Vorig jaar werd de noodklok geluid. Een schrikbarend aantal slimme apparaten voldeed niet aan veiligheidsnormen op het gebied van privacy en beveiliging. Onder deze slimme apparaten vielen onder meer babyfoons en beveiligingscamera’s – niet echt iets waarvan je graag wilt dat data op straat komt. Na de grote ophef beloofden een aantal fabrikanten hun producten te verbeteren, maar waren dit alleen mooie woorden of is er ook echt iets veranderd? Hoe staat het met de beveiliging van IoT?
Onveilige poppen
Eind 2017 kwam het balletje aan het rollen toen er ophef ontstond rond een slimme babypop. De Consumentenbond vocht uit alle macht om het speelgoed van de markt te weren – via de luidspreker konden gesprekken gevoerd worden met de pop, die kinderlijk eenvoudig af te luisteren waren.
Het bleek slechts het topje van de ijsberg, toen veel meer van de apparaten die aan het internet aangesloten zijn onveilig bleken en op afstand gehackt kunnen worden. Alhoewel de meeste mensen zich er goed van bewust zijn dat zij hun laptop moeten beveiligen met een wachtwoord, zijn veel minder mensen op de hoogte van deze mogelijkheid voor hun slimme verlichting, slimme koelkast of – inderdaad – de slimme pop van hun jonge kind.
Kabinet aangespoord tot actie
Naar aanleiding van deze verontrustende berichten werd eind 2018 naar buiten gebracht dat het kabinet het urgente advies had gehad om te onderzoeken of onveilig internet of things-apparaten van de markt geweerd kunnen worden. Zeker omdat de hoeveelheid verbonden apparaten ontzettend snel toenam, werd dit een urgent vraagstuk. Het aantal hackers groeide evenredig, allen erop gebrand om te bewijzen dat in slechts luttele minuten je thermostaat gehackt kon worden of meegekeken kon worden in een babykamer.
Niet alleen bleek het kabinet aarzelend in haar uitvoering van dit advies, ook bleek het een enorm probleem dat er met het blote oog nauwelijks te zien is of een bepaald apparaat veilig is of niet. Sommige merken – in het bijzonder goedkopere merken van de Aziatische markt – staan bekend om hun onvermogen om enige vorm van beveiliging toe te passen. Al zijn er ook veel bekende westerse merken die zich tot nu toe nauwelijks druk lijken te maken over de privacy van haar gebruikers.
Beveiliging IoT : Europees Internet of Things keurmerk
Dit was des te meer reden voor experts om zich hard te maken voor een betere beveiliging van de markt an sich, waarmee op Europees niveau merken en apparaten geweerd kunnen worden. Dit kan de vorm aannemen van het reeds welbekende CE-keurmerk, al kan er ook een ander – nieuw – keurmerk voor bedacht worden.
De mogelijkheid tot beveiliging van apparaten is niet het enige wat mee zou moeten wegen in de algehele score van een apparaat; ook de mate waarin gebruikers voorzien worden van updates en nuttige privacy-informatie zou zwaar mee moeten tellen. Een keurmerk, bijvoorbeeld in de vorm van een sticker, kan een rondshoppende klant meer nuttige informatie geven over de beveiligingsmogelijkheden en de hoeveelheid (en tijdsduur van) beschikbare updates.
Een fabrikant die bewust misleidt, bijvoorbeeld door het pushen van nep-updates of het bewust negeren van veiligheidslekken, zou hier zwaar op afgerekend moeten en kunnen worden. Juist omdat de consument dankzij het keurmerk een bewuste keuze gemaakt denkt te hebben, zal de financiële en emotionele schadeclaim op de fabrikant verhaald kunnen worden. Deze heeft immers het vertrouwen fors beschaamd, in plaats van dat het zich wentelt in de vaagheden en onduidelijkheden waar hij vandaag de dag achter schuilgaat.
Het moet zo niet langer mogelijk zijn om onschuldig de handen van een privacy-lek af te trekken, uitroepend dat de consument simpelweg de kleine letters niet gelezen heeft. Of dat was in ieder geval de boodschap die eind 2018 rondging.
Update Consumentenbond
We springen ruim een jaar vooruit. Eerder deze maand heeft de Consumentenbond opnieuw slimme apparaten getest op hun beveiliging. Wederom was de uitslag vernietigend: het meerendeel van fabrikanten neemt nog steeds de beveiliging van hun apparaten niet serieus. Wat dit betekent? Dat vreemden nog steeds mee kunnen kijken op jouw babyfoon.
Het is geen toeval. Van de 32 onderzochte slimme apparaten, werden bij 19 beveiligingsproblemen geconstateerd – bij 8 zelfs zeer ernstige. Dit is een kwart van het totaal, wat iedereen die meer dan 4 slimme apparaten in huis heeft zou moeten verontrusten. Statistisch gezien zal minstens 1 van deze apparaten onveilig zijn.
Beschikbaarheid van updates
Een ander opvallend gegeven was dat van de 50 onderzochte fabrikanten, maar liefst 43 geen duidelijke informatie geven over het tijdsbestek waarbinnen er nog updates zullen zijn. Na deze ‘update-periode’, zal de gebruiker dus feitelijk overgelaten worden aan zijn lot – en verreweg de meeste fabrikanten willen niet zeggen vanaf welk moment dit zal zijn.
Deze updates zijn extreem belangrijk, dus als gebruiker zul je niet moeten onderschatten hoe belangrijk het is dat deze beschikbaar blijven. Eigenlijk is je apparaat alleen veilig zolang er updates beschikbaar zijn. Toch vinden heel veel fabrikanten, waaronder industrie-giganten als Philips, Moterola, Alecto, Google, Ring, Miele, Bosch-Siemens, Brother, Canon, HP, Linksys, Asus, Apple, Sony en Oral-B.
Of het nu je slimme tandenborstel, slimme stofzuiger of slimme wasmachine is – je weet dus niet voor hoe lang eventuele security-problemen opgelost zullen blijven worden. Verontrustend, zeker als je beseft hoe lang er al ophef is over de beveiliging van deze apparaten. Fabrikanten doen er dus nog weinig tot niets mee en hebben grotendeels lak aan de security-poeha.
Tijd voor internationale actie
Tijd voor een Europees label voor slimme devices ten behoeve van de beveiliging van IoT? Absoluut, wat mij betreft. Liever vandaag dan morgen zie ik een sticker op verpakkingen verschijnen die aangeeft hoe nauw de producent het met privacy en beveiliging neemt. Helaas zie ik het niet snel zo’n vaart lopen, juist ook omdat hier verregaande internationale afspraken over gemaakt moeten worden – en binnen de EU andere dossiers voorrang lijken te hebben.
Tot die tijd, zijn er een paar dingen die je als gebruiker kunt doen om je slimme apparaat goed te beveiligen. Denk eraan om het standaard wachtwoord direct bij ingebruikname te veranderen en dit regelmatig te blijven veranderen. Controleer ook geregeld of er nog nieuwe updates voor je apparaat zijn, aangezien deze lang niet altijd automatisch geïnstalleerd worden.
Vertrouw je het nog steeds niet, bijvoorbeeld omdat er al lange tijd geen updates zijn geweest of de mogelijkheid tot het instellen van een wachtwoord ontbreekt? Doe dan datgeen wat de enige waterdichte beveiliging is: trek de stekker van het internet eruit. Liever een slim apparaat wat even ‘dom’ wordt gemaakt dan dom omgaan met slimme apparaten.