הנחיה חדשה של הרשות להגנת הצרכן, שנוסחה בשיתוף מערך הסייבר הלאומי, קובעת חובת גילוי לצרכן לפני כל רכישה של מוצר חכם המחובר לאינטרנט – IoT כי הוא עלול להיות מנוצל לרעה לצורך ביצוע תקיפת סייבר. על פי ההנחיה, הגילוי חייב להיות להיעשות בטרם עשיית העסקה ובכל שלבי העסקה, כולל בשלבי השיווק והפרסום.
מוצרי IoT המקושרים לאינטרנט חשופים לסיכוני סייבר ואבטחת מידע שונים - סיכונים אלו יכולים לפגוע במשתמש במספר דרכים, החל מפגיעה בפרטיות ודליפת מידע אישי ועד לנזק למוצר או לאדם.
"ההנחיה שיצאה כרגע היא מבורכת. זה דומה בעיניי למה שקרה לפני כמה שנים עם התוויות שמשרד הבריאות הורה לשים על מוצרים עם יותר מדי סוכר ונתרן. זה בולט לעין ומעלה מודעות", אומר בשיחה עם mako, אלעזר בירו, מנהל מערך הסייבר בחברת נס (NESS). "איך זה יתבצע בפועל? יכול להיות שיצורף עלון עם אזהרה וכללי זהירות בתוך המוצר. יש גם אופציה להעביר מסמך ללקוח ושהוא יחתום עליו בעת הקנייה. בחנויות החשמל, לדוגמה, המוכרים יצטרכו להסביר על הסיכונים לקונים".
אנשים יפסיקו לרכוש את המוצרים החכמים?
בירו: "עדיין אנשים ימשיכו לקנות את המוצרים האלה – אבל זה כן יעלה את המודעות בצורה משמעותית. אני אוהב קינדר בואנו ועדיין אוכל את זה, למרות הסוכר".
איזה מוצרים שאנשים קונים הכי מסוכנים וחשופים לפריצות?
"כל מוצר שמחובר לאינטרנט הוא בעצם מסוכן. במגזר הפרטי המוצרים הכי נפוצים הן טלוויזיות חכמות (Smart TV), מצלמות אבטחה מבוססות IP, עוזרות אישיות כמו גוגל HOME ואלכסה, שואבי אבק חכמים כמו איירובוט ושיאומי, שעונים חכמים, מקררים חכמים ותאורה חכמים בבתים חכמים.
במגזר הארגוני - הכול גדול יותר ומסוכן יותר. למשל, מצלמות בערים חכמות, בקרים ברמזור, כל מה שקשור לעולמות של לוגיסטיקה – כמו מחסנים חכמים שמכילים המון רכיבים מבוססי IP. בבתי חולים אנחנו מדברים על סיכונים גם לחיי אדם. למשל, ישנן עגלות בבתי חולים שבתוכן יש מזרקים, עירוי ועוד, שנספרים בתוך העגלה. כשהיא מתרוקנת וצריך למלא אותה, העגלה מקושרת ל-WIFI שמעביר את הנתונים. אותה עגלה מחוברת למדפסת הארגונית כדי שיהיה אפשר להדפיס פלט ולראות מה חסר, והמדפסת יכולה לאפשר חדירה לתוך הארגון ממש".
לדברי בירו, ככל שיותר מידע עלינו נשמר בתוך המוצר, כמו מייל, סיסמה, טלפון, תעודת זהות וכתובת, יש יותר סיכון לפריצות. "יש פלטפורמה ותיקה בשם Shodan, שהיא בעצם מנוע חיפוש שמראה כל התקן חדש שאליו מתחברים – כל מצלמה וטלוויזיה שמחוברת לאינטרנט, לצורך העניין. הרעיון של האתר הזה מגיע ממקום של הגנה – להראות לארגונים, 'הנה תראו, חיברתם רכיבים שעכשיו חשופים באינטרנט', אבל האקרים גם משתמשים בו לרעה".
איך יכולים להשתמש לרעה בטלוויזיה החכמה שלי, למשל?
"יכולים לצלם אותך, להקשיב לך, להיכנס למידע שלך – לסיסמה שלך בגוגל פליי וחשבון הגוגל שלך שמחוברים לטלוויזיה. ככה אפשר גם להיכנס לך לחשבון הג'ימייל - לשבת לך על המייל, לראות עם מי את מתכתבת ומתי, לנסות לעשות מניפולציה כנגדך. הסיסמאות של משתמשים פרטיים הרבה יותר פשוטות, והרבה פעמים יש את אותו שם משתמש וסיסמה בכמה פלטפורמות. ואת כל זה אפשר להשיג רק מהטלוויזיה החכמה".
איך אפשר להתגונן?
"שני הטיפים הכי חשובים גם לאזרח הקטן וגם לארגונים – סיסמה חזקה וכמה שיותר עדכוני תוכנה, ברגע שהם מתפרסמים. באנדרואיד וב-iOS חשוב שהאפליקציות יהיו מעודכנות. הרבה פעמים כשיש גרסה חדשה של אפליקציה, חלק מהעדכונים נובעים בגלל פריצות ובאגים באבטחה שהיו בה.
הנה עוד כמה טיפים להגנה מפני תקיפות סייבר של מערך הסייבר הלאומי
- החלפת סיסמת ברירת המחדל של המכשיר - לסיסמאות מורכבות וייחודיות.
- התקנת מוצרי תוכנה של היצרן - מומלץ להימנע מהתקנת מוצרי תוכנה שאינם מתוצרת מקורית.
- ביצוע עדכוני תוכנה – עדכוני תוכנה מכילים לרוב תיקוני אבטחה אשר מעלים את רמת ההגנה של המוצר מפני תקיפות ומומלץ לבצעם עם הוצאתם בהתאם להמלצת היצרן.
- וידוא ההגדרות - לאחר כל עדכון תוכנה, ביקור טכנאי, טיפול או שדרוג יש לוודא שההגדרות או הסיסמאות לא שונו או הוחזרו לברירת המחדל.
- שמירת הסיסמה - אין להעביר את הסיסמה לגורמים אחרים, וכדאי להחליפה לעיתים תכופות.
- נתב ביתי – פריצה למכשירים חכמים יכולה להתאפשר גם באמצעות הנתב הביתי. מומלץ לשנות את שם הרשת כך שלא יעיד על מאפייני הנתב כגון דגם, יצרן, בעלים ומיקום, ולהגדיר סיסמה ייחודית לנתב.
- הזדהות חכמה – מומלץ להפעיל הזדהות חכמה המכילה אימות נוסף לסיסמה במידה וקיימת אפשרות.
- הורדת יישומים מחנויות רשמיות – את האפליקציה למחשב או לנייד שממנה ניתן לשלוט במכשיר יש להוריד רק מחנות האפליקציות הרשמית.