Zijn mobiele devices en wearables veilig genoeg voor gebruik in het OOV domein?

De opkomst van de moderne 4G en 5G smartphones zorgt ervoor dat medewerkers in het OOV domein (politie, ambulancezorg, brandweer, marechaussee en douane), gebruik (willen) gaan maken van mobiele breedband toepassingen waarbij ze allerlei apparaten en sensoren (wearables) draadloos verbinden met die smartphones omwille van de veiligheid en efficiency die dat oplevert. Denk hierbij aan een draadloze headset en bodycam voor politie, maar ook aan Augmented Reality (AR) toepassingen waarbij bijvoorbeeld brandweermensen in hun scherm kunnen zien welke gevaarlijke stoffen in een pand liggen opgeslagen. In de ambulancezorg kan het gaan om het reeds onderweg in de ambulance door kunnen sturen van medische data van de patiënt naar het ziekenhuis (remote monitoring via sensoren op het lichaam van de patiënt).

Wat veel van deze toepassingen gemeen hebben is dat er bepaalde (meet)apparatuur /sensoren draadloos met het 4G / 5G device gekoppeld wordt, veelal met gebruikmaking van Bluetooth. Dit is natuurlijk heel handig voor dit ‘laatste stukje van de (data)keten’, maar is het ook missie kritisch? Als iemand misbruik gaat maken van kwetsbaarheden hierin kan het OOV personeel of de burger aan wie assistentie verleend wordt in gevaar komen of kan privacygevoelige data gecompromitteerd raken.

In feite dient er een risicoanalyse en een kwetsbaarheidsanalyse te worden uitgevoerd op de gehele keten. Afhankelijk van de uitkomsten hiervan moet een pakket aan mitigerende maatregelen worden geïmplementeerd aansluitend op het beleid van de betreffende organisaties en de vigerende regelgeving.

Het NIST rapport

Het US National Institute of Standards and Technology (NIST) heeft dit toenemende gebruik en de (on)veiligheid hiervan geanalyseerd en hierover het onderzoeksrapport ‘NISTIR 8196: Security Analysis of First Responder Mobile and Wearable Devices‘ uitgebracht. In het onderzoeksrapport worden de eisen die hulpverleners stellen op cyber security gebied in kaart gebracht. Hiervoor zijn use cases en eerdere reeds bekende aanvallen geanalyseerd en is er een dreigingsanalyse model opgesteld. Het uiteindelijke doel van het onderzoek was het opstellen van veiligheidseisen voor mobiele devices en wearables, zodat de industrie beter beveiligde versies hiervan kan ontwikkelen en zodat organisaties goed beveiligde communicatiehulpmiddelen kunnen aanschaffen.

Achtergrond en overwegingen

Smartphones en wearables bieden (ook voor OOV) allerlei mogelijkheden, maar ze worden in eerste instantie voor een massamarkt van consumenten ontwikkeld en geproduceerd. Ze zijn zeker niet ontwikkeld met OOV-toepassingen in het achterhoofd, waarbij hoge beschikbaarheid, vertrouwelijkheid en integriteit essentieel is. Smartphones maken dan ook meestal gebruik van de ‘gewone’ operating systems voor consumenten, vaak Android, waarbij we zien dat de gebruikte versies hiervan wel eens heel wat releases achterlopen. De wearables zoals draadloze headsets, bodycams en medische sensoren kunnen via verschillende (versies van) Bluetooth of WiFi —die mogelijk niet up-to-date zijn — met het mobiele device verbonden zijn.

De mobiele devices zelf hebben verschillende security mogelijkheden, maar bij de wearables is dit minder, vanwege bijvoorbeeld hun beperkte processing power. Ze ondersteunen ook niet altijd software updates. Tenslotte maakt de draadloze communicatie tussen mobiel en wearable vaak gebruik van een specifieke leveranciers afhankelijke applicatie (denk aan Apple Watch en Fitbit) die ook weer zwakheden ten aanzien van beveiliging kan hebben.

Voorbeelden van use cases mobiele devices

1. Een politieman die informatie over een vermist persoon verzamelt en naar een backend systeem verstuurt voor nadere analyse. Zowel de informatie die op het device wordt opgeslagen, de data in het backend systeem als de informatie in transit kan kwetsbaar zijn (voor aftappen of modificatie) als er geen encryptie en VPN wordt gebruikt. Een vergelijkbare use case bij ambulancezorg is medische data die verstuurd worden van sensoren naar een backend systeem.

2. Mobiele devices die niet ‘op-de-man- of vrouw’ worden verstrekt maar in een pool worden uitgegeven: indien de volgende politieagent(e) inlogt op het device is het, als dit niet goed geregeld is, mogelijk dat data van het vorige gebruik (de vorige shift) is achtergebleven op het device.

3. BYOD user: indien een OOV professional om wat voor reden dan ook eigen mobiele apparatuur (Bring-Your-Own-Device) inzet voor OOV taken, kunnen allerlei kwetsbaarheden optreden, doordat zo’n persoonlijk device niet onder strikt Mobile Device Management (MDM) en Enterprise Mobility Management (EMM) valt.

4. Verloren of gestolen mobiele apparatuur: hierbij hangt het er van af hoe het apparaat en de data beveiligd zijn tegen ongeautoriseerd gebruik en in hoeverre het device op afstand te lokaliseren en te wissen is, zodat alle sensitieve data en OOV applicaties verwijderd kunnen worden via MDM.

Voorbeelden van use cases wearables

1. Een patiënt die allerlei medische sensoren (voor het meten van o.a. bloeddruk, hartslag, ademhaling, temperatuur, zuurstofsaturatie) op zijn lichaam bevestigd heeft gekregen: deze zijn met het mobile device verbonden via een PAN (Personal Area Network). Deze medische gegevens worden naar de meldkamer verstuurd naar een incident afhandelaar. Belangrijk hierin is dat de medische gegevens op het gehele pad confidentieel blijven, zodat er geen medische gegevens van een patiënt ‘op straat komen te liggen’.  

2. Een andere use case is die van het gebruik van een bodycam door politie: de videobeelden worden via een PAN gestreamd naar het mobiele device en gaan via het mobiele netwerk naar een cloud platform waar ze worden opgeslagen. Hier is van belang dat alleen geauthentiseerde gebruikers toegang hebben tot de videobeelden.

Het is opvallend dat de mobiele devices al een grote ontwikkeling hebben doorgemaakt op security gebied, maar dat dit bij wearables nog in de kinderschoenen staat.

Voorbeelden van use cases applicaties

1. De brandweer bestrijdt een groot incident, waarbij de brandweerlieden locatie sensoren op hun uniform dragen, zodat de bevelvoerder weet waar zijn manschappen zich bevinden en overzicht heeft. De locatie applicatie maakt gebruik van deze locatie data en het is van belang dat hier niemand (kwaadwillend) tussen kan komen.

2. OOV medewerkers kunnen voordat ze op de locatie van een incident zijn onderweg reeds door de meldkamer voorzien worden van bepaalde (situational awareness) informatie. Van belang is dat deze belangrijke en vertrouwelijke informatie niet door kwaadwillenden afgetapt of onderschept kan worden.

3. Een grote groep hulpverleners doorzoekt een bosgebied op een reddingsmissie. Voor spraakcommunicatie wordt een mobiel met draadloze headset gebruikt. Belangrijk is dat een buitenstaander niet ongemerkt in deze groep kan binnendringen en valse spraak informatie verspreidt door zich voor te doen als een van hen.

