Onveilige ‘slimme’ apparaten straks van de markt geweerd, maar risico's blijven
Thijs van Dorssen
redacteur binnenland
Onveilige routers, netwerkschijven en beveiligingscamera's blijven ondanks strengere regels een probleem. Daarvoor waarschuwen deskundigen. De toestroom aan onveilige apparatuur wordt weliswaar gestopt, maar dat gebeurt na jarenlang dweilen met de kraan open.
"De nieuwe regels gaan voorkomen dat er nieuwe onveilige apparaten op de markt komen, maar er staan al honderdduizenden en misschien miljoenen van die slimme apparaten in Nederland", zegt hoogleraar computerbeveiliging Michel van Eeten van de TU Delft. "Daarin worden continu nieuwe softwarelekken ontdekt."
Niemand bij de overheid is bezig met het structureel opsporen van die onveilige slimme apparaten, blijkt uit een rondgang van de NOS. Dat terwijl veel internetcriminelen niets anders doen: de hele dag zoeken ze, grotendeels geautomatiseerd, het internet af op zoek naar onwetende slachtoffers.
Daarmee kunnen criminelen ddos-aanvallen uitvoeren, spam versturen en nieuwe hackaanvallen lanceren. Ook inlichtingendiensten hebben het op slimme apparaten gemunt.
Overheden zouden dat kunnen tegengaan door lokdozen neer te zetten met kwetsbare apparaten, of door zelf op zoek te gaan naar kwetsbare apparaten bij internetgebruikers thuis. Maar dat gebeurt allebei niet.
Lokdoos
Van Eeten heeft de afgelopen jaren zo'n digitale lokdoos gebouwd om onveilige apparaten op te sporen, in samenwerking met het ministerie van Economische Zaken. In de kelder van een faculteitsgebouw in Delft staan routers, printers, netwerkschijven, beveiligingscamera's en zelfs een slim voedersysteem voor aquaria te wachten op hackers. Die komen in groten getale: soms in golven van honderdduizenden.
"Ik denk dat het goed zou zijn als de overheid zo te werk zou gaan", zegt Van Eeten. "Als je ziet dat een apparaat wordt gehackt, kun je naar een fabrikant stappen met bewijs dat hij verzaakt." Ook wordt de internetprovider van een getroffen gebruiker op de hoogte gesteld. Die kan vervolgens helpen om het probleem op te lossen.
Maar het project is inmiddels ten einde, en vooralsnog krijgt het geen vervolg. "We draaien de lokdoos nu als een vrijwillig initiatief", zegt Van Eeten. Nadeel daarvan is dat er geen budget meer is om de lokdoos bij te werken met nieuwe apparatuur.
'Eigen verantwoordelijkheid'
Het Agentschap Telecom heeft ervoor gekozen om het stokje vooralsnog niet over te nemen, om "technische en juridische" redenen. "Het is een interessant experiment, maar we lopen nu nog aan tegen privacyregels en hebben nog wat vragen over de technische risico's", zegt inspecteur-generaal Angeline van Dijk.
Ook elders binnen de overheid is niemand met iets vergelijkbaars bezig: het Nationaal Cyber Security Centrum richt zich enkel op overheid en kritieke bedrijven; de politie wijst op de "eigen verantwoordelijkheid" van eigenaren.
"Natuurlijk hebben burgers een eigen verantwoordelijkheid, die hebben ze ook in de fysieke wereld", zegt beveiligingsexpert Frank Groenewegen van Deloitte. "Maar als daar een autoraam of achterdeur openstaat, en een politieagent ziet dat, dan gaat hij toch even kijken wat er aan de hand is."
Dat zoiets op internet niet gebeurt, vindt Groenewegen opmerkelijk. "We weten dat er boeven actief zijn die het op internetgebruikers hebben gemunt."
Toestroom
De nieuwe strengere regels moeten in ieder geval de toestroom stoppen. Het Agentschap Telecom, dat per 1 januari zal worden omgedoopt tot de Rijksinspectie Digitale Infrastructuur, kan volgens nieuwe Europese wetgeving vanaf 2024 onveilige apparaten dan de toegang tot de markt ontzeggen. Apparaten moeten als onderdeel van het CE-certificaat ook op het gebied van digitale veiligheid in orde zijn.
Het halen van zo'n certificaat betekent echter niet per se dat het apparaat in de echte wereld ook veilig is, tekent Mattijs van Ommeren van beveiligingsbedrijf Zerocopter aan. "De auto's uit het dieselschandaal waren ook gecertificeerd. Het halen van een certificering is iets anders dan het maken van een veilig apparaat."
Op zoek gaan naar onveilige apparaten die op internet zijn aangesloten werkt beter, denkt Van Ommeren.
Geautomatiseerd
Bij de TU Delft blijven intussen aanvallen binnenkomen. "In de afgelopen vijf minuten uit Bulgarije, Zuid-Korea en Turkije", zegt Michel van Eeten. De aanvallen zijn doorgaans afkomstig van andere slimme apparaten, die op hun beurt zelf zijn gehackt. Geautomatiseerd gaan die apparaten op zoek naar andere gewillige slachtoffers.
Uit Nederland komen honderden aanvallen per dag binnen, zegt PhD-onderzoeker Elsa Rodriguez. "Ze proberen bijvoorbeeld in te loggen door standaardgebruikersnamen en -wachtwoorden in te voeren", zegt Rodriguez. "Het kan dus helpen om die te veranderen, maar dat kan voor mensen lastig zijn."
"Mensen beschouwen dit soort apparaten vaak niet als kleine computers, maar meer als simpele gebruikersapparaten, vergelijkbaar met een wasmachine", zegt Van Eeten. "Je sluit het aan, en het doet wat het moet doen, denken mensen. Maar het is net als met een gewone computer: er zijn gewoon risico's."