Symbolem dwóch pierwszych dekad XXI wieku jest dynamiczny rozwój technologii cyfrowych, które znalazły zastosowanie niemal we wszystkich dziedzinach życia. Ich sercem jest internet, który pozwala na wymianę danych pomiędzy ludźmi i urządzeniami, w wielu przypadkach w czasie rzeczywistym. Doprowadziło to do sytuacji, w której technologie i usługi będące do niedawna „wykorzystywane” wyłącznie w literaturze science-fiction stały się codziennością obywateli i obywatelek Unii Europejskiej. Są wśród nich telekonferencje, roboty przeprowadzające operacje, sieci energetyczne sterowane przez sztuczną inteligencję oraz smartfony. W fazie testów znajdują się pojazdy autonomiczne, zaawansowana wirtualna rzeczywistość czy komputery kwantowe.
Zmiany te nie pozostały niezauważone przez Unię Europejską. Szczególne miejsce zjawiska te uzyskały w wytycznych politycznych przewodniczącej Komisji Europejskiej Ursuli von der Leyen, która wskazała, że Europa ma być gotowa na Wiek Cyfrowy (Europe fit for the Digital Age). Założenie to jest precyzowane w kolejnych dokumentach takich jak „Nowa strategia przemysłowa dla Europy”, „Kształtowanie cyfrowej przyszłości Europy”, „Strategia MŚP na rzecz zrównoważonej i cyfrowej Europy”. Szczególne znaczenie dla osiągnięcia tych planów ma rozwój Jednolitego Rynku Cyfrowego, który uznaje się za punkt wyjścia do zachowania konkurencyjności UE i rozwoju w kierunku przywództwa cyfrowego.
Jednocześnie cyfryzacja życia niesie ze sobą różnego rodzaju zagrożenia. Należą do nich znane z niewirtualnego świata oszustwa czy kradzieże, które są dokonywane przy pomocy internetu, ale również niebezpieczeństwa właściwe wyłącznie dla sfery cyfrowej takie jak kradzieże tożsamości czy ataki DDoS uniemożliwiające dostęp do wybranych zasobów sieciowych. Celami ataków są zarówno przedsiębiorcy, instytucje unijne, krajowe ograny władzy publicznej, jak i zwykli obywatele. Napastnikami mogą zaś być przestępcy działający dla zysku, wywiady obcych państw, ekstremiści czy hacktywiści działający – w ich mniemaniu – dla dobra wspólnego. Można przyjąć, że im bardziej połączona staje się gospodarka i społeczeństwo, tym większa jest podatność na ataki i tym szersze są ich skutki. Konsekwencje takich ataków pociągają za sobą nie tylko skutki finansowe, ale mogą również stanowić niebezpieczeństwo dla demokracji i europejskich wartości. Dlatego zapewnienie cyberbezpieczeństwa stało się jednym z priorytetów UE. Szczegółowe cele w tym obszarze zostały wyznaczone w Europejskiej Unii Bezpieczeństwa 2020-2025 i opublikowanej w grudniu 2020 unijnej strategii cyberbezpieczeństwa.
Problem cyberbezpieczeństwa urządzeń bezprzewodowych i jego skala
Urządzenia, które bezprzewodowo łączą się z siecią nazywane są Internetem Rzeczy (Internet of Things, IoT). W skład IoT wchodzi całe spektrum produktów, wśród których można wskazać czujniki stosowane automatyce przemysłowej i medycynie, samochody autonomiczne, niektóre urządzenia AGD tzw. smart-AGD, nowoczesne liczniki prądu, wirtualnych asystentów jak popularna Alexa firmy Amazon, zabawki, smartfony czy urządzenia do noszenia (wearables) takie jak smartwatche, bransoletki mierzące aktywność organizmu czy opaski wzywające pomoc w nagłych wypadkach.
