Nieuws
image

Universiteit Twente krijgt miljoen euro voor beveiligen IoT

vrijdag 20 januari 2017, 08:06 door Redactie, 5 reacties

De Universiteit Twente heeft 1 miljoen euro van Europa ontvangen voor het beveiligen van Internet of Things-toepassingen. "Doordat steeds meer apparaten online aan elkaar verbonden zijn, kan er bijvoorbeeld via een slecht beveiligde smart TV ingebroken worden op je computer. Ook kunnen medische gegevens op straat komen te liggen”, zegt UT-onderzoeker Marielle Stoelinga. Een belangrijk toepassingsgebied van het onderzoek is het ziekenhuis.

Volgens Stoelinga biedt het Internet of Things enorme mogelijkheden voor het op afstand monitoren van patiënten. Hierdoor hoeven patiënten niet iedere keer naar het ziekenhuis om bijvoorbeeld hun bloeddruk te laten controleren. "Dit brengt echter ook privacyrisico’s met zich mee. Ook zien we dat maatregelen die de veiligheid verhogen, zoals wachtwoorden en firewalls, op gespannen voet staan met de beschikbaarheid van data", aldus de onderzoeker.

Ze schetst een scenario waarbij er een patiënt binnenkomt met een spoedgeval. "De medische gegevens moeten dan onmiddellijk beschikbaar zijn. Maar wat is het wachtwoord ook alweer? Of waarom houdt die niet goed geconfigureerde firewall belangrijke berichten tegen. Dit soort situaties kunnen de beschikbaarheid van medische gegevens belemmeren."

De onderzoekers richten zich onder meer op een systeem voor dementiepatiënten om thuis bloedmetingen te doen, om zo te kijken of de ziekte zich progressief ontwikkelt. Tijdens het onderzoek zal er met ziekenhuizen uit Engeland en Frankrijk worden samengewerkt. De onderzoekers kijken welke maatregelen het meest effectief zijn en focussen zich ook op de rol van de gebruiker op het vlak van veiligheid.

Reacties (5)
20-01-2017, 09:26 door Anoniem
Druppel op een gloeiende plaat. Dit probleem is zo oud, veelomvattend dat je er ook 10 miljoen tegen aan had kunnen smijten.
20-01-2017, 12:51 door ph-cofi
He ja, laten we anoniem grumpy cat reageren. Of... draai het om: het glas is meer half vol dan ooit als de betrokken universiteiten nuttige zaken aanbevelen aan de EU (technisch, juridisch).
Overigens, volgens het persbericht krijgt de UT niet een miljoen, het gehele budget voor alle betrokken universiteiten is een miljoen.
20-01-2017, 13:11 door Anoniem
FTC in "de andere wereld" probeert het een stuk goedkoper op te lossen:
https://www.security.nl/posting/498692/FTC+looft+25_000+dollar+uit+voor+beveiligen+IoT-apparaten

Zelf heb ik het idee dat reeds gegeven of toegezegd geld nou niet bepaald buitengewoon motiveert: de "buit" is immers al binnen. Maar als de "buit" nog verdient moet worden, en toegezegd is aan de persoon of groep met de beste oplossing, motiveert dat volgens mij beter en kost een stuk minder. Nadeel van de FTC-uitdaging is dat men waarschijnlijk wat minder gemotiveerd is om het samen te doen, want dat betekent immers ook: samen het geldbedrag delen.

Ben benieuwd waar de beste oplossing uit rolt.
20-01-2017, 14:49 door karma4
Het IOT wordt door de liberale markt met alle OSS support uitgerold. Marktwerking en iedereen kan de code bekijken en er aan bijdragen. Waarom moet er dan kapitaal door de overheid beschikbaar gesteld worden om een probleem op te lossen.
Volgens de genoemde uitgangspunten kan er geen probleem zijn of deze wordt automagically opgelost.

Gaarne uitleg welk probleem aangepakt gaat worden.
Ik me een overheidstaak voorstellen in het valideren conformeren met standaarden zeg maar een echt keurmerk.
Dat moet dan wel beter als die CE aanduiding.
20-01-2017, 16:02 door ph-cofi
Ik verwacht juist ook dat men gaat pleiten voor meer transparantie over wat de software op die apparaten allemaal doet. Veel IoT is weliswaar op OSS code gebaseerd, maar voorzien van ingebouwde "calling home features", die voor de afnemers niet te controleren zijn (waar kan ik de broncode van mijn IP camera's inzien of vervangen dan?). En hidden features die ook niet in de webservers te beheren zijn (de handleiding meldt niet de ongevraagde open poorten en processen).

Een advies aan de EU kan zijn: doe een keurmerk van IoT's die gecontroleerd zijn. Dat wordt een CE, maar dan hopelijk zonder de "slager, keur uw eigen vlees maar" implementatie van CE. Inspectie en toezicht is een overheidstaak.

Onderdeel van het keurmerk zou moeten zijn: "this IoT allows the user to control it instead of it controlling the user". En ongevraagde deuren staan dicht, tot de gebruiker ze open zet. UPnP zou er niet in zitten. Root wachtwoorden bij eerste opstart invullen, anders niet werken. Wachtwoorden komen niet op bekende lijst voor. En heel belangrijk: "Dit IoT is niet automatisch vanaf uw iPhone te bedienen".

Ergens tussen aanbevelingen en implementatie zal het wel mis gaan. Dat personen apparaten op onverstandige wijze in het internet hangen, is alleen met staatstoezicht-überproxies te voorkomen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure