Mikko Hypponen over smart devices security

ITchannelPRO sprak tijdens TBX in Utrecht met Mikko Hypponen van F-Secure over IoT en security. Aanleiding voor het gesprek was dat per 2024 in Nederland alleen nog maar veilige smart devices zijn toegestaan.

Meer aanbod

Het aanbod van smart en connected devices neemt steeds meer toe. Dat de overheid eisen gaat stellen aan de betrouwbaarheid en veiligheid daarvan verbaast niet. De vraag of wetgeving bijdraagt aan meer veilige devices was dan ook een van de vragen aan Mikko.

Het antwoord van Mikko was om meerdere redenen informatief. Allereerst gaf hij aan dat in Finland een paar jaar terug de toezichthouder al actief is geworden. Daar geldt dat aanbieders van smart devices op basis van vrijwilligheid aangeven aan welke security eisen hun producten voldoen.

Impact van labeling

Mikko stond vervolgens stil bij die vrijwillige labeling van producten. Wie in Finland op zoek is naar een smart device ziet nu direct welke label de producten voeren. Dat heeft volgens hem exact dezelfde werking als het energielabel op een wasmachine. De awareness – in dit geval over veiligheid – neemt toe en dat is een goede ontwikkeling. Of we zoiets per 2024 in Nederland gaan krijgen is uiteraard nog niet te zeggen.

Connected betekent hackable

Een andere vraag waarop Mikko een informatief antwoord had, was of IoT en connected devices überhaupt wel veilig kunnen zijn. Volledige veiligheid bestaat volgens hem niet. Zodra iets connected is, is het hackable. Op dit moment is het voor de meeste devices nog mogelijk de passende security maatregelen te treffen, omdat ze voor de connectiviteit afhankelijk zijn van WiFi. Dat kan bijvoorbeeld met de F-Secure Sense, een WiFI router met geïntegreerde firewall en AV protectie.

Maar op termijn is een dergelijke hardware oplossing niet meer voldoende. Er zullen steeds meer devices komen die via 5G, 6G, LoRa, ZigBee en dergelijke connected zijn. Veel van die devices zijn volgens hem veel eerder stupid devices. Bij een stupid device is het de fabrikant die profiteert van de datastroom. De bezitter van het device kan de connectiviteit in de regel niet uitzetten. Mogelijk heeft hij niet eens weet dat het device data verstuurt.

Weten dat er slimme en domme connected devices zijn is niet de boodschap die Mikko wil meegeven. Veel belangrijker is dat alle gebruikers, ook de zakelijke, zich bewust moeten zijn van het simpele gegeven dat alle connected devices per definitie hackable zijn en blijven. 100% security bestaat niet volgens Mikko niet.