יידוע על סיכוני סייבר במכירת מוצרי IOT
טיוטה חדשה שפרסמה הרשות להגנת הצרכן, יחד עם מערך הסייבר הלאומי במשרד ראש הממשלה, מבהירה כי לגישת הרשות, חיבור לרשת האינטרנט הוא פרט מהותי הנוגע לתכונות המוצר או אופן האחזקה שלו ולכן מחייב גילוי מיוחד. לאור זאת, הרשות מנחה יבואני, מוכרי ויצרני מוצרים ושירותים מתחום "האינטרנט של הדברים" (IoT) לעמוד בחובת גילוי חדשה בכל הנוגע בסיכוני הסייבר הכרוכים בשימוש במוצרים אלה.
הטיוטה התפרסמה עקב ריבוי מקרי פריצות למכשירים חכמים אלה, שהשימוש בהם מחייב התחברות לרשת. מדובר בשורה ארוכה של מוצרים, הכוללת טלוויזיות חכמות, מזגנים, סטרימרים, מצלמות אבטחה ביתיות, מערכות לבית חכם – שלטים, רמקולים ועוד.
בהיעדר אמצעי אבטחה מתאימה, מוצרים אלה חושפים את המשתמשים בהם לסיכוני פגיעה בפרטיות, דליפת מידע, נזקים פיזיים למוצר ואף למשתמש, ותקיפות סייבר רחבות יותר.
הטיוטה
על פי הטיוטה, תחול חובה לדווח לרוכש על הסיכונים הנ"ל באופן כללי, וכן על המאפיינים של סיכונים אלה במוצר ספציפי, עוד טרם עשיית העסקה ובכל שלביה – כלומר, כבר בשלב השיווק והפרסום.
תוקפן של הנחיות אלה נובע מחוק הגנת הצרכן, הקובע כי יש איסור להטעות את הצרכן בפרט מהותי בעסקה, וכן כי קיימות חובות גילוי ספציפיות, וביניהן גילוי של "כל תכונה בנכס המחייבת החזקה או שימוש בדרך מיוחדת כדי למנוע פגיעה למשתמש בו או לאדם אחר או לנכס, תוך שימוש רגיל או טיפול רגיל".
הטיוטה מתייחסת באופן ממוקד למספר מאפייני אבטחה של מוצרי IoT הדורשים גילוי:
- מוצר או שירות שלא ניתן לשנות את סיסמת הגישה אליו, או שהיצרן לא צפוי לפרסם עדכוני אבטחה לשימוש בו, ייחשב כמוצר שעלול להיות מנוצל לרעה על ידי גורמי סייבר זדוניים, ויש לדווח על כך לרוכש במפורש בטרם עשיית העסקה.
- יש להסביר לרוכש פוטנציאלי על חשיבות החלפת הסיסמה הראשונית של מוצר, וכן להנחות אותו כיצד לעשות זאת.
- יש לעדכן את הרוכש לגבי עדכוני אבטחה של המוצר – האם היצרן צפוי לפרסם כאלה, עד מתי ימשיך היצרן בעדכונים כאלה (כלומר, מה היא תוחלת החיים של המוצר מבחינת אבטחת סייבר), ואיך להתקין עדכוני אבטחה אם אלה לא מתעדכנים באופן אוטומטי.
חשוב לשים לב שהטיוטה לא קובעת את טיבם של אמצעי האבטחה שעל היצרן ליישם, אלא רק את חובת הגילוי לגביהם. בנוסף, הטיוטה מציינת אמצעי אבטחה נוספים שניתן להוסיף למוצרים, בהתאם לאופיו ולרמת הסיכון הגלומה בשימוש בו.
יצרנים, יבואנים מוכרים ומשווקים של מוצרי IoT נדרשים להיערך לשינויים הרגולטוריים בתחום.
לקריאת הטיוטה לחצו כאן.
לקריאת הנחיות של מערך הסייבר הלאומי להגנה על מוצרים חכמים לחצו כאן.
המועד האחרון לתגובות הציבור לטיוטה הינו הרביעי בספטמבר 2022.
***
מחלקת הרגולציה בברנע ג'פה לנדה עומדת לרשותכם לכל שאלה בעניין ההנחיות המתגבשות, ובכל שאלה בתחום רגולציה של סייבר, פרטיות ואבטחת מידע.
***