Een onveilige thermostaat komt er straks niet meer in

Internet of things Apparaten die makkelijk te hacken zijn, kunnen toch verkocht worden. Hoog tijd voor een keurmerk, vindt ook Agentschap Telecom.

Er zijn nu heel wat bluetooth-tv’s, thermostaten en gps-horloges die data lekken of eenvoudig te manipuleren zijn. Foto iStock

Zoals een apparaat in Europa niet verkocht mag worden als het brandgevaarlijk, giftig of schadelijk voor mens of milieu is, zo zou elektronica ook verboden moeten zijn als het niet goed beschermd is tegen hackers.

Het Agentschap Telecom sprak zich maandag uit voor minimumeisen om de veiligheid van apparatuur die aangesloten is op internet te verbeteren. De wetgeving over cyberveiligheid zou te lang op zich laten wachten terwijl het aantal kwetsbare apparaten juist toeneemt.

Omdat Europese cyberwetgeving nog jaren kan duren, pleit het Agentschap Telecom in een persbericht voor „een samenwerking tussen industrieën en de overheid” op de korte termijn, om gezamenlijk een keurmerk te creëren.

Zolang de wet het niet voorschrijft, moeten fabrikanten zichzelf beter in het gareel houden en ervoor zorgen dat onveilige apparatuur niet meer in de winkelschappen ligt.

Er rouleren nu heel wat bluetooth-tandenborstels, tv’s, thermostaten, gps-horloges en smart speakers die data lekken of eenvoudig te manipuleren zijn.

De oorzaak: beveiliging is vaak sluitpost en fabrikanten houden geen enkele maat bij het verzamelen van gevoelige gegevens. Het Engelse consumententijdschrift Which?testte afgelopen maand smart home-apparatuur – waaronder tv’s, tandenborstels en webcams – en kwam tot de conclusie dat de apparaten veel meer persoonlijke informatie opvragen dan nodig is voor de werking. Ook de Amerikaanse Princeton University onderzocht smart home-spullen en stelde dat de apparatuur kwetsbaar is en te veel gebruikersdata verzamelt.

CE-stempel

De bestaande CE-markering zou volgens het Agentschap Telecom moeten worden uitgebreid. Apparatuur krijgt dit stempeltje nu als het voldoet aan de Europese eisen omtrent onder meer elektromagnetische straling en duurzaamheid. Het agentschap vindt dat minimumeisen voor cyberveiligheid hierin opgenomen worden, omdat gebruikers meestal niet weten welke apparatuur veilig is en welke niet. De CE-markering zegt niets over de kwaliteit van een product – alleen of het voldoet aan Europese eisen.

Volgens een woordvoerder van het agentschap zou het fabrikanten verboden moeten worden hun apparaten met standaardwachtwoorden uit te rusten (bijvoorbeeld: 0000 of 1234). Ook zou een minimaal aantal tekens voor een wachtwoord verplicht kunnen worden gesteld.

Het gevaar is dat een hacker die één apparaat binnen weet te komen, duizenden vergelijkbare apparaten kan hacken. Zo kunnen volledige netwerken worden gemanipuleerd. Als dit gebeurt bij ziekenhuizen of banken, zijn „rampzalige gevolgen” mogelijk, stelt de woordvoerder.

Agentschap Telecom is toezichthouder op de fysieke infrastructuur (zendmasten, kabels en frequenties) maar de naam dekt de lading niet helemaal meer. De instantie richt zich ook op de betrouwbaarheid van communicatie, elektronische identiteiten en wordt toezichthouder op een deel van de digitale infrastructuur volgens de toekomstige Wet beveiliging netwerk- en informatiesystemen.

In januari van dit jaar trok de Cyber Security Raad (CSR) ook al aan de bel over „de wildgroei van het internet of things”. Een nationaal cybertestcentrum voor verbonden apparatuur is ruim een jaar ‘in ontwikkeling’, maar nog niet actief.

    • Marc Hijink
    • Floor Bouma