Nowe regulacje mają zagwarantować lepsze zabezpieczenia urządzeń cyfrowych łączonych z internetem, tak aby były one bardziej wytrzymałe i odporne np. na cyberataki. Bo tzw. internet rzeczy, czyli urządzenia połączone z siecią, którymi można sterować zdalnie (np. włączać pralkę za pomocą aplikacji albo śledzić sytuację w domu przez kamerkę internetową) ułatwiają życie, ale i wiążą się z ryzykiem.

Organizacje konsumenckie od lat alarmują, że niektóre sprzęty cyfrowe mają luki w oprogramowaniu lub, co gorsza, są podatne na ataki hakerskie. Jak inteligentne kamery do monitoringu domowego marki Xiomi, które rozsyłały innym użytkownikom zdjęcia wnętrz domów, które miały chronić czy wideo-dzwonki do drzwi Ring, które pozwalały hakerom dostać się do sieci użytkownika i sterować wszystkimi podłączonymi do niej sprzętami. Albo inteligentne telewizory, które zhakowane same przełączały programy i zmieniały głośność czy połączone z internetem ekspresy do kawy, za pośrednictwem których do sieci wyciekły dane, w tym bankowe, ich właścicieli.

Podsłuch w zabawce

Niebezpieczne bywają też zabawki. Problem nagłośniła jeszcze w 2016 r. norweska organizacja konsumentów Forbrukerrådet, która przetestowała łączoną z internetem lalkę My Friend Cayla i robota i-Que. Zabawki były w stanie komunikować się z dziećmi, zadawać im pytania, pamiętały też ich odpowiedzi. Testy wykazały jednak, że zabawki za pomocą zainstalowanych w nich mikrofonów nagrywały rozmowy i przekazywały sekrety dzieci producentom zabawek i aplikacji. Te przekazywały je firmom specjalizującym się w technologii rozpoznawania mowy oraz reklamodawcom. W efekcie dzieci narażone były na reklamy np. lalka Cayla opowiadała o tym, jak bardzo lubi oglądać filmy Disney’a, z którym producent zabawki miał podpisaną umowę.

Niewinna zabawka czy narzędzie podsłuchu hakerów? Zdjęcie: Daniel Karmann/dpa/picture alliance

Ponadto okazało się, że zabawki nie mają odpowiednich zabezpieczeń i łatwo przejąć nad nimi kontrolę choćby wykorzystując smartfona. Hakerzy mogli nie tylko podsłuchiwać dzieci, ale i z nimi rozmawiać czy określić ich lokalizację. Zdarzały się też przypadki przeprogramowania zabawki – w internecie do dzisiaj zresztą można znaleźć nagrania lalki Cayli, która przeklina lub odzywa się niegrzecznie do dziecka. Zresztą jeszcze w 2017 r. Niemcy uznały Caylę za nielegalne urządzenie szpiegowskie i zabroniły jej sprzedaży. W późniejszych latach zarzuty dotyczące niewystarczających zabezpieczeń wysuwane były również wobec lalki Hello Barbie, zabawek Furby Connect, CloudPets czy Toy-fi Teddy.

Pralka podatna na cyberataki

Nowe przepisy, czyli unijny akt o cyberodporności produktów cyfrowych, mają lepiej chronić konsumentów przed wadami technologii. Parlament Europejski i Rada w czwartek (30.11.2023) w nocy zawarły wstępne porozumienie w sprawie zaproponowanych przez Komisję przepisów w tej dziedzinie. Nowe regulacje obejmą wszystkie produkty pośrednio lub bezpośrednio podłączone do sieci, w tym domowe kamery, inteligentne lodówki, telewizory czy zabawki.

Przepisy zobowiążą producentów do wprowadzenia wymogów odnośnie ich bezpieczeństwa oraz przeprowadzenia oceny cyberryzyka jeszcze przed wprowadzeniem ich do sprzedaży. W przypadku, kiedy wykazane zostaną podatności urządzenia na ataki hakerskie, producenci, importerzy i dystrybutorzy będą zobowiązani postępować będą konkretnych procedur i np. wycofać produkt z rynku, zaktualizować jego oprogramowanie lub usunąć luki w zabezpieczeniach. Każdy taki przypadek będzie musiał zostać zgłoszony odpowiednim urzędom krajowym, te z kolei raportować będą do unijnej Agencji ds. Cyberbezpieczeństwa (ENISA).

Producent będzie musiał także zapewnić konsumentom wsparcie techniczne np. aktualizacje oprogramowania przez cały okres żywotności produktu, nie krócej niż przez pięć lat. Dzisiaj nie jest to takie oczywiste. Z badań przeprowadzonych w styczniu tego roku przez brytyjską organizację konsumentów Which? wynika, że wiele inteligentnych telewizorów, zmywarek, pralek, smartfonów, drukarek czy zegarków ma żywotność znacznie krótszą niż to obiecuje producent, po czym już po dwóch latach część inteligentnych funkcji przestaje poprawnie działać, a sprzęt staje się podatny na cyberataki.

Tymczasem większość producentów po upływie dwuletniego okresu gwarancji umywa ręce. Firmy będą musiały także informować konsumentów co do stosowanych przez nie zabezpieczeń sprzętów, co pozwoli użytkownikom łatwiej znajdować sprzęt i oprogramowanie z odpowiednimi cyberzabezpieczeniami. Konsumenci będą mogli także domagać się zadośćuczynienia od producentów – również w formie pozwów zbiorowych – w sytuacji, jeśli poniosą oni szkodę z powodu braku odpowiednich zabezpieczeń produktu.

– Ustawa o cyberodporności wyeliminuje luki w zabezpieczeniach zarówno sprzętu, jak i oprogramowania. Z kolei takie produkty, jak routery czy programy antywirusowe zostaną uznane za priorytetowe dla cyberbezpieczeństwa UE – napisała w oświadczeniu włoska europosłanka Nicola Danti z Renew, negocjatorka porozumienia z ramienia PE.

Wielkie zwycięstwo konsumentów

Decyzję PE i Rady przyjęła z zadowoleniem nie tylko Komisja Europejska, która przepisy zaproponowała – akt o cyberodporności został zapowiedziany po raz pierwszy przez przewodniczącą KE Ursulę von der Leyen w orędziu o stanie Unii we wrześniu 2021 r., a same regulacje przedstawione przez KE rok później – ale także przez unijne organizacje konsumentów, które przez lata o nie zabiegały. – Grupy konsumenckie od lat wielokrotnie ostrzegały, że zbyt wiele produktów, na których polegamy, nie posiada nawet najbardziej podstawowych funkcji cyberbezpieczeństwa – przyznaje w rozmowie z DW Ursula Pachl, wicedyrektorka organizacji konsumentów BEUC.

Jak dodaje, to porozumienie to duże zwycięstwo dla konsumentów. Bo chociaż większość z nas codziennie korzysta z produktów podłączonych do sieci, choćby z telefonów, w domach i pracy, to rynek nie zdołał nas odpowiednio ochronić przed zagrożeniami. – To sprawiło, że byliśmy zbyt podatni na cyberataki i szkody z nimi związane. Nowe przepisy znacznie poprawią sytuację, ale prawodawcy powinny zachować czujność i monitorować czy producenci będą przestrzegać nowych wytycznych – mówi Pachl.

Żeby przepisy mogły wejść w życie, muszą teraz zostać formalnie przyjęte przez PE i Radę, co – jak zapewniają unijni urzędnicy – w świetle zawartego porozumienie jest już tylko formalnością. Po wejściu aktu w życie, producenci otrzymają okres przejściowy na zastosowanie się do nowych wymogów.