Eerdere gedocumenteerde aanvallen op OOV communicatie

Er zijn diverse soorten van eerdere vijandige aanvallen gerapporteerd zoals afluisteren, je voor iemand anders uitgeven, de insider bedreiging, diefstal van randapparaten, malware die van tevoren op bodycams was geïnstalleerd, ransomware op een video surveillance systeem, jamming van politie communicatie en DoS aanvallen. Het is van belang hiervan op de hoogte te zijn, zodat hiervoor doeltreffende (beveiligings)maatregelen getroffen kunnen worden.

Dreigingsanalyse model

NIST heeft een gedegen dreigingsanalyse model ontwikkeld van mobiele devices en wearables, waarbij een onderscheid is gemaakt in deze twee categorieën. Bij de verschillende bedreigingen en zwakheden worden ook aanbevelingen gedaan om deze te mitigeren. Als laatste zijn vanuit het dreigingsmodel beveiligingsdoelstellingen opgesteld op de volgende gebieden:

• Beschikbaarheid
• Vertrouwelijkheid
• Eenvoud van beheer
• Authenticatie
• Interoperabiliteit
• Integriteit
• Isolatie
• Gezondheid van het ecosysteem (configuratie en updates)

Conclusies en aanbevelingen uit het NIST rapport

In het NIST onderzoek wordt geconcludeerd dat voor OOV hulpverleners hoge beschikbaarheid van communicatie nummer één is (missie kritische communicatie) en dat vertrouwelijkheid en integriteit van de informatie al gauw op een tweede of derde plek komen. Maar in dit rapport wordt aangegeven dat een meer genuanceerde blik noodzakelijk is, omdat – afhankelijk van de specifieke OOV discipline – vertrouwelijkheid en integriteit van de communicatie en informatie essentieel zijn.

Een andere belangrijke conclusie is dat er robuuste en innovatieve oplossingen ontwikkeld moeten worden om alle geïnventariseerde bedreigingen tegen te gaan met praktische adviezen om die oplossingen uit te voeren. Zeker nu er een overgang aan het plaatsvinden is van de huidige portofonie/mobilofonie gebaseerde communicatiesystemen (zoals TETRA en DMR) naar 4G / 5G mobiele systemen met allerlei draadloos gekoppelde wearables en (IoT) sensoren daaraan gekoppeld. Hierbij zullen nieuwe technologieën geïntroduceerd worden, zoals EMM om devices te managen, technieken om zeker te stellen dat apps geen kwetsbaarheden bevatten en encryptie om afluisteren te verhinderen. Al deze technieken zijn behoorlijk complex, waardoor ervaren mensen nodig zijn om ze te implementeren en configureren. Er wordt bijvoorbeeld onderzoek gedaan naar mobile Single Sign On (SSO), zodat een hulpverlener met één keer inloggen en authenticatie toegang krijgt tot alle applicaties die hij/zij op het device gebruikt. En bij Mission Critical Voice (MCV) wordt onderzocht hoe het is gesteld met binnenhuis radiodekking, zodat hulpverleners zich in ieder geval bewust zijn van beperkingen hierin (denk bijv. aan de brandweer in brandend panden).

In de conclusies wordt tenslotte aangegeven dat er nog een aantal onderwerpen ‘braakliggend terrein’ zijn, waar nader onderzoek aan verricht zal moeten worden:

• Preventie van device en gebruiker tracking
• Goede en discipline specifieke EMM implementaties (door bijv. gebruik maken van BYOD te verbieden)
• Mitigatie voor protocol jamming aanvallen (zonder de devices te hoeven herontwerpen)
• Methodes om ook bij lost cost wearables toch vertrouwelijkheid en integriteit van informatie te borgen
• Best practices voor het up-to-date houden van software op mobiele devices en wearables
• Device lock-screen time-out aanbevelingen
• Richtlijnen voor gedeeld gebruik van devices (devices die in een pool worden uitgegeven)
• Betrouwbare maar eenvoudig te gebruiken authenticatie methoden
• Ruggedized devices en wearables die ‘fit for use’ zijn in een public safety omgeving