Om veiligheidsredenen moeten we de innovatie in dingen die met internet zijn verbonden vertragen

Dat is de mening van beveiligingsexpert Bruce Schneier, die vreest dat er levens verloren gaan bij een cyberramp als overheden niet snel handelen. 6 september 2018

Een Rong Xu





Slimme gadgets zijn overal. De kans is groot dat je ze op je werkplek, bij je thuis en misschien om je pols hebt. Volgens een schatting van onderzoeksbureau Gartner zullen er meer dan 11 miljard apparaten met internetverbinding (exclusief smartphones en computers) die dit jaar wereldwijd in omloop zijn, bijna het dubbele van een paar jaar geleden.

Binnenkort komen er nog vele miljarden bij. Hun connectiviteit maakt ze zo nuttig, maar het is ook een nachtmerrie op het gebied van cyberbeveiliging. Hackers hebben al laten zien dat ze alles kunnen compromitteren, van aangesloten auto's tot medische apparaten, en waarschuwingen worden steeds luider dat de beveiliging in de stormloop wordt aangetast om producten op de markt te brengen.

In een nieuw boek genaamd Klik hier om iedereen te vermoorden , stelt Bruce Schneier dat overheden nu moeten ingrijpen om bedrijven die verbonden gadgets ontwikkelen te dwingen om van beveiliging een prioriteit te maken in plaats van een bijzaak. De auteur van een invloedrijke beveiligingsnieuwsbrief en blog , Schneier is een fellow bij het Berkman Klein Center for Internet and Society aan de Harvard University en een docent openbaar beleid aan de Harvard Kennedy School. Hij zit onder andere in het bestuur van de Electronic Frontier Foundation en is chief technology officer van IBM Resilient, dat bedrijven helpt bij de voorbereiding op het omgaan met potentiële cyberdreigingen.



Schneier sprak met MIT Technology Review over de risico's die we lopen in een steeds meer verbonden wereld en het beleid dat volgens hem dringend nodig is om ze aan te pakken.

De titel van uw boek lijkt opzettelijk alarmerend. Is dat slechts een poging om de verkoop te stimuleren?

Het klinkt misschien als het publiceren van clickbait, maar ik probeer duidelijk te maken dat internet de wereld nu op een directe fysieke manier beïnvloedt, en dat verandert alles. Het gaat niet langer om risico's voor data, maar om risico's voor leven en eigendom. En de titel geeft echt aan dat hier fysiek gevaar is, en dat de dingen anders zijn dan vijf jaar geleden.



Hoe verandert deze verschuiving ons idee van cyberbeveiliging?

Onze auto's, onze medische apparaten, onze huishoudelijke apparaten zijn nu allemaal computers met dingen eraan vastgemaakt. Je koelkast is een computer die dingen koud houdt, en een magnetron is een computer die dingen warm maakt. En je auto is een computer met vier wielen en een motor. Computers zijn niet langer alleen een scherm dat we aanzetten en bekijken, en dat is de grote verandering. Wat computerbeveiliging was, een apart domein, is nu alles beveiliging.

Een Rong Xu



U heeft een nieuwe term bedacht, Internet+, om deze verschuiving samen te vatten. Maar we hebben al de uitdrukking internet of things om het te beschrijven, nietwaar?

Ik haatte het om nog een modewoord te moeten maken, omdat er al te veel zijn. Maar het internet der dingen is te smal. Het verwijst naar de aangesloten apparaten, thermostaten en andere gadgets. Dat is slechts een deel van waar we het hier over hebben. Het is echt het internet der dingen plus de computers plus de services plus de grote databases die worden gebouwd plus de internetbedrijven plus ons. Ik heb dit alles gewoon ingekort tot Internet+.

Laten we ons concentreren op het Amerikaanse deel van die vergelijking. Je zegt in het boek dat we virtuele cyborgs worden. Wat bedoel je daarmee?



We zijn al nauw verbonden met apparaten zoals onze telefoons, waar we vele malen per dag naar kijken, en zoekmachines, die een beetje lijken op ons online brein. Ons energiesysteem, ons transportnetwerk, onze communicatiesystemen staan ​​allemaal op internet. Als het naar beneden gaat, komt de samenleving in grote mate tot stilstand, omdat we er op elk niveau zo afhankelijk van zijn. Computers zijn nog niet wijd verankerd in ons lichaam, maar ze zijn diep verankerd in ons leven.

Kunnen we ons niet een beetje loskoppelen om de risico's te beperken?

Dat wordt steeds moeilijker om te doen. Ik heb geprobeerd een auto te kopen die niet was verbonden met internet, en dat is mislukt. Het is niet zo dat er geen auto's als deze beschikbaar waren, maar degenen in het assortiment die ik wilde hadden allemaal een internetverbinding. Zelfs als het zou kunnen worden uitgeschakeld, was er geen garantie dat hackers het niet op afstand konden weer inschakelen.

Hackers kunnen ook beveiligingsproblemen in één soort apparaat misbruiken om anderen aan te vallen, toch?

Hier zijn legio voorbeelden van. Het Mirai-botnet maakte misbruik van kwetsbaarheden in apparaten voor thuisgebruik, zoals DVR's en webcams. Deze dingen werden overgenomen door hackers en gebruikt om een ​​aanval uit te voeren op een domeinnaamserver, die vervolgens een aantal populaire websites offline haalde. De hackers die Target aanvielen, kwamen het betalingsnetwerk van de winkel binnen via een kwetsbaarheid in de IT-systemen van een aannemer die aan sommige van zijn winkels werkte.

Dat is waar, maar deze incidenten hebben niet geleid tot verlies van leven of ledematen, en we hebben nog niet veel gevallen gezien met mogelijk lichamelijk letsel, toch?

Dat hebben we niet. De meeste aanvallen betreffen nog steeds schendingen van gegevens, privacy en vertrouwelijkheid. Maar we gaan een nieuw tijdperk in. Ik maak me natuurlijk zorgen als iemand mijn medische dossiers steelt, maar wat als ze mijn bloedgroep in de database veranderen? Ik wil niet dat iemand de Bluetooth-verbinding van mijn auto hackt en naar mijn gesprekken luistert, maar ik wil echt niet dat ze de besturing uitschakelen. Deze aanvallen op de integriteit en beschikbaarheid van systemen zijn waar we ons in de toekomst echt zorgen over moeten maken, omdat ze directe gevolgen hebben voor leven en eigendom.

Er is dit jaar veel discussie geweest in de VS over cyberdreigingen voor kritieke infrastructuur zoals elektriciteitsnetten en dammen. Hoe ernstig zijn deze?

We weten dat Russische hackers minstens twee keer de stroom hebben uitgeschakeld voor delen van het Oekraïense netwerk als onderdeel van een bredere militaire campagne. We weten dat hackers van nationale staten zijn binnengedrongen in systemen bij sommige Amerikaanse energiebedrijven. Deze hacks waren verkennend en hebben geen schade aangericht, maar we weten dat het mogelijk is om dit te doen. Als er militaire vijandelijkheden zijn tegen de VS, mogen we verwachten dat deze aanvallen zullen worden gebruikt. En de VS zullen ze gebruiken tegen onze tegenstanders, net zoals we cyberaanvallen hebben gebruikt om de nucleaire programma's in Iran en Noord-Korea te vertragen.

Welke implicaties heeft dit alles voor onze huidige benadering van computerbeveiliging, zoals het uitgeven van patches of fixes voor softwarefouten?

Patchen is een manier om de beveiliging terug te krijgen. We produceren systemen die niet erg goed zijn, vinden dan kwetsbaarheden en patchen deze. Dat werkt prima met je telefoon of computer, want de kosten van onveiligheid zijn relatief laag. Maar kunnen we dit met een auto doen? Is het oké om plotseling te zeggen dat een auto onveilig is, een hacker kan hem crashen, maar maak je geen zorgen, want er komt volgende week een patch uit? Kunnen we dat doen met een ingebouwde pacemaker? Omdat computers de wereld nu op een directe, fysieke manier beïnvloeden, kunnen we het ons niet veroorloven te wachten op oplossingen.

Maar we hebben al zeer strikte beveiligingsnormen voor software die wordt gebruikt in gevoelige cyber-fysieke domeinen zoals de luchtvaart, nietwaar?

Klopt, maar het is erg duur. Die normen zijn er omdat er al sterke overheidsregulering is in deze en een paar andere industrieën. In consumptiegoederen heb je dat niveau van veiligheid en beveiliging niet, en dat zal moeten veranderen. De markt beloont hier momenteel helemaal geen veilige software. Zolang u als bedrijf geen extra marktaandeel wint door veiliger te zijn, zult u er niet veel tijd aan besteden

Dus wat moeten we doen om het internet+-tijdperk veiliger te maken?

Er is geen branche die de veiligheid of beveiliging verbetert zonder dat overheden haar daartoe dwingen. Keer op keer beknibbelen bedrijven op beveiliging totdat ze gedwongen worden om het serieus te nemen. We hebben de overheid nodig om hier op te treden met een combinatie van dingen die gericht zijn op bedrijven die op internet aangesloten apparaten ontwikkelen. Ze omvatten flexibele normen, rigide regels en strenge aansprakelijkheidswetten waarvan de straffen groot genoeg zijn om de inkomsten van een bedrijf ernstig te schaden.

Maar zullen zaken als strikte aansprakelijkheidswetten geen huiveringwekkend effect hebben op innovatie?

Ja, ze zullen innovatie chillen, maar dat is wat er nu nodig is! Het punt is dat innovatie in de internet+-wereld dodelijk kan zijn. We koelen innovatie in zaken als medicijnontwikkeling, vliegtuigontwerp en kerncentrales af, omdat de kosten om het verkeerd te doen te hoog zijn. We zijn voorbij het punt waarop we moeten discussiëren over regulering versus geen-regulering voor verbonden zaken; we moeten het hebben over slimme regelgeving versus domme regelgeving.

Er is hier echter een fundamentele spanning, nietwaar? Overheden maken ook graag misbruik van kwetsbaarheden voor spionage, wetshandhaving en andere activiteiten.

Regeringen zijn beslist zowel stropers als jachtopzieners. Ik denk dat we deze langdurige spanning tussen aanval en verdediging uiteindelijk zullen oplossen, maar het zal een lange, zware worsteling zijn om daar te komen.

Je boek richt zich grotendeels op de VS. Denk je dat het hier het voortouw zal nemen?

Ik concentreer me op de VS omdat daar de grote technologiebedrijven zijn gevestigd en het regime is dat ik het beste ken, maar ik praat ook veel over Europa. De Europese Unie is momenteel de regelgevende supermacht op deze planeet. Ik denk dat het verder en sneller gaat dan de VS. In de VS kijk ik meer naar de staten, en met name Massachusetts, New York en Californië.

Ik denk ook dat er internationale verdragen en normen zullen zijn die een deel van onze verbonden infrastructuur buiten bereik stellen voor cyberaanvallen van nationale staten, tenminste in vredestijd. We hebben nu dringend actie nodig op alle niveaus, van lokaal tot internationaal. Mijn grootste angst is dat er een cyberramp komt en dat regeringen zich halsstarrig zullen haasten om maatregelen te nemen, zonder veel na te denken, die het probleem niet oplossen.

zich verstoppen