Het internet of things klinkt als een prachtig vooruitzicht: de wereld om ons heen wordt steeds slimmer waardoor ons leven efficiënter, veiliger en productiever wordt. Maar voordat het zover is moeten er op technisch vlak nog een aantal hordes worden genomen: Hoe meer apparaten verbinding maken met het internet, hoe zwaarder de belasting én de eisen die gesteld worden aan bijvoorbeeld snelheid en rekenkracht op al die data. De ontwikkelingen op dit vlak zijn de afgelopen jaren in een stroomversnelling geraakt, waarbij de centrale vraag blijft: Hoe knopen we al die losse apparaten en data aan het internet, en aan elkaar?
Er zijn op dit moment verschillende manieren om apparaten in een gecontroleerde omgeving online te krijgen. Wifi en bluetooth natuurlijk, maar bijvoorbeeld ook ZigBee, een soort aanvulling op de eerdere twee dat vooral gebruikt wordt bij consumenten-electronica die onderling met elkaar moet kunnen communiceren. Al deze technieken zijn prima geschikt voor kleine digitale toepassingen, maar voor de realisatie van het internet of things zijn ze nutteloos. Latency en energieverbruik zijn namelijk zo slecht dat het ondenkbaar is dat bijvoorbeeld de complete aansturing van een stad op wifi zou kunnen draaien. Datzelfde geldt overigens ook voor de huidige generatie mobiele netwerken.
Daarom zijn er speciale IoT-netwerktechnologiën ontwikkeld. Sigfox en LoRa zijn daarin de twee belangrijkste standaarden, waarbij LoRa het vooralsnog lijkt te gaan winnen. In ons land rolt KPN op dit moment in no-time een LoRa-netwerk uit voor zakelijke toepassingen en ook andere providers, waaronder Tele2, zijn hier mee bezig. Daarnaast is er een Amsterdams initiatief, genaamd The Things Network, waarmee door middel van crowdsourcing een LoRa-netwerk wordt opgezet dat gratis te gebruiken is. Minder geschikt voor zakelijke oplossingen, maar het geeft wel aan dat er flink in geïnvesteerd wordt.
Toch is LoRa niet de enige techniek die de drijvende kracht wordt achter het Internet of Things. We wachten ondertussen ook op de uitontwikkeling van 5G, dat naar horen zeggen ons leven compleet zal gaan veranderen. Bij de ontwikkeling van 5G, de opvolger van het huidige 4G netwerk dat nog honderden malen sneller is dan zijn voorganger, wordt namelijk actief rekening gehouden met het feit dat niet alleen computers en smartphones online willen, maar dat ook auto’s, energiemeters, huishoudelijke apparatuur, industrie en logistiek. Een verbinding zonder enige vorm van vertraging of instabiliteit, wordt op dat moment namelijk een vereiste.
Open standaarden
Maar het gaat bij infrastructuur niet alleen om de netwerktechnologie die wordt gebruikt. Om tot een volwassen infrastructuur voor het Internet of Things te komen, worden de huidige IT-infrastructuren opnieuw naar de tekentafel verwezen. Veel bedrijven leunen namelijk nog sterk op een infrastructuur die ontworpen is voor hun eigen producten en diensten.
Een elektronicaproducent kiest er immers als eerste voor om de apparaten van het eigen merk met elkaar te laten communiceren om daarmee een productgroep te kunnen domineren. Pas daarna wordt bekeken of andere apparaten toegelaten worden tot het eigen platform. Een dergelijke gesloten houding leidt tot fragmentatie in het IoT-ecosysteem, waarbij bedrijven – individueel of verenigd in een consortium – op dit moment ieder een eigen versie van IoT aan het ontwikkelen zijn. En daarmee komt de focus op commercie te liggen, niet op het ontwikkelen van producten en diensten waar consumenten en ontwikkelaars van profiteren.
