in

Candle bewijst: internet-of-things en privacy kunnen samen


Je huis automatiseren is leuk en praktisch, maar welke data geef je op die manier prijs aan de buitenwereld? Candle is een zelfbouwsysteem voor slimme huizen dat maximaal rekening houdt met de privacy van gebruikers. We spreken erover met hoofdontwerper Tijmen Schep.

Soms kom je voor verrassingen te staan als je smarthome-apparaten in contact staan met het internet. Hoe kun je zeker weten dat je niet ongemerkt in je eigen huis wordt afgeluisterd? Hoe voorkom je dat je IoT-apparaten worden gehackt? Wie heeft toegang tot de sensordata en gebruiksscenario’s die in de cloud zijn opgeslagen? Slimme speakers zijn daarbij het bekendste voorbeeld maar zeker niet de enige smarthome-apparaten die een inbreuk op je privacy kunnen vormen.

Dat kan zelfs gelden voor een onschuldig ogend apparaat zoals een stofzuigerrobot. Dat bleek toen de directeur van iRobot in 2017 werd geïnterviewd door Reuters. Hij kondigde een nieuw verdienmodel aan, op basis van de huisplattegronden die stofzuigerrobot Roomba zelfstandig maakte. iRobot zou de plattegronden, als gebruikers daarmee instemden, met andere bedrijven kunnen delen. In hetzelfde artikel theoretiseerde een AI-professor dat deze data inderdaad interessant zouden kunnen zijn voor bijvoorbeeld leveranciers van geluidsapparatuur, airconditioning of verlichting. Ze zouden aanbiedingen op maat kunnen doen op basis van het aantal kamers en hun inrichting.

De makers van Candle, een Amsterdams collectief van privacy-experts en ontwerpers, onderzochten de afgelopen twee jaar hoe de privacy van smarthome-gebruikers beter beschermd kan worden, zonder het gebruiksgemak te verminderen. Dat bleek verrassend goed mogelijk, aldus hoofdontwerper Tijmen Schep.

Een eerste prototype van Candle was eind oktober te zien op de Dutch Design Week in Eindhoven. Bezoekers konden privacyvriendelijke alternatieven bekijken voor veelvoorkomende slimme producten, zoals een slim slot, thermostaat, lichtschakelaar en bijvoorbeeld een fijnstofmeter.

Tijmen Schep, technologiecriticus en schrijver van het boek ‘Design my Privacy’.

Candle is vooralsnog meer een concept dan een productlijn. Het is een demonstratieproject met als belangrijkste doel om bedrijven te stimuleren hun producten privacyvriendelijk te maken.

Candle is daarnaast ook een zelfbouwproject. Elke productbeschrijving op de website sluit af met stapsgewijze instructies om het apparaat zelf te bouwen. Die bestaan uit een opsomming van de gebruikte onderdelen, plus instructies om ze samen te voegen en er daarna de juiste code naar te uploaden.

Om bijvoorbeeld de Candle-fijnstofmeter te bouwen, verbind je een oled-schermpje, een fijnstofmeter en een radiomodule van Arduino met een Arduino Nano. Daarna leg je via de usb-ingang contact met de Candle Manager in je browser en geef je opdracht om de juiste code naar de fijnstofmeter te uploaden.

Zonder cloud

Veel smarthome-systemen werken alleen als ze verbonden zijn met het internet. Wanneer het internet eruit ligt, zijn ze dus niet meer bruikbaar. Hetzelfde geldt als de leverancier failliet gaat.

Het Candle-team gelooft dat slimme huizen uit beveiligingsoverwegingen maar beter niet met de cloud verbonden moeten worden. Dat is volgens hen ook helemaal niet nodig. Het Candle-systeem heeft daarom geen internetverbinding, alleen een lokaal netwerk.

Candle-apparaten opereren geheel zelfstandig. Ze hebben zelfs geen netwerkverbinding nodig om te functioneren. Meetwaarden zijn rechtstreeks op het lcd-schermpje van het apparaat te bekijken. Alleen als gebruikers daar expliciet voor kiezen omdat ze bijvoorbeeld historische overzichtsgrafieken willen bekijken, stuurt het apparaat meetgegevens door naar de Candle Controller.

Voorbeelden van Candle-apparaten

Candle Controller – Het bedieningspaneel van Candle bevindt zich in de browser en reageert op spraak, zonder dat daarvoor een internetverbinding nodig is.

Wekker – De wekker wordt gezet met een draaiknop. Wekken gebeurt geleidelijk door het langzaam aangaan van de verlichting in de slaapkamer. Bovendien wordt het wekproces aangepast aan de slaapcyclus van de gebruiker. Althans, dat is de bedoeling. De Candle-wekker herbergt een bewegingssensor. Het idee is dat de wekprocedure gestart kan worden, zodra de wektijd nadert en de bewoner vanzelf al aan het wakker worden is. Uitzetten kan door op de draaiknop te klikken.

Anemone – De Anemone is een nieuw type beveiligingsapparaat dat rigoureus te werk gaat: als de gebruiker daarvoor kiest, wordt de router uitgeschakeld. Volgens het Candle-team is het helemaal geen slecht idee om dat bijvoorbeeld ‘s nachts te doen, omdat de nachtelijke uren bij internetboeven favoriet zijn om in te breken. Je kunt de Anemone handmatig bedienen met een grote rode hendel, maar er bijvoorbeeld ook voor kiezen ‘s nachts automatisch de internetverbinding uit te laten schakelen.

CO2-meter – De CO2-meter heeft een ‘fake data mode’. Als die via een verborgen knop wordt geactiveerd, zal de sensor net doen alsof de CO2-waarden stabiel zijn. Tieners kunnen volgens de makers daardoor dankzij Candle stiekem een leuke date thuis uitnodigen, zonder dat hun ouders de extra CO2 in de data terug kunnen zien.

Elektriciteitsverbruik – De slimme meter van Candle is alleen slim voor de gebruiker. De meter deelt geen verbruiksdata met de leverancier.

Fijnstofmeter – Ook binnenshuis kan de fijnstofconcentratie te hoog oplopen, bijvoorbeeld bij het wokken van groenten of het braden van vlees. Dankzij de fijnstofmeter ontdek je of je afzuigkap altijd voldoende capaciteit heeft.

Om de werking van een slim huis zo transparant mogelijk te maken, kunnen gebruikers de Candle-apparaten openmaken en is de programmeercode van Candle volledig opensource.

De Candle-apparaten onderscheiden zich ook visueel van andere slimme producten. Zo ontwikkelde sieraadontwerper Dinie Besems behuizingen van fijngeweven stenen kralen. Haar creaties hebben ‘rokjes’ die de lcd-schermpjes van de Candle-apparaten kunnen afdekken.

Een spraakassistent in de cloud is uit den boze voor het Candle-team. Spraakbediening gebeurt daarom volledig lokaal. De Candle-microfoon, waarmee gebruikers hun slimme huis spraakcommando’s kunnen geven, zit in een apart usb-apparaat. Dat kun je in de Candle Controller pluggen, maar je kunt het ook eenvoudig ontkoppelen. Zo weet je zeker dat niemand je via je slimme producten kan afluisteren.

De meeste spraakgestuurde apparaten op de markt staan je niet toe om de microfoon fysiek te verwijderen. Bij Candle kan dat dus wel. Extra voordelen zijn dat je een kapotte microfoon kunt vervangen of een betere kunt aansluiten.

Slim of niet

Een slimme elektriciteitsmeter klinkt handig. Door beter inzicht in je verbruik kun je bijvoorbeeld nieuwe mogelijkheden vinden om te besparen. Als de meter is geleverd door je elektriciteitsmaatschappij, loop je echter volgens het Candle-team ook een privacyrisico. De meeste slimme meters zijn volgens hen niet privacyvriendelijk, al was het alleen maar omdat elk apparaat een unieke ‘stroomvingerafdruk’ heeft. Daardoor is het niet zo moeilijk om aan de hand van elektriciteitsdata precies te zien welke apparaten een bewoner bezit en wanneer die gebruikt worden.

Het Candle-team ontwierp daarom een privacyvriendelijke slimme meter die niet afleesbaar is je door de elektriciteitsleverancier. Zelf kunnen bewoners hun stroomgebruik live volgen en ook de ontwikkeling van hun verbruik in de loop van de tijd bekijken.

De ontwerpers ontwikkelden ook een prototype van een heel nieuw soort slim apparaat: de Anemone. Dit apparaat kan de internetverbinding van het huis tijdelijk uitzetten door de router uit te schakelen. “Onderzoekers zien dat geautomatiseerde aanvallen op slimme apparaten steeds vaker ‘s nachts plaatsvinden. Dan valt het minder op als het apparaat gek doet”, aldus Schep. Met de Anemone is het mogelijk om ‘s nachts, of bijvoorbeeld als er niemand thuis is, het huis van het internet te laten verdwijnen.

