פרסומים

טיוטת הנחית הממונה על הרשות להגנת הצרכן ולסחר הוגן לעניין חובת גילוי לגבי סיכוני מוצרי IoT


22 אוגוסט, 2022

טיוטת הנחית הממונה על הרשות להגנת הצרכן ולסחר הוגן לעניין חובת

גילוי לגבי סיכוני מוצרי IoT

לקוחות נכבדים,
נבקש לעדכנכם כי ביום ה-14 באוגוסט, 2022, פרסמה הרשות להגנת הצרכן ("הרשות") בשיתוף מערך הסייבר הלאומי במשרד ראש הממשלה טיוטת הנחיית ממונה בעניין הסיכונים הגלומים בחיבור מוצרי "האינטרנט של הדברים" – Internet of Things ("IOT") לאינטרנט ("טיוטת ההנחיה"). האמור בטיוטת ההנחיה רלוונטי גם לשירותים ולא רק למוצרים.
טיוטת ההנחיה פורסמה על רקע מקרי פריצות שזיהה מערך הסייבר הלאומי, למכשירים חכמים (מוצרי IOT) המחוברים לאינטרנט של אזרחים וארגונים, דוגמת טלוויזיות חכמות, מזגנים, סטרימרים, דודים חשמליים ומצלמות אבטחה ביתיות.
על אף שמדובר במכשירים בעלי תועלת רבה, כרוכים בהם גם סיכונים, אשר המשתמשים בהם אינם מודעים להם, כגון פגיעה בפרטיות, דליפת מידע אישי, נזק פיזי למוצר או לאדם, ותקיפות סייבר.
על פי טיוטת ההנחיה, סיכוני הסייבר ואבטחת המידע הנובעים ממוצרי ה-IOT רלוונטיים לחובת איסור ההטעיה ולחובת הגילוי שמכוח סעיפים 2(4) ו-4 לחוק הגנת הצרכן, התשמ"א –1981 ("החוק").
בהתאם לכך, טיוטת ההנחיה קובעת מספר חובות גילוי קונקרטיות למען הצרכנים בנוגע למוצרי IOT:

  • ככל שמוצר IOT אינו כולל אפשרות מובנית לשנות סיסמה או שהיצרן אינו צפוי לפרסם עדכוני אבטחה למוצר – זהו פגם או איכות נחותה בנכס או בשירות, שעלול להיות מנוצל לרעה על-ידי גורם זדוני לצורך תקיפת סייבר, ועל כן מפחית מערך המוצר, ולכן יש לגלות זאת לצרכן במפורש בטרם עשיית העסקה, בהתאם לסעיף 4(א)(1) לחוק.
  • ככל שמוצר IOT כולל אפשרות להחלפת סיסמה – מתגבשת חובה לגלות לצרכן את החשיבות של החלפת סיסמה ראשונית, וכן לגלות איך ניתן להחליף את הסיסמא בפירוט ובירור (אם הצרכן לא מחליף את הסיסמא הראשונית של מוצר IOT, ניתן לבצע תקיפת סייבר בקלות רבה יותר).
  • עדכוני אבטחה – חובה לציין בפני הצרכן אם היצרן צפוי לפרסם עדכוני אבטחה לגבי המוצר, משך הזמן שבו הוא צפוי לפרסם עדכוני אבטחה למוצר ("End of life"), ובאם עדכוני האבטחה לא מתעדכנים אוטומטית – יש לציין איך ניתן להתקינם באופן ברור ומפורט.
    טיוטת ההנחיה מדגישה כי הגילוי חייב להיעשות בטרם עשיית העסקה ובכל שלבי העסקה כגון בשלב השיווק ואף בשלב הפרסום, בצורה ברורה ומובנת לצרכן, וכן באופן מובלט ככל שניתן בפרסום/בכתב אחר/בע"פ.
    טיוטת ההנחיה עוסקת באיסור הטעיה ובחובות גילוי לגבי המוצר, ואין היא באה לקבוע או למצות את אמצעי האבטחה הטכניים שעל היצרן/יבואן ליישם במוצרים.
    טיוטת ההנחיה מפרטת אמצעי אבטחה נוספים שניתן להוסיף בהתאם לאופי המוצר ורמת הסיכון הנגזרת מהשימוש בו, בין היתר, הצפנת תעבורת התקשורת אל המוצר וממנו, פרסום מדיניות גילוי חדשות, פרסום פרטי איש קשר שאליו ניתן לדווח על חולשות במוצר, אחסון שמות משתמש וסיסמאות בצורה מאובטחת, שמירת מידע פרטי בצורה מאובטחת, יישום עקרונות של הנדסת אבטחה (Security by Design).
    כאמור, מדובר בטיוטה בלבד, אך אנו ממליצים כי לקוחות העוסקים בייצור או בייבוא של מוצרי IOT – לרבות טלוויזיות, מזגנים ומוצרים אחרים שהוזכרו במסמך זה, לצד מוצרי חשמל אחרים לבית ולמשרד, אשר ניתן לחבר לאינטרנט כמוצרים חכמים – יהיו מודעים לשינויים הרגולטוריים העתידיים ולחובותיהם לעדכן את הצרכנים בהתאם, עם פרסום הנחיות הממונה. מעבר לכך, אנו ממליצים על ביצוע פעולות מקדימות כגון סיווג פנימי של המוצרים אשר יהיה צורך להכין ולפרסם בגינם אמצעי אבטחה (אמצעי גילוי), ולהכינם מבעוד מועד, בטרם הנחית הממונה תפורסם ותצא אל הפועל.
    לעיון בטיוטת ההנחיה לחצ/י כאן (מועד אחרון לתגובות הציבור: 4.9.2022).

______________________________________________________________________________________________________

הסקירה לעיל הינה בבחינת תמצית, המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע זה כדי להוות ייעוץ משפטי.

התמחויות קשורות