Alles verbonden, alles kwetsbaar

In de dramaserie Homeland krijgt Nicholas Brody, een Amerikaanse oorlogsheld die in werkelijkheid voor Al Qaida werkt, opdracht de vice-president van Amerika te vermoorden. Die is hartpatiënt en draagt een pacemaker. Brody moet de cijfercode achterhalen waarmee je die pacemaker kunt afstellen. Het lukt hem, de pacemaker wordt gehacked, de VP sterft.

Het is fictie, maar geen science fiction. Steeds meer medische apparatuur staat in verbinding met besturingssystemen op afstand, en dat soort verbindingen zijn hackbaar. In 2016 toonden onderzoekers aan dat de Medtronic CareLink 2090 pacemaker-monitor, gebruikt door artsen om actieve pacemakers te ‘tunen’, vrij eenvoudig te hacken is. ‘What followed was an 18-month roller coaster of unresponsiveness, technical inefficiencies and misleading reactions,’verklaarden de onderzoekers 570 dagen nadat zij Medtronic op de hoogte hadden gesteld. Geïmplanteerde defibrillatoren van hetzelfde merk, ongeveer 750.000 stuks, bleken intussen ook onveilig. Medische implantaten van andere fabrikanten, automatische insulinepompen, een wifi hartmonitor voor zuigelingen: met regelmaat worden gevallen bekend van medische apparaten die kwetsbaar zijn voor inbraak.

Welk lijstje je er ook op naslaat, naast kunstmatige intelligentie is het internet of things (IoT) dé technologische revolutie die op uitbreken staat. De prognoses zijn adembenemend. Elke seconde worden er 127 ‘things’ nieuw op het internet aangesloten. Volgend jaar zullen er ongeveer 20 miljard IoT devices online zijn, bijna drie voor elke wereldbewoner. 90 procent van alle nieuwe auto’s zal dan online zijn. Tussen 2017 en 2025 zal er 15 biljoen dollar in het IoT geïnvesteerd zijn (‘15’ met 12 nullen). Bij Google wachtten in 2017 alleen al 10.000 verschillende IoT-producten op Android-certificatie.

Het is een nieuwe incarnatie van het internet: vanuit onze desktops, tablets en smartphones spreidt het zich uit en penetreert de fysieke omgeving. De Universiteit van Princeton organiseerde een paneldiscussie over het IoT. Titel: ‘Is uw vlinderdas een camera?’ Bedenk iets, en je kunt het aansluiten op het internet. Niet alleen die bewakingscamera, die buitenlamp of die vuilcontainer – alles. Een fitbit, een tennisracket, een babyluier, een fles whisky, je cavia. Online, draadloos, via een piepkleine, spotgoedkope wegwerpchip. In een Amerikaanse podcast over het IoT roept iemand op een gegeven moment: ‘But what if my lightbulb is talking to the Russians?’

De mens is een peuter die zijn hand uitstrekt naar alles dat glimt

Waarom doen wij dit? Waarom willen wij het? Willen wij het wel?

Ach, willen, wat heet. De mens is een peuter die zijn hand uitstrekt naar alles dat glimt. Een thermostaat die na een tijdje ‘weet’ wanneer ik opsta en naar bed ga – cool. Een fitnesstracker die bijhoudt hoe hard ik jog en waarschuwt voor blessures – geinig. Een luisterdoosje dat de tv aanzet als ik erom vraag – gaaf. Het draait allemaal om 'convenience’ - gemak. Wij vragen er niet om, maar als het ons wordt aangeboden…

De penetratie van IoT-gadgets gaat razend snel, want de prijzen zijn laag. Een online televisie is nauwelijks nog duurder dan een gewone; gewone worden lastiger te vinden en er zijn al toestellen die een internetaansluiting vereisen om goed te functioneren. Juist producten zonder internetverbinding zullen een luxe zullen worden, voorspellen experts. Een nieuw privilege: offline leven. Verlof van de vooruitgang.

Die prijzen zijn zo laag omdat je als consument ook nog in een andere muntsoort betaalt: data. Een sneaker is een dood ding, een e-sneaker verzamelt info over mijn loopgewoonten. Een boek is een blok papier, een e-reader is een verklikker van mijn leesgedrag. Het zoemwoord waarmee die surveillance functie wordt gemaskeerd is ‘smart’. Smart is zoiets als ‘flexibel’, of ‘maatwerk’ – niemand is er tegen. Alles om ons heen wordt ‘smart’.

‘Wilt u een smart of een dumb televisie?’

‘Nou, doet u maar smart.’

Het is een dubieuze term, want in wezen zijn ook deze gadgets meestal dumb. Die slimme televisie, babyfoon, deurbel, sneaker of thermostaat, denkt en beslist niets, hij rapporteert slechts aan de baas op het hoofdkantoor. Díe denkt en beslist. Niet omdat die gadgets zelf geen informatie kunnen verwerken (ze hebben immers een chip), maar omdat het hoofdkantoor wil weten wat u doet, want die kennis is geld waard.