Szacuje się, że do końca 2021 roku liczba takich urządzeń osiągnie 25 miliardów, a wysokość nakładów na wdrażanie tej technologii jest oceniane na 740 miliardów dolarów w 2020 roku, z perspektywą kilkunastoprocentowych wzrostów w kolejnych latach. Cechą charakterystyczną IoT jest ilość generowanych danych. Trzeba pamiętać, że technologia ta ma cały czas duży potencjał rozwojowy głównie dzięki implementacji technologii 5G, która pozwala na większą niż dotychczasowa prędkość przesyłania danych bez zauważalnych opóźnień oraz podłączenie do sieci do miliona urządzeń na kilometr kwadratowy. Tym samym w najbliższym czasie nowe produkty i usługi, takie jak chociażby dostarczanie paczek przez autonomiczne drony, mają szanse na szerokie wdrożenie praktyczne.
Mimo znacznego rozpowszechnienia technologii IoT, nie stworzono do tej pory regulacji prawnych dla niej dedykowanych. Oznacza to, że wymagania prawne dla urządzeń IoT należy oceniać według przepisów dotyczących określonych kategorii produktów – przykładowo bezpieczeństwa wyrobów medycznych, maszyn, zabawek czy środków ochrony indywidualnej. Biorąc pod uwagę różnorodność możliwych sposobów wykorzystania IoT trzeba uznać, że są obszary pozostające poza zainteresowaniem prawodawcy. Fakt ten wskazuje się jako jeden z powodów używania IoT w sposób wątpliwy etycznie jak na przykład w ramach systemów broni autonomicznej lub nadzorowania pacjentów domów opieki bez ich wiedzy. Brak regulacji jest również jedną z przyczyn niskiego poziomu cyberbezpieczeństwa Internetu Rzeczy, mimo że, jak się wskazuje, jest to technologia szczególnie wrażliwa na tego rodzaju zagrożenia.
Wyróżnić można dwa podstawowe sposoby naruszania bezpieczeństwa IoT. W pierwszym urządzenia te nie są celem samym w sobie, lecz służą jako wektor ataku przy pomocy którego przejmuje się kontrolę nad systemem informatycznym, do którego urządzenie jest podłączone. Jako przykład można przywołać atak na kasyno za pośrednictwem żarówki do oświetlania akwarium. Urządzenie IoT może też służyć do prowadzenia ataków typu DDoS czego przykładem było wykorzystanie wirusa Mirai infekującego urządzenia IoT zabezpieczone domyślnym hasłem, które były następnie wykorzystywane do przesyłania pakietów danych blokujących dostęp do stron internetowych.
Drugim sposobem naruszenia bezpieczeństwa IoT jest atak bezpośrednio na urządzenie. Jego celem może być jego zniszczenie czy uszkodzenie, co w przypadku wyrobów medycznych może doprowadzić nawet do śmierci pacjenta. Atak może też mieć na celu kradzież danych zgromadzonych w urządzeniu, które mogą następnie posłużyć do szantażowania właściciela, przeanalizowania jego zachowań, na przykład w celu ustalenia kiedy przebywa w domu aby móc dokonać włamania, albo tworzenia fałszywej tożsamości w celu wyłudzania kredytów lub dokonywania oszustw na portalach aukcyjnych. Ofiarami kradzieży danych mogą być również dzieci korzystające z zabawek podłączonych do internetu albo nadzorowane przez urządzenia typu elektroniczna niania. Warto w tym miejscu przywołać przykład urządzenia Safe-KID-One, które zostało stworzone by monitorować miejsca przebywania dziecka oraz pozwalać na kontakt z nim. Analiza jego funkcjonowania wykazała jednak, że nie ma ono odpowiednich zabezpieczeń, co może doprowadzić do uzyskania informacji o miejscu pobytu dziecka oraz umożliwić nieautoryzowany kontakt z nim.
Unijna propozycja rozwiązania tego problemu
Unia Europejska postrzega cyberbezpieczeństwo jako jedną z podstaw realizacji swoich celów w zakresie digitalizacji. Ma to odbicie w przyjmowanych strategiach, ale też w tworzeniu ram prawnych, które stanowią ich realizację. Jednocześnie dotychczas przepisy nie odnosiły się do regulacji bezpieczeństwa urządzeń bezprzewodowych, mimo świadomości powstawania przywołanych powyżej problemów. Zdumiewało to o tyle, że osoby badające zagadnienia cyberbezpieczeństwa podkreślają, że system jest tak bezpieczny jak jego najsłabsze ogniwo. Zauważyć również należy, że stosowne regulacje zostały już przyjęte w Kalifornii wpływając na zachowanie światowych gigantów mających siedzibę w Krzemowej Dolinie. W październiku 2021 roku sytuacja ta uległa zmianie dzięki przyjęciu Rozporządzenia Delegowanego Komisji do Dyrektywy w sprawie urządzeń radiowych.
Wybór tej formy prawnej jest podyktowany względami praktycznymi. Pierwszym z nich jest większa szybkość przyjęcia odpowiednich rozwiązań względem procedury legislacyjnej, która miałaby na celu uchwalenie rozporządzenia lub dyrektywy. Drugim jest techniczna specyfika IoT, które w łączeniu się z internetem najczęściej korzystają z fal radiowych, tym samym wchodzą w zakres wspomnianej dyrektywy. Jednocześnie Komisja zdaje sobie sprawę, że taka regulacja tylko częściowo rozwiąże problem, w związku z tym zostanie ono uzupełnione aktem dotyczącym cyberodporności zapowiedzianym przez przewodniczącą Ursulę von der Leyen w przemówieniu będącym orędziem o stanie Unii.
Nowa regulacja nakłada na producentów obowiązek spełnienia wymagań zasadniczych dotyczących niepożądanego wpływu na sieć. Dodatkowo, w przypadku wskazanych urządzeń, takich jak wearables czy systemu nadzoru nad dziećmi, wymóg wbudowania systemów zabezpieczających w celu ochrony danych osobowych i prywatności. Natomiast jeżeli urządzenie umożliwia przekazywanie środków pieniężnych, jak na przykład opaski do płatności zbliżeniowych lub smartfony urządzenie trzeba będzie wyposażyć w funkcje, które zapewniają ochronę przed oszustwami.
Wymagania zasadnicze mają swoje źródło w normach technicznych i stanowią wzór do którego porównuje się właściwości wyrobu. Jednocześnie zgodnie z rozporządzeniem 1025/2012 za normę uważa się dobrowolne specyfikacje techniczne lub jakościowe, z którymi mogą być zgodne obecne lub przyszłe produkty, procesy produkcyjne lub usługi. Zatem producenci mają dowolność w doborze środków, o ile będą one gwarantować standard przewidziany w określonej normie. Nie mają przy tym obowiązku wdrożenia normy w znaczeniu posługiwania się nią we wszystkich procesach biznesowych.
Warto zauważyć, że przewidziano aż 30-miesięczny okres przejściowy na zagwarantowanie zgodności z rozporządzeniem. Jednocześnie urządzenia, które zostaną wprowadzone na rynek przed tym terminem dalej będą mogły być sprzedawane i nie trzeba będzie ich modyfikować pod kątem nowych wymogów prawnych. Nie będzie również żadnego terminu co do którego mogą być one używane lub wspierane przez producenta nowymi wersjami oprogramowania.
Ocena regulacji
Reguły dotyczące bezpieczeństwa urządzeń IoT są bez wątpienia potrzebne. Dopóki była to niszowa technologia znajdująca zastosowanie głównie w logistyce do śledzenia towarów wystarczały standardy branżowe lub reguły umowne. W obecnej chwili jest ona powszechnie wykorzystywana, a użytkownikami są osoby niezdające sobie sprawy ani z ilości danych jakie te urządzenia gromadzą ani z faktu, że są one relatywnie słabo zabezpieczone. Należy sobie zadać pytanie dlaczego UE dopiero teraz wprowadziła odpowiednie regulacje oraz dlaczego wejdą one w życie najwcześniej w 2024 roku.
