ארה"ב: חוק סייבר חדש עושה סדר בבלאגן של מוצרי אינטרנט הדברים

חוק חדש שעבר השבוע בקליפורניה מתקן ליקוי בעייתי באכיפת אבטחת מידע במוצרי אינטרנט הדברים ובית חכם. לפי דיווח של Dark Reading, כולל החוק סעיף שמטיל אחריות על ספקי ויצרני המוצרים, במקרים בהם לא עשו די כדי להקשות על פריצת האקרים.

מוצרי אינטרנט הדברים צוברים תאוצה בשנים האחרונות, עם שחקניות גדולות כאמזון וגוגל שמרחיבות את פעילותן בשוק. הירידה במחירי נורות חכמות, מקררים חכמים, תריסים עם חיישנים והתקנים אחרים הובילה משתמשים רבים לרכוש כאלה - ולהיחשף לאיומי אבטחה חמורים. רוב המוצרים, בדגש על הזולים והנגישים ביותר, מיוצרים בסין ואינם כוללים שכבת הגנה מפני פריצות. זאת, על אף שההתקנים מחוברים לרשת הביתית, דרכה יכול האקר להגיע למכשירים וחשבונות נוספים, של שאר בני הבית.

עבור פושעי סייבר, זו חגיגה: פורצים אחד, מקבלים גם את המשפחה שלו. למוצרים רבים יש סיסמאות ברירת מחדל, אפליקציות שליטה שאינן מאובטחות כשורה וכולי. ועד עתה, יכלו החברות להמשיך בשלהן בידיעה שאם וכאשר תתרחש פריצה, היא תהיה בעיה של הרוכש.

החוק החדש כולל "כל מכשיר או עצם פיזי, שמסוגל להתחבר לרשת במישרין או בעקיפין, ומקבל כתובת IP או מזהה בלוטות' משלו" - במילים אחרות, כל התקן חכם, ממכשור רפואי (עוד מטרת איכות של האקרים) ועד לשקע חכם שקיבלתם מתנה בכנס של העבודה. נוסח החוק מחייב נקיטת צעדים סבירים וראויים לאבטחת ההתקן והמידע שנאסף דרכו - החל בסיסמאות ומזהי חיבור וכלה בקבצים והיסטוריות גלישה.

החוק הקליפורני צפוי להשפיע על חברות שמוכרות את מרכולתן בארה"ב כולה, בשל שיעור הדיגיטציה הגבוה במדינה זו. ואולם, יצרנים סיניים קטנים נוהגים להשיק שתי גרסאות למכשיריהן - אמריקאית ומקומית, והאחרונה היא זו שמוצעת באתרי שופינג בינלאומיים כעליבאבא. לפיכך, כנראה שלא נראה שינוי מקצה לקצה בתחום אבטחת אינטרנט הדברים עד שגם סין תעביר חוק שכזה.

בפועל, לממשלות יש אינטרס להשאיר את המכשירים החכמים פרוצים; אם כל העולם עובר לאבטחת IoT הולמת, יתקשו צוותי סייבר צבאיים לאסוף מידע בשטח זר ולהוציא לפועל מתקפות מניעת שירות מבוזרת, גניבת מידע או ריגול מתקדם. למשל, הרבה יותר קל לחדור למכשירו של שגריר בבית מלון בו הוא מתארח, מאשר בלשכתו שבשגרירות.