“We willen een discussie aanzwengelen”

Begin juni bracht de Security and Stability Advisory Committee (SSAC) van ICANN een rapport uit over de relatie tussen het DNS en het internet-of-things (IoT). Een interactie tussen 2 ‘ecosystemen’ die kansen én bedreigingen oplevert voor het DNS en het IoT. Cristian Hesselman, directeur van SIDN Labs, leidde de internationale werkgroep die dit bijzondere rapport schreef.

Waarom is dit onderwerp zo belangrijk?

Hesselman: “Met de opkomst van het internet-of-things raken het internet en de fysieke wereld steeds meer vervlochten. Voorheen ging het vooral om browsers en e-mail. Storingen en onregelmatigheden konden onze samenleving dan al behoorlijk verstoren, maar het internet-of-things grijpt nog directer in, namelijk op onze fysieke omgeving. Denk aan hartmonitors, drones en sensoren op spoorrails. De veiligheid en stabiliteit van het DNS wordt dan nog belangrijker, want veel IoT-apparaten gebruiken onder water het DNS om het IP-adres op te zoeken van de servers waarmee ze communiceren.”

Wat maakt dit rapport bijzonder?

Hesselman: “De rapporten die de SSAC uitbrengt bevatten normaal gesproken een advies voor de ICANN-community en -board. Dit rapport bevat niet zo’n advies. Het was ons doel om de ICANN-community inzicht te geven en discussie aan te zwengelen. Een mogelijk vervolg is een workshop of een lezing tijdens een ICANN-meeting. Daarnaast zie ik veel wisselwerkingen met andere onderzoeken en initiatieven.”

Aan wat voor wisselwerkingen moeten we dan denken?

Hesselman: “Ik zal een voorbeeld geven. Aan het netwerkverkeer van een IoT-apparaat kun je soms aflezen met wat voor apparaat je te maken hebt. In het rapport halen het voorbeeld aan van een zogenaamde ‘sleep tracker’ die meer data verstuurd als iemand wakker is. Dit levert een mogelijk privacy-risico op. Een student die ik samen met SURF begeleid aan de Universiteit Twente gaat nu onderzoek doen naar ‘network obfuscation’. Dat is een manier om specifieke patronen in netwerkverkeer te verhullen en daarmee zulke IoT-apparaten meer privacyproof te maken. Om dit voor elkaar te krijgen, moet er een software security library voor IoT-apparaten komen. En dat is nu net een van de uitdagingen die we in ons SSAC-rapport noemen.”

Hoe kwam dit rapport tot stand?

Hesselman: “Het idee voor dit rapport ontstond ongeveer 2 jaar gelden. Het duurde vooral lang om de juiste scope te vinden, omdat ‘IoT’ een heel breed begrip is. Toen de structuur rondom kansen, bedreigingen en uitdagingen eenmaal stond, ging het sneller. Ik leidde het schrijven van het rapport, dat we in de werkgroep in verschillende iteraties steeds verder hebben verbeterd. We hebben daarna een tweede flinke verbeterslag gemaakt op basis van commentaar van alle SSAC-leden. Over het uiteindelijke rapport is consensus tussen alle leden van de SSAC.”

Wil je meer lezen over dit rapport? Lees dan de blog die SSAC hierover schreef.

Wat is de rol van de SSAC eigenlijk?

Hesselman: “De Security and Stability Advisory Committee is een adviesorgaan binnen ICANN. Het comité bestaat uit 39 technische experts op een breed aantal gebieden. Van DNSSEC tot domeinnamen met speciale tekens en internetrouting. We adviseren de board van ICANN en de ICANN-community. Dat doen we gevraagd én ongevraagd. De board neemt onze adviezen mee in haar besluitvorming.”

Hoe word je lid van SSAC?

Hesselman: “Door gewoonweg te solliciteren. De SSAC is eigenlijk continu op zoek naar mensen. Ikzelf heb enkele jaren terug gesolliciteerd. Dat deed ik omdat ik graag een concrete bijdrage lever aan de stabiliteit en veiligheid van de internetinfrastructuur. Dat doe ik ook als directeur van SIDN Labs, waar we bijvoorbeeld open source software ontwikkelen die het internet en gebruikers beschermen tegen onveilige IoT-apparaten. Dat doe ik als bestuurslid van NLnet Labs, en in mijn rol als universitair hoofddocent aan de Universiteit Twente. In mijn colleges daar richt ik me op de veiligheid van het IoT. Als lid van de SSAC kan ik nog meer impact hebben. Daarnaast vind ik het ook enorm leerzaam. Binnen SSAC spreek ik met specialisten uit de hele wereld en uit veel verschillende vakgebieden. Na elke meeting kom ik weer met nieuwe inzichten thuis.”

Is je lidmaatschap ook belangrijk voor SIDN?

Hesselman: “Ja, want we leveren zo een bijdrage aan de veiligheid en stabiliteit van het internet. Ik vind het in het algemeen voor SIDN belangrijk dat collega’s actief zijn binnen internationale gremia als de SSAC, de IETF en RIPE. Zo laat je als organisatie zien dat je over waardevolle expertise beschikt en waarmee je .nl, het DNS en het internet verder helpt.