האם חקיקה חדשה תחולל מהפכה באבטחת המכשירים המחוברים?
This post is also available in: 
English (אנגלית)
בשנת 2017 היו ברחבי העולם כ-20 מיליארד מכשירים מחוברים, לפי נתוני Statista, והתחזית היא שהמספר יגיע ללמעלה מ-75 מיליארד עד 2025. יחד עם זאת, מתבצעות יותר התקפות על מכשירים אלה, המכונים האינטרנט של הדברים (IoT). כעת, בקליפורניה שוקלים חקיקה שתחייב אבטחת סיסמאות הדוקה יותר עבור רשת מכשירי ה-IoT.
מכשירים אלה השתלטו על כל פינה בבית, כולל מכשירי מיקרו, שעונים וגאדג'טים למכוניות, ועד למכשירים משמעותיים יותר בתעשיה ובצבא. הסיכון לפריצה על ידי האקרים הולך וגובר. מספר גבוה באופן מפתיע של אנשים אינם משנים כלל את סיסמת ברירת המחדל כשהם רוכשים מכשיר חדש, כמו ראוטר. זאת בשעה שרוב סיסמאות המחדל האלה ניתנות לחיפוש פשוט בגוגל.
הצעת החוק SB 327 מנסה להתמודד עם פרצות אלה. היא דורשת מיצרן המכשיר המחובר לצייד אותו ב"מאפייני אבטחה סבירים", החל מ-1 בינואר 2020. ההצעה גם דורשת כי היצרנים יספקו סיסמאות מחדל יחודיות לכל מכשיר או יעודדו את המשתמש להחליפן בסיסמה חדשה לפני תחילת השימוש במוצר. ההצעה אושרה על ידי האסיפה והסנאט בקליפורניה וממתינה לאישור סופי.
מילוש פרבולוביץ', מרצה בבית הספר למדעי המחשב במכון הטכנולוגיה של ג'ורג'יה, ארה"ב, טוען כי הצעת החוק תשפר את האבטחה עבור רוב האנשים. אם היצרנים יחויבו ליצור סיסמאות יחודיות לכל מכשיר, גם אם מדובר בסיסמאות מחדל – הדבר יצמצם את הכמות האדירה של ההתקפות האוטומטיות המתבצעות על ידי בוטים. להערכותו, יהיה טוב יותר אם אכן יעודדו את המשתמשים ליצור סיסמאות משלהם לפני השימוש במכשיר חכם.
כמה מומחים לאבטחת סייבר טוענים כי חלק גדול מהצעת החוק הוא עמום. רוברט גרהם מחברת Errata Security מצביע על כך ש"אמצעי אבטחה סביר" יכול להתפרש בצורות שונות, "בלתי אפשרי עבור חברה לדעת מה משמעות המילים האלה והאם היא אכן עומדת בדרישות החוק".
אולם חקיקה עמומה דוקא יכולה להיות חיונית בגלל השינויים הטכנולוגיים המהירים.
ומה לגבי מדינות נוספות בארה"ב? " קליפורניה מהווה שוק גדול, די בטאוח שאם החוק יתקבל הוא יתפשט גם למקומות אחרים", מעריך פרבולוביץ'. קליפורניה, בה נמצאות כמה מענקיות הטכנולוגיה, היא לעיתים קרובות החלוץ לפני המחנה במה שקשור למדיניות טכנולוגיה, בפרוט בהגנה על הצרכנים, כך לפי slate.com.
באירופה, האיחוד האירופי מאמין כי הסדרת תחום מכשירי ה-IoT יכולה לפתור את בעיית האבטחה שלהם. האיחוד האירופי מתכנן להפעיל לחץ על יצרני המכשירים באמצעות חוק אבטחת הסייבר של האיחוד, שלפי מבנהו הנוכחי, עתיד לייצר תוכנית הרשאה אחידה למכשירים מבוססי טכנולוגיות תקשורת מידע, מדווח itproportal.com.
