Internet of things of internet of cybercrime?

Renske Cramer Creatief internet of things foto van binnenwerk server

Portret van Renske CramerWat vindt u van het veelbesproken internet of things? Ondanks de voordelen krijg ik toch een beetje de kriebels als ik lees wat er allemaal op ons afkomt. Ik maak me vooral zorgen over de factor criminaliteit. Want cybercrime blijkt erg lastig te bestrijden, tenzij we er veel meer aan gaan doen. En er dus ook veel meer geld in steken. Ik heb zo’n donkerbruin vermoeden dat ondernemingen en andere organisaties daar pas serieus werk van gaan maken als de cybercrime écht uit de hand begint te lopen…

Laten we even bij het begin beginnen. Wat is het internet of things eigenlijk? Eenvoudig gezegd het internet zoals we dat nu kennen, waarop allerlei slimme voorwerpen en apparaten zijn aangesloten. Via sensors kunnen die monitoren wat er in en om hen gebeurt en desgewenst kunnen ze daarop reageren. Over hun waarnemingen en reacties kunnen ze met elkaar en met mensen communiceren. Hier leest u meer over de techniek en de mogelijkheden. En in dit artikel vindt u onder meer interessante voorbeelden.

Fabelachtige groei voorspeld

Dat internet of things staat aan de vooravond van een snelle ontwikkeling. Wereldwijd worden dit jaar minstens 1 miljard internetklare apparaten verkocht, schat adviesbureau Deloitte. Daarmee komt het totaal op 2,8 miljard toestellen. Maar dat aantal zal pijlsnel groeien. In 2020 zal het volgens het Amerikaanse onderzoeks- en adviesbureau Gartner al om 25 miljard apparaten gaan. En ik heb ook wel eens een schatting van 50 miljard stuks gehoord. Een verbijsterend aantal. Daarna gaat het waarschijnlijk nóg sneller omdat dan het mobiele 5G-netwerk beschikbaar is.

Handig, mits het niet te duur wordt

Natuurlijk, voor consumenten is het best handig als bepaalde dingen, apparaten en installaties op het internet zijn aangesloten. Zo zou ik het wel prettig vinden als ik onderweg met mijn smartphone de thermostaat of de verlichting van mijn woning kon bedienen. Dat wil zeggen: zolang zo’n voorziening niet al te veel geld kost. En precies daar knelt het internet of things-schoentje nog.

We kijken internet of things-kat uit de boom

Want uit onderzoek blijkt dat de gemiddelde consument vooralsnog niet veel geld in zulke voorzieningen wil steken. Het internet of things levert niet genoeg op en soms kost het zelfs meer dan het oplevert. Volgens Deloitte kopen consumenten dan ook maar 40% van de beschikbare internet of things-apparaten. De rest gaat naar het bedrijfsleven. De consument slaat pas op grotere schaal toe als dergelijke toestellen goedkoper worden.

Om alle data op te slaan, zijn steeds meer geavanceerde en zwaar beveiligde datacenters nodig. Maar veel bedrijven en andere organisaties kunnen nog niet zoveel met Big Data.

Om alle data op te slaan, zijn steeds meer geavanceerde en zwaar beveiligde datacenters nodig. Maar veel bedrijven en andere organisaties kunnen nog niet zoveel met Big Data.

Bedrijven hebben meest aan internet of things

Bedrijven en andere organisaties zullen voorlopig verreweg het meeste plezier beleven aan het internet of things. Van de verzamelde gebruiksgegevens kunnen ze veel leren over het gedrag van consumenten. Bovendien kunnen ze miljarden dollars besparen doordat ze een beter inzicht krijgen in de benodigde functionaliteit en capaciteit. Daarop kunnen ze hun producten, diensten en bedrijfsbeleid afstemmen.

Nog meer data??

Ik vraag me wel af of dat werkelijk (snel) van de grond komt. Immers, er zijn nu al zoveel data beschikbaar en dagelijks komt er nog een enorme hoeveelheid bij. Het gros van de bedrijven en organisaties kan niet veel met die ‘Big Data’. Ze hebben er de strategie, de juiste mensen en de technische hulpmiddelen nog niet voor. Big Data vergt Big Investments… En of er dan ook Big Results uitkomen, is nog maar de vraag.

