Recent kopte de NOS met “Amerikaanse overheid kan bij e-mail van Nederlandse overheden en kritieke bedrijven”. Het is niet ondenkbaar dat voor velen de eerste reactie “Ja, dus?” is.
Maar het artikel stipt iets belangrijks aan: ja, nu zijn we nog kameraden met de USA en hoeft het absoluut geen probleem te zijn dat we massaal e-mailen via Amerika. Maar de Oekraïne oorlog toont aan dat de verhouding tussen landen zomaar om kan slaan. En dan? Wat gebeurt er dan met al ons mailverkeer dat via Amerikaanse servers verloopt?
Het artikel van de NOS gaat dieper op deze vragen en de potentiele problemen die dit gegeven kan opleveren in. Zeker de moeite waard het te lezen!
Dezelfde situatie, maar dan binnen huishoudens
Het artikel deed ons ook aan iets anders denken. Namelijk aan de Tuya Cloud. En voor u denkt “Ik heb geen idee wat de Tuya Cloud is, volgens mij heb ik er niets mee te maken. Ik klik dit artikel weg.”, meteen even iets om een beeld te vormen van hoe de Tuya Cloud zich in het dagelijks leven van enorm veel mensen heeft genesteld:
Wakker worden bij natuurlijk daglicht dankzij gordijnen die automatisch open gaan om 7:00. Het huis afsluiten met sloten die via een app te besturen zijn. Vervolgens op het werk het thuisfront met beveiligingscamera’s in de gaten houden en via de deurbel kletsen met de postbode. Om aan het einde van de dag heerlijk warm thuis te komen bij een thermostaat die al op 19.5 graad staat. En als de avond voorbij is, dan schakelt één spraakcommando alle sfeerverlichting uit.
Wereldwijd IoT platform
Of u nu volledig overgestapt bent op een Smart Home, of enkel gebruik maakt van slimme ledverlichting: het kan zomaar zo zijn dat er gadgets binnen uw huis gekoppeld zijn aan de Tuya Cloud. Tuya Smart is een wereldwijd IoT-platform dat veel productontwikkelaars gebruiken.
Het is namelijk nogal duur zelf een app of platform te ontwikkelen. Velen kiezen er dus voor die van Tuya te koppelen aan hun slimme camera, slimme ledverlichting of andere slimme oplossingen. Vooral producten uit het goedkopere segment zijn vrijwel zeker gekoppeld aan de Tuya Cloud. Want ja: hoe goedkoper het product, hoe kleiner de kans dat ze budget hebben gehad om zelf een platform te ontwikkelen.
Maar ook producten uit de midrange maken geregeld gebruik van de Tuya Cloud. Die overigens levenslange ondersteuning biedt.
Tuya Cloud komt uit China
Als het om technologie gaat, komt er een hoop uit China. U raadt het vast al: Tuya Cloud ook. En eigenlijk wringt hierdoor de schoen al direct. Want er zijn al voldoende mensen die bewust geen Chinese Huawei telefoon kopen omdat ze bang zijn voor hun privacy.
Of die angst nu (op dit moment) terecht is of niet: het komt er wel op neer dat de kans ook aanwezig is dat precies deze mensen die geen Huawei kopen, onbewust toch Tuya Cloud producten in huis hebben gehaald. Want waar er op de smartphone groot “Huawei” staat, is dat bij Tuya IoT producten niet het geval.
En dan is er nog de groep mensen die zich niet bezig houden met privacy kwesties die natuurlijk ook Tuya Cloud producten in huis hebben.
Het hoeft geen probleem te zijn. Toch?
Net als bij de Amerikaanse e-maildiensten hoeft het allemaal geen probleem te zijn. Want wij Europeanen worden gewoon beschermd met de wet AVG. Die wet is van toepassing op alle bedrijven die gegevens van Europese burgers verwerken. Dus ook Tuya Cloud heeft zich eraan te houden.
Maar: het is wel goed om erbij stil te staan dat China nog altijd haar eigen wetgeving rondom privacy heeft. Het naleven van die wetgeving in combinatie met de Europese AVG kan in de praktijk ingewikkeld zijn.
