De kans dat IoT-apparaten op grote schaal worden platgelegd

In mijn vorige blog besprak ik de risico’s die het Internet of Things (IoT) met zich meebrengt. Als we kijken naar de voor­uit­gang die de afgelopen 25 jaar op ICT-gebied is geboekt, lijkt het erop dat elke belang­rijke tech­no­lo­gi­sche mijlpaal in rap tempo wordt gevolgd door malware-infecties en gegevensdiefstal.

Om een paar voor­beelden te geven:

• De intro­ductie van pc’s en servers werd direct gevolgd door de komst van compu­ter­vi­russen. Herinnert zich iemand nog het Cascade-virus? Dat was een van de eersten.
• Toen kwam het internet. Fantas­tisch nieuws voor mensen die daar in 1994 toegang toe kregen, en in het bijzonder voor hackers die online iden­ti­teits­ge­ge­vens en gevoelige bedrijfs­in­for­matie als laag­han­gend fruit konden plukken.
• En op dit moment geven het IoT, cloud computing en mobi­li­teit de aanzet tot botnet‑, DDoS- en social engi­nee­ring-aanvallen door cyber­cri­mi­nelen die de laatste inno­va­ties op de voet volgen.

Hoewel we tech­no­lo­gi­sche innovatie natuur­lijk toejui­chen, zijn er ook altijd hackers die nieuwe kansen zien om daar geld mee te verdienen. Zo worden er inmiddels reus­ach­tige botnets via het dark net aange­boden als abon­ne­ments­dienst. En de kans is groot dat we in 2017 te maken krijgen met de eerste geavan­ceerde IoT-aanvallen op bedrijven en vitale infrastructuren.

Onder­tussen zijn we steeds afhan­ke­lijker geworden van inter­net­con­nec­ti­vi­teit. We zoeken toegang op afstand tot apparaten om die te confi­gu­reren, houden tijdens de vakantie het huis in de gaten met een came­ra­be­wa­kings­sys­teem en slaan back-ups in de cloud op. En fabri­kanten ontvangen op hun beurt via internet diagnos­ti­sche gegevens. Deze bieden hen inzicht in onder meer de betrouw­baar­heid en het ener­gie­ver­bruik van hun producten, zodat ze die verder kunnen optimaliseren.

Als je de noodzaak van 24/​7 inter­net­toe­gang optelt bij de snelle ontwik­ke­lingen op het gebied van malware en exploits, is het niet moeilijk om te raden wat ons staat te wachten. Zo is het mogelijk dat cyber­cri­mi­nelen complexe inter­net­wormen met inge­bouwde ransom­ware ontwik­kelen die zich verspreiden via beheer­op­los­singen in de cloud. Het zou natuur­lijk vervelend zijn om thuis te komen en te merken dat uw koffie­ap­pa­raat plot­se­ling voor elke espresso geld begint te vragen, of dat de printer op kantoor pas docu­menten wil afdrukken nadat er bitcoins zijn betaald. Maar er zijn nog veel grotere gevaren. Wat als een aanval een compleet busi­ness­model onder­graaft? Dit zou niet alleen het merkimago van bedrijven kunnen schaden, maar ook een complete sector ertoe dwingen om de bestaande processen volledig op de schop te gooien.

Neem bijvoor­beeld huurauto’s. De belang­rijkste aanbie­ders hebben banden met speci­fieke auto­fa­bri­kanten. Consu­menten kiezen immers voor een bedrijf dat huurauto’s van hun favoriete merk aanbiedt. De toevoer­keten van de bestel­ling tot de levering van een nieuwe huurauto ziet er als volgt uit:

Aantal bestelde auto’s -> Just-in time (JIT)-productie -> Transport -> Verhuren en rijden

Wat als het nu mogelijk was om tijdens een van de stappen in het JIT-produc­tie­proces malware te intro­du­ceren die wacht totdat er kente­ken­num­mers aan een partij huurauto’s worden toegekend en zichzelf daarop instelt om op een bepaalde datum en tijd actief te worden? Dat zou er als volgt kunnen uitzien:

• De datum: Kerst­avond, 24 december 2017.
• De situatie: Er worden tien­dui­zenden huurauto’s gere­ser­veerd door mensen die met de kerst naar huis terug­keren of familie bezoeken.
• De malware wordt op midder­nacht geactiveerd: 
  • Op het navi­ga­tie­scherm van 40.000 nieuwe auto’s wordt het bericht ‘PWNed by RANSOM’ weergegeven.
  • De auto’s kunnen niet langer worden gestart.
  • Dit is alleen van toepas­sing op smart cars, en niet op oudere ‘analoge’ modellen.
• De wagen­park­be­heerder ontvangt het bericht– ‘Betaal ons om je wagenpark te ontgrendelen’.
• Na betaling van het losgeld ontvangt de wagen­park­be­heerder een code van de cyber­cri­mi­nelen, die vervol­gens via een sms-bericht naar alle huurders worden verzonden.
• De huurders voeren de code in het navi­ga­tie­sys­teem in, waarop de auto wordt ontgren­deld en weer rijklaar is.

Maar het leed is al geleden. 40.000 klanten van het auto­ver­huur­be­drijf hebben ernstige vertra­ging onder­vonden als gevolg van de besmet­ting met ransom­ware. De klan­ten­te­vre­den­heid maakt een snoekduik. En dan zijn er ook nog de onder­steu­nings­kosten die tijdens het bevei­li­gings­in­ci­dent werden gemaakt, de bank­re­ke­ning die moet worden aange­zui­verd na de betaling van het losgeld en de imago­schade als gevolg van bericht­ge­ving in de pers en op social media.

Zover ik weet hebben er zich nog geen van dit soort inci­denten voor­ge­daan. Maar het is verre van een onmo­ge­lijk­heid. Maar stel nu dat er tech­no­logie beschik­baar was die dit soort aanvallen voorkomt, het netwerk inzet om het produc­tie­proces te beschermen en in geval van detectie van malware een vroeg­tij­dige waar­schu­wing naar het verhuur­be­drijf verzendt? Het goede nieuws is dat deze tech­no­logie reeds bestaat.

• Het produc­tie­proces beschermen: Het produc­tie­proces kent diverse virtuele en fysieke inter­faces en maakt gebruik van diverse sterk gedis­tri­bu­eerde diensten. Het is mogelijk dat verschil­lende dienst­ver­le­ners gebruik­maken van een en dezelfde cloud, maar hun omge­vingen moeten dan wel van elkaar worden gescheiden en vanaf een centrale locatie moeten worden beheerd. Dit is bijvoor­beeld mogelijk door het combi­neren van de MX-routers van Juniper met zijn SRX- en vSRX-firewalls en deze te laten beheren met Juniper Contrail Service Orches­trator. Dit maakt integrale auto­ma­ti­se­ring mogelijk van de toepas­sing van consis­tente en up-to-date beleids­re­gels op basis van een complete bevei­li­gings­op­los­sing die personen met kwade bedoe­lingen uit het netwerk weert.
• Geavan­ceerde bedrei­gingen voorkomen: Het Software Defined Secure Network (SDSN)-platform van Juniper Networks voorziet in beleids­re­gels en detec­tie­me­cha­nismen. Het is in staat om elke netwerk­com­po­nent in te zetten voor de toepas­sing van bevei­li­gings­re­gels. Het platform benut de schaal­om­vang van de cloud en kan gebruik­maken van feeds met bevei­li­gings­in­for­matie van externe partijen. SDSN wordt centraal beheerd, en zijn policy engine past zich dynamisch aan het bedrei­gings­land­schap aan.

Hoewel we nooit op onze lauweren zouden moeten gaan rusten als het om cyber­be­drei­gingen gaat, denk ik dat we voor het eerst in een tijd zijn beland waarin de tech­no­logie het mogelijk om ontwik­ke­laars van malware een stap voor te zijn. Met de juiste mate van bevei­li­ging is het onwaar­schijn­lijk dat aanvallen van dit type een kans van slagen maken.