OT-hacker Ken Munro
‘Eén kwetsbaarheid kan vandaag miljoenen apparaten raken’
In de Verenigde Staten was het een aanleiding tot wetgeving toen My Friend Cayla, een pratende kinderpop, wereldwijd in opspraak kwam omdat onbekenden konden meeluisteren met gesprekken van kinderen. Zo tastbaar kunnen de gevolgen van slechte IoT-security zijn. Die zaak werd mede onderzocht door Pen Test Partners, het Britse securitybedrijf onder leiding van Ken Munro.
Tekst: William Visterin Beeld: KEN Munro
Munro is geen onbekende in beleidskringen en op internationale podia: hij briefde Amerikaanse overheidsdepartementen, sprak op onder meer DEF CON, Black Hat, RSA en TEDx, en staat bekend om zijn confronterende live demonstraties.
De Brit geldt dan ook als een van de meest uitgesproken stemmen in het debat over de beveiliging van verbonden apparaten. Als je zijn aandacht wilt trekken, breng je je slimme apparaat gewoon op de markt als ‘onhackbaar’, luidt het vaak geciteerde grapje.
Zijn boodschap is dat, ondanks jaren van incidenten, waarschuwingen en rapporten, de beveiliging van internet of things (iot) en operational technology (ot)-systemen structureel ondermaats blijft.
Menig onderzoek bevestigt dat ook. Zo rapporteerde Palo Alto Networks recent nog dat één op vijf iot-toestellen minstens één kwetsbaarheid bevat, en dit na een analyse van 27 miljoen toestellen bij 1.803 bedrijven wereldwijd.
Stand van zaken, met de s van slecht
Ken Munro beaamt: ‘Het is behoorlijk slecht gesteld, al zijn er hier en daar lichtpunten en voorbeelden van excellentie’ stelt hij. ‘Een klein aantal leveranciers neemt security serieus en levert grotendeels veilige producten, maar het overgrote deel bestaat uit white-label, onveilige rommel.’
Wat volgens hem vooral veranderd lijkt, is de schaal van het probleem. Waar kwetsbaarheden vroeger vaak één lokaal apparaat raakten, kan vandaag één fout miljoenen gebruikers treffen. ‘We zijn geëvolueerd van lokale compromittering van individuele apparaten naar kwetsbaarheden die in één klap miljoenen toestellen en eigenaars raken.’
Die vaststelling geldt niet alleen voor consumenten-iot, maar ook steeds vaker voor industriële omgevingen en ot-systemen, waar it-platformen, cloudkoppelingen en verbonden sensoren samenkomen.
Toenemend belang
De impact van falende security is intussen veel groter dan reputatieschade alleen. In ot-omgevingen kan een cyberincident leiden tot productie-uitval, fysieke schade of veiligheidsrisico’s. In consumentencontext raakt het rechtstreeks aan privacy en vertrouwen.
De zaak rond My Friend Cayla blijft voor Munro illustratief. De pop bleek via bluetooth eenvoudig te benaderen, waardoor derden konden meeluisteren of praten met kinderen. Het onderzoek van zijn bedrijf Pen Test Partners werd later aangehaald als een van de aanleidingen voor California Senate Bill 327, een van de eerste iot-securitywetten in de VS.
Maar de problemen zijn inherent. ‘De drijfveer bij veel iot-leveranciers is om zo snel mogelijk met een minimum viable product op de markt te komen,’ zegt Munro. ‘Met beperkte budgetten is dat gedrag ingebakken. Security zou vroeg in het ontwerp moeten worden meegenomen, maar wordt vaak doorgeschoven in de keten – als het al gebeurt.’
Vaak komt beveiliging pas op tafel wanneer een onderzoeker contact opneemt over een kwetsbaarheid. ‘Maar tegen die tijd is het eigenlijk al te laat.’
‘Vroeg advies over hardware-keuzes in het ontwerp is cruciaal om extreem dure fouten te vermijden’
Hoe kan en moet het beter?
Volgens de ethische hacker ligt de sleutel niet langer bij vrijwillige best practices alleen, maar bij wetgeving. ‘Ik ben geen grote fan van regulering en geloof liever in marktkrachten, maar in het geval van iot-security werkt dat niet,’ stelt hij. ‘De gemiddelde consument kan simpelweg niet beoordelen welk product veilig is en welk niet. De markt is dus niet in staat om het juiste gedrag af te dwingen.’
Daarom verwelkomt hij initiatieven zoals ETSI EN 303 645 (de toonaangevende wereldwijde Europese norm, gepubliceerd in 2020, die essentiële cyberbeveiligingseisen stelt voor iot-apparaten voor consumenten), richtlijnen van NIST en ENISA en bindende regelgeving zoals de EU Cyber Resilience Act. ‘Vroeger was iot-security moeilijk door een gebrek aan standaarden, die bovendien vaak conflicteerden. Dat is intussen veranderd.’
Toch ziet hij nog steeds fundamentele fouten. ‘We zien nog steeds slimme apparaten op de markt met flagrante beveiligingsproblemen. Vroeg advies over hardware-keuzes in het ontwerp is cruciaal om extreem dure fouten te vermijden.’
De impact van ai
Los van ot ziet Ken Munro nog andere aandachtspunten. Een nieuwe zorg is volgens hem de opkomst van ai-gedreven softwareontwikkeling. ‘Het gebruik van ai om te ‘vibe-coden’ en sneller naar de markt te gaan, baart me zorgen’, zegt hij daarover. ‘Securityfouten worden nu al gemaakt doordat fabrikanten kosten wilden drukken. De verleiding om ontwikkelkosten verder te verlagen en sneller te lanceren, vergroot het risico voor gebruikers aanzienlijk.’
Ook op platformniveau ziet hij problemen. Steeds meer fabrikanten outsourcen cloud, apps en hardware. ‘Helaas zijn veel iot-platformen zelf niet veilig. Daardoor zien we inbreuken op platforms die letterlijk miljoenen apparaten tegelijk blootstellen. De impact kan dus behoorlijk zijn.’
Kortom, iot- en ot-security verbeteren wel, maar niet snel genoeg en vaak pas onder dwang. ‘Wetgeving, duidelijke standaarden en vroege security-keuzes zijn geen rem op innovatie, maar een noodzakelijke voorwaarde ervoor.’
Ken Munro is keynote speaker op Cybersec Europe. Cybersec Europe vindt plaats op 20 en 21 mei in Brussels Expo. Meer info op cyberseceurope.com
