11 mei 2021

Blog: Technische snufjes komen veiligheid alarmsystemen vaak niet ten goede

Sharman Santosh, cybersecurity expert Kiwa

Een alarmsysteem dat in heel Europa door vele duizenden mensen wordt gebruikt, kan door criminelen op afstand worden uitgeschakeld. Dat blijkt uit onderzoek van RTL Nieuws. Ook kan het lek worden gebruikt om de alarmsirene aan of uit te zetten of om mee te gluren met de bewakingscamera’s.

Uit het onderzoek van RTL Nieuws blijkt weer eens dat in het geval van moderne alarmsystemen algemene veiligheid en cyberveiligheid niet meer los van elkaar gezien kunnen worden. Voordat een alarmsysteem op de markt komt, wordt het getest volgens onder andere veiligheidsstandaarden als de NEN-EN 50131-1. Deze bevatten systeemeisen voor inbraak- en overvalsystemen. Fabrikanten laten hun producten testen volgens deze standaarden om aan te tonen dat deze naar behoren functioneren. Zo moeten bijvoorbeeld niet de draadjes van het systeem doorgeknipt kunnen worden zonder dat er een alarm afgaat.

Delicaat samenspel

Het systeem dat is onderzocht door RTL Nieuws bevat behoorlijk wat state-of-the-art digitale snufjes. Die zijn op zich heel handig. Je kunt daardoor bijvoorbeeld op afstand het systeem bedienen, camerabeelden bekijken, etc. Maar om die functionaliteit mogelijk te maken, moet het systeem wél worden verbonden met het internet en dát brengt veiligheidsrisico’s met zich mee. Hiervoor is namelijk een delicaat samenspel nodig van servers, mobiele apps, gebruikers, installateurs etc. Deze onderdelen vormen samen een keten waarvan de lijntjes vaak kriskras door elkaar lopen.

Constante uitdaging

In deze complexe keten van onderdelen (zie ook onderstaande afbeelding) bestaat het risico dat er dingen mis gaan omdat het overzicht soms ontbreekt. Tel daarbij de dynamiek op die nu eenmaal gepaard gaat met de digitale technieken in de ‘core’ van zulke systemen en je hebt een in potentie perfecte voedingsbodem voor datalekken, privacy-incidenten en hacks. Zeker als je bedenkt dat er naast de complexe digitale keten óók nog de constante uitdaging is om alles goed af te stemmen met het oog op de algemene veiligheid. Dit is namelijk niet iets dat je één keer inregelt en waar je vervolgens niet meer naar om hoeft te kijken.

Ketenbrede aanpak

Bij Kiwa weten wij dat een ketenbrede aanpak een must is voor goede cybersecurity. Hierbij wordt gekeken naar verschillende essentiële onderdelen van de keten. Elk onderdeel heeft in de keten een eigen rol te vervullen en is dus van invloed op de algehele veiligheid van een product of systeem. In het geval van het alarmsysteem dat werd onderzocht door RTL Nieuws is het remote access gedeelte van het alarm systeem niet goed ingeregeld, waardoor kwaadwillenden op afstand de bediening konden overnemen.

Beoordelingsrichtlijn

Remote access is een belangrijk aspect van veel IoT- en smarthome-apparaten: via een app kun je zowat alles bedienen. Om te beoordelen of de remote access-functionaliteit van een systeem (niet alleen alarmsystemen) goed ingeregeld is, ontwikkelde Kiwa de beoordelingsrichtlijn K21048: Secure Remote Access for Remote Services (RARS). Het RARS-schema bevat eisen voor onder meer:

  • De veiligheid van de mobiele en/of webapplicatie;
  • Access levels;
  • Encryptie van verbindingen;
  • Het ontwikkelingsproces van een remotely accessible systeem;
  • Het kwaliteitssysteem van de fabrikant.

Door alle belangrijke onderdelen van de keten te laten toetsen volgens het RARS-schema kunnen fabrikanten van op afstand bedienbare systemen die zijn verbonden met internet ervan verzekerd zijn dat de keten van hun product in de basis cyberveilig is. In onderstaande afbeelding hebben we voor een systeem voor ‘slimmer verlichting’ aangegeven welk deel van de keten word gedekt door het RARS-schema.

Cyberveiligheid is vaak een kwestie van een lange adem. Fabrikanten kunnen een belangrijke eerste stap zetten door cyberveiligheid structureel net zoveel prioriteit te geven als bijvoorbeeld de functionele veiligheid van hun product. Dit kan gedaan worden door vulnerability assessments, penetratietesten of ‘bug and bounty hunting’. Ook hierbij kan Kiwa helpen.

Cyberveiligheid hoort een integraal onderwerp te zijn in de risicoanalyse en de ontwikkelingsfase van een product. En als het product eenmaal ontwikkeld is, is het cruciaal om dit zodanig te testen op cyberveiligheid dat het correleert met de risico’s van het product, vóórdat het op de markt komt. Volledig cyberveilig zijn we helaas nooit, maar we kunnen – en móeten – het kwaadwillenden wel zo moeilijk mogelijk maken.