Kunnen we perfectie verwachten? Het antwoord: nee. Een goed voorbeeld is dat de wet van China gegevens op kan eisen van bedrijven wiens servers zich in China bevinden. Inclusief buitenlandse gegevens. Wat doet die mogelijkheid met de vertrouwelijkheid van de gegevens die via slimme apparaten worden verwerkt?
De relatie tussen China en Nederland
Dan is er nog de relatie tussen China en Nederland. We kennen China als Nederland’s belangrijkste handelspartner binnen Azië én als business hub van een groot aantal Nederlandse bedrijven. Zeker geen verkeerde relatie dus. Toch?
Nou, juist die handelsrelatie maakt dat de gemoederen zomaar om kunnen slaan. Nederland kreeg vorig jaar namelijk nog een waarschuwing van China. Toen waarschuwde de Chinese ambassadeur Tan Jian dat Nederland de goede relatie op het spel zet, als het Nederlandse kabinet de export van geavanceerde chipmachines naar China werkelijk zou gaan blokkeren.
Tot nu toe is de situatie nog allemaal rustig gebleven. Maar wat voor risico’s lopen gebruikers van de Tuya Cloud als de relatie tussen Nederland en China wél verslechtert?
Risico op staatsgestuurde cyberaanvallen
China heeft al best een reputatie als het gaat om wereldwijde cyberaanvallen. Zowel staatsgestuurd als niet-staatsgestuurd. Als er kwaad bloed komt tussen Nederland en China, is het niet ondenkbaar dat het land Tuya onder druk zet voor gegevens van gebruikers. Om die weer in te zetten voor staatsontwrichtende cyberaanvallen:
1. Spionage en datadiefstal
Wie er even bij stilstaat, realiseert zich al snel dat de Tuya Cloud een bron aan informatie is. Denk aan locatiegegevens, gebruikersvoorkeuren en apparaatgebruikspatronen. Allemaal informatie die in te zetten is voor (economische) spionage.
In het meest ongelukkige geval waarin (mensen van) de overheid de Tuya Cloud gebruikt, kan China zelfs daar data over verzamelen. En misschien invloed hebben op besluitvormingsprocessen, bijvoorbeeld door afpersing.
Het blijkt dat een Tuya apparaat al sneller in huis gehaald is dan gedacht. Zo hoeft één puberdochter smartlights van de Action te kopen, en het is er al.
2. Netwerken doorlichten en malware installeren
Een ander mogelijk scenario is dat de Chinese overheid de Tuya Cloud exploiteert om toegang te krijgen tot slimme apparaten in huishoudens (en bedrijven). Via Tuya zijn ze al binnen, dus de stap om netwerken van binnenuit te scannen en door te lichten is snel gezet. Met deze rechten kunnen ze ook nog een malafide software installeren.
3. DdoS met Tuya apparaten
Een DdoS overbelast een service als een website door er heel veel verkeer tegelijkertijd op af te sturen. Daarvoor zijn er een groot aantal apparaten die als dat verkeer kunnen dienen nodig. U voelt hem vast al aankomen: als China een DdoS aanval wil doen op overheidsdiensten van een land waarmee ze in conflict zijn, dan hebben ze via Tuya enorm veel apparaten om daarvoor in te zetten.
Tuya Cloud: het hoeft geen gevaar te zijn
Maar het kan wel. In de oorlog tussen Oekraïne en Rusland zijn al cyberaanvallen ingezet. Het NCSC-NL heeft cyberaanvallen door conflict dan ook meegenomen als een legitiem scenario waar Nederland alert op moet zijn.
Het Tuya verhaal toont aan dat we soms denken een simpel apparaat om lampen aan te sturen in huis hebben gehaald. Zonder erbij stil te staan dat het in de verkeerde handen veel meer kan. Zelfs als een app er betrouwbaar uitziet en het product afkomstig is van een bekend Duits merk, kan er Tuya achter zitten.
Moeten we volledig wantrouwend worden? Dat valt niet te voorspellen. Maar het laat wel zien dat we voorzichtig moeten zijn met slimme apparaten en altijd moeten nadenken over onze privacy en veiligheid online.
