Veiligheid als computers niet meer bestaan

  1. 9 jan 2015
  2. 0 reacties

Sogeti2

In 2014 werd de ene na de andere smartwatch gelanceerd. Vele gaan nog volgen. Het lijkt een hype maar eigenlijk is er weinig nieuws onder de zon. Toch is dit het begin van de ontwikkeling waarbij er straks geen computers meer zijn. Alles en iedereen is straks een computer. Ik zeg niet dat dit het geval is in 2015 maar komend jaar worden daarvoor wel grote stappen gemaakt. En hoe borg je security als alles en iedereen een computer is?

Zoals zoveel zaken in de IT wordt veel als nieuw, innovatief of zelfs revolutionair aangekondigd. Dat was in 2014 ook het geval met de smartwatches. Maar ga terug naar 1984. In dat jaar lanceerde Casio de AT550. Een horloge dat via capacitief touchscreen bediend kon worden. Je kon berekeningen maken via schriftherkenning van vingerbewegingen. Zoek maar eens op YouTube. En als je dan toch bezig bent, kijk dan gelijk naar de LG-GD910 uit 2009. Een waterdichte 3G smartwatch waarmee het mogelijk is te bellen en zelfs te videoconferencen. Uitgerust met stemherkenning, media- en internetfunctionaliteit en een gebogen scherm. Los van het ontbreken van een appstore kon deze LG-GD910 smartwatch exact hetzelfde als wat vandaag de dag als technologische doorbraak wordt gelanceerd. Kijken we nu over echte innovaties heen? En wat heeft dit met security te maken?

De ontwikkelingen op het gebied van smartwatches, en eigenlijk alle innovaties, leert ons dat er sprake is van drie fasen in de omarming van een bepaalde technologie. Allereerst onderscheiden we de fase ‘Technologie werkt’. In deze fase zijn we blij dat techniek iets mogelijk maakt. Denk bijvoorbeeld aan de homecomputers van eind jaren zeventig. Een unieke ervaring voor de gebruikers van toen maar het was ook flink behelpen. En wat dichterbij in de tijd, de huidige generatie 3D printers. Hiervoor geldt hetzelfde. We zijn zo enthousiast dat deze functionaliteit mogelijk is, dat aspecten zoals trage printtijd minder belangrijk lijken te zijn. Maar er komt een moment dat we de ongemakken niet langer accepteren. Zeker wanneer de hele samenleving ermee aan de slag moet. Dan moet technologie gewoon zorgeloos werken. De introductie van de iPhone is daar natuurlijk een sprekend voorbeeld van. Dat is ook gelijk de tweede fase; ‘Technologie werkt goed’.

Maar hoe kek en intuïtief technologische snufjes ook zijn, hoe goed ze ook werken, als dezelfde functionaliteit alleen verspreid wordt over meerdere oplossingen, voegt het niets toe. Denk aan het kunnen bekijken van sociale media, het navigeren en het bellen op de slimme varianten van horloge, telefoon of bril. Helemaal als het elkaar juist in de weg gaat zitten. Zo heeft het Nederlandse gezin inmiddels gemiddeld vier afstandsbedieningen op tafel liggen. Voor elk medium één. Het maakt alles overbodig complex en het voegt niets toe. Daarom is de laatste fase ‘Technologie werkt goed en verhoogt de waarde van andere technologie’. Een goed voorbeeld van deze laatste fase is de integratie van een mobiele telefoon en een auto. De beller stapt in de auto die de volledige interface via bluetooth overneemt. Als gebruiker merk je dat niet. De informatie blijft toegankelijk in de nieuwe context.

Het wederzijds toevoegen van waarde en als symbiose met andere devices is het paradigma wat in 2015 gemeengoed wordt. Commercieel interessant vanuit bedrijven en afgedwongen door de samenleving. Waarom is dit dan juist van belang voor security ofwel zekerheid? Informatie en de interactie met informatie is voor vele facetten nog steeds afstandelijk omdat er een duidelijke ‘computer’ tussen zit. Maar op het moment dat dit transparant wordt, gaan we echt richting het lang beloofde ‘ubiquitous computing’, ook wel Everyware genoemd. Computers zijn er dan niet meer. Tegelijkertijd is alles een computer geworden waarmee je op basis van context en intelligentie interactie hebt. Dat punt wordt niet bereikt in 2015. Echter, de fundering voor dit scenario wordt komend jaar wel gelegd. En de eerste vormen worden op grote schaal operationeel. Als er dan sprake is van onzekerheid of onveiligheid, raakt dit niet de informatie op een schermpje, maar direct de belevingswereld van de gebruiker. Dat zal de maatschappij niet accepteren. Met het risico dat we juist weer twee treden terug zijn op de innovatieladder.

Kijk wat er op dit moment met wearables gebeurt. Veel mensen met een Google Glass weigeren de slimme bril buitenshuis te dragen. Niet vanwege de beperkte accu. Maar vooral door de hoeveelheid mensen die de brildragers erop aanspreken dat zoiets niet wenselijk is. De maatschappij accepteert de inbreuk op privacy niet van iets wat letterlijk ‘in your face’ is. Iedereen wil uniek zijn. Tegelijkertijd bepaalt meer dan ooit de gebruiker zelf op welke manier dat is. Privacy-first ofwel Privacy-by-Design zal daarom in 2015 meer dan ooit onderdeel worden van producten. Daarmee wordt eveneens het onderscheidend vermogen bepaald.

Het kan ook de andere kant opgaan. Daarvoor moeten we naar andere aspecten van ‘ubiquitous computing’ kijken. Zo krijgen we volgend jaar te maken met Fabric (via snelle verbindingen geconsolideerde maar van elkaar gescheiden high-performance systemen) en natuurlijk ‘internet of things’. Bij die laatste zien we dat vanwege de beperkte kracht of juist de push om als eerste op de markt te zijn met deze functionaliteit, security achterwege wordt gelaten. Begin dit jaar was er een bericht over spamversturende koelkasten. Achteraf bleek dat niet waar te zijn. Maar zo raar zou het niet zijn geweest want technisch is dat mogelijk. Daarom gaat dat ongetwijfeld nog wel gebeuren. Als de symbiose door onbedoelde mogelijkheden wordt omgebogen tot digitaal parasitisme, zullen we volgend jaar te maken krijgen met zaken als de ‘botnet of things’. Afzonderlijke systemen met weinig of geen impact. Tegelijkertijd introduceren ze gezamenlijk nieuwe vormen van onwenselijke interactie met gegevens en gebruikers. Zo zullen aanvallers zelf ‘fabric computing’ construeren over bestaande resources.

Om dergelijke scenario’s te voorkomen, pleit ik voor de introductie van ‘Secure by Desire’. Bij de ontwikkeling van objecten moeten we nadenken over ‘security of things’ om tot een ‘internet of secure things’ te komen. Bedenk vooraf welke problemen kunnen ontstaan en los ze op waar ze geïntroduceerd worden. Een onderdeel van het borgen van security in de levenscyclus van een object is het erkennen dat niet alle risico’s vooraf verholpen kunnen worden. Wel dat een informatiesysteem weerbaar en flexibel moet zijn, zelfs na oplevering. Met heartbleed en shellshock zagen we in 2014 oude fouten opduiken die miljoenen systemen in één klap onveilig maakten. Door het ‘succes’ en de marketing (verzin een hippe naam, laat een logo voor de zwakheid maken en registreer een website waarmee te testen valt of je kwetsbaar bent) zullen dergelijke zwakheden volgend jaar toenemen. Aandachtspunten voor 2015 zijn dan ook het snel inzicht krijgen in potentiële zwakheden, het kunnen detecteren van misbruik ervan, en juist ook in staat zijn onderliggende componenten snel in te wisselen of te patchen. Voorwaarde is het modulair opbouwen van systemen. Alleen zo realiseer je ‘resilience’. Ofwel de technologie kan dan wel wat klappen opvangen. Tijd heelt namelijk niet alle wonden maar er op tijd bij zijn wel.

Marinus Kuivenhoven, senior security specialist bij IT-dienstverlener Sogeti