Het gaat onder andere om bepaalde type routers van TP-Link, Huawei en Netgear, ip-camera’s van Hikvision en Foscam, slimme sloten van Nuki en Assa, een slimme thermostaat van Bosch, een aantal babyfoons en speelgoed, zoals de Sphero Spider-Man Interactive App-Enabled Superhero.
In totaal vijf onderzochte apparaten zijn relatief veilig: bij de thermostaat Nest Learning V3 en de babyfoon Alecto IVM-100 troffen de onderzoekers geen beveiligingsproblemen aan. Fabrikanten en leveranciers van onveilige apparaten zijn op de hoogte gesteld. Dit heeft in een aantal gevallen al geleid tot aanpassingen van de producten (zie ook het rapport en een overzicht).
Veel apparaten maken gebruik van slecht beveiligde verbindingen en standaardinstellingen die niet veilig zijn. Het uitvoeren van een update is vaak omslachtig. Hierdoor zijn persoonlijke gegevens of zelfs wachtwoorden te bekijken en is de besturing over te nemen. Dat maakt apparaten kwetsbaar voor infecties en ongewenste toegang, aldus de toezichthouder.
Agentschap Telecom roept consumenten, die vermoeden dat een slimme apparaat niet veilig is, op dit bij de organisatie te melden. De toezichthouder pleit verder voor aanvullende Europese regels om burgers beter te beschermen tegen cyberaanvallen.
In een reactie op het onderzoek van het agentschap laat het ministerie van Economische Zaken & Koninkrijksrelaties (EZK) weten dat het, vooruitlopend op Europese en internationale regels, zelf maatregelen neemt. Zo laat het ministerie metingen verrichten naar onveilige en al gehackte iot-apparaten in Nederland en start dit jaar nog een overheidscampagne om consumenten voor te lichten.
Roadmap
Vorig jaar publiceerde het ministerie al de ‘Roadmap Digitaal Veilige Hard- en Software’ die uiteindelijk moet leiden naar een aanzienlijke verbetering van de digitale veiligheid van slimme apparaten. Bijvoorbeeld door het streven naar het stellen van minimum veiligheidseisen via het Europese Radio Equipment Directive.
Het departement wijst er voorts op dat gebruikers van iot-apparatuur zelf ook het nodige kunnen doen om hun apparatuur minder kwetsbaar te maken voor ongewenste toegang en cyberaanvallen. In het rapport staat een aantal tips: voer regelmatig updates uit, kies een sterk wachtwoord, deel zo min mogelijk informatie met het apparaat en koppel het apparaat niet onnodig aan een netwerk. Veel apparaten hoeven voor gebruik immers niet online te zijn.