Erwin Boutsma
We leven in een connected wereld. Auto’s, stroommeters, lampen, deursloten en wasmachines: alles voorzien we tegenwoordig van een ip-adres en hangen we aan het internet. Daarom hebben we de hacker harder nodig dan ooit.
Het levert gebruiksgemak op voor de consument en omzet voor de fabrikant, maar vergroot ook onze kwetsbaarheid op een lastig te doorziene manier. Wie weet straks nog welk van zijn apparaten in huis is verbonden met het netwerk en of ze allemaal up-to-date en dus optimaal beveiligd zijn? Veiligheidslekken duiken voortdurend op en zijn inherent aan de digitale wereld.
Afgelopen week is Tesla’s Model S gehackt via een veiligheidslek en zo op afstand uitgeschakeld. Wel moet je eerst fysiek toegang hebben gehad tot de Model S om de malware te installeren die nodig is om de auto op afstand te kunnen manipuleren; in die zin verschilt deze ‘hack’ nauwelijks van het doorhalen van remleidingen, maar het is een voorbode van wat ons te wachten staat.
En de Tesla-hack is niet uniek. Een week eerder vond voor de eerste keer een auto-terugroepactie naar aanleiding van een ict-risico plaats. Moederbedrijf Chrysler deelt aan 1,4 miljoen Jeep-eigenaren usb-sticks uit met software ‘that insulates connected vehicles from remote manipulation, which, if unauthorized, constitutes criminal action’, aldus Chrysler. Twee hackers – of ‘beveiligingsonderzoekers’; what’s in a name? – hadden kort daarvoor enkele lekken in de software van de auto’s ontdekt en openbaar gemaakt.
Het zijn de eerste signalen van een trend die enorme vormen gaat aannemen en over een paar jaar ‘gewoon’ is. Alles met wat computerhardware en een beetje software werkt, is namelijk te hacken. Van pacemakers weten we dat het kan, de ov-chipkaart is een legendarisch voorbeeld, de regelsoftware van ultracentrifuges van Iraanse verrijkingsinstallaties blijkt kwetsbaar, een supergeavanceerd scherpschuttersgeweer kun je met een hack laten misschieten, en er is zelfs een onbevestigd gerucht dat studenten de nieuwste generatie sprinters van de NS hadden gehackt, waardoor ze al rijdend de treeplanken konden uitklappen.
De gemene deler? De lekken komen aan het licht doordat hackers ze openbaar maken, waarna het betreffende bedrijf zich – uit angst voor reputatieschade – haast om een oplossing te verzinnen en uit te rollen. Tesla deed dat op een moderne manier, namelijk via een zogenaamde over-the-air-update (OTA). Eigenaren van de Model S hoefden zo niet terug naar de garage, zoals de Jeep-bezitters. OTA heeft de toekomst: straks lees je via een app dat je wasmachine zojuist een efficiënter wolwasprogramma heeft binnengekregen.
Fabrikanten kunnen van de gemiddelde consument niet verwachten dat die dit Internet of Things allemaal overziet en doorgrondt. De verantwoordelijkheid voor veiligheid ligt bij de fabrikant, maar de geschiedenis leert ons dat we het daar niet bij kunnen laten. We hebben hackers nodig als een weliswaar wat diffuse, maar desalniettemin controlerende instantie. Want de meeste hackers zijn geen anonieme, malafide types die uit zijn op wereldheerschappij of fortuin. Het merendeel bestaat uit puzzelaars die simpelweg hacken omdat ze het leuk vinden.
Hackers vormen zo een essentiële schakel in de veiligheidsketen, vergelijkbaar met de controlerende rol van journalistiek in een samenleving. En in die rol worden ze steeds belangrijker.
