De komst van internet of things (IoT) maakt het eenvoudig om alles op internet aan te sluiten. Waarbij zich de vraag opdringt wie de touwtjes in handen heeft als het gaat om toegang tot IoT-apparaten? Tralies voor de ramen, goede sloten en een waakhond zijn niet voldoende om je privacy te beschermen. Geven we als consument niet te veel uit handen om te kunnen zeggen dat ons huis voldoende tegen ‘inbraak’ beschermd is?
De essentie van IoT is dat we alles wat vroeger niet aan internet hing, aan internet ophangen. Maar IoT gaat verder dan dat. Vroeger werd je erf bewaakt door een herdershond, tegenwoordig door een slimme camera. Google Nest impliceert zelfs met de slogan ‘je huis slimmer dan ooit’ dat het een betere koop is dan een hond. Om te vergeten dat het toegang krijgen tot camerabeelden een stuk eenvoudiger kan zijn dan het passeren van de herdershond.
Zo was er een Canadese wittehoedhacker die het gelukt was bij een Amerikaan ‘binnen’ te komen via de Nest-camera. Via de luidspreker vertelde de hacker de eigenaar in een vriendelijk gesprek dat hij toch iets beter naar zijn beveiliging moest kijken. De hacker kon namelijk eenvoudig zien wanneer hij thuis was, en wanneer juist niet. Ik denk dat veel consumenten niet weten hoe de IoT-devices geproduceerd worden en al helemaal niet bekend zijn met de mogelijke veiligheidsrisico’s. Dat standaardmodellen worden verkocht aan verschillende producenten waarna het als massaproduct, inclusief mogelijke beveiligingsfouten, geproduceerd wordt, is ook slechts bij weinigen bekend. Veiligheid is voor de consument niet de hoogste prioriteit, het product moet het ‘gewoon’ doet. Zolang de consument veiligheid niet de voorrang geeft, zal geen fabrikant de verantwoordelijkheid nemen.
Doosje keelpastilles
De vragen die de drogist stelt als je een doosje keelpastilles komt halen, zijn de normaalste zaak van de wereld. Maar bij wie kan je terecht met vragen over je IoT-devices? De AVG heeft in Europa de consument iets bewuster gemaakt van persoonsgegevens, maar slechts weinig consumenten weten wat er met hun gegevens op IoT-apparaten gebeurt. Sterker nog, het lijkt alsof het slechts weinigen interesseert dat hun gegevens op een server in China of Rusland belanden. Een keurmerk zou voor de consument licht in de duisternis geven. Als het dan maar niet zo’n ‘bewuste keuze’-vinkje gaat worden, dat tegenwoordig op alle producten zit waarvan je je af kan vragen hoe ‘bewust’ die keuze daadwerkelijk is. Doorgaans ben ik geen fan van keurmerken maar een soort ‘bijsluiter’ of ‘IoT-keurmerk’ zou in deze ondoorzichtige wereld uitkomst bieden.
Of moeten er gewoon meer informatievoorzieningen komen? Daarbij moet ik denken aan de website Laatjeniethackmaken.nl, ontwikkeld door Nederlanders, met als doel consumenten inzicht te geven in online risico’s. Voor mijn moeder, die dertig procent van de tips wel weet, toch een goede bron om te leren wanneer je een e-mail het beste niet kan openen en hoe vaak je je wachtwoorden nou moet wijzigen. Maar stel dat we zo’n website zouden maken over de mogelijke risico’s van IoT-devices, dan is de lijst met tips even lang, maar weet mijn moeder daarvan slechts vijf procent.
