Zo maak je je slimme apparaten veilig

Slimme woningen en IoT ('Internet of Things') worden steeds populairder. En terecht: slimme apparaten zoals een thermostaat, stofzuiger, wasmachine en koelkast geven je meer inzicht en controle. Bijvoorbeeld over energieverbruik, tijdstippen waarop ze hun werk doen en onderlinge samenwerking. Slecht beveiligde apparaten vormen echter ook een beveiligingsrisico. Kwaadwillenden kunnen bijvoorbeeld toegang krijgen tot je thuisnetwerk via een IoT-apparaat en vervolgens bij je gegevens komen. Of op basis van het gebruik van apparaten (bijvoorbeeld de afwezig-/aanwezig-tijden van je thermostaat) afleiden wanneer je de deur uit bent. Kortom: genoeg redenen om de beveiliging op orde te maken.

Gebruikt je apparaat aanmeldingsgegevens, zoals een gebruikersnaam en wachtwoord? Kies voor elk apparaat een eigen set aanmeldingsgegevens en hergebruik geen 'credentials' voor meerdere apparaten. Als één van de apparaten wordt gekraakt, betekent dat niet dat de andere apparaten ook meteen risico lopen. Maak gebruik van een wachtwoordmanager, zoals Bitwarden of LastPass. Met deze wachtwoordmanagers kun je bovendien automatisch sterke wachtwoorden laten genereren, zodat je deze zelf niet meer hoeft te bedenken. Sommige apparaten gebruiken een standaardwachtwoord. Verander dit wachtwoord altijd direct bij ingebruikname.

Verander niet alleen het wachtwoord van de slimme apparaten, maar ook het wachtwoord van de router: veel routers maken gebruik van een standaardwachtwoord. Dit kan in de praktijk worden misbruikt door kwaadwillenden.

Overweeg voor de slimme apparaten een apart e-mailadres aan te maken dat je alleen gebruikt voor het aanmelden. In geval van een gegevenslek verklein je hiermee de kans dat je primaire (waardevolle) e-mailadres op straat komt te liggen. Je kunt een aparte mailbox aanmaken, maar er ook voor kiezen om een apart e-mailalias te maken, waarvan alle binnenkomende e-mail wordt doorgestuurd naar je primaire adres.

Steeds meer slimme apparaten bieden je de mogelijkheid om je aan te melden via een bestaand e-mailadres, bijvoorbeeld via Gmail of Apple ID. Ook hierbij geldt: gebruik bij voorkeur een ander e-mailadres. Je voorkomt hiermee dat de fabrikant toegang krijgt tot (een gedeelte van) je profielinformatie en je beschermt hiermee je primaire e-mailadres in geval van een gegevenslek.

Als het apparaat dit biedt, schakel je tweestapsverificatie in. Hiermee voeg je een extra beveiligingslaag aan de toegang toe, bijvoorbeeld door eerst een authenticatiecode op te geven voordat je het apparaat kunt benaderen. Helaas is het gebruik van tweestapsverificatie vooral bij goedkopere IoT-apparaten nog niet vanzelfsprekend, maar zien we gelukkig wel dat fabrikanten deze mogelijkheid steeds vaker aanbieden.

Helaas is het voor slimme apparaten nog niet zo vanzelfsprekend als voor computers, tablets en laptops, maar ook IoT-apparaten kunnen regelmatig updates krijgen. Bijvoorbeeld in de vorm van een nieuwe firmwareversie. Geeft de app van een apparaat de melding dat er een update klaarstaat, installeer deze dan meteen. Stel op het slimme apparaat in dat er automatisch wordt gecontroleerd op nieuwe updates. Controleer daarnaast zelf regelmatig op de aanwezigheid van een nieuwe update op de website van de fabrikant. Zorg er ook voor dat de router en eventuele aanvullende accesspoints altijd werken met de nieuwste updates.

Sommige apparaten kun je op afstand benaderen, bijvoorbeeld als je niet thuis bent en je je dus niet op het eigen thuisnetwerk bevindt. Soms kan dit van pas komen, bijvoorbeeld voor het op afstand inschakelen van de verlichting. Een slimme stekker waarmee je een apparaat inschakelt, hoeft mogelijk niet altijd van buitenaf te worden benaderd. Schakel de afstandsfunctie alleen in wanneer je dat strikt noodzakelijk vindt.

Ben je een meer gevorderde gebruiker en heb je een router die hiervoor ondersteuning biedt, dan maak je voor de slimme apparaten een apart VLAN aan. VLAN staat voor Virtual Local Area Network. Je maakt hiermee een netwerk binnen je bestaande netwerk, waarop alleen IoT-apparaten actief zijn. Dit VLAN geef je minder rechten dan je hoofdnetwerk, waarop 'vertrouwde' apparaten zoals een laptop, tablet en telefoon actief zijn. Apparaten op het IoT-VLAN geef je rechten om wel of niet online te gaan, maar bijvoorbeeld geen rechten om apparaten op het hoofd-VLAN met vertrouwde apparaten te benaderen. Andersom mag het wel: vertrouwde apparaten mogen de slimme apparaten op het IoT-VLAN uiteraard wel benaderen en besturen. Ook kun je in een VLAN aangeven dat de apparaten elkaar onderling niet mogen zien of met elkaar mogen communiceren.

Een apart VLAN voor slimme apparaten is een uiterst effectieve manier om de beveiliging van je slimme woning te verhogen. Vooral oudere en goedkopere apparaten die niet (meer) worden onderhouden, verdienen een plek in dat netwerk.

Lees ook: Zo maak je zelf VLAN's aan

Naast een VLAN maak je een apart draadloos netwerk aan voor de IoT-apparaten en zorg je ervoor dat de apparaten alleen met dat draadloze netwerk mogen verbinden. Noem dit netwerk bijvoorbeeld 'Thuisnetwerk-IoT'. Verbonden apparaten maken vervolgens alleen gebruik van het eerdergenoemde IoT-VLAN. Prettig aan een aparte SSID is bovendien de mogelijkheid om dit netwerk bijvoorbeeld alleen te laten werken op de 2,4GHz-band (en niet op de 5GHz-band). Deze aanpak kan in de praktijk verbindingsproblemen voorkomen met vooral eenvoudiger IoT-apparaten die de 5GHz-band niet ondersteunen. Sommige routers hebben al een ingebouwd IoT-profiel, waarmee je snel een los netwerk opzet dat geoptimaliseerd is voor de slimme apparaten. Bekijk de handleiding van de draadloze router of toegangspunt voor de specifieke instelmogelijkheden. Heeft je router geen geavanceerde instelmogelijkheden, overweeg dan om een draadloos gastnetwerk ('Guest') te activeren en alle slimme apparaten hiermee verbinding te laten maken.

Met Universal Plug & Play (UPnP) kunnen apparaten op hetzelfde netwerk elkaar sneller vinden en met elkaar communiceren. Dat geeft je uiteraard veel gemak, maar UPnP kan ook een risico voor je beveiliging vormen, bijvoorbeeld wanneer een van de slimme apparaten geïnfecteerd raakt. Er ontstaan dan verschillende risico's. Zo kan de firewallbeveiliging worden ondermijnd of kunnen instellingen worden aangepast zonder je toestemming. Schakel UPnP uit wanneer dit niet strikt noodzakelijk is voor een goede werking van je slimme apparaten. Hoe je dat doet, is afhankelijk van de router en vind je in de handleiding.

Niet elk slim apparaat heeft toegang tot internet nodig. Denk aan apparaten die je alleen via het thuisnetwerk bedient, bijvoorbeeld via huisautomatisering (zoals Home Assistant) of een app die lokaal verbinding met het apparaat maakt. In zulke gevallen kun je de toegang tot internet uitschakelen via de router of het draadloze toegangspunt. Hoe je dat doet, lees je in de instructies van je router.

Geef een slim apparaat niet meer rechten dan nodig. Vraagt het apparaat (bijvoorbeeld via de meegeleverde app) om de locatie op te vragen? Geef alleen toestemming als dit voor de werking nodig is. Ook andere machtigingen, zoals het gebruik van de microfoon of toegang tot de fotomappen, geef je niet vanzelfsprekend aan het apparaat. Gebruik je het apparaat in combinatie met een app en is het voor het gebruik nodig dat je de locatie deelt, kies dan voor Alleen tijdens het gebruik van de app.

Ken je de website Privacy Not Included al? Deze website bespreekt allerhande slimme apparaten en richt zich daarbij op de privacy- en veiligheidsaspecten. Je kunt zoeken op categorie – zoals Smart Home – en op merk of model. Bovenaan elk artikel zie je de beoordeling op het gebied van veiligheid. Laat de veiligheid te wensen over, dan vind je aan het einde van de beoordeling praktische tips om jezelf beter te beschermen.

Maak je gebruik van een slimme tv met Android TV of Google TV? Dit systeem staat erom bekend reclames en andere 'aanbevelingen' te tonen, ook als je hier niet om hebt gevraagd. Gelukkig bestaan er verschillende launchers waarmee je de standaardomgeving kunt vervangen door een interface zonder reclame. Een goed voorbeeld hiervan is Projectivy Launcher, dat je kunt vinden via Google Play. Projectivy Launcher is relatief compact, waardoor het ook werkt op oudere en minder uitgebreide smart-tv's. Bovendien kun je de gebruikersomgeving verder naar je hand zetten, bijvoorbeeld door de indeling van de secties aan te passen en ongebruikte apps te verwijderen of te verbergen.

Als je geen behoefte hebt aan reclame, kun je voor de individuele apparaten (zoals de smart-tv) op zoek gaan naar manieren om de reclame te onderdrukken. In plaats daarvan kun je ook reclame volledig weren van het netwerk met een slimme oplossing zoals Pi-hole. Hiermee schakel je een advertentieblokkade op netwerkniveau in. Pi-hole ondersteunt verschillende besturingssystemen. Zo kun je het installeren op een desktopcomputer, maar ook op een Raspberry Pi. De makers hebben veel aandacht besteed aan de stappen voor de installatie. In de praktijk is het instellen van Pi-hole op een router een snelle manier om advertenties voor elke netwerkgebruiker (inclusief slimme apparaten) te weren. Open de sectie Router setup op de eerdergenoemde pagina en controleer de stappen voor bekende merken zoals ASUS, TP-Link en Ubiquiti.