Opkomst van robots: hoe de liefde voor automatisering ons fataal kan worden

Er is een gezegde uit de jaren ’90, geïllustreerd in een cartoon: “op het Internet weet niemand dat u een hond bent”. Daarmee wordt de kern van een cybersecurity-probleem blootgelegd, waarmee we momenteel nog steeds worstelen: hoe weet u zeker wie u online kunt vertrouwen? Die vraag is de afgelopen jaren ook in industriële netwerken zeer actueel geworden. Zonder goed gebruik van digitale certificaten is geen veilige netwerkomgeving mogelijk.

Digitale security is al jaren gebaseerd op cryptografische sleutels en digitale certificaten. Dankzij het bekende slotje in de browser (als teken dat het https-protocol wordt gebruikt)  is het vertrouwen in  e-commerce enorm gegroeid en onze maatschappij onomkeerbaar veranderd. De laatste jaren ontstaan er echter verontrustende scheuren in de beveiligingsfundering van het Internet. Als daaraan in de toekomst grote aantallen automatisch functionerende machines en apparaten worden gekoppeld (IoT), kunnen die scheuren wereldbedreigende kloven worden. Hoe is dat te voorkomen?

Het vertrouwensprobleem

Cryptografische sleutels en digitale certificaten vertellen ons of iemand is wie deze claimt te zijn. We gebruiken ze voor het authentiseren van webservers, programmacode op apparatuur en voor de VPN-toegang van organisaties. Daarom vertrouwen we op binaire beslissingen die machines maken, of iets uit een veilige bron komt en betrouwbaar is, of niet en dus potentieel gevaarlijk. Op die fundering is onze cybersecurity en economie tegenwoordig in vergaande mate gebaseerd.

De afgelopen jaren zijn hackers zich gaan richten op de lucratieve voordelen die certificaten en sleutels vertegenwoordigen. Iedereen kent de voorbeelden uit films, waarin criminelen met een gestolen toegangspasje ergens binnenkomen. Dat gebeurt op Internet steeds vaker. Criminelen verhandelen op het dark-web sleutels en certificaten om systemen te kunnen binnendringen. Bij hacks zoals Sony, Careto, Snowden onthullingen en Flame of Stuxnet zijn allemaal gekraakte of gestolen sleutels en certificaten gebruikt.

De aankomende storm van IoT, robotica en kunstmatige intelligentie

De hierboven beschreven securityproblematiek wordt nijpender als we beseffen met welke snelheid momenteel het IoT wordt gecreëerd. Hoe weten al die machines welke code ze moeten uitvoeren, of van wie ze commando’s moeten aannemen? Via hetzelfde lekke systeem van certificaten en sleutels. Als ‘slimme apparaten’ dieper in onze maatschappij doordingen, nemen de risico’s exponentieel toe. Denk maar aan de vliegtuigen, energiecentrales, medische apparatuur en zelfrijdende auto’s die zo worden aangedreven.

Als machines behalve met elkaar te communiceren tevens autonoom beslissingen gaan nemen, moeten mensen ervoor zorgen dat die communicatie betrouwbaar en veilig is. De opkomst van het IoT en kunstmatige intelligentie in robots, brengen nieuwe risico’s met zich mee om digitale certificaten als cyberwapen te gaan gebruiken. Door een certificaat dat programmacode signeert te misbruiken, is de firmware van slimme apparaten te veranderen en vervolgens de toepassing over te nemen. Omdat de centrale host die slimme apparaten blindelings vertrouwt, zijn via zo’n hack honderden tot mogelijk wel miljoenen apparaten te beïnvloeden.

De IoT- en robotontwikkeling creëert een vruchtbare bodem voor cyberafpersing: “betaal een miljoen, want anders leggen we je geldautomatennetwerk plat”. Een aantal landen hebben zich in het verleden zelf schuldig gemaakt aan certificaatmisbruik, zoals de Stuxnet-hack. Naarmate het IoT groeit en volwassener wordt, ontstaan er voor cybercriminelen steeds meer inbraak- en afperskansen.

Immuunsysteem voor Internet creëren

Wat is tegen genoemde dreiging te doen? Leren van de menselijke evolutie, omdat elke cel in ons lichaam op basis van unieke tags te identificeren is. Ons immuunsysteem volgt en beheert alle tags, door het vertrouwde te accepteren en niet-eigen te vernietigen. In het basisidee bevatten certificaten en sleutels vergelijkbare tags, alleen functioneert het Internet nog zonder immuunsysteem. Zonder het beheer te automatiseren hebben organisaties echter onvoldoende zicht en grip op het aantal gebruikte sleutels en certificaten en de mogelijkheid om bij incidenten tijdig te reageren.

Voor de toekomst van het Internet en de online economie, is het noodzakelijk onze benadering van certificaten en sleutels te rebooten. Zodat men sneller kan veranderen welke door machines worden vertrouwd. Eigenlijk is er een ‘immuunsysteem voor het Internet nodig’, oftewel technologie die leert en zich aanpast op basis van de ervaring met het identificeren welke certificaten en sleutels te vertrouwen zijn. Wanneer zo’n systeem als een extra securitylaag wordt toegevoegd, is mogelijk een robot-apocalypse te voorkomen!   

Auteur: Kevin Bocek, vice president security strategy & threath intelligence van Venafi