Niets te verbergen
What happens on your iPhone, stays on your iPhone. De slogan van Apple klinkt prachtig. Ik hoor van consumenten dan ook vaak het verweer dat ze niets te verbergen hebben. Het ironische is dat jij het product bent. Het eenmalig aanschaffen voor een paar tientjes is namelijk niet hoe de schatkist van Apple en concurrenten gevuld blijft. Dat gebeurt met de passende advertenties die jij ontvangt nadat jouw spraakdata in tekst wordt omgezet om zo bij te houden waar jij het over hebt als je thuis bent. Apple verdient steeds meer aan de diensten die je gebruikt. En geef toe, eenmaal gewend aan de Apple-store met al je aankopen en alle diensten die je gebruikt, switch je niet zomaar naar een concurrent. Een prachtig businessmodel. Ik denk dan ook dat je niets hoeft te verbergen. Al helemaal niet na de berichten die Apple vorig jaar naar buiten bracht, met daarin als doel werelds eerste ‘privacy first’-bedrijf te willen worden. Zelfs als gebruiker van Facebook hoef je je tegenwoordig geen zorgen meer te maken als we het statement van Zuckerberg mogen geloven. Toch moet je als consument wel weten hoe deze online-wereld werkt. Daarnaast is het van belang dat niet alleen consumenten, maar ook producenten en overheden verantwoordelijkheid gaan nemen en het bewustzijn gaan bevorderen.
Het is best genieten van IoT in mijn huis. Zo vertelde ik in een vorige blog dat ik een ‘smart fridge’ heb. Toch blijf ook ik kritisch; een Alexa of Google Home gaat een stap te ver. Ondanks dat Amazon gestopt is met het leveren van ‘Dash buttons’ moet ik altijd gniffelen om de beelden van een peuter uit Amerika die ‘per ongeluk’ koekjes en een enorm poppenhuis besteld heeft. Of toen een tv-reclame opeens voor een enorme bestelling van Purina-kattenvoer had gezorgd. Al lijken deze kinderziektes verleden tijd, toch twijfel ik nog steeds wie nou de touwtjes in handen heeft als het gaat om de mogelijkheden van IoT devices.
“Toch blijf ook ik kritisch; een Alexa of Google Home gaat een stap te ver. ”
Pas toen besefte ik me: Dit is satire toch? Dit stuk is toch grappig bedoeld? Zonder knipoog of smiley denk ik al snel aan poe’s law:
Poe’s law is an adage of Internet culture stating that, without a clear indicator of the author’s intent, it is impossible to create a parody of extreme views so obviously exaggerated that it cannot be mistaken by some readers for a sincere expression of the parodied views. – by Nathan Poe
Want als je serieus bent, dan neem ik je niet serieus. Je hebt een smartphone toch? En daar zit ook een microfoon in, en ook een camera. Dus als je bang bent afgeluisterd te worden dan heb je geen Google Home of Alexa nodig.
“Dat gebeurt met de passende advertenties die jij ontvangt nadat jouw spraakdata in tekst wordt omgezet om zo bij te houden waar jij het over hebt als je thuis bent.”
Ook dat is humoristisch toch? Bij Jacob Spoelstra reageren mensen ook veel te serieus. Zo wil ik niet zijn, maar ik twijfel enorm. Zeker omdat onze devices niet continu luisteren en opnemen wat wij zeggen zonder het code wordt als “Hey Google” of “Alexa”.
Maar goed ik geef je de voordeel van de twijfel; je ben niet serieus.
Niet mijn type humor, maar goed, smaken verschillen.
@Henri Ik denk dat het wel serieus is bedoeld. Of mis ik nu weer wat? Je hebt wel een punt natuurlijk, met de smartphone als voorbeeld. Kan het het me amper voorstellen dat de microfoon daarvan gebruik wordt, maar je weet het niet. Dat is het juist, dat je amper overziet wat sofware allemaal doet. Vind ook dat de schrijver wel een punt heeft met bijsluiters en keurmerken voor IOT devices. Maar dan kan je nog wel wat bedenken. Bijvoorbeeld, zo zou ik graag een keurmerk zien voor schone websites, zonder trackers of andere extra code anders dan functioneel. Was onlangs ook in het nieuws, met trackers volgeramde sites. Politieke partijen, kranten, etc.
