הנחיה חדשה: גילוי מידע ללקוח בעת רכישת מוצר
הממונה על הרשות להגנת הצרכן ולסחר הוגן מפרסם הנחייה חדשה לגילוי מידע בעת רכישת מוצרים חכמים המחוברים לאינטרנט, החשופים לסיכוני סייבר ודרכי ההתגוננותקיימת חובה לגלות לצרכן בטרם הרכישה של מוצר IoT כי מדובר במוצר שעלול להיות מנוצל לרעה על ידי גורם זדוני לצורך ביצוע תקיפת סייבר | הגילוי חייב להיות להיעשות בטרם עשיית העסקה ובכל שלבי העסקה, לרבות בשלבי השיווק והפרסום
- קובי עוזיאלי
- כ"א אב התשפ"ב
לאור מקרים רבים שזיהה מערך הסייבר הלאומי של פריצה למכשירים חכמים המחוברים לאינטרנט של אזרחים וארגונים, כגון מצלמות ביתיות, מערכות "בית חכם", נתבים אלחוטיים, Smart TV, מוניטורים של תינוקות ועוד, יוצא הממונה על הרשות להגנת הצרכן בהוראה חדשה המחייבת עוסקים לפרסם גילוי לצרכנים בדבר סיכוני הסייבר והדרכים להגנה מפניהם בעת ההתקנה.
לצד התועלת שנובעת מחיבור מוצרים חכמים שונים לאינטרנט קיימים גם סיכונים, שכן מוצרי IoT המקושרים לאינטרנט חשופים לסיכוני סייבר ואבטחת מידע שונים. סיכונים אלו יכולים לפגוע במשתמש במספר דרכים, החל מפגיעה בפרטיות ודליפת מידע אישי ועד לנזק למוצר או לאדם.
אילוסטרציה. צילום: אנספלש.
המסגרת החוקית: חוק הגנת הצרכן קובע את האיסור להטעות צרכן, במעשה או במחדל, בפרט מהותי בעסקה, כאשר אחד מהפרטים המהותיים הוא "השימוש שניתן לעשות בנכס או בשירות, התועלת שניתן להפיק מהם והסיכונים הכרוכים בהם". כמו כן, קובע החוק חובות גילוי ספציפיות, למשל "כל תכונה בנכס המחייבת החזקה או שימוש בדרך מיוחדת כדי למנוע פגיעה למשתמש בו או לאדם אחר או לנכס תוך שימוש רגיל או טיפול רגיל".
הנחיית הממונה על הרשות: חובה לגלות לצרכן בטרם הרכישה של מוצר IoT כי מדובר במוצר שעלול להיות מנוצל לרעה על ידי גורם זדוני לצורך ביצוע תקיפת סייבר. יש לגלות לצרכן את החשיבות של החלפת סיסמה ראשונית וכן לגלות איך ניתן להחליף את הסיסמה, אם היצרן צפוי לפרסם עדכוני אבטחה לגבי המוצר, משך הזמן שבו היצרן צפוי לפרסם עדכוני אבטחה למוצר, יש לציין איך באופן מפורט וברור כיצד להתקין את עדכוני האבטחה. אם לא קיימת אפשרות להחליף סיסמה או לא קיימים עדכוני אבטחה למוצר, מדובר בפגם או באיכות נמוכה של מוצר החייבים בגילוי.
יודגש כי הגילוי חייב להיות להיעשות בטרם עשיית העסקה ובכל שלבי העסקה כגון בשלב השיווק ואף בשלב הפרסום. כמו כן הגילוי חייב להיות ברור ומובן לצרכן וכן באופן מובלט ככל שהוא ניתן בפרסום או בכתב אחר או בעל פה. ההנחיה נכתבה בשיתוף עם מערך הסייבר הלאומי.
אילוסטרציה. צילום: אנספלש.
כדי לצמצם את הסיכון, במערך הסייבר הלאומי ממליצים על פעולות פשוטות להגנה על המצלמה הביתית:
• החלפת סיסמת ברירת המחדל של המכשיר - לסיסמאות מורכבות וייחודיות.
• התקנת מוצרי תוכנה של היצרן - מומלץ להימנע מהתקנת מוצרי תוכנה שאינם מתוצרת מקורית.
• ביצוע עדכוני תוכנה – עדכוני תוכנה מכילים לרוב תיקוני אבטחה אשר מעלים את רמת ההגנה של המוצר מפני תקיפות ומומלץ לבצעם עם הוצאתם בהתאם להמלצת היצרן.
• וידוא ההגדרות - לאחר כל עדכון תוכנה, ביקור טכנאי, טיפול או שדרוג יש לוודא שההגדרות או הסיסמאות לא שונו או הוחזרו לברירת המחדל.
• שמירת הסיסמה - אין להעביר את הסיסמה לגורמים אחרים, וכדאי להחליפה לעיתים תכופות.
• נתב ביתי – פריצה למכשירים חכמים יכולה להתאפשר גם באמצעות הנתב הביתי. מומלץ לשנות את שם הרשת כך שלא יעיד על מאפייני הנתב כגון דגם, יצרן, בעלים ומיקום, ולהגדיר סיסמה ייחודית לנתב.
• הזדהות חכמה – מומלץ להפעיל הזדהות חכמה המכילה אימות נוסף לסיסמה במידה וקיימת אפשרות.
• הורדת יישומים מחנויות רשמיות – את האפליקציה למחשב או לנייד שממנה ניתן לשלוט במכשיר יש להוריד רק מחנות האפליקציות הרשמית.
אילוסטרציה. צילום: אנספלש.
עו"ד מיכאל אטלן, הממונה על הרשות להגנת הצרכן ולסחר הוגן אומר על פרסום ההנחיה החדשה כי "עם ההתפתחות הטכנולוגית ניתן לראות עלייה בהיקף השימוש במוצרי IoT. מוצרי IoT יכולים להיות מוצרים כדוגמת מסכים חכמים, מזגנים, סטרימרים, בית חכם, דודים חשמליים, מוניטורים של תינוקות, מצלמות אבטחה ביתיות ועוד. בצד יתרונותיהם לצרכן של מוצרים אלה קיימים בהם סיכונים לצרכן, שכן מוצרי IoT המקושרים לאינטרנט חשופים לסיכוני סייבר ואבטחת מידע שונים. לאור זאת יש חשיבות גבוהה בגילוי מוקדם טרם הרכישה ובשלב השיווק לגבי הסיכונים הטמונים בשימוש במוצר מסוג זה וכי מדובר במוצר שעלול להיות מנוצל לרעה על ידי גורם זדוני לצורך ביצוע תקיפת סייבר."
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות