More Related Content
Viewers also liked (14)
Similar to Secure by Desire (20)
Secure by Desire
- 1. INFOSECURITY MAGAZINE - NR. 5 - DECEMBER 2014 4544 Zoals zoveel zaken in de IT wordt veel als nieuw, innovatief of zelfs revolutionair aangekondigd. Dat was in 2014 ook het geval met de smartwatches. Maar ga te- rug naar 1984.In dat jaar lanceerde Casio de AT550. Een horloge dat via capacitief touchscreen bediend kon worden. Je kon berekeningen maken via schriftherken- ning van vingerbewegingen. Zoek maar eens opYouTube. En als je dan toch bezig bent, kijk dan gelijk naar de LG-GD910 uit 2009. Een waterdichte 3G smartwatch waarmee het mogelijk is te bellen en zelfs te videoconferencen. Uitgerust met stemherkenning, media- en internetfunc- tionaliteit en een gebogen scherm. Los van het ontbreken van een appstore kon deze LG-GD910 smartwatch exact het- zelfde als wat vandaag de dag als tech- nologische doorbraak wordt gelanceerd. Kijken we nu over echte innovaties heen? En wat heeft dit met security te maken? De ontwikkelingen op het gebied van smartwatches, en eigenlijk alle innova- ties, leert ons dat er sprake is van drie fasen in de omarming van een bepaalde technologie. Allereerst onderscheiden we de fase Technologie werkt. In deze fase zijn we blij dat techniek iets mogelijk maakt. Denk bijvoorbeeld aan de home- computers van eind jaren zeventig. Een unieke ervaring voor de gebruikers van toen maar het was ook flink behelpen. En wat dichterbij in de tijd, de huidige gene- ratie 3D printers. Hiervoor geldt hetzelf- de. We zijn zo enthousiast dat deze func- tionaliteit mogelijk is, dat aspecten zoals trage printtijd minder belangrijk lijken te zijn. Maar er komt een moment dat we de ongemakken niet langer accepteren. Ze- ker wanneer de hele samenleving ermee aan de slag moet. Dan moet technologie gewoon zorgeloos werken. De introduc- tie van de iPhone is daar natuurlijk een sprekend voorbeeld van. Dat is ook ge- lijk de tweede fase; Technologie werkt goed. Maar hoe kek en intu誰tief technologische snufjes ook zijn, hoe goed ze ook werken, als dezelfde functionaliteit alleen ver- spreid wordt over meerdere oplossingen, voegt het niets toe. Denk aan het kunnen bekijken van sociale media, het navige- ren en het bellen op de slimme varianten van horloge, telefoon of bril. Helemaal als het elkaar juist in de weg gaat zitten. Zo heeft het Nederlandse gezin inmiddels gemiddeld vier afstandsbedieningen op tafel liggen. Voor elk medium 辿辿n. Het maakt alles overbodig complex en het voegt niets toe. Daarom is de laatste fase Technologie werkt goed en verhoogt de waarde van andere technologie. Een goed voorbeeld van deze laatste fase is de integratie van een mobiele telefoon en een auto. De beller stapt in de auto die de volledige interface via bluetooth over- neemt. Als gebruiker merk je dat niet. De informatie blijft toegankelijk in de nieuwe context. Het wederzijds toevoegen van waarde en als symbiose met andere devices is het paradigma wat in 2015 gemeengoed wordt. Commercieel interessant vanuit bedrijven en afgedwongen door de sa- menleving. Waarom is dit dan juist van belang voor security ofwel zekerheid? In- formatie en de interactie met informatie is voor vele facetten nog steeds afstandelijk omdat er een duidelijke computer tus- sen zit. Maar op het moment dat dit trans- parant wordt, gaan we echt richting het lang beloofde ubiquitous computing, ook wel Everyware genoemd. Compu- ters zijn er dan niet meer. Tegelijkertijd is alles een computer geworden waarmee je op basis van context en intelligentie in- teractie hebt. Dat punt wordt niet bereikt in 2015. Echter, de fundering voor dit scenario wordt komend jaar wel gelegd. En de eerste vormen worden op grote schaal operationeel. Als er dan sprake is van onzekerheid of onveiligheid, raakt dit niet de informatie op een schermpje, maar direct de belevingswereld van