Als steden IoT gaan gebruiken om langdurige problemen aan te pakken, wat zijn dan de risico’s als de cyberbeveiliging nog in de planningsfase staat?

“Smart Cities” is het idee dat uitgebreid gebruik van informatie- en communicatietechnologie voor het monitoren van energie, nutsvoorzieningen en transportinfrastructuur kan leiden tot kostenbesparingen, vermindering van de impact op het milieu en het sneller oplossen van incidenten. De voordelen zijn duidelijk.

Als de straatlamp uitvalt en het ons laat weten, dan kan die sneller vervangen worden. Als het verkeer efficiënter kan beheerd worden, verminderen van de vervuiling, lawaai en het verkorten van de reistijden. Als we de verwarming zeer nauwkeurig kunnen instellen dan kunnen we het energieverbruik verminderen en dus ook minder verspillen. Als het verkeer in real time kan gevolgd worden, kunnen de beste routes uitgestippeld worden voor de hulpdiensten.

De meeste nationale regeringen hebben de Overeenkomst van Parijs (Paris Agreement ) ondertekend, en moeten daarom de doelstellingen voor lagere koolstofemissies halen. Deze doelstellingen worden dan doorgeschoven op regionaal en gemeentelijk niveau en om deze doeleinden te behalen gaat de implementatie van slimme technologieën in stedelijke gebieden een grote rol spelen. Waar er echter complexe, onderling geconnecteerde, computergestuurde netwerken zijn met duizenden  IoT sensoren en toestellen, gaan allerlei alarmbellen rinkelen bij cybersecurity-specialisten.

Researchteams van ESET hebben malware geanalyseerd die hoogstwaarschijnlijk werd gebruikt in meerdere aanvallen tegen de energie-industrie en die uiteindelijk leidde tot stroomuitval. Dergelijke storingen hebben grote gevolgen op het leven van mensen want onregelmatige of onbetrouwbare stroom veroorzaakt snel problemen. Voedingsmiddelen en medicijnen gaan snel rotten als koeling en diepvriezers niet meer werken. Hospitalen moeten hun stroomverbruik reduceren tot de essentie. Benzinepompen en slimme laadpalen voor voertuigen werken niet, verkeerslichten gaan uit, in gebouwen wordt de temperatuur te warm of te koud. Straatverlichting valt uit. Elektronische betalingssystemen werken niet, lonen worden wellicht niet uitbetaald, geldautomaten geven geen cash meer. Telefoontoestellen of laptops kunnen niet opgeladen worden. Insulinepompen worden niet opgeladen, CPAP-apparaten (continue positieve luchtwegdruk) werken niet, net als bewakingssystemen op afstand, beveiligingscamera’s of koffiezetapparaten! Men begrijpt dat in dergelijke omstandigheden snel chaos ontstaat.

We kunnen ons echter ook subtielere aanvallen voorstellen dan totale stroomuitval. Er zijn minstens al twee belangrijke gevallen geweest van illegale cryptocurrency-mining software (illicit cryptocurrency-mining software) op gecompromitteerde controlesystemen van kerncentrale. Cryptocurrency-mining is ongelooflijk energie-intensief en heeft juist daarom een grote impact op het milieu naast de kosten en het potentieel om stroomdistributieproblemen te veroorzaken zoals eerder beschreven. Het zijn niet enkel bedrijven die door dergelijke aanvallen getroffen worden. In de meeste gevallen zijn IoT-toestellen niet goed beveiligd en hun kwetsbaarheid kan leiden tot aanvallen waaraan de gebruiker weinig kan doen om die te beperken. Vorig jaar werd een grootschalige operatie ontdekt waarbij thuis-internet routers gebruikt werden om cryptocurrency te minen. Waar geld gemakkelijk verdient kan worden – dankzij de kwetsbaarheden van het systeem –  zal er criminele uitbuiting zijn.

Slimme meters zijn een bonus zowel voor nutsbedrijven als voor consumenten en bedrijven omdat ze een nauwkeurige bewaking van het elektriciteitsverbruik mogelijk maken maar hun kwetsbaarheid laat ook diefstal van stroom / gas / water toe. Dergelijke meters geven echter ook aan hoeveel opgewekte stroom in het net wordt ingevoerd (zoals van zonnepanelen) en de rest van het net hangt af van die nauwkeurigheid om de juiste stroomverdeling en productie te verzorgen. Zoals het vaak gebeurt bij het falen van de beveiliging, zijn het de onvoorziene gebeurtenissen die de ergste gevolgen kunnen hebben.

De Europese Unie (EU) is erg actief geweest bij het implementeren van smart city- technologie, door o.a. Iot aangedreven projecten, waaronder velen opgezet werden met de steun van het onderzoek- en innovatieprogramma Horizon 2020.  Deze projecten variëren in omvang, maar veel hebben grote implicaties voor de sectoren die ze beïnvloeden – smart cities en onze maatschappij, landbouw, gezondheidszorg, oceaan- en waterbeheer, voedingsmiddelen, productie en vele andere aspecten van het leven. Sommige van deze projecten worden beheerd door bestuursraden die als leidraad dienen voor advies over de implementatie ervan. (Ter informatie: Een ESET researcher was een van de 550 sollicitanten voor de ‘Mission Board for Climate-Neutral and Smart Cities’( Mission Board for Climate-Neutral and Smart Cities), maar kon geen plaats krijgen, er waren er slechts 15.)

Die raden bestaan uit leden die in verschillende disciplines actief zijn en we mogen hopen dat cybersecurity voorop staat hoewel het nauwelijks vermeld wordt in de briefings voor de bestuursraden.

Eens alles achter de rug is, zullen er enorme voordelen verbonden zijn aan de implementatie van technologieën die levens kunnen verbeteren en de impact op het milieu kunnen verminderen. Anderzijds mogen we de risico’s niet uit het oog verliezen die met het niet overwegen van de beveiliging van die technologieën gepaard gaan.

Voor het gratis e-book over gegevensbescherming, bezoek  https://www.eset.com/be-nl/zakelijk/data-protection-ebook/