Er zijn op dit moment echter ook nog maar weinig open source platforms voor het Internet of Things beschikbaar. Eén van de partijen die daar op dit moment verandering in probeert te brengen is IBM, met een door henzelf ontwikkelde open standaard genaand Bluemix. “We gebruiken daarvoor een bestaande standaard genaamd MQTT”, zegt Hans Boef, Technical Enablement Specialist voor IBM Bluemix. “Dat is een protocol voor het uitwisselen binnen het IoT, zodat apparaten ook daadwerkelijk met elkaar en met een centraal platform kunnen praten. Inmiddels ondersteunen honderden miljoenen apparaten wereldwijd deze standaard al” zegt hij.
Net als bij software, kunnen namelijk ook open platforms de kosten voor productontwikkeling verlagen en de creativiteit en samenwerking tussen organisaties bevorderen. Net zoals je als consument kan kiezen tussen browsers of mailprogramma’s op je computer, moet je ook verschillende opties hebben om je lampen, muziek of thermostaat te bedienen zonder daarbij afhankelijk te zijn van een productreeks van één aanbieder. Pas dan kan het Internet of Things de hooggespannen beloftes waarmaken.
Beveiliging
Wired bracht midden juli het verhaal over twee hackers die erin geslaagd zijn de softwarebeveiliging van een Jeep te kraken. Terwijl een journalist met ruim honderd kilometer per uur over de snelweg raasde, zaten de hackers thuis op de bank in de startblokken om de auto over te nemen. De motor en de besturing van de Jeep waren niet direct met het internet verbonden, maar het entertainmentsysteem in de auto was dat wel. Hiermee bleken de hackers in staat de controle over de auto volledig over te nemen en hem tot stilstand te brengen op een drukke snelweg.
Met de hackers liep het na de publicatie van het artikel goed af: ze werden gevraagd in dienst te treden bij Uber. Jeep daarentegen zag zich genoodzaakt 471.000 auto’s te voorzien van een software update die handmatig (!) moest worden uitgevoerd. Een soortgelijk probleem overkwam Tesla, dat tot een eenvoudigere oplossing kwam dankzij een ‘over-the-air’ software-update voor alle auto’s.
De talloze mogelijkheden van het Internet of Things (IoT) worden vaak nogal achteloos gepresenteerd, maar ze hebben natuurlijk ook een keerzijde. Elk apparaat dat is aangesloten op het internet loopt immers het risico gevoelige persoonsgegevens bloot te stellen aan misbruik. Inbrekers kunnen de GPS-data van je auto of smartphone inzien of je energieverbruik van de afgelopen week uitlezen, om zo bevestigd te krijgen dat je inderdaad duizenden kilometers verderop vakantie aan het vieren bent.
Dat dit geen vergezocht scenario is blijkt uit de opkomst van zoekmachines als Shodan, die continu het web afstruinen op zoek naar onbeschermde apparaten. Hun database bevat inmiddels al meer dan 500 miljoen onvoldoende beschermde apparaten en diensten, die variëren van stoplichten, beveiligingscamera’s, controlesystemen voor zwembaden tot garagedeuren.
Vaak is de oorzaak te vinden in standaard kwetsbaarheden in de beveiliging, zoals zwakke wachtwoorden, onversleutelde netwerkdiensten, onveilige interfaces en cross-site scripting. Dergelijke beveiligingsrisico’s zijn funest voor het vertrouwen dat bedrijven en consumenten in IoT-dienen te hebben om er daadwerkelijk een succes van te maken.
Ontwerp
Niet alleen apparaten die op het Internet of Things aangesloten worden maar ook hun onderliggende infrastructuren bevatten kwetsbaarheden waar hackers dankbaar gebruik van maken. Binnen een IoT-omgeving kan het systeem haar integriteit daarom niet laten afhangen van ieder afzonderlijk apparaat dat ermee verbonden wordt. Door al bij het ontwerp van een IoT-omgeving er vanuit te gaan dat ieder aangesloten apparaat een potentiële bedreiging vormt, kan de omgeving blijven functioneren zodra één of meerdere apparaten inderdaad aangetast blijken te zijn.