Even terug zijn er uitzendingen van Radar geweest waarbij men dat ook deed. Door een wijk heen rijden en kijken wat er open staat. Zo zie ik nog een ouder echtpaar blij verrast naar buiten komen met een print op de computer, geprint door de beveilingspexpert. Maar ook mensen die ronduit woest reageerden toen ze attent waren gemaakt op een openstaande NAS of thermostaat. Het is me wat.
Hee Louis, de mensen zijn veel gekker en gevaarlijker dan de ict. Internet of Things vs Society of People. Straks AI en singularity, dat maakt het allemaal veeel overzichtelijker 😕
Disclaimer : deze reactie kan bijeffecten hebben : veel hoofdpijn, weinig hoofdpijn, bitje hoofdpijn.
Spijt me Henri, hij heeft een punt.
Bij mijn analyse met umatrix van websites schrik je wat er alles aan tracker en van twijfelachtige CDN’s geladen wordt.
De situatie op dit moment is zo dat Google bepaalt hoe internet wordt vormgegeven, wie niet conform Google’s regels werkt wordt niet gevonden, dat is slecht, Bing, Yahoo en Yandex zijn te klein. Android is Google’s reclameplatform, dat je daarmee kunt telefoneren lijkt bijzaak.
Bij e-mail schrijft Google voor, wat alle kleinere mailservers allemaal moeten regelen want anders komt de post niet aan bij g-mail, dat is slecht.
Na MS hebben we (de massa) nu Google te groot gemaakt om goed voor de gebruiker te zijn, er is geen gezonde concurrentie waar monopolen heersen.
De devices met IOT hebben vaak niet eens een fatsoenlijke mogelijkheid om overmatig dataverzamelen te beperken of uit te zetten, zelf bij TV’s was dat al een ramp.
Van de politiek is niet veel te verwachten. Hier in Oostenrijk pleit de parlementsvoorzitter openlijk voor het autocratische Chinese systeem van sociale bewaking van de bevolking.
Je kop in het zand steken helpt niet, mensen motiveren om daaraan niet meer deel te nemen helpt een beetje maar de massa marcheert graag achter haar “idolen” dat was altijd al zo. Vandaag worden die “idolen” echter als marionetten bediend van een hele kleine groep, die alleen haar eigen interesses bedient.
Wie de mix uit Duitse en EU-politiek volgt kan dat moeiteloos herkennen.
Jan (and Louis for that matter); Ik reageer op een aantal teksten in het artikel. Het tracken, volgen en het gebrek aan goede security practices bij IoT devices is inderdaad een epidemie. Dit is ook de reden dat ik zeer scripts en trackers blokkeer, advertenties? Ik zie ze niet en daarnaast heb ik een aantal hostfiles neergezet die praktische alle bekenden advertentie netwerken routeren naar 0.0.0.0.
Waar ik over val zijn de onderdelen die niet kloppen of waarvan de schrijver Robert het in mijn ogen niet goed ziet. Google Home als een invasie bestempelen terwijl je waarschijnlijk een smartphone altijd bij je hebt. Of suggereren dat Google / Apple je afluisteren om advertenties te verkopen. Net als met een voorgaand artikel van hem over blockchain deel ik sommige delen van de conclusie wel, maar niet te manier waarop hij tot de conclusie komt.
Ik heb het boek “unhacked” van Rian van Rijbroek gelezen. Dat boek staat bol van zinnige dingen en anekdotes, leest goed weg, maar bevat ook zeer storende fouten en onwaarheden waardoor de netto opbrengst zeer beperkt blijft. Door haar eerdere optreden die echt te gek voor woorden was wordt ze meteen niet meer serieus genomen.
