onderdeel kunnen worden van onze kritische infrastructuur. Maar denk ook aan bijkomende schade, als Nederland bijvoorbeeld op maandagochtend ineens zonder koffie zit. Dat willen we natuurlijk niet…!

Tips