קליפורניה: החוק הראשון בעולם המטיל חובות אבטחה על יצרני IoT

02.12.2018

קליפורניה: החוק הראשון בעולם המטיל חובות אבטחה על יצרני IoT

מדינת קליפורניה אישרה לאחרונה הצעת חוק מדינתית (Senate Bill 327) שמטרתה להציב סטנדרט אבטחה בסיסי עבור מכשירים והתקנים מבוססי אינטרנט (IoT – Internet of Things), כדוגמת מוצרי “בית חכם”. החוק ייכנס לתוקף ב-1 בינואר 2020, בכפוף להסדרי חקיקה מדינתיים נוספים.

טכנולוגיית IoT, או לפי האקדמיה ללשון העברית, “מִרְשֶׁתֶת הַדְּבָרִים”, הפכה מזמן לחלק בלתי נפרד מחיי היומיום של מרבית מאוכלוסיית העולם המערבי. ההגדרה הרחבה הזאת כוללת כל חפץ פיזי המשולב בתוכנה וחיישני רשת מסוגים שונים המאפשרים תקשורת מתקדמת בין חפצים ואף יכולות איסוף מידע ואוטומציה. הדוגמאות השכיחות ביותר למוצרי IoT הינן מוצרי “בית חכם” הכוללים טלוויזיות חכמות, מערכות מעקב ביתיות ואוטומציה ביתית כללית. דוגמאות מורכבות יותר כוללות טכנולוגיות בתחומי תעשייה שונים, מכשור הרפואי, תחבורה, חקלאות ואנרגיה. ההתפתחות הניכרת בטכנולוגיה הובילה לאיומי אבטחה ממשיים מפני האקרים. נכון להיום, מרבית מוצרי הבית החכם הינם בגדר “פרצה קוראת לגנב” – בקלות יחסית, יכול האקר לפרוץ לרשת הביתית כדי לגנוב נתונים, לשבש פונקציות ולבצע פעולות זדוניות נוספות. החוק החדש נועד להציב סטנדרט אחיד של אבטחה על מנת להקשות ככל הניתן את הגישה למוצריי IoT.

בעבר הונחו על שולחן הקונגרס האמריקאי הצעות חוק דומות במטרתן להתמודד עם פרצות האבטחה במכשירי IoT (לדוגמת Cybersecurity Improvement Act of 2017SMART IoT ActIoT Consumer Tips ActDIGIT Act)
אך אף אחת מההצעות הללו לא צפויה להתגבש לחוק מחייב בקרוב.

החוק, שכאמור צפוי להיות הראשון מסוגו בעולם, חל על כל מכשיר או חפץ בעל יכולת להתחבר לרשת האינטרנט, בין אם באופן ישיר או עקיף, באמצעות כתובת IP או בלוטות’, הנמכרים או המוצעים למכירה במדינת קליפורניה, וכן על ספקי רכיבים עבור יצרנים אלה. משמע, החוק חל כל חפץ או רכיב בעל תכונות IoT לכל שימוש שהוא, כל עוד הוא מוצע למכירה בקליפורניה. החוק מטיל על היצרנים את החובה לנקוט “באמצעים סבירים” לאבטחת המכשיר והנתונים הנאספים, המאוחסנים או המועברים למכשיר מפני גישה לא מורשית.

החוק אינו מגדיר במפורש מהם אמצעים סבירים לאבטחת מכשיריIoT  אך הוא מציין כי סבירות אמצעי האבטחה מבוססת במידה רבה על סוג המוצר, בשימוש בו וסיכונים המלווים בחשיפה של המכשיר או המידע הקשור בו. כלומר, יש להתאים את אמצעי האבטחה לאופי המכשיר, תפקודו, והמידע שהמכשיר אוסף, מכיל ומשדר. אמצעי הגנה סבירים עבור שואב רובוטי או מקרר ביתי יהיו שונים בתכלית מאמצעי הגנה סבירים למכשור רפואי שמושתל בגופו של אדם או למכשיר שאוסף מידע בנוגע לפעילות ביטחונית מסווגת. החוק אף כולל פטור מפורש מפני תוכנות של צדדים שלישיים שהותקנו על המכשיר בידי המשתמש עצמו.

על אף העמימות היחסית בניסוח בכל הנוגע לאמצעי האבטחה הנדרשים, החוק מציין דרישות ספציפיות בכל הנוגע לאימות המשתמשים. החוק מחייב את היצרנים לצייד את מכשירי ה- IoT  בסיסמת ברירת מחדל ייחודית ונפרדת מהרשת המקומית או לדרוש מהמשתמשים ליצור סיסמה ייחודית בעת השימוש הראשון. התמקדותו של החוק באימות ובסיסמאות ייחודיות נובעת בין היתר מכך שמתקפות האקרים רבות התאפשרו בגלל שמשתמשים לא טורחים לשנות את סיסמת ברירת המחדל של מכשירי IoT.

מומחים בתחום שיבחו את החוק, שמהווה ללא ספק צעד ראשון להקמת תשתית רגולטורית להגנה מפני פריצות, אך היו אחרים, בעיקר יצרני טכנולוגיית IoT, שטענו שהחוק עמום מידי וקשה ליישום. חוקרי סייבר אחרים טענו שהחוק מבוסס על הבנה שטחית למדי של בטחון סייבר ושהחובות המוטלות על היצרנים מעטות מידי כי עניין הסיסמה מהווה רק פרצה אחת בגדר, מתוך שלל פרצות קיימות במכשירים אלה שנותרו ללא מענה. עם זאת, סביר להניח שהחוק יביא לגל חקיקה דומה במדינות רבות נוספות. על פי הערכות, החוק צפוי להשפיע על חברות ישראליות רבות המפתחות מוצרים בעלי טכנולוגיית IoT המיועדים להימכר במדינת קליפורניה ועל כן יש להיערך מראש לכניסת החוק לתוקף בתחילת 2020, עוד בשלב הפיתוח.

News & publications:
More Newsletters: