Het was niet mijn waterzuiveraar die als eerste werd gehackt. Het was mijn slimme koelkast. Om 3 uur 's nachts werd de familiekalender op het scherm volledig gewist en vervangen door een bericht in gebrekkig Engels waarin 0,5 Bitcoin werd geëist. De ijsmachine begon ijsblokjes op de vloer te gooien. De binnenverlichting knipperde als een stil alarm. Mijn slimme huis, een verzameling onderling verbonden gemakken, was een gijzelingssituatie geworden in mijn eigen keuken.

Het kostte me een paniekerig en kostbaar telefoontje naar een cybersecurityspecialist om mijn apparaten weer aan de praat te krijgen. Maar zijn laatste vraag bezorgde me nog meer rillingen dan het ijs op mijn vloer: "Heeft u een waterzuiveraar op hetzelfde netwerk aangesloten?"

Dat deed ik. En plotseling veranderde mijn grootste angst van vervuild water in een ander soort gif: digitale sabotage.

We beveiligen onze wifi, updaten onze laptops en zijn op onze hoede voor phishing-e-mails. Maar we sluiten achteloos een apparaat aan op ons netwerk dat directe, fysieke controle heeft over een levensreddende hulpbron – ons water – met een beveiliging die vaak niet robuuster is dan die van een kinderspeeltje. Een gehackte waterzuiveraar is niet zomaar een kapot apparaat; het is een schending op het meest persoonlijke niveau.

De kwetsbaarheid van de "digitale koelkast": het aanvalsoppervlak van uw luchtreiniger.

Mijn cybersecurity-expert tekende de parallellen op een whiteboard. Net als mijn koelkast is mijn geavanceerde 'slimme' waterzuiveraar een computer met netwerkverbinding in een plastic behuizing. Het aanvalsoppervlak is groot:

• Een zwakke app/cloudportal: De inloggegevens om de app te beheren of de gegevens ervan te bekijken, zijn vaak beveiligd met een eenvoudig wachtwoord, soms zelfs een standaardwachtwoord.
• Verouderde, niet-updatebare firmware: De meeste luchtreinigers zijn "installeren en vergeten". Het bedrijf brengt mogelijk nooit meer een beveiligingsupdate uit na de dag van verzending.
• Een permanente datastroom: het apparaat maakt constant verbinding met de server van de fabrikant en stuurt gebruiksgegevens, filterstatus en diagnostische informatie naar die server. Dit kan leiden tot een datalek van uw huishoudelijke gewoonten.
• Fysieke regelkleppen: Dit is het engste gedeelte. Het bevat elektromagnetische kleppen en ventielen waarmee de waterstroom aan en uit gezet kan worden, of waarmee een systeemspoeling gestart kan worden.

In de handen van een kwaadwillende is dit geen theoretisch risico. Het is een blauwdruk voor schade.

De ondenkbare scenario's: van ergernis tot nachtmerrie

Laten we de abstracte term 'datalek' achter ons laten en overgaan tot concrete, plausibele aanvallen:

1. De ransomware-blokkade: het meest waarschijnlijke scenario. De interface van uw waterzuiveraar is geblokkeerd door ransomware. Een bericht op het scherm of in uw app eist betaling om de functionaliteit te herstellen. U kunt de filterstatus niet controleren, geen reinigingscyclus starten of, in extreme gevallen, kan het systeem weigeren water af te geven, waardoor u geen toegang meer hebt tot drinkwater.
2. De 'filterfraude'-oplichting: een hacker krijgt toegang tot de rapportage van het systeem. Ze vervalsen een waarschuwing dat alle filters en het RO-membraan ernstig defect zijn en dringen aan op onmiddellijke vervanging, met een link naar een nep- (of malafide) webwinkel die te dure, namaakonderdelen verkoopt. Ze misbruiken uw vertrouwen in het apparaat om u op te lichten.
3. Het systeem onbruikbaar maken door vandalisme: Een script of aanvaller stuurt een corrupte firmwareopdracht, waardoor het moederbord permanent onbruikbaar wordt. De machine is dan een waardeloos, lekkend object totdat u de volledige vervanging van het moederbord betaalt.
4. Fysieke sabotage (het ergste scenario): Een aanvaller met diepere toegang zou theoretisch de spoel- en ontluchtingskleppen van het systeem onregelmatig kunnen bedienen. Dit zou waterslag kunnen veroorzaken – een drukstoot die leidingen kan doen barsten en een overstroming in uw kasten en muren kan veroorzaken. Het is niet het vergiftigen van het water; het is het misbruiken van het apparaat om uw huis te vergiftigen.

Uw 7-puntenprotocol voor digitale waterbeveiliging

Na het incident met mijn koelkast heb ik dit protocol voor alle aangesloten apparaten ingevoerd, met name voor mijn luchtreiniger. Dat zou jij ook moeten doen.

1. Isoleer het op een gastnetwerk: Maak een apart wifi-netwerk aan (de meeste moderne routers kunnen dit) exclusief voor uw IoT-apparaten. Uw luchtreiniger, verlichting en koelkast bevinden zich hier. Uw laptops, telefoons en werkapparaten blijven op het hoofdnetwerk. Een inbreuk op het gastnetwerk is zo beperkt.
2. Wijzig de standaardinstellingen: verander de standaard gebruikersnaam en het standaardwachtwoord voor de app en het webportaal van de luchtreiniger in een sterk, uniek wachtwoord. Gebruik een wachtwoordmanager.
3. Controleer app-machtigingen: Weiger in de mobiele app van de luchtreiniger ALLE machtigingen die niet absoluut noodzakelijk zijn voor de werking (locatie, contacten, enz.). De luchtreiniger heeft wifi nodig. Dat doet hij.nietIk moet weten waar je bent.
4. Schakel externe toegang indien mogelijk uit: Kun je het apparaat via de app overal vandaan bedienen? Als je het alleen thuis nodig hebt, kijk dan of er een modus 'Alleen lokaal netwerk' is.
5. Controleer of er een fysieke "Wi-Fi-uitschakelaar" aanwezig is: sommige modellen hebben een klein knopje om Wi-Fi uit te schakelen. Als u de slimme functies niet dagelijks gebruikt, schakel de Wi-Fi dan permanent uit. Een eenvoudige luchtreiniger is een veilige luchtreiniger. Stel handmatige kalenderherinneringen in voor het vervangen van de filters.
6. Houd uw netwerk in de gaten: gebruik een eenvoudige netwerkscantool (zoals Fing) om te zien welke apparaten op uw thuisnetwerk zijn aangesloten. Als u iets ziet dat u niet herkent, onderzoek dit dan.
7. Stel de lastige vraag vóór aankoop: Als je onderzoek doet naar een 'slimme' luchtreiniger, stuur dan een e-mail naar de klantenservice van het bedrijf. Vraag: "Wat is jullie beleid met betrekking tot het openbaar maken van beveiligingslekken? Hoe vaak brengen jullie beveiligingsupdates uit voor jullie aangesloten apparaten?" Een ontwijkend antwoord is je antwoord.