De digitale veiligheid van connected consumentenapparatuur is niet op orde, meldt het Agentschap Telecom na een test van 22 verschillende producten. Op 17 van de geteste apparaten was iets aan te merken. Vooral slim speelgoed (connected toys) en babyfoons scoren slecht. Het ministerie van Economische Zaken en Klimaat (EZK) werkt aan maatregelen in Nederland en pleit voor Europese regels.
Het AT heeft onderzoek laten doen naar routers, slim speelgoed, IP-camera’s, slimme sloten, babyfoons en slimme thermostaten. De apparaten worden in het rapport in detail beschreven volgens de principes van ‘Security by Design’, ‘Security by Default’, ‘Privacy by Design’ en ‘Privacy by Default’.
Dit is gedaan door een scan uit te voeren op kwetsbaarheden in de software en de standaardconfiguratie, en te kijken naar de communicatiestromen. Tevens is onderzocht welke gegevens de apparaten verzamelen, hoe deze opgeslagen worden en hoe de leveranciers volgens hun privacy statements met deze gegevens omgaan.
In twee apparaten zijn geen problemen ontdekt: een Alecto babyfoon en de Nest V3 slimme thermostaat. Drie apparaten gelden als laag risico. Negen apparaten gelden als 'gemiddeld risico', waaronder vier van de vijf geteste routers. Acht apparaten, kregen het oordeel ‘hoog risico’ of ‘kritiek’, waaronder de ‘RC Spy tank met camera’ en de Nuki Smart Lock. De fabrikanten zijn op de hoogte gesteld. Een deel heeft daarna aanpassingen doorgevoerd.
Bij het speelgoed zit bijvoorbeeld een speelgoedtank met camera, die kan worden bestuurd met een smartphone. Het apparaat zet een eigen WiFi-netwerkje op, dat op geen enkele manier te beveiligen is. De functionaliteit is verder beperkt, maar een live videocamera is per definitie privacygevoelig.
Bij andere apparaten zijn de risico's genuanceerder. Een smart lock kan veilig zijn voor man-in-the-middle aanvallen (die het signaal vervalsen), maar toch riskant zijn door standaardinstellingen die gericht zijn op het gebruiksgemak. Deuren kunnen namelijk van binnenuit worden geopend. Dan wordt als risico genoemd dat een insluiper via de brievenbus een haak naar binnen steekt en het slot bedient.
Overheid kijkt naar EU
AT en EZK pleiten al langer voor Europese maatregelen om consumenten beter te beschermen tegen cyberaanvallen. De overheid kan apparaten met een Europees keurmerk echter niet zomaar uit de handel nemen. De (nieuwe) Europese Commissie moet de richtlijn radio-apparaten aanscherpen, stelt EZK.
Het ministerie begint later dit jaar een publiekscampagne om consumenten te waarschuwen. Het AT heeft een meldpunt geopend, waar consumenten en andere geïnteresseerden een signaal kunnen afgeven over onveilige apparaten. Onlangs heeft RTL Nederland de webcams van het merk Sumpple gefileerd. Ook de Consumentenbond geeft testresultaten door.
Verder bestudeert de overheid de risico’s van IoT-apparaten en de mogelijke impact op netwerken en kritische infrastructuur. Ook bij de overheid, zoals Rijkswaterstaat, zijn er risico's in kaart gebracht, zoals bij controlesystemen.
