Začelo se je z računalniki, notesniki, tablicami, telefoni in urami, a proizvajalci v zadnjih letih v splet povezujejo vse več izdelkov. Zanje ne velja samo, da uporabniku omogočajo dostop tudi na daljavo, tako rekoč od koder koli, ampak tudi, da v splet bolj ali manj pritlehno pošiljajo podatke, za katere se je pogosto izkazalo, da so slabo zaščiteni. Prav neverjetno je, kako brezbrižno se nekateri proizvajalci lotevajo nove tehnologije. Potrošniške organizacije že vrsto let opozarjamo, da bi morali vsi in vedno upoštevati načelo zasebnosti v sami zasnovi izdelka, oblikovali smo tudi nekaj priporočil za potrošnikom varne povezane izdelke.
Močna gesla
Povezani izdelki niso (samo) v stiku z brezžičnim ali mobilnim omrežjem, ampak tudi neposredno z uporabnikom oziroma njegovo napravo, denimo z mobilnim telefonom ali televizorjem. Takšna povezava mora biti zaščitena z močnim geslom, kar pomeni, da nikakor ne zadostuje splošno (znano) geslo kot je »admin« ali kaj podobnega.
Žal so na trgu še vedno naprave, ki za povezavo sploh ne zahtevajo gesla, kar pomeni ne samo, da je povezavo z njimi nadvse preprosto vzpostaviti (kar bi bilo načeloma dobrodošlo za uporabnika), ampak predvsem, da do naprave lahko dostopa vsak, ki ji je dovolj blizu.
Tega zagotovo ne želimo, zato je prav, da že proizvajalci poskrbijo za dovolj močno geslo, ob spremembi pa uporabniku ne dovolijo izbire kratkih in preprostih gesel. Močno zaščito lahko omogočajo tudi na druge načine, denimo s prepoznavo obraza ali prstnih odtisov in s potrditvijo z enkratno kodo v obeh napravah.
Šifriranje podatkov in omejevanje dostopa
Skoraj vse naprave shranjujejo uporabnikove podatke – od tega, kdaj in kako jih uporablja, do konkretnih meritev, lokacije in podobno.
Naprava ne bi smela zbirati podatkov, ki niso nujni za njeno delovanje, vsi zbrani podatki pa bi morali biti shranjeni na varen način, najbolje v sami napravi.
Pošiljanje podatkov v oddaljene shrambe je upravičeno le, če je to del funkcionalnosti naprave (omogoča dostop do podatkov z različnih naprav ali primerjavo med podatki z različnih naprav, denimo), a pri tem mora biti poskrbljeno za močno šifriranje podatkov, še zlasti osebnih, z najsodobnejšimi metodami.
Uporabnik bi moral dobiti jasno informacijo, kje se njegovi podatki shranjujejo in kdo ima dostop do njih. V tem primeru bi morala biti privzeto nastavljena največja možna omejitev dostopa, torej, da do podatkov privzeto dostopa le uporabnik. Ta se lahko pozneje sam odloči, kako in kdaj bo omogočil vpogled drugim uporabnikom.
Redno in preprosto varnostno posodabljanje
Posebnost povezanih naprav je njihova stalna ranljivost. Proizvajalci si morajo zato prizadevati, da vse odkrite varnostne pomanjkljivosti odpravijo v čim krajšem času.
To ne pomeni samo rednih varnostnih posodobitev, ampak predvsem, da so te na najbolj preprost način na voljo uporabnikom, po možnosti celo brez njihovega vpletanja.
Pri tem moramo varnostne posodobitve ločiti od funkcionalnih (denimo nov uporabniški vmesnik), kjer bi uporabnik moral sam potrditi, da jih res želi.
Na vsak način pa bi moral proizvajalec jasno in razumljivo predstaviti politiko nadgradenj in uporabniku pred nakupom ponuditi informacijo o tem, kako dolgo bo zagotovo skrbel za varnostne nadgradnje.
Za še večje zaupanje bo poskrbel z rednim objavljanjem poročil o varnostnih incidentih, s čimer lahko dodatno opozori uporabnika na previdnost pri določenih vrstah rabe izdelka in na pomen varnostnih nadgradenj.
Dostop do informacij o (u)porabi in pravica do pozabe
Prek posebnega vmesnika bi moral uporabnik dobiti možnost, da preveri, kaj se je z napravo dogajalo, in informacije o vseh povezavah, ki jih je vzpostavila.
Prav tako bi moral imeti preprost dostop do trenutnega statusa, predvsem o varnostnih nadgradnjah in vgrajenem uporabniškem vmesniku.
Na preprost, jasen in razumljiv način bi moral biti obveščen o nenavadnih dejanjih ali celo poskusih vdora, skupaj z nasvetom, kako se pred njimi še dodatno zaščititi. Uporabnik bi moral imeti tudi možnost, da preprosto in dokončno izbriše vse podatke, zbrane v času uporabe izdelka, ki so tako ali drugače vezani nanj, pri tem pa ne gre nujno samo za osebne podatke.
Pravica do nepovezanosti
Ne glede na to, da vsi govorimo o povezani prihodnosti, morajo proizvajalci poskrbeti, da bo naprava svojo osnovno funkcionalnost zmožna opravljati tudi brez povezave v omrežje v vseh primerih, ko je to mogoče.
Na ta način ne bo poskrbljeno samo za največjo zaščito uporabnika, ampak posredno tudi za trajnost izdelka, saj bo deloval tudi, če proizvajalec ne bo več zagotavljal podpore in ga je
zato varneje uporabljati v nepovezanem načinu, ali pa v kotičkih, kjer ni povezave v splet oziroma je ta slaba.
Na kaj paziti pred nakupom?
Dokler ne bodo sprejeti ustrezni standardi ali druga zagotovila (denimo certifikacijske sheme), ki bodo potrošnikom nedvoumno podali informacijo o kibernetski zaščiti povezanih naprav, je pred nakupom takšnih naprav potrebna previdnost.
Predvsem se moramo najprej vprašati, ali je povezani del izdelka res tako pomemben, da se mu ne moremo odreči, nato pa prodajalca povprašati o najbolj perečih točkah zasnove izdelka, ki smo jih našteli zgoraj.
Če odgovorov ne dobite, vam nakup odsvetujemo, saj je očitno, da proizvajalec ni dovolj dobro poskrbel za ustrezno zaščito. Tudi podajanje preglednih in jasnih informacij namreč spada v ta okvir.
Vir: ZPS.SI