De digitale assistenten Amazon Alexa, Apple Siri en Google Assistant maken een grote opmars in de netwerken van huizen en bedrijven. Stel een vraag en we krijgen direct het antwoord van onze digitale vriend of vriendin. Dat antwoord is nog niet altijd in lijn met de vraag, maar we zijn goed op weg met de inzet van artifical intelligence. Gemakkelijk is het wel. Toch zit er een keerzijde aan dit gemak: veilig is het niet.
De wereld van (digitale) beveiligingsspecialisten roept al jaren dat de preventieve maatregelen die we van oudsher nemen niet meer voldoende zijn om de cyberdreigingen van vandaag de dag tegen te gaan. Firewalls en end-point security waren al snel niet meer genoeg. We gingen uitbreiden met SSL-offloading, DNS-filters en sandboxing. Dat bracht al veel extra ‘veiligheid’ maar de meest effectieve technische maatregel bleek segmentatie te zijn. Het simpelweg fysiek en/of logisch scheiden van netwerken om een negatieve impact van een digitale inbraak te minimaliseren door die te beperken tot één netwerksegment(je). Dat werkt prima. Ransomware kan zich minder goed verspreiden, externe scans van het netwerk worden tegengehouden. Het aanvalsvlak is daardoor kleiner.
En toen kwamen de digitale assistenten en die zijn erg goed in het bedienen van allerlei slimme apparatuur. Dat moet ook wel, want we zitten niet de wachten op een antwoord als: “Gaat niet, ik kan er niet bij”! Dus is er één (spraak)interface nodig met toegang tot thermostaat, verlichting, rolgordijnen, weerstation, etc. Maar wat blijft er dan over van de segmentatie en isolatie die nodig is voor de security?
Veiligheid versus gemak
Eigenlijk zou de domotica-apparatuur in een apart netwerk moeten worden opgenomen, zodat een indringer of malware niet bij de pc of NAS kan om bijvoorbeeld foto’s en documenten te stelen. Veel mensen gebruiken daarom het guest-netwerk van hun router voor hun slimme apparaten en digitale-assistent-in-een-kastje (Google Home, slimme speakers). Dat guest-netwerk is redelijk veilig want dat kan niet praten met het netwerk waarin veelal de telefoon/tablet/pc/NAS van de gebruiker zich bevindt. Maar elke keer dat je iets wil besturen met je allerslimste apparaat, de smartphone met digitale assistent en stuur-apps, moet je eerst op dat guest-netwerk inloggen. En wie met een spraakassistent de pc een opdracht wil geven, moet die assistent dan eerst op het ‘echte’ netwerk aansluiten. Dat doet natuurlijk niemand. Veiligheid zit hier het gemak in de weg. Met als gevolg dat de slimme apparatuur toch maar weer wordt aangesloten op het ‘normale’ netwerk – met alle extra risico’s van dien. En bovendien: veruit de meeste gebruikers beschikken niet over dure apparatuur en netwerkkennis om hun netwerk veilig in te richten met behoud van gemak.
Onoplosbaar?
Kunnen we dit oplossen? Eigenlijk niet. Want elke oplossing heeft een ander ongewenst resultaat. Producenten van slimme apparatuur proberen het probleem te omzeilen door een clouddienst tussen de assistenten en apparaten te plaatsen. Hierdoor wordt er een hub op het internet geplaatst die toegang geeft tot de besturing van de apparaten. Maar dat is iets wat we willen voorkomen. Niet alleen omdat die service dan toegang tot het netwerk heeft maar ook omdat we daarmee afhankelijk worden van een derde partij om de verlichting in ons huis aan te doen, het slimme slot te gebruiken of de verwarming aan te zetten.
Radicaal omgooien
Het beste advies voor nu is gezond verstand gebruiken en de security-aanbevelingen die overal op internet zijn te vinden nu echt op te volgen. Zorg daarnaast voor offline back-ups van belangrijke data en installeer een cyberalarm dat een digitale inbraak direct meldt zodat er actie kan worden ondernomen om de schade zoveel mogelijk te beperken. Een structurele oplossing is dit niet. Daarvoor moeten we de manier hoe we verbonden apparatuur beveiligen radicaal omgooien. Het is al vaker bepleit, tot in de Tweede Kamer toe. Zullen we die situatie ooit bereiken? Vast wel. Maar dat kost nog jaren. Tot die tijd zullen we op ons gezond verstand moeten vertrouwen.