Cybercrime: nu al dweilen met de kraan open

Maar goed. Tot zover het goede nieuws. Het slechte nieuws: de cybercriminaliteit neemt al jaren snel toe. En blijkens het jongste en zeer verontrustende Internet Security Threat Report van Symantec staat Nederland in de top-5 van landen die het vaakst worden getroffen door cyberaanvallen. Er zijn véél meer slimme cybercriminelen dan cybercrimebestrijders en voor de bestrijders is het al jaren dweilen met de kraan open. Tegen de tijd dat ze één brandje hebben geblust, zijn er bij wijze van spreken alweer 50 andere opgelaaid. En u kunt er staat op maken dat de cybercrimewereld zich al volop aan het voorbereiden is op de komst van het internet of things.

Ondernemingen beschermen hun strategische informatie op het gebied van productieprocessen niet voldoende. Sabotage en afpersing is dan voor cybercriminelen een stuk eenvoudiger.

Ondernemingen beschermen hun strategische informatie op het gebied van productieprocessen niet voldoende. Sabotage en afpersing is dan voor cybercriminelen een stuk eenvoudiger.

Internet of things: cybercrime-mogelijkheden te over

Daarmee is namelijk buitengewoon veel geld te verdienen. Hoe? Nou, bijvoorbeeld door

  • het stelen en verhandelen van persoons- en bedrijfsgegevens
  • het afpersen van bedrijven. Bijvoorbeeld door (het dreigen met) het kapen van vliegtuigen of het lamleggen van elektriciteitscentrales en andere nutsvoorzieningen
  • het ‘simpelweg’ bakken geld stelen van banken

Ook bij consumenten is veel te halen. In principe kunnen ze uw smartphone, cv-installatie of auto kapen en uitschakelen. Die ‘mag’ u dan pas weer gebruiken na het overboeken van een flink bedrag op een rekening in een obscuur land. En het leuke voor cybercriminelen is dat hun winst per transactie snel stijgt. Dat komt doordat de prijzen voor de benodigde hard- en software snel dalen.

Schaalvergroting cybercrime op komst

De bovengenoemde misdaden worden nu ook al gepleegd, maar – voor zover we weten – nog op een relatief beperkte schaal. Simpelweg omdat er nog niet zoveel apparaten en installaties met het internet zijn verbonden. Door de invoering van het internet of things verandert dat snel en grondig.

Computersystemen krijgen steeds meer schakels en elk systeem is nu eenmaal zo sterk als zijn zwakste schakel. En bedrijven en andere organisaties zijn daarop nog lang niet voldoende voorbereid, zo valt te vrezen.

Niet goed beschermde strategische informatie maakt 'de' computer tot de achilleshiel van bedrijven en organisaties.

Niet goed beschermde strategische informatie maakt ‘de’ computer tot de achilleshiel van bedrijven en andere organisaties.

Bedrijven slordig met persoonsgegevens…

Blijkens de recente Privacy Health Check van consultancy- en accountantsbedrijf PricewaterhouseCoopers (PwC) acht maar een derde van de 100 ondervraagde bedrijven zichzelf in staat om op verantwoorde wijze om te gaan met persoonsgegevens. Treurig, in deze woelige tijd. En er staan op dit gebied nog veel meer verontrustende feiten in dit onderzoek.

… en zelfs met eigen strategische informatie

Ondernemingen nemen zelfs niet eens voldoende maatregelen om hun eigen strategische informatie te beschermen. De maatregelen die ze wél nemen, staan in geen verhouding tot de risico’s op het gebied van bijvoorbeeld productieprocessen, nieuwe technologieën, intellectuele eigendommen en mogelijke overnames. Daardoor wordt die kostbare informatie de achilleshiel van die bedrijven. Verbijsterend…

Bestuurders ‘staan machteloos’…

En het ‘mooiste’ is nog: hun bestuurders weten dat, maar krijgen het niet voor elkaar die situatie te verbeteren. Dat ligt aan een intern probleempje: de verantwoordelijkheid voor het beschermen van gegevens is over te veel bestuurders verspreid. Dat staat in een rapport  van PwC’s collega KPMG, dat begin maart naar buiten kwam.