Robert schrijft ook hele mooie dingen: ” Veiligheid is voor de consument niet de hoogste prioriteit, het product moet het ‘gewoon’ doet. Zolang de consument veiligheid niet de voorrang geeft, zal geen fabrikant de verantwoordelijkheid nemen.”
Daarnaast snap ik jouw angst voor Google wel hoor Jan, maar veel dingen die Google doet hebben juist ook goede redenen en motivaties. Dat het internet grotendeels HTTPS geworden is hebben we voor een redelijk deel aan Google te danken. (lagere ranking + Let’s Encrypt heel hard ondersteunen).
@henri
ik ben met je eens dat Google ook heel zinnige dingen gedaan heeft bij https heb ik een ambivalent gevoel, voor de volkstuin vereniging is dat toch wat overdreven.
Zoals altijd, de werkelijkheid is grijs en niet zwart of wit.
De site Laatjeniethackmaken heb ik doorgelezen, daar staan zeker zinnige dingen in maar ook een aantal uitspraken die heel erg bedenkelijk zijn.
Wat me aan het huidige Google stoort is de dwangmatigheid om hun standpunten met de marktoverheersing door te drukken, als kenmerk van een algemene tendens de kleinere bedrijven te elimineren, dat is slecht voor de ontwikkeling van de maatschappij in het algemeen.
Zoals in de natuur, diversiteit beschermt tegen verval.
Hi Jan,
laatjeniethackmaken.nl vind ik een sterke bron van informatie, heb het gelezen toen het live gezet werd en kan me niet herinneren dat ik het ergens heel erg niet mee eens was.
De werkelijkheid is niet alleen ergens tussen zwart en wit in, maar heeft ook oneindig aantal dimensies. Zelfs harde wetenschap beschrijft vaak maar een piepklein stukje van iets en wordt al snel corrupt als je er teveel facetten aan toekent.
Dat grote bedrijven (met platformen) bedenkelijke beslissingen nemen en hier in persisteren herken ik ook wel. Iedere grootmacht leidt hier vroeg of laat aan. Het is eigenlijk de spagaat dat zoals je die bijvoorbeeld in journalistiek ziet: Smeuïge artikelen worden beter gelezen dan feitelijke beschrijvingen. De verleiding om hieraan toe te geven is zeer hoog en bij publieke bedrijven liggen de machtsverhoudingen ook weer heel moeilijk.
En je laatste zin is natuurlijk een hele mooie doordenker die pas begrepen wordt als je bijvoorbeeld on the origin of species gelezen hebt.
De Amerikaanse regering kan met de Sherman Act al die grote bedrijven wetmatig opdelen zoals destijds ook met AT&T en Standard Oil is gebeurd. Maar in 2001 is Microsoft genadig vanaf gekomen. Hoog tijd om die Act te ‘upgraden’ dus. Niet dat politiek realistisch is overigens want Silicon Valley is inmiddels traditioneel donateur aan de leden van Capitol Hill.
@Dino Helemaal eens, computers zijn leuk, maar geef het in handen van mensen en ze gaan er allemaal enge en nare dingen mee uithalen. Singularity en AI zei me niets, maar ik heb het even opgezocht. Dat is nog niet eenvoudig! Maar als ik het goed begrijp komt er een punt dat machines zo slim zijn dat ze met de mens aan de loop gaan en overbodig maken. Ik moest toen denken, de mens ligt hieraan ten grondslag dus ik ben dan bang dat we van die machines ook niet veel goeds te verwachten hebben.
Over mens en machine las ik dit artikel van Karin Spaink. Vond ik een leuk artikel.
https://www.spaink.net/2019/03/20/piloot/
Goede site die laatjeniethacken.nl, daar kan ik als digitale spookrijder nog een hoop van leren. Dit is geen wereld voor naieve mensen, dat dacht ik zeker toen ik vanochtend wakker werd.
@Henri Is het niet treurig dat je allemaal van dit soort maatregelen moet nemen om uit zich te blijven?