Nespametna uporaba pametnih naprav odpira vrata zlorabam

Teme, ki jih mednarodna potrošniška organizacija (Consumers International, CI) vsako leto postavi v ospredje ob 15. marcu, svetovnem dnevu potrošnikovih pravic, so čedalje bolj kompleksne, neoprijemljive in navzven nevidne. A zato niso nič manj nevarne. Na nas prežijo iz medmrežja.

Letošnja rdeča nit obeleževanja praznika potrošnikov so zaupanja vredne pametne naprave, ki povezujejo stvari v omrežja in internet (IOT). Na videz drobne, prijazne, učinkovite, napredne, take, ki življenje lahko naredijo izjemno udobno, mu dodajajo nove vsebine, nove storitve, v resnici pa skrivajo številna tveganja. Po podatkih CI je v omrežja povezanih že več kot 23 milijard različnih naprav ali tri na Zemljana! Če vzamemo v ozir samo ljudi, ki jim ekonomski oziroma socialni status omogoča lastništvo povezanih naprav, je število naprav na prebivalca še veliko večje.

Za katere naprave gre? Najprej se spomnimo na mobilne telefone, brez katerih preprosto ne znamo več živeti in jih imamo ves čas ob sebi, v to kategorijo pa sodijo tudi razni mobilni sledilci in merilniki, ki jih uporabljamo na fitnesu, ure, navigacijske naprave, glasovno aktivirani pomočniki, pametni televizorji, gospodinjski aparati, igrače …

In kakšna so ta tveganja? Potrošniške organizacije opozarjajo na različne vzroke za zaskrbljenost, predvsem na pomanjkanje varnosti, zasebnosti in racionalnosti uporabe tovrstnih naprav, pa tudi na nejasna pravila, kdo je odgovoren, če gre pri uporabi kaj narobe. Boštjan Okorn iz Zveze potrošnikov Slovenije (ZPS): »Teoretično lahko nekdo vdre skozi pametno napravo v omrežje, dostopi do vseh, tudi osebnih podatkov, lahko namesti izsiljevalske viruse itn. Četudi ima potrošnik zelo dobro zavarovano omrežje, primeren ruter, si je moč utreti pot skozi napravo. Te postajajo šibek člen, stranska vrata za vdor, saj so običajno slabo zavarovane, imajo preprosta gesla ali so celo brez njih.«

Koristni e-guruji

Okorn pravi, da se slovenski potrošniki na ZPS sicer (še) ne obračajo s težavami ali pritožbami te vrste. »Kak tak vdor se je mogoče že zgodil, a potrošnik niti ne ve, da je šel prek pametne naprave. Vdore sicer nadzira Si-CERT.« Slovenija je v tem pogledu na srečo nekoliko manj na udaru kot razvitejše države, saj trg še ni tako preplavljen s pametnimi napravami. Ob tem Okorn posebej izpostavlja pametne igrače. Težava je pri nas manj izrazita morda tudi zato, ker igrače delujejo in imajo navodila v glavnem v angleščini ali drugem bolj razširjenem jeziku.

Na trg pa prihaja čedalje več drugih povezljivih naprav, na primer pametne žarnice, pametni domovi (navigacija, ki na daljavo uravnava na primer klimatske naprave, gretje, alarme, gospodinjske stroje, praktično celoten dom), a tega je pri nas bistveno manj kot na primer v Ameriki. Okorn: »Ne gre pa pozabiti, da tudi tradicionalne naprave dobivajo pamet. Ko na primer televizor vklopimo v omrežje, firma lahko vidi, kako ga uporabljamo, kaj gledamo. Zgodilo se je celo, da je prisluškovala. Če si računalniški frik, boš na to pozoren, slehernik pa se sploh ne bo zavedal, da je v mreži.«

Je ozaveščenost potrošnika sorazmerna s količino pametnih naprav v ponudbi? »Mislim, da imamo srečo, da je na slovenskem trgu kar nekaj tehnološko naprednih e-gurujev – vsekakor več kot v Nemčiji ali Avstriji -, ki kupujejo take naprave, jih preizkusijo in bodisi priporočijo ali morebitne slabe izkušnje delijo na raznih forumih. Res pa je, da v tujini potrošnika bombardirajo s ponudbo raznih glasovnih pomočnikov že v blagovnicah, pri nas pa še ni izpostavljen na vsakem koraku.«

Navzven se ne vidi, ali je naprava varna ali ne, pritrdi Boštjan Okorn. Po njegovem mnenju je najočitnejši znak za alarm, če naprava za namestitev ne potrebuje gesla ali če je zelo preprosto, npr. admin, 12345. To sicer olajša delo uporabniku, vendar tudi vsiljivcem. Geslo mora biti zapleteno, unikatno za vsako napravo. So dražje naprave načeloma varnejše? »Ni pravila. Ne veš, dokler ne preizkusiš. Obstaja pa velika verjetnost, da je uporabnik varnejši, če se zateče k preizkušenim znamkam, ki se že dolgo ukvarjajo z omrežno opremo. Tveganje je večje pri startupih, ki so sicer tehnološko napredni, niso pa toliko pozorni na varnost. Poleg tega po določenem času izginejo s trga in naprave, ki je sicer brezhibna, ne moremo več uporabljati.«

Starši sprašujejo

Pritožb, povezanih s povezljivostjo pametnih naprav niso doslej prejeli niti v slovenskem Evropskem potrošniškem centru (EPC) niti na Uradu informacijskega pooblaščenca. Na slednjega pa so se obračali starši z vprašanji, kako je z dopustnostjo uporabe pametnih naprav za otroke, kot so pametne ure in pametne igrače, kakšne nevarnosti predstavljajo in kako se pred njimi ubraniti. »Tovrstne naprave namreč omogočajo tudi snemanje videa in zvoka in ob zlorabi omogočajo prikrito snemanje. Iz tujine npr. poročajo o primerih, ko so starši pametne ure uporabili za prikrito snemanje pouka in neke vrste prikriti nadzor učiteljev. Nevarnosti nespametne uporabe pametnih naprav za otroke in pomanjkljivosti glede varstva osebnih podatkov, kot so nejasni pogoji uporabe podatkov, vprašljive varnostne prakse in pomanjkljivo informiranje posameznikov, so podrobno opisali v norveški potrošniški organizaciji, ki je izdala poročili o pametnih urah in pametnih igračah,« je pojasnila informacijska pooblaščenka Mojca Prelesnik.

Podobna so tudi opažanja Tadeja Hrena iz Si-CERT: »Dosedanja praksa je sicer dostikrat pokazala, da se proizvajalci naprav IOT pri proizvodnji premalo posvečajo varnosti. Posledica tega so različne ranljivosti naprav, ki se jih lahko izkorišča za vdore in posledično raznovrstne zlorabe. Je pa tega na srečo zaenkrat še relativno malo v primerjavi z bolj običajnimi zlorabami. Eden izmed najbolj odmevnih primerov je botnet mirai, ki so ga sestavljale različne zlorabljene IOT naprave, največ pa domači usmerjevalniki in IP kamere. Botnet mirai so napadalci uporabljali predvsem za napade onemogočanja na tuje sisteme, tako imenovane DDoS napade.«

Prek preslabo zaščitene pametne napravo je moč vdreti v omrežje.

Privacy by design

Tako potrošniške organizacije kot nadzorne institucije se zavedajo, da popolne varnosti ni. Tveganja pa se bodo zmanjšala na dva načina: z ozaveščanjem in informiranjem potrošnikov (ne samo na potrošniški praznik, ampak vsak dan) ter z zahtevami do proizvajalcev pametnih naprav. Na primer, da bodo izdelane po načelu vgrajene zasebnosti (privacy by design), pri čeme se morata zasebnost in varstvo podatkov vgraditi v izdelek že pri njegovem načrtovanju, to načelo pa bi moralo biti vključeno v standarde, najboljše prakse, tehnične specifikacije in sisteme. Zdaj smo še daleč od tega. Okorn karikira: »Približno tako je, kot če bi kupil električno napravo, za katero ne veš zagotovo, ali te bo stresla ali ne. Doseči bi morali standarde, podobne, kot jih imamo pri električnih napravah. Tam se natančno ve, kako mora biti izdelek narejen, da je njegova uporaba varna.«

Urad informacijskega pooblaščenca na nevarnosti opozarja v sklopu mednarodne delovne skupine za varstvo osebnih podatkov v telekomunikacijah (IWGDPT), ki pripravlja mnenje s priporočili na to temo, naslavlja pa tako proizvajalce kot uporabnike. Proizvajalcem priporoča uporabo jasnih in podrobnih informacij o načinih delovanja in obsegu ter posredovanju zbranih podatkov za uporabnike, strožje varnostne ukrepe in na daljši rok certifikacijo tovrstnih naprav. Staršem in učiteljem, ki se po njegovi oceni še ne zavedajo vseh pasti takih naprav, pa svetuje, da se podobno seznanijo z načinom delovanja teh naprav in o tem poučijo otroke. Naprav, ki ne nudijo dovolj informacij o svojem delovanju, naj ne kupujejo.

Si-CERT uporabnikom polaga na srce, da vsem napravam, ki jih priključijo v omrežje, zamenjajo privzeto geslo, še preden napravo prvič uporabijo. Poleg tega naj spremljajo obvestila proizvajalca ter redno posodabljajo programsko opremo (t.i. firmware), sploh za naprave, ki so neposredno dostopne z interneta.