…en cybercrimelen lachen in hun vuistje

De cybercriminelen lachen in hun vuistje en werken vrolijk verder aan het verbeteren van hun methoden en hulpmiddelen. Ze worden steeds beter in hun dubieuze vak. Dat blijkt wel uit de verontrustende cybercrimeberichten die met regelmaat opduiken in het nieuws. In het eerste kwartaal van dit jaar heb ik er een paar verzameld, die ik hieronder op een rijtje zet.

Wat cybercrimenieuws (1ste kwartaal 2015)

  • 13 januari: een nieuw beveiligingslek bij banken zet de deur open voor phishing. Het probleem is opgelost, de schade onbekend.
  • 14 januari: techbedrijven en adverteerders jagen op de data van BMW’s slimme auto’s. BMW geeft ze niet uit handen en installeert firewalls in zijn wagens.
  • 21 januari: bijna alle Amerikaanse wapensystemen zijn bevattelijk voor cyberaanvallen. Echt doodeng…
  • 30 januari: 2,2 miljoen BMW’s zijn mogelijk te hacken door een beveiligingslek. Op 31 januari wordt het lek gedicht.
  • 30 januari: het aantal DDoS-cyberaanvallen is in het vierde kwartaal van 2014 met maar liefst 90% gestegen.
  • 9 februari: draadloze technologie in de auto’s van 16 Amerikaanse fabrikanten is nauwelijks beveiligd tegen hackers.
  • 12 februari: in 2014 hebben zich wereldwijd 1.500 grote cyberincidenten voorgedaan waarbij persoonlijke gegevens zijn buitgemaakt. Maar 4% van al die data was (deels) versleuteld. De rest was voor cybercriminelen dus vrij gemakkelijk toegankelijk.
  • 15 februari: hackers hebben maandenlang honderden miljoenen euro’s gestolen van ruim 100 banken in vooral de VS, Japan en Rusland. Het exacte schadebedrag is vooralsnog onbekend.
  • 16 februari: beveiligingsbedrijf Kaspersky ontdekt uiterst geavanceerde en nauwelijks detecteerbare malware waarmee criminelen computers kunnen overnemen.
  • 3 maart: er wordt een bug (fout) in computersystemen ontdekt waarmee beveiligde verbindingen tóch af te tappen zijn. En dat al sinds de jaren ’90….
  • 7 maart: in de VS worden twee hackers veroordeeld voor het stelen en met spam bestoken van een miljard (!) e-mailadressen.
  • 17 maart: de OpenSSL-standaard, die veilige internetverbindingen mogelijk maakt, bevat een paar zeer ernstige lekken. Lees meer over deze problematiek.

Problemen opgelost? Of niet?

Na dit laatste bericht ben ik vanwege tijdgebrek gestopt met verzamelen. De oogst was toch al indrukwekkend en verontrustend genoeg. En het feit dat je over heel wat gevallen naderhand niets meer hoort, vind ik nóg verontrustender. Zijn die vuiltjes nou opgelost of….? Ik ben er niet gerust op. Bovendien: maar een klein deel van de cybercrime komt in de media terecht. Veel wordt stilgehouden uit angst voor gevolgen als reputatieschade en omzetverlies. Of ze worden gebracht als iets wat niet zo dreigend klinkt, bijvoorbeeld een computerstoring.

Beveiligde internetverbindingen zijn al sinds de jaren '90 af te tappen, zo bleek onlangs.

Beveiligde internetverbindingen zijn al sinds de jaren ’90 af te tappen, zo bleek onlangs.

Er komt nog heel wat op ons af

Let op mijn woorden: we krijgen nog heel wat te stellen met de negatieve bijverschijnselen van onze ongebreidelde automatiseringszucht. Zeker zolang bedrijven en andere organisaties nog niet voldoende doen om cybercrime buiten de deur te houden. U nog een internet of things-apparaat? Ik wacht nog maar even.

Renske

P.S. Op 16 en 17 april a.s. vindt in Den Haag de 4de Global Conference on CyberSpace plaats. Veiligheid is een van de drie hoofdthema’s. Ik ben heel benieuwd wat dit congres oplevert! Aangekondigd is al wel dat er een internationaal secretariaat voor cyberveiligheid komt.

Meer lezen over cybercrime?