IoT en privacy: volledige transparantie

U wil dat gebruikers uw IoT-product omarmen? Super, maar sta bij het begin van de ontwikkeling al even stil welke gegevens u gaat verzamelen en wat u ermee gaat doen. Twee aspecten zijn hierbij belangrijk: beveiliging en transparantie.

Wesley Neelen, ethical hacker en pentester bij DearBytes, ontdekte in mei 2018 een ernstig beveiligingslek in een smartwatch voor kinderen. Deze slimme horloges zijn voorzien van een gps-ontvanger, zodat ouders via een app eenvoudig de locatie van hun kinderen kunnen opvolgen. Door een lek in de cloudomgeving van de Chinese fabrikant kon iedereen echter eenvoudig allerlei gevoelige informatie achterhalen, zoals de actuele locatie van de smartwatches en de telefoonnummers van de ouders. Het enige dat men daarvoor nodig had, was een serienummer.

Als u met uw bedrijf een IoT-project wil lanceren, wil u uiteraard voorkomen dat u in zo'n horrorscenario terechtkomt. Welke maatregelen neemt u dan best om de privacy van uw klanten en de regels van de GDPR te respecteren? We legden deze vraag voor aan Jan Leonard, Data Protection Officer bij Orange.

"Er zijn twee belangrijke aspecten voor privacy bij een IoT-project", steekt Jan Leonard van wal. "Beveiliging en transparantie. Als deze niet in orde zijn, verliest u het vertrouwen van uw gebruikers. Beveiliging is echt de basis: zorg ervoor dat uw IoT-product veilig is, zodat niemand uw product en/of de data kan misbruiken voor andere doeleinden." Dit geldt niet alleen voor hardware- en softwareleveranciers, maar ook voor telecomoperatoren. Ook Orange Belgium moet de privacy respecteren en neemt daarvoor de nodige maatregelen. 

 

Zo weinig mogelijk data

Voor de beveiliging is het belangrijk om de bredere context van IoT-apparaten te bekijken. Veel van die apparaten sturen hun gegevens naar een centrale locatie in de cloud. "Ik raakte aan die gegevens van de smartwatches door een relatief eenvoudig beveiligingslek in de cloudomgeving van de fabrikant", legt Wesley Neelen uit. "Als uw IoT-apparaten alle gegevens in de cloud opslaan en iemand erin slaagt om in zo'n centrale server in te breken, heeft dat onmiddellijk een grote impact. Ik raad fabrikanten daarom aan om alleen gegevens in de cloud op te slaan die daadwerkelijk nodig zijn."

 

Veilige apparaten

De IoT-apparaten moeten uiteraard zelf ook veilig geprogrammeerd zijn. "Ik heb ooit een domotica-controller onderzocht", vertelt Wesley Neelen. "Als die met internet verbonden was, kon iedereen volledige toegang tot de controller krijgen en zo de slimme apparaten in huis, zoals de verlichting, aansturen. Nog gevaarlijker is dat een aanvaller zo’n lek in een IoT-apparaat kan misbruiken om te proberen toegang te krijgen tot de andere apparaten in huis, zoals een netwerkharddisk of een pc."

Het probleem is dat er voor de beveiliging van IoT-toepassingen nog niet echt best practices of vuistregels bestaan. Toch kunnen IoT-ontwikkelaars wel inspiratie halen uit andere domeinen om veilige producten te ontwikkelen. "Een cloudapplicatie is over het algemeen een webapplicatie, en daarvoor bestaan de standaarden van OWASP (Open Web Application Security Project). Die beschrijven waarop u moet letten bij het programmeren", legt Wesley Neelen uit. "IoT-apparaten zijn vaak gewoon kleine Linux-computers, waar we ook de standaarden voor Linux-beveiliging op kunnen toepassen. OWASP is trouwens ook een standaard voor IoT-beveiliging aan het ontwikkelen."

 

Beveiliging vaak geen prioriteit

"Beveiliging is vaak geen prioriteit van bedrijven die IoT-apparaten ontwikkelen", merkt Wesley Neelen op. "Het kost immers extra middelen terwijl de functionaliteit hetzelfde blijft. Extra beveiliging maakt het product dus gewoon duurder. Maar als een producent zonder aandacht voor beveiliging een apparaat begint te bouwen, het op de markt brengt en dan pas merkt dat het onveilig is, kost het veel meer om het lek te dichten."

Wesley Neelen raadt producenten dan ook aan om vanaf het begin stil te staan bij de beveiliging en de privacy van hun IoT-product en zo respect te hebben voor het ‘security and privacy by design’-principe. "Zo'n veilige basis is een extra investering in het begin, maar op termijn haalt u die kosten eruit," weet hij. Bovendien raadt hij resellers aan om van hun (vaak Chinese) leveranciers een pentestrapport te vragen. Een pentest is een test waarbij in elke computersysteem gezocht wordt naar kwetsbaarheden. "Als het product in de praktijk getest is door een pentester, hebt u een onafhankelijke garantie van de veiligheid."

 

Transparantie

Het volstaat echter niet dat een IoT-apparaat en zijn cloudomgeving correct beveiligd zijn, ook transparantie speelt een grote rol. Welke data verzamelt het apparaat? Wat gebeurt er precies met die data? "Het is belangrijk dat u volledig transparant bent tegenover de gebruikers", zegt Jan Leonard. "U moet vertellen welke gegevens u juist verzamelt, met wie u die deelt, voor welke doeleinden u deze verwerkt, wat de impact voor de consument is, enzovoort. In een normale omgeving is dat al belangrijk, maar in de IoT-wereld nog meer."

Als de gebruikers ook maar enige onzekerheid hebben over het gebruik van hun data, dan zijn ze heel kritisch en zelfs afkerig tegenover het IoT-apparaat. "Kijk maar naar de vragen die mensen hebben over de digitale meters voor elektriciteit en gas", zegt Jan Leonard. "Welke gegevens gaan die juist doorsturen? Wat gebeurt er mee? Wat gaat er in de toekomst mee gebeuren? En waarvoor gaan deze gegevens zeker niet gebruikt worden?”

 

GDPR

Die transparantie wordt door de GDPR (General Data Protection Regulation) geëist, die sinds 25 mei 2018 in voege is. "Het wetgevend kader is perfect in orde, maar nu moet het nog toegepast worden. Veel bedrijven staan nog voor een grote inspanning", meent Jan Leonard. "Het is dan ook belangrijk dat u al vanaf het begin van een IoT-project nadenkt over welke gegevens essentieel zijn voor de werking van het product of de dienst  en hoe u deze verwerkt."

 

Gezonde achterdocht

Het zijn trouwens niet alleen de bedrijven die inspanningen moeten leveren. Ook de gebruikers hebben volgens Jan Leonard een verantwoordelijkheid: "Gebruikers dienen bewuster met hun privacy bezig te zijn. Lees de privacyovereenkomst voordat u ze goedkeurt. Zijn er onduidelijkheden, stel vragen aan de producent. U hoeft niet paranoïde te zijn, maar een gezonde dosis achterdocht is niet slecht."

Volgens Wesley Neelen is het vaak ook een afweging tussen gebruiksgemak en privacy: "We kopen wel allerlei gadgets, maar we moeten wat vaker stilstaan bij de vraag: als mijn gegevens uitlekken, wegen de nadelen dan niet veel sterker door dan de voordelen? Als ik persoonlijk weet dat de smartwatch van mijn kind gps-informatie in de cloud bijhoudt, dan vind ik het risico dat iemand anders aan die informatie kan, zwaarder doorwegen dan het gemak van dat slimme horloge."

 

Découvrez ici comment lancer la mise en oeuvre de votre projet IoT.

Interesse in ons aanbod?

Wenst u een commercieel gesprek? Een van onze medewerkers belt u zo terug.

Ontdek nog meer