Verslag 22 februari 2018

Geen paniek – wel zorgen over cybersecurity in het tijdperk van het Internet of Things

Steeds meer slimme apparaten en installaties, systemen en gebouwen – en alles raakt digitaal met elkaar verbonden. Hoe beveilig je dat allemaal – zeker als overheid met een verantwoordelijkheid voor een deel van de kritieke infrastructuur? In paniek raken is nog niet nodig, stelde hoogleraar Sandro Etalle (TUE) tijdens de Masterclass Interconnectiviteit en Cybersecurity. Maar het is wel belangrijk dat we snappen hoe die interconnectiviteit in elkaar zit. En: niet de gebruikers van de systemen zijn het probleem, maar de deskundigen zelf. ‘Het vakgebied cybersecurity staat nog in de kinderschoenen,’ aldus hoogleraar Michel van Eeten (TUD).

KIS-directeur Lilian van den Aarsen opende de sessie. ‘We willen the best available knowledge als basis voor ons werk en cybersecurity staat hoog op de agenda van de nieuwe minister.’ Vervolgens introduceerde voorzitter Vincent Marchau (TUD) de beide wetenschappers. Als eerste kwam Sandro Etalle aan het woord. Hij is wiskundige en informaticus, afkomstig uit Italië en werkzaam hoogleraar aan de Technische Universiteit Eindhoven. Hij spreekt goed Nederlands, maar hield zijn presentatie ‘omwille van de snelheid’ toch in het Engels. Hij ging vooral in op de technische aspecten van IoT (Internet of Things).

Overheid moet zich niet laten uitleveren
Etalle benadrukte in zijn verhaal dat het IoT zo versnipperd is dat weliswaar de beveiliging heel lastig is, maar het hacken en aanvallen van het IoT ook. ‘Die versnipperdheid is ook een kracht. We moeten niet teveel willen standaardiseren en monopoliseren, want juist dan maak je het mensen met kwade bedoelingen makkelijker. Eigenlijk is de veiligheid van IoT niet het grootste probleem. Er zijn andere problemen die de systemen veel sneller zullen ontwrichten.’ Etalle doelde daarbij onder meer op de eigendoms- en machtsverhoudingen in de wereld van IoT. ‘Als je een installatie of een fabriek beheert, dan was het vroeger zo dat je als baas ook letterlijk alle touwtjes  – en dus ook de veiligheid ervan – in handen had. Maar nu zijn de grenzen van de installatie vervaagd, want er zitten allerlei onderdelen in die afkomstig zijn van anderen producenten en providers. Door de interconnectiviteit ben je in feite niet meer baas in eigen huis, maar afhankelijk geworden van vele verschillende partijen. Dit is wel een belangrijk issue bij zaken als smart mobility en smart cities. De overheid moet zichzelf niet uitleveren aan commerciële partijen die eigen belangen hebben en niet voor het publieke belang staan zoals de overheid.’

Koppie erbij houden
Een ander punt dat Etalle maakte, was dat bij IoT de technologie zich steeds maar blijft doorontwikkelen. ‘Vroeger kon je misschien nog denken dat je met de aanleg van infrastructuur gewoon klaar was als die er eenmaal lag. Af en toe moest je dan alleen nog onderhoud plegen en je wist wel hoe je dat moest doen. Maar nu is dat anders. Je moet ook op ICT-terrein veel beter bij blijven. De digitale veiligheid van de infra, installaties en systemen blijft voortdurend aandacht vragen. En dus ook kennis en budget! Denk hier van tevoren al over na.’

Gebruikers niet de zwakste schakel
Michel van Eeten, hoogleraar aan de TUD, ging vervolgens in op gebruikers- en governance-aspecten en op enkele belangrijke elementen uit de cybersecurity-strategie van RWS. Volgens hem is het een misvatting dat de mens (het menselijke gedrag) de zwakste schakel zou zijn bij cybesecurity. ‘Je kent dat wel – van die officials in de organisatie die jou steeds weer dwingen tot het verzinnen van ingewikkelde wachtwoorden. Die kun je niet onthouden, dus schrijf je ze op – wat natuurlijk niet de bedoeling is. Maar... wie is er hier nu fout bezig? Ik zeg: niet jij als gebruiker, maar degene die verzint dat die moeilijke wachtwoorden nodig zouden zijn. Trouwens, die ingewikkelde wachtwoorden hebben helemaal niet zoveel zin. Eenvoudige wachtwoorden zijn misschien wel te kraken na een x-aantal pogingen, maar wie gaat er nou zoveel pogingen doen om in de pc van een eenvoudige beleidsambtenaar te komen? Voor wie is dat de moeite waard?’

Risico is onmeetbaar
Een tweede belangrijk punt van Van Eeten hing samen met de kenbaarheid van risico’s. Die valt nogal tegen in de praktijk. ‘Risico is ‘kans maal gevolg’. Maar we kennen de kansen niet en we kennen de gevolgen eigenlijk ook niet. Zoals Sandro al aangaf: onze systemen zijn niet eens meer helemaal van onszelf. Wie heeft er enig idee wat er precies in het Intell-apparaatje zit dat tegenwoordig in elke pc is geïnstalleerd? Dat is een black box. Sinds we zelf zonnepanelen op onze daken plaatsen die verbonden zijn aan internet, heeft Tennet in feite niet meer de controle over het totale energiesysteem. Ook zonnepanelen kunnen worden gehackt. Via het internetbankieren zijn onze eigen pc’s en smartphones onderdeel geworden van de kritieke infrastructuur van het betalingsverkeer.’ En risico’s meten we vooral aan de input-kant, aldus Van Eeten: ‘Hoeveel maatregelen worden er door een organisatie getroffen om aanvallen af te weren? Dat zegt nog niets over het daadwerkelijke risico dat die organisatie loopt.’ Van Eeten gaf aan dat RWS het zo slecht nog niet doet met de herijkte strategie voor cybersecurity, maar dat het totale vakgebied in feite nog in de kinderschoenen staat.

Wie bepaalt de prioriteiten?
Sandor de Coninck, die bij RWS verantwoordelijk is voor de cybersecurity, herkende veel van wat de beide hoogleraren inbrachten. ‘We zijn pas vier jaar bezig en we kennen als RWS de gevolgen van als het misgaat met de infra: denk bijvoorbeeld aan overstromingen bij disfunctionerende dijken en dammen of aan monsterfiles als er ergens te lang een rood kruis boven een rijbaan staat. We zien elke dag onregelmatigheden in de systemen en we zitten er bovenop; we moeten elke dag blijven innoveren. Wel is het voor ons een vraag waar dan de prioriteiten liggen. Dat is een maatschappelijke discussie en ethisch georiënteerd wetenschappelijk onderzoek waard.’

Oppassen voor homeopathische security
De discussie met de zaal ging vervolgens onder meer over de prioriteitstelling in de monitoring. Moeten we ons geld nu wel uitgeven aan het aflopen van allerlei checklists om die onbekende risico’s te verminderen? Het kan ook anders, reageerden de wetenschappers. Etalle: ‘We zouden meer moeten investeren in veerkracht. Er zijn verschillende typen ‘aanvallers’. Criminelen die op geld uit zijn, haal je de wind uit de zeilen door inbreken duur te maken. Hackers die voor de lol inbreken en vooral statelijke actoren die wellicht aan cyberwarfare gaan doen, zijn misschien uiteindelijk minder makkelijk tegen te houden. Maar vooralsnog ‘ziet’ de huidige monitoringstechnologie voorbereidingen van aanvallen wel; de vraag blijft echter hoe de aanvallen van morgen er uit zien.’ Van Eeten: ‘We moeten oppassen voor ‘homeopathische security’: als je werkelijk alles wilt voorkomen dat kan gebeuren, dan verdun je je middelen zo erg, dat ze niet meer werken.’

Inbraken stabiel
Een ander punt is de achterlopende wet- en regelgeving. Van Eeten: ‘Het is heel raar dat je als klant van een ICT-bedrijf of provider zo slecht beschermd bent door de wet als het gaat om de productaansprakelijkheid. Auto’s waar iets mee mis is rond cybersecurity worden meteen teruggeroepen, maar bij smartphones die lek blijken, moet de Consumentenbond de fabrikant voor de rechter slepen om ervoor te zorgen dat de fabrikant er iets aan doet.’ Van Eeten gaf ook nog aan dat we weinig keus hebben dan mee te bewegen met de verdere interconnectiviteit, die overal in de samenleving plaatsvindt. ‘We moeten leven met de risico’s die deze vorm van ‘decentralisatie’ met zich meebrengt.’ En enigszins geruststellend: ‘Er is nu al ongeveer vijf jaar een evenwicht tussen het aantal besmettingen door virussen. Net als bij inbraken in huizen. Het aantal stijgt niet meer.’

* Besproken stellingen

Sandro Etalle (TUE)
• In IoT, segmentation is crucial
• In IoT, monitoring will become routine
• Every smart device has a running security cost
• Liabilities will become an issue
>> Do not let the vendor/system integrator interfere with your choices

Michel van Eeten (TUD)
• Dat de mens de zwakste schakel zou zijn, is een sprookje van security experts
• Het beleid overschat de kenbaarheid van risico's en zou meer op veerkracht moeten inzetten