‘Security by design’ moet beter. Liever gisteren dan vandaag!

Van servers, wearables, auto’s, thermostaten en pacemakers tot autonome robots, steeds meer producten wisselen onderling data uit en zijn verbonden met het internet. Hoewel dit fabrikanten en consumenten veel voordelen oplevert heeft het ook zijn keerzijde. Om een veilig product te garanderen is het van groot belang dat er vanaf de eerste ontwerpfase over de beveiliging wordt nagedacht. ‘Security by design’ is belangrijker dan ooit.

Computers zijn dermate geïntegreerd in het dagelijks leven dat we inmiddels niet meer zonder kunnen. Het is daarom belangrijk dat alle producten die zijn verbonden met een netwerk veilig zijn. Op deze manier hoeven gebruikers zich geen zorgen te maken. Echter is de gebruiker veeleisend en wil men producten met de nieuwste snufjes tegen een aantrekkelijke prijs.

Voor fabrikanten is het daarom noodzakelijk om snel nieuwe producten op de markt te brengen. Om dit te realiseren wordt er vaak minder nagedacht over de beveiliging van de producten. Cybercriminelen kunnen hierdoor gemakkelijker netwerken binnendringen om bijvoorbeeld gevoelige informatie te stelen.

Risico’s

Hoewel het algemeen bekend is dat cybercriminelen op gevoelige informatie uit zijn, accepteren de meeste mensen deze risico’s. Immers is er nog nooit iemand gestorven vanwege gevoelige bank- of gestolen Facebookdata. Bovendien is het voor fabrikanten vaak goedkoper om deze risico’s voor lief te nemen, in plaats van ervoor te zorgen dat dit in de toekomst niet meer gebeurt. Echter verandert ons computergebruik zeer snel.

 

Hoewel het algemeen bekend is dat cybercriminelen op gevoelige informatie uit zijn, accepteren de meeste mensen deze risico’s.

 

Dit heeft een serieuze impact op de beveiligingsrisico’s. De computers van tegenwoordig beschermen onze grenzen, regelen het verkeer en zorgen ervoor dat zieke mensen de juiste medicijnen krijgen. Kortom, computers hebben invloed op ons en de wereld om ons heen waardoor wij prettiger kunnen leven.

Toch zijn er tal van fabrikanten die geen securityteam hebben om patches te schrijven en updates uit te voeren. Daarnaast vormen ook toeleveranciers de nodige problemen. Bloomberg publiceerde een aantal maanden geleden nog een artikel waarin het persbureau schreef dat China afluistertechnologie in microchips zou hebben geplaatst op moederborden van Supermicro.

Deze producten zouden vervolgens verkocht zijn aan dertig Amerikaanse bedrijven om te spioneren maar dit is nooit bewezen. Een oplossing vinden voor al deze problemen is ingewikkeld en er is nog een lange weg te gaan.

Betere veiligheid

Toch zijn er wel al wat activiteiten ontplooid om producten veiliger te maken. Zo worden steeds vaker ethische hackers door de automobielindustrie ingeschakeld om penetratietesten uit te voeren. Op deze manier kunnen fabrikanten nagaan hoe hackbestendig technologieën zijn. Dit is een goede ontwikkeling, maar het is zeer vrijblijvend en beperkt.

Het wordt daarom tijd dat er minimale standaarden worden opgesteld die door alle fabrikanten dienen te worden gerespecteerd.

 

Er worden steeds vaker ethische hackers door de automobielindustrie ingeschakeld om penetratietesten uit te voeren.

 

Een onafhankelijk orgaan die audits verricht en de macht heeft om de verkoop van onveilige producten te verbieden, lijkt daarbij onontbeerlijk. Op deze manier zullen designers en fabrikanten gedwongen worden om vanaf het begin rekening te houden met de security van hun product tijdens het designproces. Hierdoor kan een groot deel van de beveiligingsproblemen worden voorkomen.

Een minimale standaard moet voldoen aan verschillende elementen. Ten eerste moet het product versleuteld zijn voor alle functies en mogelijkheden op het gebied van netwerkcommunicatie. Op deze manier kan de communicatie van het IoT apparaat met de cloud servers niet onderschept worden. Daarnaast moet een product standaard automatisch updates uitvoeren nadat het verkocht is. Hierdoor kan de leverancier het product voorzien van beveiligingsupdates en potentiële beveiligingslekken dichten.

Minimale standaarden

Een ander belangrijk element is het gebruik van sterke wachtwoorden. Iedere fabrikant moet gebruikers verplichten om sterke wachtwoorden aan te maken en deze regelmatig aan te passen. Met name bij mobiele apparaten moet veiligheid altijd voorop staan. Hackers proberen altijd bepaalde patronen te ontdekken. Gebruikers kiezen vaak wachtwoorden in combinatie met speciale tekens. Denk hierbij aan P@ssW0rd! en Welc0m123. Dit zijn voorbeelden van standaard wachtwoorden die hackers gemakkelijk kunnen kraken.

Daarnaast moeten leveranciers beschikken over een systeem om kwetsbaarheden in het product te beheren. Op deze manier kunnen leveranciers het product actief beheren gedurende de gehele levenscyclus. Het product moet bovendien een privacy beleid hebben dat gemakkelijk toegankelijk en te begrijpen is voor de persoon die het apparaat gebruikt.

 

Overheden, securitybedrijven en fabrikanten zullen meer moeten samenwerken om minimale standaarden te realiseren.

 

Gebruikers moeten altijd worden geïnformeerd over inhoudelijke wijzigingen in het beleid. Als gegevens worden verzameld, overgedragen of gedeeld voor marketingdoeleinden, moet dat duidelijk zijn voor gebruikers en in overeenstemming zijn met de GDPR.

Echter zullen overheden, securitybedrijven en fabrikanten meer moeten samenwerken om deze minimale standaarden te realiseren. Alleen op deze manier komt er een oplossing voor de gebruiker. Dit is in ieders belang en het is belangrijk om hier zo snel mogelijk mee te beginnen. Het internet groeit en cybercriminelen evolueren mee. Om te voorkomen dat er een keer echt een serieuze ramp ontstaat, zullen we snel moeten handelen. Liever gisteren dan vandaag!

 

Dit is een ingezonden bijdrage van Eddy Willems, Security Evangelist bij G DATA. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.