Al een paar jaar is het een uitdaging geworden om een nieuwe televisie te vinden die niet 'smart' is. En er zijn genoeg redenen te bedenken om een ouderwetse te willen. Slechts één daarvan is de zorg over privacy en het plaatsen van een always-on luistervink in de woonkamer. Maar dacht je dat de televisie erg was? De NSA wijst ons op een nieuwe uitdaging: slim meubilair.

"Waarom praat de NSA over IoT-meubilair?" hoor ik je denken. Nou, omdat de organisatie net als ieder ander bedrijf stoelen en bureaus nodig heeft. Als dat meubilair slim is, vormt dat een nieuwe mogelijke aanvalsvector voor het netwerk waardoor aanvallers toegang kunnen krijgen tot gevoelige informatie.

Blijkbaar is dit geen toekomstmuziek, maar zijn verbonden meubels een groeiende bedrijfstrend. IoT-connectiviteit zorgt ervoor dat bedrijven kunnen zien of de werkvloer efficiënt is ingedeeld aan de hand van gebruik. Data van geïntegreerde sensoren in slimme meubels leveren zo verhoogde productiviteit op terwijl beschikbare ruimte maximaal wordt benut.

Een IoT-kantoor: droom van werkgever, nachtmerrie van informatiebeveiliger.

In een eigen artikel over deze trend van verbonden kantoormeubels schrijft de inlichtingendienst:

Maar deze connectiviteit en informatieverzameling leveren beveiligings- en privacyvragen op. Nu verbonden meubels vaker voorkomen, is het zaak om potentiële kwetsbaarheden te bekijken die meekomen als onderdeel van een draadloze IoT-oplossing (bijvoorbeeld de sensoren zelf).

Cloudinfrastructuur biedt een andere potentiële kwetsbaarheid nu steeds meer apparaten de cloud gebruiken voor dataopslag en het risico lopen dat deze informatie wordt gestolen. Privacyzorgen zijn onder meer het risico dat persoonsgegevens worden blootgesteld door ongelukken of bewuste pogingen informatie te ontfutselen.

Een Amerikaans onderzoeksrapport uit oktober (PDF) was een project van een open source inlichtingenafdeling van de Amerikaanse inlichtingendienst. Ja, veel mensen zouden liever gestoken worden dan een rapport van 202 pagina's door te lezen, maar het gaat over hoe China een dominante partij aan het worden is in de IoT-sector en daardoor een positie heeft om internationale standaarden te laten kristalliseren, inclusief standaarden die gaan over de beveiliging van IoT-apparaten tegen ongeautoriseerde toegang.

Daarin wordt onder meer gekeken naar bekende kwetsbaarheden in Chinese IoT-producten en de Amerikanen maken zich zorgen over de moeite die Peking steekt in het ontdekken van kwetsbaarheden en de samenwerking van het bedrijfsleven en het leger aldaar. De schrijvers van het rapport vrezen dat als Chinese IoT-bedrijven meer invloed krijgen en groter worden in de VS ze meer toegang krijgen tot gegevens van Amerikaanse gebruikers.

Dat betekent natuurlijk niet meteen dat slimme kantoormeubels in China worden gemaakt of dat ze Chinese componenten uit China bevatten of backdoors hebben, maar de NSA schrijft:

De NSA denkt na over de implicaties van slimme meubels omdat, net als bedrijven, ook wij kantoormeubels kopen! Het kan in de toekomst onwerkbaar worden om oude onverbonden 'dumb' meubels te kopen, aangezien de verwachtingen zijn dat deze markt 20 procent per jaar groeit tussen 2018 en 2016. Slimme meubels zullen niet alleen vaker voorkomen, ze worden ook geïntegreerd in slim gebouwbeheer, slimme woningen en verbonden levens om de effectiviteit te optimaliseren. We moeten goed kijken naar deze apparatuur om de security- en privacyimplicaties te beheren.

De bottom line is dat internetverbonden apparaten meer toegangspunten leveren voor aanvallers om een netwerk binnen te komen. Hoewel we gebaat zijn bij de verhoogde personalisering van alledaagse spullen als kantoormeubels, geven we wellicht per ongeluk onze tegenstanders meer gevoelige informatie dan de bedoeling is.

Misschien denk je dat slim meubilair niet daadwerkelijk zal aanslaan, maar dachten we dat ook niet van slimme meters, smart tv's en ander verbonden spul? Probeer maar eens een auto of tv te vinden die geen netwerkverbonden computer meer is. Als je 'dumb' meubilair wilt, is het misschien tijd om binnenkort te investeren in nieuwe spullen, voordat het allemaal IoT-connectiviteit heeft.

Mevrouw Smit - niet haar echte naam - is programmeur met specifieke interesse in IT -privacy en security. Daarnaast is ze freelance schrijfster.