‘Dwing beveiligen van slimme apparaten af’

De oproep van de Cyber Security Raad aan de overheid om een goede beveiliging van slimme apparaten wettelijk af te dwingen, krijgt veel bijval. Volgens de Consumentenbond moet je er als consument vanuit kunnen gaan dat het product dat je koopt deugt, dus ook dat de beveiliging op orde is. Ook digitale burgerrechtenorganisatie Bits of Freedom is voorstander. “Het is tijd dat de overheid ingrijpt”, aldus onderzoeker Rejo Zenger.

Donderdag publiceerde de Cyber Security Raad, een onafhankelijke adviesclub waar bedrijfsleven en wetenschappers in vertegenwoordigd zijn, een rapport rond het zogenoemde ‘Internet of Things’. Dat is een populaire term voor de trend dat veel apparaten met internet verbonden zijn. Van een wasmachine die met de smartphone te bedienen is, een knuffelbeer waarmee ouders via de app tegen hun kinderen kunnen praten, of een thermostaat die weet of een bewoner thuis is.

Volgens de adviesraad is er momenteel een wildgroei aan onveilige apparaten en toepassingen te koop. Het is voor hackers vrij eenvoudig om het apparaat te kraken omdat bijvoorbeeld gebruik wordt gemaakt van een standaardwachtwoord. Ook komt het voor dat fabrikanten geen beveiligingsupdates maken, terwijl het systeem een lek blijkt te bevatten. “Voor de meeste producenten is een lage kostprijs belangrijker dan de kwaliteit van het product”, aldus het adviesrapport.

'Ondoorzichtig'

Daarom moet de overheid volgens de Cyber Security Raad een goede beveiliging afdwingen. Denk bijvoorbeeld aan het opstellen van een minimaal eisenpakket rond de beveiliging voordat een product verkocht mag worden. Of aan de wettelijke mogelijkheid om de fabrikant aansprakelijk te stellen voor de gevolgen van een hack. Met stickers op de verpakking zou de consument bovendien geïnformeerd moeten worden hoe de beveiliging is geregeld en hoe lang de fabrikant beveiligingsupdates levert, aldus het adviesrapport. 

De Consumentenbond is het daarmee eens. “Het is nu zo ondoorzichtig”, aldus een woordvoerder. “Je weet vaak helemaal niet hoe de beveiliging in elkaar zit als je een product koopt.”

Op veel terreinen is het bovendien al de normaalste zaak dat er eisen worden gesteld aan producten, zegt de Consumentenbond. Denk aan auto’s waar deugdelijke gordels in moeten zitten of aan speelgoed dat geen kleine onderdelen mag bevatten die los kunnen raken. Bij slimme apparaten zijn die regels er nog niet, of zijn ze niet duidelijk genoeg, aldus de Consumentenbond. Tijd voor verandering, vindt de organisatie.

Technische standaarden

Bits of Freedom onderschrijft dat. Zenger: “Het liefste zou je willen dat consumenten zelf ook vragen stellen over de beveiliging als ze een product kopen. Maar dan nog is het voor veel mensen moeilijk in te schatten wat dat precies betekent.” Het is daarom nodig dat de overheid de consument een handje helpt.

Het kabinet lijkt daar oren naar te hebben. In het regeerakkoord is aangekondigd dat er technische standaarden komen voor internet-of-things-apparaten. Toch wil de Cyber Security Raad met het adviesrapport benadrukken dat er momenteel nog te weinig is gedaan terwijl er ondertussen alleen maar meer onveilige producten bijkomen. “Het is nu tijd om in te grijpen”, aldus de woordvoerder.

Duizenden koelkasten als botnet-soldaten

Exacte cijfers over de hoeveelheid slimme apparaten waarbij de beveiliging niet deugt, ontbreken. Toch maakte de wereld al in 2016 kennis met de gevolgen van die slechte bescherming. Het Mirai-botnet sloeg toen toe. Het ‘leger aan computers’ waarmee grootschalige cyberaanvallen werden uitgevoerd, bestond uit duizenden koelkasten, beveiligingscamera’s, koffiezetapparaten en andere slimme producten.

Voor kwaadwillende hackers zijn die apparaten op zo’n moment niet anders dan computers die kunnen worden ingezet om netwerken plat te leggen. Sites als Netflix en PayPal werden getroffen door Mirai.

Een crimineel kan via één slecht beveiligd apparaat zich ook toegang proberen te verschaffen tot het hele digitale systeem van een huis of bedrijf.