A brit kormány által megrendelt kutatás eredményeiből az derül ki, hogy hogy az Egyesült Királyságban a lakosság csaknem fele (49%) vásárolt már valamilyen IoT-eszközt a koronavírus-világjárvány kezdete óta.

Ian Levy, a Nemzeti Kiberbiztonsági Intézet műszaki igazgatója elmondta, az intelligens berendezések egyébként is egyre népszerűbbnek bizonyultak, a Covid-19 pedig csak felgyorsította ezt a folyamatot. „Habár a gyártók folyamatosan dolgoznak a biztonság javításán, ez még mindig nem elég jó” – emelte ki.

Az illetékes kormányhivatal (DCMS) kiadványa a többi között a 2018. évi gyakorlati kódexre épül, és egyértelműen felvázolja az iparral szemben támasztott elvárásokat. 

A fogyasztók védelme és a bizalom növelése érdekében az egész szektorban elengedhetetlen, hogy a gyártók vállalják a felelősséget és figyelembe vegyék ezeket a javaslatokat – hangsúlyozta a szakember.

Az intelligens, világhálóra csatlakozott eszközök sokszor túl gyorsan történő bevezetése azonban könnyen a hackerek célpontjává teheti azokat. Elég csak a zsarolási vagy csalási célzattal feltört, beépített mikrofonnal vagy kamerával rendelkező IoT-eszközökre, illetve a túlterheléses (DDoS) támadásokra gondolni, amelyek megbénítják a különféle online szolgáltatásokat.

Ezekből kiindulva az új törvényjavaslatok mások mellett az alábbi követelményeket tartalmazzák:

• a vásárlókat az értékesítés helyszínen kellene tájékoztatni arról, milyen gyakran is küld a gyártó biztonsági frissítéseket az adott készülékre;
• gyártók nem használhatnának olyan univerzális jelszavakat, mint a „jelszó” (password) vagy az „admin”, amelyek sok esetben alapértelmezettként vannak beállítva és ezért könnyedén kitalálhatók;
• a feltárt sebezhetőség bejelentésének megkönnyítése érdekében a gyártóknak nyilvános kapcsolattartói pontot kellene biztosítaniuk a felhasználók részére.

A kockázatok az okostelefonok esetén sem elhanyagolhatók. A Which? nevű fogyasztói csoport felmérése szerint ugyanis az emberek harmada legalább négy éve ugyanazt a készüléket használja.

De vannak olyanok is, akik hat éve nem cserélték le telefonjukat, és ezt csak akkor teszik meg, ha már súlyos hibák vagy teljesítményproblémák jelentkeznek a készüléknél. Számos eszközre azonban csak kétévente kap biztonsági frissítéseket.

Rocio Concha, a Which? érdekképviseleti igazgatója arra hívta fel a figyelmet, hogy jelenleg is sok biztonsági hibás okoseszköz érhető el a piacon. Mint elmondta, mindenképpen osztják a kormányzatnak a fogyasztók biztonságának növelése érdekében tett törekvéseit.

„Biztosítani kell, hogy az emberek hatékony jogorvoslatot kaphassanak, amikor a biztonsági előírásoknak nem megfelelő eszközöket vásárolnak, kiszolgáltatottá téve ezzel a felhasználókat” – tette hozzá.

Ez már csak azért is fontos, mert az University College London által nemrégiben bevizsgált 270 csatlakoztatott eszköz egyike sem informálta a fogyasztókat a biztonsági frissítések gyakoriságáról.

lia Kolochenko, az ImmuniWeb vezérigazgatója és alapítója szerint az új törvényeknek példaként kellene szolgálniuk más európai kormányok számára is.

A legnagyobb kihívást a gyakorlati érvényesítés jelenti, mivel manapság az emberek már néhány kattintással megvásárolhatják a szabványoknak nem megfelelő, külföldi IoT-eszközöket. A vámhatóságok pedig nem rendelkeznek elegendő erőforrással a bonyolult jogszabályok betartásának ellenőrzésére a külföldről beáramló áruk esetén.

Kalifornia állam 2018-ban és 2020-ban már két törvényt is elfogadott a témában, ezek fogyasztóvédelemre tett hatását ugyanakkor nem monitorozzák. Az új szabályoknak köszönhetően azonban a fogyasztók a kiszabható pénzbírságok mellett magánperben igényelhetnének kártérítést. Ez szintén elengedhetetlen ahhoz, hogy megfelelő jogorvoslatot nyújtson a károsult személyek számára és erősebben ösztönözze a törvények betartását – fejtette ki Kolochenko.

„A nem megfelelően biztonságos és a veszélyes készülékek többségét olyan harmadik világbeli országokban gyártják, amelyek gyakran nincsenek tisztában a célpiacok szabályozásaival. Így bármilyen jó is lesz a brit törvény, annak gyakorlati érvényesítése meghatározó lesz az esetleges siker szempontjából” – tette hozzá.

Az Egyesült Királyság kormánya az IoT-biztonsági jogszabályok bevezetését akkorra tervezi, amikor a parlamenti ciklus azt lehetővé teszi.