Eindelijk minimum beveiligingseisen voor slimme apparaten!

Uit een recent besluit van de Europese Commissie blijkt namelijk dat vanaf halverwege 2024 alle apparaten die draadloos via internet kunnen communiceren aan een set van minimale beveiligingseisen moeten voldoen. Deze minimale beveiligingseisen zullen een onderdeel gaan vormen van de Radio Equipment Directive.[1]

Voor de gemiddelde privacy en security professional is het merendeel van de slimme apparaten een doorn in het oog. In veel gevallen laat de beveiliging van dergelijke apparaten namelijk behoorlijk wat te wensen over. Daarnaast kom je ze bijna in alle facetten van ons dagelijkse leven tegen (zelfs een nieuwe oven wordt inmiddels standaard met een Wifi-connectie geleverd weet ik uit eigen ervaring...). Tel daarbij op dat we nog steeds vrij veel thuiswerken, en dus midden tussen alle slimme apparaten gevoelige werkactiviteiten verrichten, en het risicobeeld is compleet.

Immers kan alle apparatuur die met internet verbonden is, worden besmet of gehackt. Helaas gebeurt dit ook vaak. Op de digitale zwarte markt rouleren zelfs hele databases met toegangscodes voor ‘slimme’ camera’s en babyfoons. Ondanks dat deze apparaten bij ‘goed’ gebruik een mooi doel kunnen dienen, kunnen deze apparaten in verkeerde handen ook behoorlijk vervelende consequenties hebben. Zo kunnen bijvoorbeeld gehackte slimme camera’s ook worden gebruikt om te zien of iemand thuis is, welke (waardevolle) spullen aanwezig zijn, wat voor gesprekken iemand voert en zelfs wat op een beeldscherm gebeurt (afhankelijk van de locatie van de camera).

Gelukkig is er licht aan het einde van de tunnel. Door de aanvulling van de RED, moeten alle slimme apparaten vanaf halverwege 2024 namelijk een CE-markering dragen om te mogen worden toegelaten tot de Europese markt. Het doel van deze CE-markering is:

• Het verbeteren van de veerkracht van het netwerk door functies te eisen die voorkomen dat de apparaten worden gebruikt om de functionaliteit van websites of andere services te verstoren;
• Het verbeteren van de privacybescherming van consumenten door maatregelen te eisen die ongeoorloofde toegang of doorgifte van persoonsgegevens kunnen voorkomen;
• Het verminderen van het risico op geldfraude door o.a. functies te eisen die zorgen voor een betere authenticatiecontrole van de gebruiker.

Nu het thuiswerken voorlopig nog onderdeel zal uitmaken van onze dagelijkse werkroutine en het nog even duurt voordat het 2024 is, is het geen overbodige luxe om over de risico’s van slimme apparaten in de thuiswerkomgeving na te denken. Zo zou kunnen worden gedacht aan de verhoging van het bewustzijn van medewerkers van de risico’s van het gebruik van slimme apparaten in de thuiswerkomgeving. Daarbij zouden tips kunnen worden gegeven als:

• Verander bij slimme apparaten altijd het wachtwoord (gebruik nóóit het standaard ingestelde wachtwoord);
• Kies een sterk wachtwoord (lang, origineel en onlogisch (NB: liever geen namen/data betreffende kinderen, huisdieren of partners);
• Mijd zoveel mogelijk het gebruik van slimme apparaten met camera’s en microfoons in een werkruimte;
• Dek een camera/microfoon van een slim apparaat wanneer dit niet wordt gebruikt;
• Check bij het aankopen van een slim apparaat of iets over beveiligingsmaatregelen wordt gemeld, en of dit geruststelt.

Mocht u meer informatie wensen over de CE-markering of ondersteuning behoeven bij het vergroten van medewerkersbewustzijn inzake het gebruik van slimme apparaten, neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, IE & Privacy

[1] In de RED zijn reeds eisen vastgelegd voor slimme apparaten op het gebied van o.a. gezondheid, elektrische veiligheid en storingsgevoeligheid.