Zorg voor én om Smart Cities: waarom we ons allen bewust moeten zijn van deze reële dreiging

Smart Cities herdefiniëren onze manier van leven en werken. Met een mix van baanbrekende
IoT-technologieёn, big data, cloud, enzovoort, vertegenwoordigen zij de nijpende, voortdurende behoefte om de uitdagingen van snelle urbanisatie aan te gaan. Er is echter één probleem: deze robuuste, onderling verbonden technologiesystemen zorgen ook voor concrete zorgen rondom privacy en beveiliging.

Onlangs publiceerden we een artikel, speciaal voor alle stakeholders van Smart Cities, waarvoor nauwkeurig is onderzocht waar precies de pijnpunten zitten. Terwijl de vaart van technologische ontwikkeling toeneemt, is het essentieel even pas op de plaats te maken om te zien waar de belangrijkste bedreigingen vandaan komen.

De markt van 1,5-biljoen
Het concept van Smart Cities is lastig af te kaderen, omdat een typisch project ontbreekt. De algemene uitgangspunten zijn echter: de levenskwaliteit van burgers verbeteren; de druk op lokale-overheidsfinanciёn verlagen; en duurzaamheid bevorderen met behulp van geavanceerde, connected-systemen. Zo gebruiken slimme watersystemen in Singapore sensoren om de druk, doorstroom en kwaliteit van het water in het netwerk continu te meten. Dit helpt de Public Utilities Board (overheidsorgaan verantwoordelijk voor duurzaam en efficiënt waterbeheer) leidingbreuken te voorspellen en voorkomen. Daarnaast kunnen eindgebruikers zo het eigen verbruik monitoren en beperken. Gezien de grote voordelen van het systeem, is het logisch dat overheden over de hele wereld miljarden in dergelijke projecten investeren. Sterker, nog, volgens enkele schattingen bereikt de Smart City-markt in 2020 een duizelingwekkende omvang van 1,5 biljoen dollar.

Bezorgdheid om beveiliging
Zoals bij ieder omvangrijk IT-systeem – in dit geval: ‘systeem van systemen’ – zijn er uitdagingen op het gebied van beveiliging en privacy. De aanvallen op Oekraïense elektriciteitscentrales in de afgelopen jaren, tonen aan dat verdachte landen zowel de skills als de drive hebben om de kritische infrastructuur van hun vijanden aan te vallen. Vanuit financiële motieven kijken cybercriminelen ook of ze de beheerders van dergelijke systemen kunnen afpersen, bijvoorbeeld door vitale onderdelen van het systeem op afstand te hacken en controleren. Er zijn zelfs mogelijkheden voor ‘hacktivisten’ om hun ‘zaak’ onder de aandacht te brengen door chaos en ontwrichting te creëren in stedelijke gebieden.

De convergentie van IT, ICS, IIOT in slimme steden vraagt, meer dan ooit, om realtime gegevens voor facturatie. Hetzelfde geldt voor directe toegang voor ondersteuning op afstand, eveneens via internet. Onbeschermde en andere kwetsbare, via het web verbonden systemen vertegenwoordigen het grootste risico voor Smart Cities. Een voorbeeld dat dit onderstreept is een tweejarige studie, uitgevoerd met de zoekmachine Shodan voor het Project SHINE (Shodan Intelligence Extraction) dat 2,2 miljoen ‘web-facing assets’ onderzocht, en 586.997 ICS-apparaten en 13.475 HVAC-gebouwenautomatiseringsystemen registreerde. Bovendien hebben we het nog niets eens over de potentiёle privacy-issues die ontstaan wanneer op grote schaal gebruikersdata worden verzameld om door derden te worden gebruikt. Het uiteindelijke doel mag dan zijn dat het serviceniveau en de eindgebruikerservaring worden verbeterd, maar zonder toestemming vooraf kunnen beheerders acties van de FTC verwachten. Om nog maar niet te spreken van de fikse boetes die er na de implementatie van GDPR in 2018 zullen worden uitgedeeld.

Conclusie is dat hoe meer we afhankelijk worden van Smart City-systemen, des te groter de impact van eventuele (ver)storingen zal zijn – met een mogelijk directe invloed op de kwaliteit van onze levens.

Een aantal horrorscenario’s
We geven een aantal voorbeelden die laten zien waar en hoe het mis kan gaan:
CI-cyberaanvallen bereikten een opvallend hoogtepunt in 2015, met de stroomstoring van 23 december bij twee topenergiedistributeurs in Oekraïne. Bij een geraffineerde aanval was gebruikgemaakt van destructieve malware. In Texas was het computersysteem van Dallas Area Rapid Transit (DART) gehackt, ten koste van de beschikbaarheid van kritische reisinformatie. Het massavervoersbedrijf rapporteerde dat er geen gevoelige informatie van reizigers of medewerkers was geschonden. Desalniettemin blijft het risico dat dit in de toekomst gebeurt alsnog bestaan.
● Het is waarschijnlijk dat de HDDCryptor-variant is gebruikt bij een aanval op San Francisco Municipal Transport Agency (SFMTA). Sinds we voor het eerst gepubliceerd hebben over de ontdekking ervan in september 2016, houden we de ontwikkeling van deze ransomware nauwlettend in de gaten.
● Het Yokohama Smart City Project (YSCP) gebruikt een ‘smart grid’ om ‘high-volume’-volumeapparaten tijdens piekuren af te knijpen. Zodoende wordt het gebruik van energie binnenshuis geoptimaliseerd met realtime data. Maar wat als het centrale systeem dat dit aanstuurt wordt gehackt? Staat ons dan een totale stroomuitval in de stad te wachten?
● Rotterdam ligt zes meter onder zeeniveau (NAP). Vandaar dat het ‘Rain Radar’-systeem van groot belang is voor de vertaalslag van hoeveel regen er in bepaalde gebieden gevallen is. Op basis van deze data besluit het Waterschap overtollig water op te slaan en om te leiden, om een overstroming te voorkomen. Worden die gegevens met kwade bedoelingen gemanipuleerd, dan kan dit leiden tot hoge herstelkosten of zelfs een overstroming.
● Het stadje Jun in Spanje roept burgers op hun wensen en zorgen via doorlopend gemonitorde Twitter-accounts kenbaar te maken. Zo kan de belastingbetaler misdaad melden en medische afspraken maken. Maar social media-accounts staan er helaas om bekend dat ze makkelijk te kraken zijn, zodat het systeem wijd open komt te staan voor kwaadwillenden.

Het is belangrijk dat we beveiliging en ‘privacy-by-design’ inbedden in deze systemen, zodra ze worden ontwikkeld. De beveiligingskosten ná een gebeurtenis vallen vele malen hoger uit, en het resultaat is minder effectief. Daarnaast moeten we ons bewust zijn van de schaalgrootte van deze taak. Smart Cities vertegenwoordigen een groot, complex ‘aanvalsoppervlak’, met kwetsbaarheden op cloudservers, ecosystemen van mobiele apps, datatransfers, en wat al niet meer kan leiden tot omvangrijke problemen voor eindgebruikers en Smart City-aanbieders.

Meer informatie over de beveiligings- en privacymaatregelen voor Smart Cities vind je hier.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *