ITchannelPRO sprak tijdens TBX in Utrecht met Mikko Hypponen van F-Secure over IoT en security. Aanleiding voor het gesprek was wetgeving die bepaalt dat per 2024 alleen nog veilige smart devices in Nederland zijn toegestaan.
Het aanbod van smart en connected devices neemt steeds meer toe. Het verbaast dan ook niet dat de overheid eisen gaat stellen aan de betrouwbaarheid en veiligheid daarvan. Een van de vragen aan Chief Research Officer Mikko Hypponen van F-Secure was dan ook of wetgeving bijdraagt aan meer veilige devices. Mikko legde uit dat de Finse toezichthouder al een paar jaar actief is op dit gebied en dat aanbieders van smart devices daar moeten aangeven aan welke security-eisen hun producten voldoen.
Impact van labeling
Mikko stond ook stil bij die vrijwillige labeling van producten. Wie in Finland zoekt naar een smart device, ziet nu direct welke labels de producten voeren. “Security labeling heeft dezelfde werking als het energielabel van witgoed. De awareness over veiligheid neemt toe en dat is een goede ontwikkeling”, aldus Mikko. Of we zoiets per 2024 in Nederland gaan krijgen, is nog niet te zeggen.
Connected devices
Mikko sprak ook over de vraag of IoT en connected devices überhaupt wel veilig kunnen zijn. “Volledige veiligheid bestaat niet”, vindt hij. “Zodra iets connected is, is het hackable. Op dit moment kun je voor de meeste devices nog passende security-maatregelen treffen, omdat ze voor de connectiviteit afhankelijk zijn van wifi. Zo heeft de F-Secure Sense wifi-router een geïntegreerde firewall en AV-protectie. Maar op termijn is dergelijke hardware onvoldoende. Er komen steeds meer devices die connected zijn via bijvoorbeeld 5G, 6G, LoRa en ZigBee. Die devices zijn veel eerder stupid devices en dan profiteert de fabrikant van de datastroom. De eigenaar kan de connectiviteit in de regel niet uitzetten. Mogelijk beseft hij niet eens dat het device data verstuurt.”
Mikko pleit niet alleen voor bewustwording over het bestaan van slimme en domme connected devices. Veel belangrijker vindt hij dat alle gebruikers, ook de zakelijke, zich bewust zijn van het gegeven dat alle connected devices per definitie hackable zijn en blijven. Immers, 100 procent beveiliging bestaat niet.
(Dit artikel verscheen eerder in ITchannelPRO magazine nummer 4)
