Onlangs nam ik deel aan een kennisdelingsavond bij Capgemini met sprekers zoals: Melle van den Berg (Capgemini Consulting), Kas Clark (NCSC) en Matty Bakkeren (Intel Security).
Een zeer inspirerende avond waarbij ook een aantal afstudeerders mochten pitchen. Wat mij vooral van deze avond is bijgebleven is dat IoT niet goed in een definitie is te vangen en dat wij nog maar aan het begin staan van het denken over hoe wij ons kunnen beschermen voor dreigingen die inherent zijn aan IoT.
De mensheid (Homo Sapiens) wordt steeds meer omgeven door slimme en domme apparaten die direct of indirect verbonden met Internet met hun scheppers communiceren en met anderen partijen waar wij wellicht helemaal geen weet van hebben….
Deze wirwar aan technologie gaat door het leven als The Internet of Things. Gelukkig zijn onze kinderen vroeg in aanraking gekomen met deze technologie waardoor zij nu zijn vergroeid met hun smartphones en anderegadgets (Home Sapiens Digitalis).
Risk appetite
Wat ik nog mis in de beveiligingsdiscussie over IoT is een echt holistische benadering, laten wij dit de beveiligingsfilosofie van the Internet of Things noemen. Beveiligingsgoeroe Bruce Schneier heeft het in zijn vele publicaties over the security agenda. De kunst is om de dialoog te voeren met alle partijen die deze agenda volgen en worden geraakt door het vraagstuk van IoT.
Het probleem is dat dit nu niet gebeurt. Mogelijk zijn wij ons nog niet van de gevaren bewust of wij denken dat wij niets hebben dat het beschermen waard is. Komen wij niet snel genoeg in actie dan dreigt een situatie die je kunt lezen in het spannende jongensboek Blackout of wellicht raken wij verstrikt in The Matrix.
The Internet of Homo Sapiens
Een oplossing zou kunnen zijn dat wij als mensheid ons gaan verdelen in een aantal ondersoorten van de Homo Sapiens. Dit om ons eigen zelfbewustzijn over dit onderwerp te versterken.
Op basis van de mindset: Ik heb wel/niets te beschermen en ik ben wel/niet risicobewust ten aanzien van IoT doe ik het volgende voorstel voor de ondersoorten:
- Niets te beschermen en wel risicobewust: Homo Sapiens Relaxus
- Iets te beschermen en wel risicobewust: Homo Sapiens Paranoidus
- Niets te beschermen en niet risicobewust: Homo Sapiens Ostriches (lees struisvogel)
- Iets te beschermen en niet risicobewust: Homo Sapiens Naïvus
Doe bijvoorbeeld een expertbriefsessie met al deze ondersoorten van de Homo Sapiens en laat deze mens soorten nadenken over zaken zoals:
- Waarom denken wij dat wij niets/iets te beschermen hebben in een IoT omgeving?
- Waarom denken wij dat wij wel/niet risicobewust zijn in een IoT omgeving?
- Wat zijn dan eigenlijk de IoT-risico’s per doelgroep? (dus niet alleen vanuit het perspectief van de aanbieder van IoT-diensten)?
- Wanneer ben ik veilig genoeg?
- Kunnen wij onveiligheid niet gewoon accepteren als een fact of life en als persoon meer weerbaar en zelfsturend zijn ten aanzien van virtuele bugs in onze directe omgeving.?
Dit in de hoop dat deze security agenda leidt tot een beveiligingsfilosofie die past bij de uitdagingen die IoT ons stelt!
Met dank aan Ben Suurd, Klaas Zondervan, Rob Vernooij en Toon van der Werf
