“We hebben een internetrevolutie meegemaakt”, zegt Mikko Hypponen, beveiligingsonderzoeker bij F-Secure op het podium van The Next Web Conference 2017. “Al onze computers zijn inmiddels aangesloten op het internet. De volgende revolutie is de revolutie van het internet of things. Binnen tien jaar zijn alle producten die elektriciteit gebruiken aangesloten op het internet.”
Dat brengt nieuwe problemen met zich mee. De verspreiding van de ransomware WannaCry was daar al een goed voorbeeld van. Niet alleen pc’s van individuen en bedrijven werden door de software gegijzeld, ook displays in winkelstraten en treinstations toonden niet meer hun gebruikelijke informatie. “Nu we steeds meer apparaten aansluiten gaan aansluiten op het internet, wordt het alleen maar lucratiever voor criminelen”, zegt Hypponen.
In oktober 2016 interviewde ik Hypponen al eens over de business van internetcriminaliteit. Het principe van criminaliteit is niet veranderd, vertelt de beveiligingsonderzoeker op het podium. “Criminelen stelen nog altijd dingen om door te verkopen aan de hoogste bieder. In het geval van je persoonlijke data of je vakantiefoto’s is het slachtoffer zelf de hoogste bieder.”
The Internet of Insecure Things
“Alles wat elektriciteit gebruikt, gaat online. Of je het nou leuk vindt of niet. Sommige mensen haten het idee dat alles ‘slim’ wordt. Het brengt privacy- en beveiligingsrisico’s met zich mee. Zij zeggen dat ze nooit een slim apparaat zullen kopen. Dat gaat niet gebeuren.”
“Dat heeft twee redenen. Ten eerste: de Wet van Moore. De chip die apparaten aan het internet verbindt, kost niets meer. Dat betekent dat het voordeel voor een fabrikant om zo’n chip in een apparaat te stoppen niet groot hoeft te zijn. Ten tweede: het internet wordt onzichtbaar. Over tien jaar heb je niet eens door dat je broodrooster met het internet verbonden is.”
“Waarom een broodrooster internet nodig heeft? Nou, dat heeft ie niet nodig. Voor een wasmachine is het misschien nog handig, maar een broodrooster? Niemand wil op zijn smartphone een melding krijgen als het brood geroosterd is. De online toaster gaat jou geen voordeel bieden, maar de fabrikant wel. Fabrikanten willen data verzamelen en daar analyses op uitvoeren. Ze willen weten wie hun klanten zijn, waar ze wonen en hoe vaak ze hun toaster gebruiken.”
“Het probleem is dat de toaster een computer wordt. Computers worden gebouwd door mensen en mensen maken fouten. Niet alleen de ontwikkelaars, maar ook de gebruikers. Gebruikers lezen geen handleidingen, dus veranderen het standaardwachtwoord niet. Bovendien verwachten we dat de fabrikant continu beveiligingsupdates gaat leveren, maar gaan ze dat ook echt doen?”
Vanwege de opkomst van het internet of things en de bijkomende onzekerheid heeft Hypponen de vrijheid genomen om zijn eigen wet te schrijven. De Wet van Hypponen luidt eenvoudigweg ‘Een ‘slim’ apparaat is een kwetsbaar apparaat‘. De beveiligingsonderzoeker lijkt er niet optimistisch over: we gaan allemaal kwetsbare apparaten in huis nemen en hebben er niet eens iets aan. Hypponnen, licht sarcastisch: “Dit is de wondere nieuwe wereld van het internet of things.”