Het verouderde systeem van verkeerslichten in Nederland bleek makkelijk te hacken. Ook in België is dit beperkt mogelijk. Zo bleek toen een ethisch hacker het systeem wist te infiltreren en de media in de rij stonden om hier verslag van te doen. Wat als een kwaadwillende partij de stoplichten zou bedienen?
Met deze kwetsbaarheid in je achterhoofd, vraag je je af hoe de weg vooruit eruit ziet. Want hoe groot zijn de risico’s in werkelijkheid? En hoe voorkom je dat kwaadwillende partijen hier misbruik van maken? Het is maar de vraag of Nederland doorheeft hoe urgent het probleem is.
Hulpdiensten voorrang geven
Om de situatie te doorgronden is allereerst context nodig. De meeste Nederlandse verkeerslichten werken nog via radiosignalen die het mogelijk maken om hulpdiensten en openbaar vervoer voorrang te geven. Het systeem wordt ook wel KAR genoemd. Het kan via een kastje in een ambulance, politie of brandweerauto bediend worden als ze een stoplicht naderen.
En wat blijkt? Dit systeem kan door hackers worden aangewend om stoplichten te manipuleren. Op een gewenst moment kunnen ze lichten op rood, groen of oranje zetten.
Langzaamaan het systeem vervangen
Maar het is al langer bekend dat dit een risico is. Sinds 2016 wordt het systeem stap voor stap vervangen. Wegbeheerders voorzien verkeersregelinstallaties (VRI’s) van een Talking Traffic-systeem dat bestand is tegen moderne inbraakmogelijkheden. Je moet je daarbij voorstellen dat alle hardware aangepast moet worden in de straatkasten. Dit systeem is gelinkt via het Internet of Things (IoT), wat bestaat uit fysieke objecten die met het internet zijn verbonden en zo online gegevens kunnen verzenden.
Dit geeft meer kansen om VRI’s dynamisch te beïnvloeden naar aanleiding van verkeersgebeurtenissen. Apps als Google Maps en Flitsmeister gebruiken dit al om diensten te actualiseren.
Oftewel, de overgang naar een veilig systeem is niet van vandaag op morgen geregeld. Sterker nog, het gaat nog zeker een jaar of zes duren. Kennelijk is het gevaar (nog) niet groot genoeg. Er wordt ook nog niet zo vaak misbruik gemaakt van deze kwetsbaarheid.
Tijd kent geen genade
Desalniettemin is het een groot punt van aandacht. Het feit dat buitenstaanders relatief eenvoudig toegang kunnen verkrijgen tot stoplichten, kan grote politieke gevolgen hebben. Ook op internationaal niveau. Juist op mondiale schaal kunnen de consequenties desastreus zijn, want oorlogsvoering verplaatst zich steeds meer naar het digitale domein.
Denk maar eens aan de Russische onderzoeksschepen die in de Noordzee onderzeese infrastructuur vastleggen, de recente hack bij de politie of kwetsbaarheden in de energievoorziening. Hoe beter chaos te creëren dan door alle stoplichten op groen te zetten?
Veilig achter de dijken
We zijn kwetsbaar en wanen ons veiliger dan we in werkelijkheid zijn. Het hoeft maar één keer mis te gaan om dat voor eens en altijd duidelijk te maken. Het probleem heeft vooralsnog geen urgentie, maar dit is broodnodig; straks worden verkeersinstallaties bestuurd op afstand of neemt een kwaadwillende partij een vitale infrastructuur over. In de politiek wordt onvoldoende rekening gehouden met online dreigingen.
En ondertussen gaat China gewoon door met het verzamelen van gegevens over mensen – zien politici de camera’s in Chinese auto’s op de westerse markt over het hoofd? Iedereen die gehackt wordt zegt in eerste instantie dat ze veilig zijn. Maar op welk niveau? Dát is de hamvraag.
De weg vooruit
Het is dus belangrijk om de beveiligingsstrategie onder de loep te nemen. Zo kun je ervoor zorgen dat een app uitsluitend toegankelijk is voor vooraf bepaalde partijen. Dit doe je door off internet te gaan. Dan maak je geen gebruik van publiekelijk toegankelijk internet. Op deze manier ben je vele malen veiliger. Dit biedt zonder twijfel uitweg in de toekomst, maar daarvoor moeten we wél haast maken.
IoT biedt kansen om uitdagingen op het gebied van security met beide handen te grijpen. Zodat aan het einde van de rit iedereen zich weer kan focussen op waar ze goed in zijn dankzij een gestroomlijnde IoT-service.
Lees ook: Recordpiek cyberaanvallen: Nederlandse organisaties zwaar getroffen