Pametni dom u 2026.: udobnost koja nosi novi rizik

U prosječnom hrvatskom kućanstvu danas se nalazi od deset do trideset uređaja koji su trajno spojeni na Internet. Pametni TV, robotski usisavač, IP kamera na ulazu, termostat, dva-tri pametna zvučnika, više pametnih utičnica, vaga, brava na vratima, video portafon. Svaki od njih nosi neki softver, povezuje se na vanjske servise i — što često zaboravljamo — sluša mrežu u oba smjera.

Kod klasičnog računala ili mobitela navikli smo na lozinke, ažuriranja i antivirusne programe. Kod IoT uređaja većina korisnika oslanja se na "tvorničke postavke" i nikad više ne ulazi u njihove postavke nakon prvog spajanja. Rezultat su pravi katalozi propusta: jeftine kamere koje šalju video u Aziju bez TLS-a, termostati koji godinama ne dobivaju zakrpe, zvučnici s mikrofonima trajno otvorenima prema vanjskim API-jima.

Ovaj vodič nije panično čitanje. To je popis konkretnih koraka koji u nedjelju popodne podignu sigurnost prosječnog hrvatskog pametnog doma s "nikako" na "razumno dobro". Većina koraka je besplatna i traje minutu po uređaju.

1. Počnite s mrežom, ne s uređajima

Najveći utjecaj na IoT sigurnost ima način na koji je vaša kućna WiFi mreža posložena. Ako napadač dođe do vaše WiFi lozinke ili kompromitira jedan uređaj, sve ostale na istoj mreži postaju mu vidljive.

Promijenite zadanu lozinku routera

Prvo i najvažnije: lozinka za administraciju routera (ne WiFi lozinka, već ona za ulazak u web sučelje, obično na adresi 192.168.0.1 ili 192.168.1.1) mora biti promijenjena. Hrvatski Telekom, A1 i Telemach isporučuju uređaje s lozinkama koje su često ispisane na samoj naljepnici i poznate svima koji su u istoj WiFi mreži.

Postavite lozinku duljine barem 16 znakova, čuvajte je u password manageru i upišite je samo kad zaista mijenjate postavke.

Uključite WPA3 ako je dostupan

WPA3 je sigurnija WiFi enkripcija od starijeg WPA2. Routeri proizvedeni od 2020. godine nadalje gotovo svi je podržavaju. U postavkama mreže odaberite WPA3 ili, ako neki stariji IoT uređaji to ne podržavaju, WPA2/WPA3 mixed mode. Izbjegavajte čisti WPA2-PSK kad god je moguće.

Razdvojite gostujuću i IoT mrežu

Većina modernih kućnih routera nudi opciju Guest network i, sve češće, posebnu IoT mrežu. Razdvajanje radi zato što napadač koji uđe u guest segment ne može lateralno doći do vašeg laptopa ili NAS uređaja.

Praktični raspored za prosječno kućanstvo izgleda ovako:

  • Glavna mreža — laptopi, mobiteli, PC, NAS, printer
  • IoT mreža — pametne utičnice, žarulje, termostat, robotski usisavač, klima
  • Kamere — ako router podržava treću mrežu, kamere stavite tu i odbijte njihov pristup glavnoj mreži
  • Guest mreža — za posjete

Kad postavljate IoT mrežu, isključite opciju "client isolation" samo ako trebate da uređaji međusobno komuniciraju (npr. Matter / Thread mreža). Ako koristite proizvođačke aplikacije koje vode sve preko oblaka, isolation može ostati uključen.

Onemogućite UPnP

Universal Plug and Play (UPnP) dopušta uređajima da sami otvaraju portove na routeru prema Internetu. Zvuči zgodno, u praksi je jedan od najčešćih izvora ranjivosti u kućnim mrežama. Pronađite postavku u routeru i isključite je. Većina suvremenih IoT uređaja radi i bez nje preko vlastitih oblak servisa.

2. Posložite uređaje po važnosti i riziku

Nije svaki uređaj jednak. Kamera s mikrofonom u dnevnom boravku, brava na ulaznim vratima i robotski usisavač s kamerom nisu u istoj kategoriji rizika kao pametna utičnica koja samo prima naredbu "uključi se".

Praktičan rangiranje izgleda ovako:

  1. Visok rizik: kamere, video portafoni, brave, alarmni sustavi, robotski usisavači s kamerom, baby monitori, mikrofoni / pametni zvučnici
  2. Srednji rizik: termostati, klima uređaji, pametni TV-i s kamerom, frižideri s ekranom
  3. Niži rizik: žarulje, utičnice, senzori temperature, vaga, ručica za zalijevanje

Za uređaje iz prvog razreda primijenite svaki korak iz ovog vodiča. Za niži razred neka pravila (recimo razdvajanje mreža) su poželjna, ali nije katastrofa ako pametna žarulja dijeli mrežu s ostalim sitnim uređajima.

3. Pravilo broj jedan: izbjegavajte bezimene jeftine kamere

Najveća pojedinačna prijetnja u tipičnom hrvatskom domu je IP kamera kupljena za 20–35 € s nepoznatim imenom ("Wansview", "Sricam", "Foscam clone", "Tuya generička"). Ti su modeli desetljećima opetovano dokazani kao izvor problema:

  • Šalju video stream prema serverima u Kini ili Aziji bez TLS enkripcije
  • Imaju zakucane (hard-coded) lozinke koje napadači znaju
  • Rijetko ili nikad ne dobivaju sigurnosne nadogradnje
  • Često ostaju dohvatljive s Interneta čak i kad ih korisnik nije eksplicitno otvorio

Ako već imate takvu kameru, jedina razumna mjera je smjestiti je u odvojenu mrežu bez pristupa Internetu i koristiti je samo lokalno (uz NAS koji snima u LAN-u, recimo Synology Surveillance Station ili Frigate). Za nove kupnje birajte:

  • Uređaje s podrškom za Matter, ONVIF ili HomeKit Secure Video umjesto isključivo vlastitih aplikacija
  • Proizvođače s eksplicitnom politikom sigurnosnih ažuriranja (Eufy, Reolink novije serije, Aqara, Ubiquiti, IKEA Tradfri, Philips Hue)
  • Modele koji nude lokalnu pohranu na microSD ili NAS kao alternativu obveznoj cloud pretplati

Kad EU Cyber Resilience Act zaživi 11. prosinca 2027., proizvođači koji prodaju u EU bit će zakonski obvezni nuditi sigurnosna ažuriranja kroz definirano razdoblje i prijavljivati aktivno iskorištavane ranjivosti unutar 24 sata. Pri kupovini u 2026. potražite proizvođače koji već sad slijede te standarde — manja je vjerojatnost da će ih zakon iznenaditi i da će napustiti tržište.

4. Lozinke, dvofaktorska autentifikacija i računi proizvođača

Većina IoT uređaja danas zahtijeva da otvorite račun kod proizvođača (Tuya, Aqara, Xiaomi, Google Home, Apple Home, Amazon Alexa). Taj račun često ima više moći nego sam uređaj — preko njega netko može pregledavati snimke kamere, slušati zvuk pametnog zvučnika ili otključavati bravu.

Pravila su jednostavna i nepregovorna:

  • Jedinstvena lozinka po proizvođaču. Nikad ne koristite istu lozinku za Gmail i za Tuya račun na kojem visi kamera vašeg djeteta.
  • Password manager. 1Password, Bitwarden, Proton Pass — sve daju besplatnu razinu koja je sasvim dovoljna za domaću upotrebu.
  • Dvofaktorska autentifikacija (2FA) uključena na svim računima koji to nude. Ako proizvođač ne nudi 2FA, ozbiljno razmislite o promjeni proizvođača.
  • Passkeys kad god su dostupni. Google, Apple i sve više drugih proizvođača prihvaćaju passkeys koji su otporniji na phishing nego SMS kodovi.

5. Ažuriranja: lakša priča nego što se čini

IoT uređaji su poznati po lošoj kulturi ažuriranja, ali u 2026. većina poznatijih proizvođača nudi automatska firmware ažuriranja koja samo trebate uključiti:

  • U aplikaciji proizvođača provjerite postavku "Automatska ažuriranja" i upalite je.
  • Za router postavite automatska ažuriranja u administracijskom sučelju.
  • Pametan TV ažurirajte iz njegovih postavki — vjerujte, isporuka uređaja od prije pet godina ne dobiva više ažuriranja, što ga čini sigurnosnim teretom.

Ako uređaj ne nudi nikakvo ažuriranje više od godine dana, smatrajte ga kompromitiranim i tretirajte kao nepouzdan: stavite ga u izoliranu mrežu i razmislite o zamjeni.

6. Što s pametnim zvučnicima i mikrofonima

Alexa, Google Home, HomePod, Sonos i slični uređaji u 2026. su uobičajeni — i nemoguće je realno pretvarati se da problem privatnosti ne postoji. Snimke se i dalje povremeno šalju u oblak na obradu, povremeno ih ručno preslušavaju ljudi za poboljšanje modela.

Konkretne mjere koje smanjuju rizik bez da se odreknete pogodnosti:

  • U postavkama računa isključite "human review" ili "učenje iz mojih audio snimaka" — Amazon, Google i Apple svi imaju takvu opciju.
  • Postavite automatsko brisanje snimaka starijih od 3 mjeseca (Google "Auto-delete", Amazon "Manage Your Alexa Data").
  • Ne stavljajte pametne zvučnike u spavaću sobu i kupaonicu.
  • Za privatne razgovore fizički ugasite mikrofon (sve novije generacije imaju gumb koji isključuje mikrofon hardverski).

7. Brave, alarmi i kamere s pristupom izvana

Ako koristite pametnu bravu ili pametan alarm, slijedite ova dodatna pravila:

  • Nikad ne dijelite zajednički račun s ukućanima — koristite sub-računi s ograničenim pristupom.
  • Provjerite da li proizvođač podržava end-to-end enkripciju snimaka (Apple HomeKit Secure Video, Eufy Local Storage, Frigate NVR — sve daju različite razine).
  • Postavite obavijesti za sumnjive događaje: neuspješni unos koda više od 3 puta, otključavanje izvan uobičajenog vremena.
  • Ako kamera ima funkciju privatnosti (zatvaranje leće rotacijom), uključite je kad ste doma.

8. Pravna strana: GDPR i susjedi

Kamera koja snima dio javne površine (ulica, hodnik zgrade, susjedni vrt) gotovo uvijek obrađuje osobne podatke u smislu GDPR-a, čak i u privatnoj kući. AZOP (Agencija za zaštitu osobnih podataka) je u nekoliko slučajeva u Hrvatskoj reagirala na pritužbe susjeda zbog kamera koje su snimale prolaznike.

Praktične smjernice:

  • Usmjerite kameru tako da snima isključivo vaš posjed.
  • Ako tehnički ne možete izbjeći snimanje dijela ulaza ili dijela susjedne parcele, jasno označite snimanje natpisom i razmislite o tome morate li uopće trajno snimati.
  • Za dronove i kamere koje snimaju zvuk vrijede stroža pravila. Snimanje zvuka u privatnoj kući bez pristanka prisutnih osoba kazneno je djelo.

9. Lista provjera za nedjelju popodne

Ako želite za jedan sat napraviti razumno solidan sigurnosni audit svog pametnog doma, prođite kroz ovu listu:

  • [ ] Promijenjena administracijska lozinka routera, zabilježena u password manageru
  • [ ] WPA3 (ili barem WPA2 s jakom lozinkom) na svim WiFi mrežama
  • [ ] Razdvojene mreže: glavna, IoT, eventualno gostujuća
  • [ ] UPnP isključen na routeru
  • [ ] Sve administracijske aplikacije (Google Home, Alexa, Tuya, proizvođači kamera) imaju 2FA ili passkey
  • [ ] Sve jeftine generičke kamere ili su u izoliranoj mreži bez Interneta, ili su zamijenjene poznatim proizvođačem
  • [ ] Automatska firmware ažuriranja uključena gdje je moguće
  • [ ] Snimke pametnih zvučnika postavljene na automatsko brisanje
  • [ ] Provjerena orijentacija kamera prema javnoj površini i poštivanje GDPR-a

Zaključak

Sigurnost pametnog doma u 2026. nije problem koji se rješava jednim proizvodom — riječ je o nizu malih, mahom besplatnih koraka koji zajedno znače razliku između "uređaj koji se može iskoristiti za napad" i "uređaj koji radi onako kako tvrdi da radi". Hrvatski korisnici uglavnom imaju kvalitetan internet i moderne routere, ali rijetko ulaze u njihove postavke; tu se najbrže dobiva najviše.

Kad Cyber Resilience Act stupi na snagu krajem 2027., dio ovih problema pomaknut će se s korisnika na proizvođače. Do tada, najbolja zaštita je informiran izbor pri kupnji i jedno nedjeljno popodne s vašim routerom i password managerom.