Waarom falen we in security?

De opkomst van IoT-producten en -toepassingen zorgt ook voor toenemende risico’s op beveiligingsgebied. Maar waarom falen bedrijven bij het implementeren van een goede beveiliging? Stefaan de Roeck van Dekimo probeert tijdens zijn lezing op E&A 2019 antwoorden op deze vraag te vinden.

Op donderdagochtend 16 mei besteedt vakbeurs Electronics & Applications aandacht aan Cyber security. Het seminarprogramma gaat dieper in op de problemen die kunnen ontstaan door een te laag beveiligingsniveau voor industriële elektronica. Ook de complexiteit van een solide beveiliging komt aan bod.

De Roeck werkt bij Dekimo op de consultancyafdeling. Hij vertelt: "Daar gaat het traditioneel veel over embedded systemen. Mijn focus is de software. Dat is ook een transitie vanuit de hardware die al enige tijd aan de gang is. Naast consultancy doe ik ook wat coaching en teaching."

Bedrijven uit allerhande branches kloppen bij hem aan als zij tegen problemen aanlopen bij de productontwikkeling, zegt De Roeck: "Het zijn bedrijven die op zoek zijn naar iets specifieks. Niet zo zeer in een bepaalde industrietak. Zij willen een nood opgelost zien worden in een combinatie van hardware en software. Dat zijn klanten vanuit bijvoorbeeld de voedselindustrie of de high tech industrie. Onze rol heeft alles te maken met elektronicaontwikkeling en embedded softwareontwikkeling."

Door de snelle technologische ontwikkelingen, de belangrijke rol van IoT en een steeds snellere productontwikkeling ontstaan er volgens De Roeck beveiligingsproblemen: "Veel bedrijven zien zich gedwongen een transitie te maken naar een product dat security moet bevatten, terwijl dat vroeger helemaal geen accent was. Laat staan dat het over connected devices ging. IoT is hip en alles beweegt zich die kant op. Maar dan komt er plots heel veel bij kijken. Security krijgt dan soms heel weinig aandacht of de mensen die er naar moeten kijken hebben de expertise nog niet om überhaupt aan security conscious design te doen, dus daar zijn nog wel wat uitdagingen."

Default wachtwoorden

Volgens de consultant zijn veel problemen vrij eenvoudig te voorkomen: "Vaak gaat het over slordigheid. Standaard wachtwoorden zijn daar ooit door developers ingestopt, vervolgens niet gedocumenteerd omdat er geen bedoeling was om deze wachtwoorden in een eindproduct te doen geraken. Dat wachtwoord is gewoon gaandeweg vergeten, misschien omdat diegene die het in de software gestoken heeft er niet meer werkt of dat de persoon die het effectief vrijgeeft aan de markt er nog nooit van gehoord heeft. Soms is het geen technische oorzaak, maar een communicatieve vraag die er achter ligt."

Toch zijn er ook meer fundamentele problemen op het gebied van cyber security die meer tijd zullen kosten om te worden verholpen. De Roeck: "We hebben meer problemen dan oplossingen in de IoT-wereld. Dat heeft te maken met de industrie. Als een bepaald bedrijf nooit het accent op beveiliging heeft gelegd, dan zijn de communicatiekanalen daar ook niet op ingericht. Bedrijven die zich specialiseren in apparatuur, bijvoorbeeld voor de avionicsmarkt, kennen wel speciale aandachtpunten. Zij letten van nature op de de veiligheid van de mens. Dat is een designoverweging."

Een andere markt waarbij traditioneel meer aandacht is voor security is de medische wereld. Dat ligt onder andere aan het hanteren van normeringen, zegt De Roeck: "Er bestaan normeringen voor andere markten, zoals de medische markt. Dan gaat het om mensenlevens, zeker als het gaat om implantaten. Daar zijn hele strakke regels voor en er zijn gelukkig agentschappen die speciaal daar mee bezig zijn. Dat zijn de juiste overwegingen die gemaakt zijn bij de ontwikkeling van zo’ n product. Zoiets helpt."

Rol voor regelgeving?

Een andere mogelijkheid om het beveiligingsniveau van IoT-software op een hoger niveau te krijgen is regelgeving, al geeft De Roeck toe dat dit altijd een lastig verhaal is: "Misschien kan er vanuit de wetgeving feedback op deze problematiek komen, samen met het inrichten van een keuringsinstituut, dat lijkt mij nuttig. Alleen als de overheid gaat zeggen: ‘er mogen geen default wachtwoorden meer in IoT-producten zitten’, dan zijn zij te specifiek bezig want er zijn veel meer problemen die spelen. Zo krijg je het probleem dat de wetgeving heel snel weer achterloopt."

Afsluitend in zijn betoog zegt De Roeck dat bedrijven de basis al op orde moeten hebben als zij zich wagen aan IoT-productontwikkeling: "Als je eerst een product maakt en daarna security wil toevoegen, dan moet je veel redesignen en daar zijn veel bedrijven vaak niet op voorzien. Bij het begin van het product moet er al goed over worden nagedacht, anders kom je in de problemen, zoals de impact op de time-to-market en het financiële risico."