Ethische hackers tonen belang van veilige apps aan

Met de veiligheid van iVRI’s en bijbehorende apps valt niet te spotten. Dat is de conclusie na enkele pogingen van ethische hackers om ‘in te breken’ in intelligente verkeerslichten. De hackers wisten wel twee niet-gecertificeerde fietsapps om de tuin te leiden, maar pogingen om de goedgekeurde Talking Traffic-apps te manipuleren, mislukten. De ethische hackers bestempelen de werkwijze in de Talking Traffic-keten rond cybersecurity nu als ‘goed voorbeeld’.

Het was voor Vincent Habers een bevestiging dat het samenwerkingsverband Talking Traffic de zaken vooralsnog goed op orde blijkt te hebben. Ethische hackers wisten onlangs twee op fietsers gerichte apps te manipuleren. Habers: ‘Deze apps zijn ontwikkeld op eigen initiatief van twee leveranciers van verkeerslichten. En beide apps vallen buiten de Talking Traffic-community: ze werken niet met onze architectuur, en zijn evenmin tegen onze eisen getoetst en goedgekeurd. Het bleek via die apps dan ook vrij eenvoudig om de boel te misleiden.’’

Concreet: de hackers konden door manipulatie van de apps suggereren dat er een groot aantal fietsers bij het verkeerslicht aankwam, waardoor dit onnodig groen gaf en andere verkeersdeelnemers rood kregen. Habers: ‘Dat heet spoofing: een relatief eenvoudige, bekende manier om de indruk te wekken dat een gebruiker of voertuig op een bepaalde plaats is, terwijl deze daar in werkelijkheid niet is. De verkeersveiligheid is nooit in het geding geweest. Er is nergens een situatie ontstaan waarbij kruisende verkeersstromen gelijktijdig groen kregen en er zijn geen ongelukken door de manipulatie ontstaan. Hooguit hebben enkele automobilisten moeten wachten voor fietsers die er helemaal niet waren.’ Diverse media besteedden aandacht aan de hack. De leveranciers van beide niet-gecertificeerde apps hebben inmiddels maatregelen toegezegd om veiligheid en betrouwbaarheid van hun product te verbeteren.

Betrouwbaar

Voor de goede orde: binnen Talking Traffic gelden strenge toelatingseisen. Het wordt wegbeheerders ten zeerste ontraden om andere dan de goedgekeurde apps toegang tot hun verkeerslichten te geven. Dat die gecertificeerde apps niet zo eenvoudig te manipuleren zijn, merkten de ethische hackers. Ze deden namelijk ook een hackpoging bij een app die wel volgens alle Talking Traffic-eisen is ontwikkeld. Daarbij lukte het niet om ‘in te breken’ en een verkeerslicht te misleiden.

Voor Talking Traffic-partners betekende het een bevestiging dat het loont om strenge procedures te hanteren, gezien alle maatregelen op het gebied van cybersecurity en beveiliging van de dataketen. De hackers toonden zich in het contact dat Habers met hen had aangenaam verrast over de zorgvuldigheid binnen de Talking Traffic-community: sinds 2018 doen de Talking Traffic-partners al zelf pen-testen en security-/privacy-audits in de eigen keten.

Goed voorbeeld

Aangezien Talking Traffic volgens de hackers een goed voorbeeld is hoe overheden zouden moeten omgaan met cybersecurity, hebben zij dit voorbeeld ook opgenomen in de presentatie van hun ervaringen tijdens een internationale hackersconferentie over cyberveiligheid. Ze zullen binnenkort ook zelf de juistheid van die werkwijze binnen Talking Traffic komen onderstrepen tijdens een overleg van de Council: houd je aan de strenge eisen op het gebied van veiligheid, databescherming en controles, blijf audits en pen-tests houden en blijf oog houden voor verbeteringen op het gebied van informatiebeveiliging.

Truckmeister

En over controles van apps gesproken: de app ‘Truckmeister’ heeft onlangs bewezen te voldoen aan alle geldende aansluitingseisen en is daarom toegevoegd aan de lijst met goedgekeurde apps. Momenteel loopt het verificatieproces nog voor ‘GreenFlow’, ‘RingRing’ en ‘Tracefy’; naar verwachting kunnen ook deze apps binnenkort worden opgenomen in die lijst.