1. INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 4544
Zoals zoveel zaken in de IT wordt veel
als nieuw, innovatief of zelfs revolutionair
aangekondigd. Dat was in 2014 ook het
geval met de smartwatches. Maar ga te-
rug naar 1984.In dat jaar lanceerde Casio
de AT550. Een horloge dat via capacitief
touchscreen bediend kon worden. Je kon
berekeningen maken via schriftherken-
ning van vingerbewegingen. Zoek maar
eens opYouTube. En als je dan toch bezig
bent, kijk dan gelijk naar de LG-GD910
uit 2009. Een waterdichte 3G smartwatch
waarmee het mogelijk is te bellen en
zelfs te videoconferencen. Uitgerust met
stemherkenning, media- en internetfunc-
tionaliteit en een gebogen scherm. Los
van het ontbreken van een appstore kon
deze LG-GD910 smartwatch exact het-
zelfde als wat vandaag de dag als tech-
nologische doorbraak wordt gelanceerd.
Kijken we nu over echte innovaties heen?
En wat heeft dit met security te maken?
De ontwikkelingen op het gebied van
smartwatches, en eigenlijk alle innova-
ties, leert ons dat er sprake is van drie
fasen in de omarming van een bepaalde
technologie. Allereerst onderscheiden
we de fase ‘Technologie werkt’. In deze
fase zijn we blij dat techniek iets mogelijk
maakt. Denk bijvoorbeeld aan de home-
computers van eind jaren zeventig. Een
unieke ervaring voor de gebruikers van
toen maar het was ook flink behelpen. En
wat dichterbij in de tijd, de huidige gene-
ratie 3D printers. Hiervoor geldt hetzelf-
de. We zijn zo enthousiast dat deze func-
tionaliteit mogelijk is, dat aspecten zoals
trage printtijd minder belangrijk lijken te
zijn. Maar er komt een moment dat we de
ongemakken niet langer accepteren. Ze-
ker wanneer de hele samenleving ermee
aan de slag moet. Dan moet technologie
gewoon zorgeloos werken. De introduc-
tie van de iPhone is daar natuurlijk een
sprekend voorbeeld van. Dat is ook ge-
lijk de tweede fase; ‘Technologie werkt
goed’.
Maar hoe kek en intuïtief technologische
snufjes ook zijn, hoe goed ze ook werken,
als dezelfde functionaliteit alleen ver-
spreid wordt over meerdere oplossingen,
voegt het niets toe. Denk aan het kunnen
bekijken van sociale media, het navige-
ren en het bellen op de slimme varianten
van horloge, telefoon of bril. Helemaal als
het elkaar juist in de weg gaat zitten. Zo
heeft het Nederlandse gezin inmiddels
gemiddeld vier afstandsbedieningen op
tafel liggen. Voor elk medium één. Het
maakt alles overbodig complex en het
voegt niets toe. Daarom is de laatste fase
‘Technologie werkt goed en verhoogt
de waarde van andere technologie’. Een
goed voorbeeld van deze laatste fase is
de integratie van een mobiele telefoon en
een auto. De beller stapt in de auto die
de volledige interface via bluetooth over-
neemt. Als gebruiker merk je dat niet. De
informatie blijft toegankelijk in de nieuwe
context.
Het wederzijds toevoegen van waarde
en als symbiose met andere devices is
het paradigma wat in 2015 gemeengoed
wordt. Commercieel interessant vanuit
bedrijven en afgedwongen door de sa-
menleving. Waarom is dit dan juist van
belang voor security ofwel zekerheid? In-
formatie en de interactie met informatie is
voor vele facetten nog steeds afstandelijk
omdat er een duidelijke ‘computer’ tus-
sen zit. Maar op het moment dat dit trans-
parant wordt, gaan we echt richting het
lang beloofde ‘ubiquitous computing’,
ook wel Everyware genoemd. Compu-
ters zijn er dan niet meer. Tegelijkertijd is
alles een computer geworden waarmee
je op basis van context en intelligentie in-
teractie hebt. Dat punt wordt niet bereikt
in 2015. Echter, de fundering voor dit
scenario wordt komend jaar wel gelegd.
En de eerste vormen worden op grote
schaal operationeel. Als er dan sprake
is van onzekerheid of onveiligheid, raakt
dit niet de informatie op een schermpje,
maar direct de belevingswereld van de
gebruiker. Dat zal de maatschappij niet
accepteren. Met het risico dat we juist
weer twee treden terug zijn op de inno-
vatieladder.
