De verlichting in het hele huis op afstand bedienen, energie besparen door apparaten automatisch uit te schakelen of een woning beveiligen met slimme camera’s. De mogelijkheden van domoticasystemen lijken eindeloos. Maar denken we bij deze toepassingen wel genoeg na over de cyberveiligheid?
En wie is hier eigenlijk voor verantwoordelijk?
Daan Keuper, head of security research bij Computest Security, onderzocht in 2019 de cyberveiligheid van KNX-systemen. Daarbij ontdekte hij dat wereldwijd maar liefst 17.444 woningen en kantoren gevaar liepen door een onbeveiligd KNX-domoticasysteem. ‘Systemen die zijn gebaseerd op het KNX-protocol zijn niet bedoeld om aan het internet te koppelen’, legt hij uit. ‘Toch bleek dat veel installateurs dit wel deden, bijvoorbeeld om deze systemen op afstand te kunnen configureren en beheren. Waar zij zich niet van bewust waren, was dat dit protocol destijds van zichzelf geen enkele vorm van beveiliging bevatte.’
Inmiddels heeft de KNX Association applicaties met KNX Secure geïntroduceerd, een ingebouwde versleuteling die wel veiligheid kan borgen. Maar zonder die extra functie kon en kan iedereen met slechte bedoelingen in de installatie komen. ‘Nu zal het bedienen van de verlichting voor inbrekers niet heel interessant zijn, maar het kan wel een opstapje zijn naar de rest van het netwerk, waar bijvoorbeeld gevoelige gegevens te vinden zijn.’
Verantwoordelijkheid
In het onderzoek in 2019 ging het specifiek om KNX-systemen. Maar elk domotica-protocol en -systeem loopt in meer of mindere mate risico. De belangrijkste reden daarvoor, vertelt Keuper, is het ontbreken van wetgeving. ‘Omdat niet goed is vastgelegd wie de veiligheid moet waarborgen, schuiven protocolbeheerders en leveranciers deze verantwoordelijkheid in de praktijk al snel door naar de installateurs. Dat is onverstandig. Cybersecurity is een compleet ander vakgebied dan waar de kennis van de installateur ligt.’
Toch ligt de verantwoordelijkheid in de praktijk wel degelijk bij de installateur. Dat verandert pas wanneer er duidelijke wetgeving is. ‘Op Europees niveau wordt wel hard gewerkt aan de Cyber Resiliance Act, de CRA’, weet Keuper. ‘Met die wetgeving – die ook voor domotica-installaties zal gelden – zijn fabrikanten en leveranciers verplicht om een standaard mate van veiligheid in te bouwen in hun producten. Voor de installateur is dan altijd duidelijk dat het apparaat aan de basiseisen voldoet. Ook moeten fabrikanten duidelijk aangeven hoelang zij gratis beveiligingsupdates voor het product blijven verstrekken. Deze minimumduur is afhankelijk van de verwachte gebruiksduur van het apparaat, maar is ten minste vijf jaar.’
Veel protocolbeheerders en fabrikanten schuiven verantwoordelijkheid af op installateurs
Leverancier
De Rijksoverheid verwacht de CRA echter pas op z’n vroegst in 2027. Wat kunnen installateurs tot die tijd doen om domotica-systemen zo veilig mogelijk te houden? ‘Wat het lastig maakt, is dat je van de buitenkant niet kunt zien hoe veilig een apparaat is. Als installateur moet je dus maar vertrouwen op de leverancier. Dan is het in elk geval aan te raden om met bekende, vertrouwde merken te werken. Het biedt geen garanties, maar over het algemeen kun je hier meer van verwachten op het gebied van security dan van de prijsvechters op de markt.’
‘Natuurlijk kun je als installateur contact opnemen met de fabrikant om naar de beveiliging van het product te vragen. Maar dan moet je wel weten welke vraag je moet stellen en hoe je het antwoord moet interpreteren’, aldus Keuper. ‘Een goede vraag om te stellen is welke informatie via dit apparaat bij de fabrikant terechtkomt. Voelt de klant zich er bijvoorbeeld veilig bij wanneer een Chinese fabrikant mogelijk toegang heeft tot de beelden van zijn IP-camera? Of kies je dan toch liever voor een Europees bedrijf?’
Voorzichtig optimisme
Samengevat ontbreekt de benodigde wetgeving en schuiven veel protocolbeheerders en fabrikanten nog altijd de verantwoordelijkheid van zich af. Dit maakt het voor installateurs lastig om de cyberveiligheid te waarborgen. Dat klinkt als een zorgwekkende conclusie. Toch is Keuper voorzichtig optimistisch. ‘Sinds het KNX-onderzoek uit 2019 zien we wel degelijk verbetering op dit vlak. Zelf begonnen wij toen met trainingen voor installateurs, maar ook in verschillende vakopleidingen komt het onderwerp cybersecurity steeds meer terug. Tips als ‘koppel systemen niet rechtstreeks aan het internet’, ‘gebruik een VPN (virtual private network)’ en ‘weet welke data waarnaartoe gaat’ worden daardoor vanzelfsprekender.’
En ook bij de fabrikanten neemt de aandacht voor cybersecurity langzaam toe. ‘Als een installateur een camera aansluit, was het lange tijd zo dat hier een standaard gebruikersnaam en wachtwoord-combinatie op zat. Veel installateurs zouden deze niet wijzigen, of hooguit aanpassen naar een wachtwoord dat ze overal voor gebruiken. Enerzijds is dit iets dat terugkwam in onze trainingen, maar ook fabrikanten zelf gaan hier nu beter mee om. Langzaam verdwijnen deze standaardcombinaties. En de communicatie tussen domotica-installaties en de bijbehorende mobiele apps is tegenwoordig vaak standaard versleuteld. We zien de situatie dus wel degelijk verbeteren.’
Lange levensduur
Toch blijft het wachten op de CRA voordat installateurs echt op meer wettelijke zekerheid en transparantie kunnen rekenen. En zelfs dan is niet direct de veiligheid van elk product gegarandeerd. Keuper: ‘Het probleem is dat domoticaproducten een vrij lange levensuur hebben. Alle onveilige producten die nu in de schappen liggen, blijven de komende tien jaar nog wel in gebruik. En zelfs als een product straks wettelijk minimaal vijf jaar beveiligingsupdates blijft krijgen, is het niet zo dat consumenten na deze periode het product direct vervangen. Ook dan blijven er dus risico’s bestaan.’