de gebruiker. Dat zal de maatschappij niet accepteren. Met het risico dat we juist weer twee treden terug zijn op de inno- vatieladder. Kijk wat er op dit moment met wearables gebeurt. Veel mensen met een Google Glass weigeren de slimme bril buitens- huis te dragen. Niet vanwege de beperk- te accu. Maar vooral door de hoeveelheid mensen die de brildragers erop aanspre- ken dat zoiets niet wenselijk is. De maat- schappij accepteert de inbreuk op priva- cy niet van iets wat letterlijk in your face is. Iedereen wil uniek zijn. Tegelijkertijd bepaalt meer dan ooit de gebruiker zelf op welke manier dat is. Privacy-first ofwel Privacy-by-Design zal daarom in 2015 meer dan ooit onderdeel worden van producten. Daarmee wordt eveneens het onderscheidend vermogen bepaald. Het kan ook de andere kant opgaan. Daarvoor moeten we naar andere aspec- ten van ubiquitous computing kijken. Zo krijgen we volgend jaar te maken met Fabric (via snelle verbindingen gecon- solideerde maar van elkaar gescheiden high-performance systemen) en natuur- lijk internet of things. Bij die laatste zien we dat vanwege de beperkte kracht of juist de push om als eerste op de markt te zijn met deze functionaliteit, security achterwege wordt gelaten. Begin dit jaar was er een bericht over spamversturen- de koelkasten. Achteraf bleek dat niet waar te zijn. Maar zo raar zou het niet zijn geweest want technisch is dat mogelijk. Daarom gaat dat ongetwijfeld nog wel ge- beuren. Als de symbiose door onbedoel- de mogelijkheden wordt omgebogen tot digitaal parasitisme, zullen we volgend jaar te maken krijgen met zaken als de botnet of things. Afzonderlijke systemen met weinig of geen impact. Tegelijkertijd introduceren ze gezamenlijk nieuwe vor- men van onwenselijke interactie met ge- gevens en gebruikers. Zo zullen aanval- lers zelf fabric computing construeren over bestaande resources. Om dergelijke scenarios te voorkomen, pleit ik voor de introductie van Secure by Desire. Bij de ontwikkeling van objec- ten moeten we nadenken over security of things om tot een internet of secure things te komen. Bedenk vooraf welke problemen kunnen ontstaan en los ze op waar ze ge誰ntroduceerd worden. Een on- derdeel van het borgen van security in de levenscyclus van een object is het erken- nen dat niet alle risicos vooraf verholpen kunnen worden. Wel dat een informatie- systeem weerbaar en flexibel moet zijn, zelfs na oplevering. Met heartbleed en shellshock zagen we in 2014 oude fouten opduiken die miljoenen systemen in 辿辿n klap onveilig maakten. Door het succes en de marketing (verzin een hippe naam, laat een logo voor de zwakheid maken en registreer een website waarmee te testen valt of je kwetsbaar bent) zullen dergelijke zwakheden volgend jaar toe- nemen. Aandachtspunten voor 2015 zijn dan ook het snel inzicht krijgen in poten- ti谷le zwakheden, het kunnen detecteren van misbruik ervan, en juist ook in staat zijn onderliggende componenten snel in te wisselen of te patchen. Voorwaarde is het modulair opbouwen van systemen. Alleen zo realiseer je resilience. Ofwel de technologie kan dan wel wat klappen opvangen. Tijd heelt namelijk niet alle wonden maar er op tijd bij zijn wel. Marinus Kuivenhoven, senior security spe- cialist bij IT-dienstverlener Sogeti ALS COMPUTERS NIET MEER BESTAAN VEILIGHEID In 2014 werd de ene na de andere smartwatch gelanceerd. Vele gaan nog volgen. Het lijkt een hype maar eigenlijk is er weinig nieuws onder de zon. Toch is dit het begin van de ontwikkeling waarbij er straks geen computers meer zijn. Alles en iedereen is straks een computer. Ik zeg niet dat dit het geval is in 2015 maar komend jaar worden daarvoor wel grote stappen gemaakt. En hoe borg je security als alles en iedereen een computer is? TRENDS IN SECURITY 2015 EXPERTVISIE SOGETI SOGETI LANGE DREEF 17 4131 NJ VIANEN T 088 - 660 66 00 E SECURITY@SOGETI.NL I WWW.SOGETI.NL/SECURITY