Az utóbbi néhány évben az elektronikai piacon egyre komolyabban jelenik meg a javítás jogához fűződő harc. A mozgalmat Right to repair mozgalomnak hívják. Általánosságban az elektronikai eszközök és gépjárművek vonatkozásában értelmezhető. A right to repair mozgalom célja, hogy a gyártótól független szervizek is hozzájuthassanak alkatrészekhez, vázlatokhoz, illetve rendelkezzenek a javítás jogával.
A kiindulópont
Ha csak egy telefont nézünk meg egyszerű példaként: telefonunk már kapcsolatban van gépjárművekkel (például a Teslák esetében ajtónyitás, -zárás, vezérlés), IP kamerákkal (a kamera képe nézhető a telefonon) és egyéb okoseszközökkfel (klíma, világítás, garázskapu stb.)
Kiberbiztonsági szempontból mind az eseménysor kiindulópontja, mind pedig a várható végkimenetelei nagyon érdekesek. A mindennapjainkban használt eszközeink egyre komplexebbek, illetve egymással szorosabb kapcsolatban vannak. Az eszközök közötti kapcsolatok elterjedése okot ad a biztonság növelésére. De az egész eseménysorhoz egy lépést vissza kell lépnünk.
Az eszközök fejlesztése során a gyártók gyakran úgy tervezik meg, és hozzák létre az adott szerkezetet, hogy azt külső személy ne tudja javítani. Először a mezőgazdasági munkagépeknél volt látható az, hogy a fizikai alkatrészek cseréje szoftveres hálózattól is függ. Ez azt jelenti, hogy a járművön felmerülő hibát a fedélzeti számítógépből egy hibakód leolvasóval lehet megtudni, és a cserélt alkatrészt a jármű „mindaddig nem fogja használni”, ameddig a hibakód a fedélzeti számítógépből törlésre nem kerül.
Később a felhasználói elektronikai eszközökben is látható az a tendencia, hogy a felhasználó (és a független szerviz) számára egyre nehezebb hozzáférni a belső tartalmakhoz. A régebbi telefonok hátlapja könnyen lepattintható volt, akkumulátora szintén egy mozdulattal eltávolítható, így cserélhető volt. Hordozható számítógépeknél is hasonló a helyzet, az újabb eszközökön gyakran látható, hogy az akkumulátor kívülről már nem hozzáférhető, az eszköz burkolatát pedig nem szokványos csavarok, hanem a gyártó által „feltalált”, saját formájú csavarhúzóval lehet csak felnyitni. Továbbá a gyártók nem bocsátanak harmadik felek rendelkezésére (megrendelési lehetőség) alkatrészt, diagnosztikai szoftvert.
Ezen lépések szűkítik a felhasználói hozzáférést az eszközökhöz.
Ezen változások több kérdést is felvetnek: miért jó ez a gyártónak, miért jó a felhasználónak, milyen kihívásokat rejt ez a felhasználónak, milyen előnyök és hátrányok merülnek fel a felhasználóban, milyen gazdasági hatásai vannak (pl.: az újrahasznosítás vonatkozásában). Ebben a blogposztban inkább a kiberbiztonsági kérdéssel foglalkozunk.
Mi a dolgok internete?
A dolgok internete egy absztrakt fogalom, de leegyszerűsítve úgy lehet megfogalmazni, hogy különböző elektronikai eszközök egymással kommunikálnak.
Kiberbiztonsági szempontból felmerül a kérdés, hogy jó-e, ha harmadik fél hozzáfér az eszközünkhöz, úgy, hogy az adott gyártóval nincs semmilyen kapcsolatban. Jelenleg a Right to Repair mozgalom és a termék gyártói között ezen is megy a harc.
Kérdés az biztonsági szempontból, hogy ha az eszközeink ennyire szoros kapcsolatban állnak egymással, egy harmadik fél – akiért nem felelős a gyártó – jogosulatlan szoftver vagy hardver elhelyezésével okozhat-e komoly adatvédelmi incidenst a gyártónak és a terméknek? Még ha a felhasználó más eszközökhöz nem is csatlakoztatja a telefonját, a gyártó számára ma már nemcsak a fizikai eszköz eladása ad bevételt, hanem a hozzá tartozó ökoszisztéma nyújtása is. Felhő tárhely, tracking szolgáltatások, eszköz összeköttetések is gyakoriak. Így egy oldalról érthető, hogy a gyártók miért zárkóznak el az eszközeik vonatkozásában.
A javítást pártoló oldalak álláspontja általában az, hogy az ő ellehetetlenítésük csökkenti a versenyhelyzetet (ami monopol javítási helyzetet segít elő a gyártónak), rontja az újrahasznosítás lehetőségét, illetve csökkenti a felhasználó saját döntési lehetőségét. Továbbá lényeges álláspont a mozgalom oldaláról, hogy lehet-e a felhasználói szabadságot a biztonság címszavával korlátozni. Kérdés az is, hogy ténylegesen függ-e az eszköz biztonsága így, vagy sem. A nagyon erős ellenérv és álláspont általuk, hogy a gyártók által felajánlott (first party repair) jelentősen költségesebb és kevésbé felhasználóbarát, mint a nem hivatalos szervizek díjai.
A mozgalom mind az Egyesült Államokban, mind pedig az Európai Unióban küzd azért, hogy a javítás joga (beleértve az alkatrészekhez, szoftverekhez való hozzáférést) általánosan újra elérhető legyen. Ezen tevékenységük, nem csupán egy perből, hanem több meghallgatásból, illetve jogalkotási kezdeményezésből áll. Ebben a gyártók is részt vesznek képviseleteik útján. Az eseménysor végkimenetele akár egy új irányt hozhat a biztonság megközelítésében.
A right to repair mozgalom sikere esetén a nyílt forráskód, illetve a nyílt eszközhasználat fel fog erősödni, ami megváltoztatja a mostani biztonsági álláspontunkat. Jelenleg gyakori szokás, hogy teljesen zártan kezelik a szolgáltatók az eszközeiket, arra hivatkozva, hogy ha kevesebb ember fér, hozzá az növeli a biztonságot. Ez szoftveres környezetben is előfordul, Novemberi cikkünkben bemutattuk, hogy a Twitch hogyan került adatvédelmi incidensbe emiatt.
Felhasználóként mi a tanulság?
Az eseménysor végkimenetele a felhasználói biztonságtudatosság kultúrájára nem lesz hatással. Az érezhető végkimentel inkább üzleti oldalú lesz, azaz hogy vagy szűkül, vagy bővül a javítási lehetőség az eszközök vonatkozásában.
Amit nekünk ,felhasználóknak érdemes tanulságként leszűrni, és odafigyelni rá: az eszközeink szoros kapcsolatban vannak már, és a kiberhigiéniánkra nekünk kell odafigyelnünk.
Ez esetben a következőket tudjuk javasolni:
- legyünk mindig tisztában, hogy okoseszközeink milyen kapcsolatban állnak egymással, tudjuk, mi mihez kapcsolódik
- számunkra kevésbé megbízható eszközt ne kapcsoljunk az ökoszisztémához
- használjunk több, különböző erős és megbízható jelszót
- figyeljünk oda arra, hogy mely okoseszköz milyen hozzáférési jogosultságot igényel telefonunkon