Kijk wat er op dit moment met wearables
gebeurt. Veel mensen met een Google
Glass weigeren de slimme bril buitens-
huis te dragen. Niet vanwege de beperk-
te accu. Maar vooral door de hoeveelheid
mensen die de brildragers erop aanspre-
ken dat zoiets niet wenselijk is. De maat-
schappij accepteert de inbreuk op priva-
cy niet van iets wat letterlijk ‘in your face’
is. Iedereen wil uniek zijn. Tegelijkertijd
bepaalt meer dan ooit de gebruiker zelf
op welke manier dat is. Privacy-first ofwel
Privacy-by-Design zal daarom in 2015
meer dan ooit onderdeel worden van
producten. Daarmee wordt eveneens het
onderscheidend vermogen bepaald.
Het kan ook de andere kant opgaan.
Daarvoor moeten we naar andere aspec-
ten van ‘ubiquitous computing’ kijken. Zo
krijgen we volgend jaar te maken met
Fabric (via snelle verbindingen gecon-
solideerde maar van elkaar gescheiden
high-performance systemen) en natuur-
lijk ‘internet of things’. Bij die laatste zien
we dat vanwege de beperkte kracht of
juist de push om als eerste op de markt
te zijn met deze functionaliteit, security
achterwege wordt gelaten. Begin dit jaar
was er een bericht over spamversturen-
de koelkasten. Achteraf bleek dat niet
waar te zijn. Maar zo raar zou het niet zijn
geweest want technisch is dat mogelijk.
Daarom gaat dat ongetwijfeld nog wel ge-
beuren. Als de symbiose door onbedoel-
de mogelijkheden wordt omgebogen tot
digitaal parasitisme, zullen we volgend
jaar te maken krijgen met zaken als de
‘botnet of things’. Afzonderlijke systemen
met weinig of geen impact. Tegelijkertijd
introduceren ze gezamenlijk nieuwe vor-
men van onwenselijke interactie met ge-
gevens en gebruikers. Zo zullen aanval-
lers zelf ‘fabric computing’ construeren
over bestaande resources.
Om dergelijke scenario’s te voorkomen,
pleit ik voor de introductie van ‘Secure
by Desire’. Bij de ontwikkeling van objec-
ten moeten we nadenken over ‘security
of things’ om tot een ‘internet of secure
things’ te komen. Bedenk vooraf welke
problemen kunnen ontstaan en los ze op
waar ze geïntroduceerd worden. Een on-
derdeel van het borgen van security in de
levenscyclus van een object is het erken-
nen dat niet alle risico’s vooraf verholpen
kunnen worden. Wel dat een informatie-
systeem weerbaar en flexibel moet zijn,
zelfs na oplevering. Met heartbleed en
shellshock zagen we in 2014 oude fouten
opduiken die miljoenen systemen in één
klap onveilig maakten. Door het ‘succes’
en de marketing (verzin een hippe naam,
laat een logo voor de zwakheid maken
en registreer een website waarmee te
testen valt of je kwetsbaar bent) zullen
dergelijke zwakheden volgend jaar toe-
nemen. Aandachtspunten voor 2015 zijn
dan ook het snel inzicht krijgen in poten-
tiële zwakheden, het kunnen detecteren
van misbruik ervan, en juist ook in staat
zijn onderliggende componenten snel in
te wisselen of te patchen. Voorwaarde is
het modulair opbouwen van systemen.
Alleen zo realiseer je ‘resilience’. Ofwel
de technologie kan dan wel wat klappen
opvangen. Tijd heelt namelijk niet alle
wonden maar er op tijd bij zijn wel.
Marinus Kuivenhoven, senior security spe-
cialist bij IT-dienstverlener Sogeti
ALS COMPUTERS
NIET MEER BESTAAN
VEILIGHEID
In 2014 werd de ene na de andere smartwatch gelanceerd. Vele
gaan nog volgen. Het lijkt een hype maar eigenlijk is er weinig
nieuws onder de zon. Toch is dit het begin van de ontwikkeling
waarbij er straks geen computers meer zijn. Alles en iedereen is
straks een computer. Ik zeg niet dat dit het geval is in 2015 maar
komend jaar worden daarvoor wel grote stappen gemaakt. En hoe
borg je security als alles en iedereen een computer is?
TRENDS IN SECURITY 2015
EXPERTVISIE SOGETI
SOGETI
LANGE DREEF 17
4131 NJ VIANEN
T 088 - 660 66 00
E SECURITY@SOGETI.NL
I WWW.SOGETI.NL/SECURITY