פורסמה הנחייה חדשה לגילוי מידע בעת רכישת מוצרים חכמים המחוברים לאינטרנט (IoT)
מאת:
מערכת Telecom News, 14.8.22, 14:58
לאור מקרים רבים, שזיהה מערך הסייבר הלאומי, של פריצה למכשירים חכמים המחוברים לאינטרנט של אזרחים וארגונים, כגון מצלמות ביתיות, מערכות "בית חכם", סטרימרים, נתבים אלחוטיים, Smart TV, מוניטורים של תינוקות ועוד, כעת קיימת חובה לגלות לצרכן בטרם הרכישה של מוצר IoT, שמדובר במוצר, שעלול להיות מנוצל לרעה ע"י גורם זדוני לצורך ביצוע תקיפת סייבר. פורסמו 10 פעולות פשוטות להגנה על המצלמה הבייתית.
הממונה על הרשות להגנת הצרכן ולסחר הוגן פרסם הנחייה חדשה לגילוי מידע בעת רכישת מוצרים חכמים המחוברים לאינטרנט (
IoT) החשופים לסיכוני סייבר ודרכי ההתגוננות.
קיימת חובה לגלות לצרכן בטרם הרכישה של מוצר
IoT, שמדובר במוצר, שעלול להיות מנוצל לרעה ע"י גורם זדוני לצורך ביצוע תקיפת סייבר. הגילוי חייב להיות להיעשות בטרם עשיית העסקה ובכל שלבי העסקה, לרבות בשלבי השיווק והפרסום.
רקע:
לאור מקרים רבים שזיהה מערך הסייבר הלאומי של פריצה למכשירים חכמים המחוברים לאינטרנט של אזרחים וארגונים, כגון מצלמות ביתיות, מערכות "בית חכם", סטרימרים, נתבים אלחוטיים,
Smart TV, מוניטורים של תינוקות ועוד, יצא היום הממונה על הרשות להגנת הצרכן בהוראה חדשה המחייבת עוסקים לפרסם גילוי לצרכנים בדבר סיכוני הסייבר והדרכים להגנה מפניהם בעת ההתקנה.
לצד התועלת, שנובעת מחיבור מוצרים חכמים שונים לאינטרנט, קיימים גם סיכונים, שכן מוצרי
IoT המקושרים לאינטרנט חשופים לסיכוני סייבר ואבטחת מידע שונים. סיכונים אלה יכולים לפגוע במשתמש במספר דרכים, החל מפגיעה בפרטיות ודליפת מידע אישי ועד לנזק למוצר או לאדם.
המסגרת החוקית:
חוק הגנת הצרכן קובע את האיסור להטעות צרכן, במעשה או במחדל, בפרט מהותי בעסקה, כאשר אחד מהפרטים המהותיים הוא "השימוש שניתן לעשות בנכס או בשירות, התועלת שניתן להפיק מהם והסיכונים הכרוכים בהם".כ"כ, קובע החוק חובות גילוי ספציפיות, למשל, "כל תכונה בנכס המחייבת החזקה או שימוש בדרך מיוחדת כדי למנוע פגיעה למשתמש בו או לאדם אחר או לנכס תוך שימוש רגיל או טיפול רגיל".
הנחיית הממונה על הרשות בשיתוף מערך הסייבר הלאומי:
חובה לגלות לצרכן בטרם הרכישה של מוצר
IoT, שמדובר במוצר, שעלול להיות מנוצל לרעה ע"י גורם זדוני לצורך ביצוע תקיפת סייבר.
יש לגלות לצרכן את החשיבות של החלפת סיסמה ראשונית וכן לגלות איך ניתן להחליף את הסיסמה,
אם היצרן צפוי לפרסם עדכוני אבטחה לגבי המוצר,
משך הזמן שבו היצרן צפוי לפרסם עדכוני אבטחה למוצר,
יש לציין איך באופן מפורט וברור כיצד להתקין את עדכוני האבטחה.
אם לא קיימת אפשרות להחליף סיסמה או לא קיימים עדכוני אבטחה למוצר, מדובר בפגם או באיכות נמוכה של מוצר החייבים בגילוי.
יודגש, כי שהגילוי חייב להיות להיעשות בטרם עשיית העסקה ובכל שלבי העסקה כגון בשלב השיווק ואף בשלב הפרסום. כמו כן הגילוי חייב להיות ברור ומובן לצרכן וכן באופן מובלט ככל שהוא ניתן בפרסום או בכתב אחר או בעל פה.
כדי לצמצם את הסיכון, במערך הסייבר הלאומי ממליצים על 10 פעולות פשוטות להגנה על המצלמה הביתית:
- החלפת סיסמת ברירת המחדל של המכשיר - לסיסמאות מורכבות וייחודיות.
- התקנת מוצרי תוכנה של היצרן - מומלץ להימנע מהתקנת מוצרי תוכנה שאינם מתוצרת מקורית.
- ביצוע עדכוני תוכנה - עדכוני תוכנה מכילים לרוב תיקוני אבטחה המעלים את רמת ההגנה של המוצר מפני תקיפות ומומלץ לבצעם עם הוצאתם בהתאם להמלצת היצרן.
- וידוא ההגדרות - לאחר כל עדכון תוכנה, ביקור טכנאי, טיפול או שדרוג יש לוודא, שההגדרות או הסיסמאות לא שונו או הוחזרו לברירת המחדל.
- שמירת הסיסמה - אין להעביר את הסיסמה לגורמים אחרים, וכדאי להחליפה לעיתים תכופות.
- נתב ביתי - פריצה למכשירים חכמים יכולה להתאפשר גם באמצעות הנתב הביתי. מומלץ לשנות את שם הרשת. כך, שלא יעיד על מאפייני הנתב כגון דגם, יצרן, בעלים ומיקום, ולהגדיר סיסמה ייחודית לנתב.
- הזדהות חכמה - מומלץ להפעיל הזדהות חכמה המכילה אימות נוסף לסיסמה במידה וקיימת אפשרות.
- הורדת יישומים מחנויות רשמיות - את האפליקציה למחשב או לנייד, שממנה ניתן לשלוט במכשיר, יש להוריד רק מחנות האפליקציות הרשמית.
עו"ד
מיכאל אטלן, (בתמונה משמאל, צילום שאולי לנדנר), הממונה על הרשות להגנת הצרכן ולסחר הוגן: "עם ההתפתחות הטכנולוגית ניתן לראות עלייה בהיקף
השימוש במוצרי
IoT. מוצרי
IoTיכולים להיות מוצרים כדוגמת טלוויזיות חכמות, מזגנים, סטרימרים, בית חכם, דודים חשמליים, מוניטורים של תינוקות, מצלמות אבטחה ביתיות ועוד.
בצד יתרונותיהם לצרכן של מוצרים אלה קיימים בהם סיכונים לצרכן, שכן מוצרי
IoT המקושרים לאינטרנט חשופים לסיכוני סייבר ואבטחת מידע שונים. לאור זאת יש חשיבות גבוהה בגילוי מוקדם טרם הרכישה ובשלב השיווק לגבי הסיכונים הטמונים בשימוש במוצר מסוג זה וכי מדובר במוצר העלול להיות מנוצל לרעה ע"י גורם זדוני לצורך ביצוע תקיפת סייבר".