Uit New Security Magazine nr 160 - November 2021
“Je moet niet alles geloven wat je leest, zeker niet als het gaat om zo’n belangrijk onderwerp als cyberbeveiliging. Daarom hebben we besloten om een aantal veelvoorkomende cyberbeveiligingsmythes te ontkrachten – om u te helpen bij het kiezen van apparaatfabrikanten op basis van harde feiten, niet op percepties”, zegt Fred Streefland, Director of Cybersecurity and Privacy bij Hikvision EMEA.
Tegenwoordig kan iedereen zijn versie en mening van ‘de waarheid’ op sociale media en andere online platforms plaatsen. Tegelijkertijd zijn media steeds meer afgestemd op andere belanghebbenden en standpunten, wat een zekere kleuring geeft aan hun berichtgeving over mensen en gebeurtenissen.
Veel sociale commentatoren schrijven daarom dat we nu in een post-feitelijk tijdperk leven, waar ‘mensen eerder een argument aannemen op basis van hun emoties en overtuigingen dan op feiten’. Maar dit is geen sociologieles – we hebben het over cyberbeveiliging. Het is een kans is om te kijken naar de impact van misinformatie en ‘nepnieuws’ op onze branche.
Laten we dus eens nader kijken naar enkele veelvoorkomende cyberbeveiligingsmythen die worden veroorzaakt door emotionele reacties – in plaats van feiten – en hoe verwarrend deze mythes en in sommige gevallen zelfs gevaarlijk zijn.
Drie veelvoorkomende cybersecurity-mythen ontkrachten
Mythe 1: Beveiligingskwetsbaarheden zijn hetzelfde als ‘achterdeurtjes’
Telkens wanneer een beveiligingsprobleem wordt ontdekt in een camera of ander op het netwerk aangesloten product, noemen de media het graag een ‘achterdeurtje’. Feit is echter dat kwetsbaarheden en achterdeurtjes twee totaal verschillende dingen zijn. Kwetsbaarheden kunnen optreden in elk apparaat dat op een netwerk is aangesloten en dat hardware en software bevat. Kwetsbaarheden zijn zelfs onvermijdelijk en ontstaan per ongeluk . Uit onderzoek blijkt dat we 2 of 3 bugs kunnen verwachten per 1.000 regels code. Ondanks dit feit minimaliseren beveiligingsbewuste apparaatfabrikanten waar mogelijk kwetsbaarheden door gebruik te maken van ‘secure-by-design’-productieprocessen. Bedenk dat sommige apps uit enkele miljoenen regels code bestaan en moderne auto’s zelfs meer dan 100 miljoen regels code kunnen bevatten, en je kan inschatten hoeveel bugs er zijn.
Achterdeurtjes daarentegen zijn mazen in de beveiliging die expres aan apparaatsoftware zijn toegevoegd om fabrikanten of anderen toegang te geven tot apparaten en de gegevens die erop zijn opgeslagen. In zeldzame gevallen worden achterdeurtjes door fabrikanten tijdelijk aan producten toegevoegd om ontwikkelings-, test- of onderhoudsprocessen te ondersteunen – en deze achterdeurtjes worden niet per ongeluk verwijderd.
Mythe 2: Fabrikanten creëren achterdeurtjes om illegale redenen
Deze mythe is gemakkelijk te weerleggen, simpelweg omdat deze ‘illegale redenen’ (zoals spionage) gewoon niet mogelijk zijn. Zodra beveiligingsapparaten zoals camera’s in klantnetwerken zijn geïnstalleerd, zijn ze effectief ‘afgeschermd’ in termen van beveiliging, meestal geplaatst in een stand-alone netwerk en vaak beschermd door firewalls en andere beveiligingsapparaten. En zelfs als de eindgebruiker besluit de gegevens van deze apparaten in een cloud op te slaan, hebben cloudproviders beveiligings-Service Licence Agreements (SLA’s) die deze privé houden, zodat gegevens niet toegankelijk zijn voor externe bedrijven, zoals apparaatfabrikanten.
De belangrijkste reden om deze mythe te ontkrachten is het feit dat de eindgebruikers die deze camera’s kopen verantwoordelijk zijn voor de data/videobeelden die ze genereren. Zij zijn met andere woorden de gegevensbewaarders die de gegevens verwerken en de controle hebben over de videobeelden, die volgens de wet (volgens de AVG) privaat moeten worden gehouden. Geheime toegang tot videobeelden op deze apparaten is onmogelijk zonder toestemming van de eindgebruiker.
De mythe brokkelt dus onmiddelijk af als je rekening houdt met het feit dat zelfs apparaten met achterdeurtjes niet kunnen worden gebruikt om te bespioneren. Het is duidelijk te zien dat de beveiligingsfuncties die zijn ingebouwd in apparaten, netwerken en datacenters – in combinatie met de verantwoordelijkheden voor gegevensbescherming van eindgebruikers – spionage en ander misbruik van achterdeurtjes letterlijk onmogelijk maken.
Mythe 3: Het creëren van achterdeurtjes vormt geen risico voor fabrikanten
Dit is wederom een gemakkelijke mythe om te ontkrachten, omdat fabrikanten die achterdeurtjes aan hun producten toevoegen absoluut alles te verliezen hebben. Uit spraakmakende bedrijfsschandalen en datalekken blijkt immers dat de waarheid altijd naar boven komt. Als blijkt dat een bedrijf opzettelijk een achterdeurtje in een product heeft gestopt, zou hun reputatie, samen met hun bedrijf, ook vrijwel direct ten onder gaan.
Dit betekent dat alle bedrijven, en vooral grote bedrijven die hun eigen IP- en R&D- mogelijkheden hebben, een scala aan checks and balances hebben om ervoor te zorgen dat er nooit opzettelijk een achterdeurtje aan een product wordt toegevoegd. Dit is met name het geval in de beveiligingsindustrie, waar van fabrikanten wordt verwacht dat ze de gegevens en activiteiten van klanten 24x7x365 beschermen.
www.hikvision.com