Een alarmsysteem dat in heel Europa door vele duizenden mensen wordt gebruikt, kan door criminelen op afstand worden uitgeschakeld. Dat blijkt uit onderzoek van RTL Nieuws. Ook kan het lek worden gebruikt om de alarmsirene aan of uit te zetten of om mee te gluren met de bewakingscamera’s.
Uit het onderzoek van RTL Nieuws blijkt weer eens dat in het geval van moderne alarmsystemen algemene veiligheid en cyberveiligheid niet meer los van elkaar gezien kunnen worden. Voordat een alarmsysteem op de markt komt, wordt het getest volgens onder andere veiligheidsstandaarden als de NEN-EN 50131-1. Deze bevatten systeemeisen voor inbraak- en overvalsystemen. Fabrikanten laten hun producten testen volgens deze standaarden om aan te tonen dat ze naar behoren functioneren. Zo moeten bijvoorbeeld niet de draadjes van het systeem doorgeknipt kunnen worden zonder dat er een alarm afgaat.
Delicaat samenspel
Het systeem dat is onderzocht door RTL Nieuws bevat behoorlijk wat state-of-the-art digitale snufjes. Die zijn op zich heel handig. Je kunt daardoor bijvoorbeeld op afstand het systeem bedienen, camerabeelden bekijken, etc. Maar om die functionaliteit mogelijk te maken, moet het systeem wel worden verbonden met het internet en dát brengt veiligheidsrisico’s met zich mee. Hiervoor is namelijk een delicaat samenspel nodig van servers, mobiele apps, gebruikers, installateurs etc. Deze onderdelen vormen samen een keten waarvan de lijntjes vaak kriskras door elkaar lopen.
In deze complexe keten van onderdelen bestaat het risico dat er dingen mis gaan, omdat het overzicht soms ontbreekt. Tel daarbij de dynamiek op die nu eenmaal gepaard gaat met de digitale technieken in de ‘core’ van zulke systemen en je hebt een in potentie perfecte voedingsbodem voor datalekken, privacy-incidenten en hacks. Zeker als je bedenkt dat er naast de complexe digitale keten óók nog de constante uitdaging is om alles goed af te stemmen met het oog op de algemene veiligheid. Dit is namelijk niet iets dat je één keer inregelt en waar je vervolgens niet meer naar om hoeft te kijken.
Structurele prioriteit
Cyberveiligheid is vaak een kwestie van een lange adem. Fabrikanten kunnen een belangrijke eerste stap zetten door cyberveiligheid structureel net zoveel prioriteit te geven als bijvoorbeeld de functionele veiligheid van hun product. Cyberveiligheid hoort een integraal onderwerp te zijn in de risicoanalyse en de ontwikkelingsfase van een product. En als het product eenmaal ontwikkeld is, is het cruciaal om dit zodanig te testen op cyberveiligheid dat het correleert met de risico’s van het product, vóórdat het op de markt komt. Volledig cyberveilig zijn we helaas nooit, maar we kunnen – en móeten – het kwaadwillenden wel zo moeilijk mogelijk maken.
Santosh Sharman is Productmanager IoT Security bij Kiwa.