“Bij het ontwerp moeten een aantal basale veiligheidseisen in acht genomen dienen te worden”, vertelt Hans Boef. “Bijvoorbeeld door encryptie-, authenticatie- en autorisatiemethodes te gebruiken die een veilige uitwisseling van gevoelige informatie tussen apparaten en de onderliggende infrastructuren kunnen garanderen.
Blockchain, de techniek waarop de virtuele munt bitcoin gebaseerd is, kan hier wel eens een heel belangrijk zijn. Het systeem maakt het mogelijk om data-transacties te authenticeren, zonder dat er een centrale instantie nodig is. “We hebben er bewust voor gekozen om deze techniek nu al aan te bieden op ons Bluemix-platform, omdat we er van overtuigd zijn dat dit onderdeel gaat worden van de kern van de infrastructuur van het Internet of Things.”
Privacy
Zorgen over de veiligheid van gebruikersdata worden deels ingegeven door de snelheid waarmee organisaties IoT-toepassingen lanceren om de boot niet te missen. Te vaak wordt er bij een ontwerp éérst voor functionaliteit gekozen, om pas daarna de beveiligings- en privacycomponenten in te bouwen. De vele media-aandacht voor de hacks van voorheen onaantastbaar geachte apparaten (denk aan de Jeep), zorgt er echter voor dat er steeds meer bewustwording ontstaat over het belang van beveiliging en privacy.
Bij consumenten groeit tegelijkertijd het besef dat de extra functionaliteit alleen mogelijk is door persoonlijke data te delen met aanbieders. Terwijl diezelfde aanbieders inzien dat er ook maar één geval van oneigenlijk gebruik van klantdata bekend hoeft te worden om de toekomst van hun bedrijf op het spel te zetten.
Momenteel is er nog geen alomvattende set van regels waarin de standaarden en best practices voor de beveiliging van IoT-omgevingen verankerd liggen. De angst voor misbruik van data is echter dermate groot dat overheden overwegen regulering in te stellen voor de wijze waarop data verzameld en opgeslagen worden.
De door de Europese Commissie aangekondigde General Data Protection Regulation (GDPR) vertaalt de verouderde privacywetgeving naar de kenmerken van digitale technologieën. Deze wet wordt dit jaar al van kracht, wat betekent dat organisaties niet heel veel tijd meer hebben om hun mensen, processen, organisatie en ICT-voorzieningen daarop in te richten.
Het biedt organisaties echter ook kansen. Bijvoorbeeld door met ideeën te komen voor toepassingen waarin de bescherming van data in het ontwerp standaard ingebouwd is. Waar individuen zelf kiezen waarvoor hun data gebruikt worden op basis van de voordelen die het hen naar verwachting opleveren. Neem bijvoorbeeld een rookmelder, die je meldt dat hij nog correct functioneert. Dit soort informatie is ook interessant voor je verzekeringsmaatschappij, die mogelijk bereid is je een korting te geven als je toegang geeft tot die data.
Het Internet of Things dwingt security-professionals op gelijke voet te komen met de snelheid waarmee nieuwe IoT-toepassingen het licht zien, om zo de eindgebruiker te overtuigen dat dit de toekomst is. Nauwe samenwerking tussen fabrikanten, netwerkbeheerders, eindgebruikers en overheid blijft de belangrijkste voorwaarde om IoT te laten slagen.
Nu het besef bij burgers, consumenten en bedrijven groeit dat de controle over individuele data van essentieel belang is, stelt dat de betrokken partijen voor de uitdaging de terechte zorgen over beveiliging en privacy weg te nemen. Door de beveiliging centraal te stellen in het ontwerp van iedere nieuwe IoT-toepassing, kan een eerste stap daartoe gezet worden.