Deze functionaliteit is extra belangrijk voor normale IoT-apparaten. Van sommige apparaten (zoals beveiligingscamera’s en routers) is bekend dat het populaire doelwitten zijn van cybercriminelen, vermoedelijk omdat er bekende kwetsbaarheden in zitten die eenvoudig te misbruiken zijn.

Ook binnenshuis loeren privacygevaren. Zo zullen kinderen vanaf een jaar of twaalf liever niet willen dat hun ouders hun activiteiten op afstand kunnen volgen. Voor dat privacy-aspect moet meer aandacht komen, vindt het Candle-team. Hoe je dat zou kunnen aanpakken, demonstreerde productontwerper Jesse Howard aan de hand van de CO2-meter. Het meten van CO2 is nuttig om de luchtkwaliteit te monitoren, maar het CO2-niveau geeft indirect ook aan hoeveel mensen er in een kamer zijn. En dat is kennis die niet elke puber op elk moment zal willen delen. Om die reden kan de CO2-meter daarom op verzoek nepdata genereren.

De meter heeft een ‘fake data mode’. Als die via een verborgen knop wordt geactiveerd, zal de sensor net doen alsof de CO2-waarden stabiel zijn. Tieners kunnen daardoor dankzij Candle stiekem een leuke date thuis uitnodigen, zonder dat hun ouders dit in de data terug kunnen zien. “Dit soort gevoeligheden worden door veel producenten helaas nog niet aangevoeld”, zegt Howard.

8 principes voor privacyvriendelijk ontwerpen

Tot slot nog 8 tips waar ontwikkelaars van privacy-vriendelijke IoT-apparaten zich aan zouden moeten houden, aldus Schep:

1. Privacy First

Houd al in het basisontwerp rekening met goede informatiebeveiliging en privacybescherming. Die moeten als het ware ingebakken zijn, in plaats van een extra feature boven op het eigenlijke ontwerp.

2. Doe een risicoanalyse

Bedenk in een vroeg stadium hoe kwaadwillenden te werk zouden kunnen gaan bij het hacken van je systeem. Veel slimme apparaten hebben bijvoorbeeld onnodig veel opslag- en verwerkingscapaciteit. Dat biedt hackers ruimte om misbruik te maken van die capaciteit.

3. Verzamel zo min mogelijk data

Wees zo terughoudend mogelijk in het verzamelen van gegevens. Verzamel er zo min mogelijk. Je kunt bijvoorbeeld prima een huis beveiligen zonder overal camera’s op te hangen.

4. Vermijd de cloud

Als het niet strikt noodzakelijk is om data op te slaan in de cloud, doe dat dan niet.

5. Sta gebruikers toe hun identiteit geheim te houden

Mensen gedragen zich anders bij hun schoonouders dan in de kroeg. Maar technologische

systemen, zoals sociale netwerken, maken het soms moeilijk om die verschillende facetten online gescheiden te houden. Dat kan vervelende gevolgen hebben, zoals wanneer een uitspraak over je werk in privécontext gelezen wordt door je baas. Sta het gebruikers daarom toe om zelf te bepalen welke delen van hun identiteit wel en niet gedeeld worden.

6. Open de ‘black box’

Geef je gebruiker inzicht in wat een slim systeem aan het doen is, met wie of wat het communiceert en hoe je dat uit kunt zetten. Ook moeten gebruikers de mogelijkheid krijgen om bepaalde persoonlijke of gedragsgegevens te verwijderen die slecht zijn voor hun imago of ertoe leiden dat slimme algoritmes hen zullen benadelen.

7. Maak de gebruiker ontwerper

In plaats van afgeronde producten te maken die ‘vanzelf’ werken, zouden ontwerpers lego-achtige interfaces moeten ontwikkelen, die gebruikers zelf en volgens hun eigen wensen in elkaar kunnen zetten. Dat zou de gebruiker op een toegankelijke manier controle geven over het gedrag dat deze creaties kunnen vertonen.

8. Stel een grens

Ontwerpers kunnen niet alle verantwoordelijkheid voor een ontwerp afschuiven op hun opdrachtgevers. Wanneer een klant vraagt om onethische algoritmes te verwerken in een slim product, dient een ontwerper dat te weigeren.

Hoe oude games opgeknapt worden door emulatie

Auteursrechten op online afbeeldingen: Hoe zit het precies?