Eerder deze maand werd bekend dat grote online warenhuizen als Amazon en eBay het 'slimme speelgoed' CloudPets uit de verkoop haalden. De interactieve knuffel bleek spraakopnames van kinderen en ouders onbeveiligd online op te slaan. Het is niet het eerste voorval en zal ook zeker niet de laatste zijn, waardoor de discussie wordt aangezwengeld hoe we hiermee moeten omgaan. Wie zijn verantwoordelijk voor de veiligheid van ‘connected’ speelgoed en andere producten die we in huis halen?
Tekst: Dennis de Leest
Eerst even het voorval verder toelichten. In februari 2017 kwam al aan het licht dat miljoenen berichten die met de knuffel waren opgenomen, via internet terug te vinden waren. Nadat hiervan melding werd gedaan bij fabrikant Spiral Toys, beloofden zij beterschap. Hoewel er maatregelen zijn doorgevoerd, bleken deze niet afdoende: opgenomen spraakberichten waren afgelopen maand nog steeds toegankelijk. Verschillende online retailers hebben daarom de beslissing genomen om het speelgoed uit de schappen te halen. Dit is een heldere beslissing, zij het wat aan de late kant, en geeft een duidelijk signaal af richting de fabrikant. Maar zijn zij de enige die hier een rol in spelen?
Speelgoed en andere producten komen bij ons op de markt met een CE-certificatie. Dit zegt iets over de gezondheidsrisico's en veiligheid van het product volgens de Europese standaarden. Veel consumenten staan er niet bij stil dat zo'n keurmerk niks zegt over de beveiliging van gebruikte software in zo’n product. De software en opslag van CloudPets is duidelijk niet goed getest, maar er zijn ook geen keurmerken of bewijzen dat dit bij andere populaire producten wel het geval is. Denk eens aan de slimme assistenten die we massaal in huis halen en continu meeluisteren en gesprekken opslaan. Er moet dus binnen de industrie worden nagedacht over een goede aanpak hiervan. En daar zijn meerdere spelers bij betrokken.
Enerzijds zijn dat uiteraard de fabrikanten. Zij moeten zorg dragen voor deugdelijke software en beveiligde aanvullende diensten. Zeker met speelgoed, waarbij de privacy van kinderen in het geding is. Distributeurs en importeurs hebben echter ook een verantwoordelijkheid. Zij mogen strengere eisen stellen aan de kwaliteit en beveiliging van producten. Speelgoed is een dynamische markt en de ontwikkelingen volgen elkaar snel op. Het is zaak bij te blijven bij de trends, maar dat moet wel veilig gebeuren. Zij fungeren als filter tussen fabrikant en winkeliers. De retailers lopen ook risico met dergelijke producten. Het uit de verkoop halen van deze CloudPets is een moedige, veelzeggende stap waarmee ze de belangen van zichzelf én die van hun klanten behartigen. Ten slotte moeten ook de consumenten zelf bewuster zijn van wat ze in huis halen. In veel gevallen koop je iets ter goeder trouw, omdat het erg lastig kan zijn meer informatie te achterhalen, maar kritisch blijven is wel noodzakelijk.
In de VS wordt gewerkt aan een wet rond IoT cybersecurity die bepaalt dat apparatuur aan bepaalde regels moet voldoen, zonder standaard wachtwoorden en met robuuste firmware die patches kan krijgen. Het is dus een gedeelde verantwoordelijkheid. Speelgoed is het nieuwste voorbeeld van de groeiende hoeveelheid apparaten die we met internet verbinden en in huis halen.
Zolang alle betrokken partijen hiervan bewust zijn en hoge eisen stellen, kunnen we met een gerust hart online speelgoed blijven kopen.
Dennis de Leest is senior Field Systems Engineer bij F5 Networks en trendwatcher op security-vlak.
Er is op dit moment 0 keer gereageerd op:
Wees strenger bij inkoop en verkoop IoT-apparatuur
Je kunt niet meer reageren op dit artikel.