De geringste gebeurtenis in uw huis zal spoedig een wereldreis maken naar de ‘cloud’, een eveneens smartgekozen eufemisme voor ‘zoemend datacentrum achter hek met prikkeldraad’. Auto in de garage? Via de cloud. Thermostaat een graadje hoger? Via de cloud. Schemerlamp aan? Via de cloud. E-reader gepakt? Verbinding met de cloud. Bladzijde omgeslagen? Seintje naar de cloud. Al die 127 gadgets die per seconde nieuw op het internet worden aangesloten, pompen data naar de cloud, een groot deel praktisch gezien onnodig. De tegenprestatie: ‘gemak’. In mijn e-book kan ik zien wat andere lezers in datzelfde boek aanstreepten. Waarom eigenlijk? Om te kijken of ik het wel goed doe? Of ik normaal ben?

Het huis van de toekomst – the smart home – heeft meer dan een postcode en adres: het heeft een profiel, een geschiedenis, ergens in de cloud, opgebouwd uit duizenden keuzes, voorkeuren en gedragingen. Als ik zo’n huis koop, kan ik het dan ‘resetten’? Kan ik mijzelf zijn in dat huis, of moet ik leven in de digitale schaduw van eerdere bewoners? Smart homes vormen smart cities, een snel groeiende markt, waar alles online gemonitord en gestuurd wordt. Een naadloze bubbel van service en comfort, als in een Hollywood ruimtestation.

De fabrikant van een smart broodrooster dat gehacked wordt, heeft geen prikkel om dat apparaat offline te halen

Hoe kan de consument hier greep op houden, of beter: krijgen? Het internetprotocol is ontworpen om iedereen zo soepel mogelijk toegang te geven tot iedereen – zonder argwaan. Negentig procent van mijn internetverkeer, van en naar de grote platforms, is grondig beveiligd – zie de vele updates die je telkens krijgt aangeboden – maar mijn electronische deurbel met ingebouwde camera? Mijn stappenteller? Mijn defibrillator?

De consument neemt bij dit soort producten vaak niet eens de moeite om de standaard toegangscode aan te passen. Met admin en 12345678 ben je binnen. Maar ook schijnbaar goed afgesloten systemen zijn kwetsbaar. Een onderzoeksgroep van Princeton berichtte onlangs dat er nog steeds veel IoT-producten op de markt zijn met ernstig achterhaalde encryptie, TLS 1.0 bijvoorbeeld, dat in 2015 door het bankwezen al in de ban werd gedaan. Fabrikanten van consumentenelektronica hebben vaak nauwelijks software-expertise in huis, dat is hun vak niet, zij kopen iets in, rollen het uit, niemand onderhoudt de software – boem is ho. De fabrikant van een smart broodrooster dat gehacked wordt, heeft geen prikkel om dat apparaat offline te halen, net zo min als de provider, want dan regent het helpdesk-telefoontjes en schadeclaims. Zo kunnen hacks lang onopgemerkt blijven.

En al die data van al die ‘slimme’ objecten in ons leven, van al die verschillende producenten? Wat gebeurt daarmee? Dat is volstrekt onduidelijk. Je zou zeggen: centraliseer het beheer, dan behouden we in elk geval het overzicht. Maar is er een partij die wij die taak toevertrouwen? Big Tech? Eh, nee. De overheid? Zoals in China? Ook liever niet. Dus: toekijken maar en hopen dat het goed gaat.

Hoe sneller het IoT groeit, hoe groter het wordt en hoe langer het aan zichzelf wordt overgelaten, des te moeilijker zal het worden om het te reguleren, dat zien we op dit moment met het gewone internet. En intussen gaan steeds meer systemen erop vertrouwen. Een studie van de Universiteit van Tel Aviv inventariseerde de mogelijkheden om het IoT te gebruiken voor misdaad en terreur. Vier scenario’s worden beschreven: chantage op basis van compromitterende privé-informatie, verkregen via een hack; zedenmisdrijven door middel van digitale huisvredebreuk; misbruik van financiële voorkennis door het bespieden van beleggers via persoonlijke IoT-producten, bijvoorbeeld wearables; en de aanval op een smart city door bijvoorbeeld alarmsystemen uit te schakelen en mensen in hun huizen op te sluiten. Dat wij zulke dingen op niet al te lange termijn zullen meemaken, noemen deze onderzoekers ‘highly likely’.

‘Het internet der dingen’ – het klinkt als een lagere digitale orde; deuren die gehoorzaam open zoeven en vuilnisbakken die piepen als ze vol zijn, maar dat is het IoT niet, het is een evolutionaire doorbraak van het internet, en van de mogelijkheid om ons leven te manipuleren. In handen van, ja, van wie?