Odnosząc się do pierwszego zagadnienia trzeba pamiętać, że pierwotnie kwestię cyberbezpieczeństwa łączono głównie z bezpieczeństwem narodowym, a jest to obszar, w którym UE w zasadzie nie ma kompetencji. Dopiero zmiana spojrzenia i przyjęcie założenia, że cyberbezpieczeństwo jest fundamentem jednolitego rynku cyfrowego i ochrony konsumentów umożliwiły podjęcie prac legislacyjnych zakończonych uchwaleniem w 2016 roku Dyrektywy NIS, która tworzy podwaliny europejskiego systemu cyberbezpieczeństwa. Objęcie funkcji Przewodniczącej KE przez Ursulę von der Leyen przyspieszyło działania legislacyjne w tym obszarze cyfryzacji, które dodatkowo zdynamizowały wobec wyzwań jakie postawiał pandemia Covid-19. Można w tym świetle postawić tezę, że lepiej podjąć działania legislacyjne późno niż wcale, tym bardziej że problemy związane z IoT będą się nawarstwiać, a nie maleć. Mimo że rozporządzanie delegowane wyklucza niektóre z urządzeń łączących się z siecią ze swojego zakresu zastosowania to i tak obejmuje zdecydowaną większość rynku takich produktów. Za jego niewątpliwą zaletę uznać należy również to, że w jasny sposób zapowiedziano w nim, że to będzie ono częścią innej, bardziej kompleksowej, regulacji prawnej.
Wyznaczenie tak długiego okresu vacatio legis jest kontrowersyjne. Z jednej strony dostosowanie się do wymagań zasadniczych w krótszym czasie może stanowić poważne wzywanie zwłaszcza dla mniejszych firm czy startupów. Trzeba pamiętać, że w grę może wchodzić przeprojektowanie całych urządzeń lub oprogramowania co jest czaso- i zasobochłonne. Z drugiej strony należy zauważyć, że przynajmniej w odniesieniu do urządzeń przetwarzających dane osobowe wymogi w zakresie bezpieczeństwa i prywatności obowiązują od wejścia w życie RODO tj. już od 2018 roku. Trzeba mieć również na względzie interes konsumentów, którzy potencjalnie są słabo chronieni do chwili wejścia w życie nowych rozwiązań. Wydaje się, że KE mogła zaproponować różne daty obowiązywania aktu w zależności od wielości podmiotu zakładając, że byłby on szybszy dla dużych firm, które dysponują zasobami pozwalającymi na szybszą reakcję, a także są dominujące w wielu segmentach rynku. Wydaje się, że należało również wprowadzić ograniczenie czasowe sprzedaży nowych urządzeń, które nie spełniają uchwalonych standardów.
Natomiast warto docenić KE za regulacje, która odnosi się do wymagań zasadniczych. Wydaje się to dobrym wyborem zarówno dla producentów, jak i konsumentów. Pierwsi zyskują pewność prawną, gdyż wymagania te są systemem istniejącym od wielu lat i dobrze znanym w środowisku osób technicznych. Ponadto proces tworzenia i rewizji norm jest transparentny i odbywa się z udziałem zainteresowanych podmiotów branżowych, co powoduje, że rynek ma do nich zaufanie. W przypadku konsumentów zauważyć należy, że uzyskają oni wyższy poziom ochrony, który będzie nie tylko wynikał z deklaracji producenta, ale będzie poddany kontroli zarówno przez państwowe organy nadzoru, jak i niezależne jednostki notyfikowane. Wreszcie, dzięki zaproponowanym rozwiązaniom zyska sama Unia Europejska. Skutkiem ich implementacji będzie bowiem podniesienie poziomu cyberodporności, a także uniknięcie tworzenia barier na jednolitym rynku, które niewątpliwie powstawałyby gdyby poszczególne państwa członkowskie uznały, że będą regulować omawianą kwestię.
*Jarosław Greser – doktor nauk prawnych, adiunkt na UAM w Poznaniu w zakresie prawa nowych technologii i regulacji wschodzących technologii. Wykładowca Politechnice Wrocławskiej. Konsultuje od strony prawnej projekty wdrażania urządzeń IoT, nowoczesnych metod uwierzytelniania i cyberbezpieczeństwa. Autor publikacji naukowych na temat prywatności, ochrony danych osobowych i cyberbezpieczeństwa. Członek Team Europe.
