Snel en eenvoudig hacken van een pacemaker, die niet zomaar kan worden verwijderd. Zelfs het hacken van een auto of een vliegtuig wordt kinderspel met de introductie van het Internet of Things (IoT). Met alle mogelijke rampzalige gevolgen van dien. De daders liggen meestal op het kerkhof. Cybercrime krijgt een nieuwe dimensie, die in potentie veel grotere gevolgen heeft dan de bekende cyberdreigingen. Veiligheidsmaatregelen en wetgeving lopen mijlenver achter bij de razendsnelle toename van producten en apparaten die met het internet zijn verbonden. Het is dus de hoogste tijd om deze risico’s onder ogen te zien en aan te pakken.
Volgens het Amerikaanse IT onderzoeksbedrijf Gartner Inc. zal het aantal IoT-apparaten wereldwijd van 8.3 miljard in 2017 stijgen naar boven de 20 miljard in 2020. De verdeling dit jaar is circa 5.2 miljard in consumenten applicaties en 3,1 miljard in bedrijfstoepassingen. Naast automotive systemen, zijn smart TV’s, slimme meters en commerciële veiligheidscamera’s op dit moment veel gebruikte IoT toepassingen. Ook in de medische wereld worden steeds meer IoT apparaten en wearables gebruikt, die data kunnen doorsturen naar artsen waardoor patiënten op afstand gemonitord kunnen worden. Er bestaat zelfs al een oplossing die je twee weken van te voren waarschuwt voor een hartaanval.
Implementatie IoT vergt zorgvuldigheid
Het rapport ‘IoT, Today and Tomorrow‘, dit jaar gepubliceerd door Aruba onderdeel van Hewlett Packard, laat een aantal interessante uitkomsten zien. Meer dan zeven op de tien ondernemingen hebben IoT-apparaten geïntroduceerd op de werkplek. Het meest veelbelovende gebruiksscenario is bewaking op afstand, gevolgd door location-based services binnenshuis om de productiviteit van medewerkers te verbeteren. Als resultaat geeft 78 procent aan dat de introductie van IoT op de werkplek de effectiviteit van het team heeft verbeterd en 75 procent heeft het de winstgevendheid zien vergroten.
Behalve positieve resultaten, kwamen in het onderzoek ook een aantal obstakels bloot te liggen die volgens IT-leiders de introductie van IoT voor bedrijven tegenhouden. Met name de implementatiekosten (50 procent), het onderhoud (44 procent) en de integratie van oude technologie (43 procent) worden genoemd als belangrijke problemen. Het meest opmerkelijke daarbij is dat in veel IoT-implementaties beveiligingsfouten werden aangetroffen. Uit het onderzoek blijkt dat maar liefst 84 procent van de organisaties te maken heeft gehad met een IoT-gerelateerd beveiligingslek. Naast veiligheid zijn hacking, data lekkage, data diefstal, onversleutelde data, uitval, wegvallen Wifi en privacy andere belangrijke IoT-risico’s.
“Bij het ontwerp van veel van de IoT-apparaten heeft veiligheid niet voorop gestaan, wat deze kwetsbaar maakt voor hacken”, aldus minister Kamp van Economische Zaken. Reden waarom het kabinet op dit moment onderzoekt hoe bedrijven gestimuleerd kunnen worden om hun IoT-apparaten (beter) te beveiligen. Er wordt gekeken naar verschillende instrumenten zoals standaarden, certificering, stimulering via innovatie, zorgplicht en productaansprakelijkheid. Echter zolang duidelijke en dwingende regelgeving ontbreekt, zullen bedrijven geneigd zijn te willen besparen op kosten van veiligheid en hebben hackers vrij spel.
Aansprakelijkheid en verzekering
Wie is er aansprakelijk wanneer een pacemaker wordt gehackt en gesaboteerd en de betrokkene letsel oploopt of erger nog overlijdt? De hacker natuurlijk, maar die laat geen visitekaartje achter en is vaak niet te traceren. De producent van de pacemaker? Die kan op grond van bestaande wetgeving aansprakelijk worden gesteld, omdat hier sprake is van een gebrekkig product. De pacemaker biedt niet de veiligheid die je er van mag verwachten. Belangrijk daarbij is in hoeverre de producent beveiliging heeft ingebouwd of aangepast op basis van de laatste stand der techniek. Tenslotte speelt het ziekenhuis die de pacemaker heeft geïmplanteerd mogelijk ook nog een rol. Heeft daar een check plaatsgevonden op de veiligheid en betrouwbaarheid van de pacemaker.
De (product)aansprakelijkheidsverzekering van de producent biedt dekking voor letselschade of het overlijden van een derde als gevolg van de gebrekkige pacemaker. Bij de dekkingsvraag zal wel meewegen in hoeverre de producent mogelijke veiligheidsmaatregelen heeft getroffen om het hacken te voorkomen. Hetzelfde geldt voor de aansprakelijkheidsverzekering van het ziekenhuis. Zeker als van enige ingangscontrole geen sprake is. Hoe zit het tenslotte met de cyberverzekering? Die is eigenlijk nog volop in ontwikkeling en niet klaar voor de risico’s die het IoT met zich meebrengt. Het IoT biedt ongekende mogelijkheden, maar wordt pas echt een succes als de risico’s beheersbaar en verzekerbaar zijn. Dus tijd voor actie en samenwerking, van alle betrokken partijen om zo onnodig hartzeer te voorkomen.
Door Peter Hartman, RiskFitInnovation
