Išmanusis laikrodis ant riešo, maršrutizatorius koridoriuje, kūdikio stebėjimo kamera miegamajame, robotas dulkių siurblys po sofa ir išmanusis garsiakalbis virtuvėje. Visa tai jau seniai atrodo kaip patogus kasdienybės fonas.
Tačiau kiekvienas toks įrenginys turi ir kitą pusę. Jei jis jungiasi prie interneto, renka duomenis, gauna atnaujinimus ar bendrauja su kitomis sistemomis, jis gali tapti ne tik patogumo priemone, bet ir silpna namų skaitmeninio saugumo vieta.
Europos Sąjunga nuo 2026 m. rugsėjo 11 d. įveda naują pareigą išmaniųjų įrenginių ir kitų skaitmeninių produktų gamintojams. Sužinoję apie aktyviai išnaudojamą saugumo spragą, gamintojai turės apie ją pranešti per 24 valandas.
Paprastam vartotojui tai gali skambėti kaip tolimas biurokratinis terminas. Tačiau iš tikrųjų ši taisyklė gali paliesti beveik kiekvienus namus.
Kodėl tai svarbu paprastam žmogui?
Dar prieš kelerius metus daug kas galvojo apie kibernetinį saugumą tik kalbėdamas apie kompiuterius ir telefonus. Dabar vaizdas visai kitoks.
Internete gyvena ir namų kameros, ir televizoriai, ir signalizacijos, ir išmanūs durų užraktai, ir vaikų žaislai, ir sveikatos stebėjimo įrenginiai. Kai kurie iš jų namuose veikia metų metus, nors savininkas net nebeprisimena, kada paskutinį kartą tikrino jų atnaujinimus.
Problema ta, kad silpnai apsaugotas įrenginys gali tapti įėjimu į visą namų tinklą. Pavyzdžiui, senas maršrutizatorius su nebeatnaujinama programine įranga gali būti pavojingesnis nei atrodo. Nesaugi IP kamera gali ne tik rodyti vaizdą savininkui, bet ir tapti taikiniu tiems, kurie ieško spragų internete.
Būtent todėl ES nori, kad gamintojai nebegalėtų tyliai laukti, kol problema taps vieša ar palies daug vartotojų.
Kas keičiasi nuo rugsėjo 11 dienos?
Nuo 2026 m. rugsėjo 11 d. gamintojai, sužinoję apie aktyviai išnaudojamą saugumo spragą produkte su skaitmeniniais elementais, turės pateikti ankstyvą pranešimą per 24 valandas.
Tai reiškia ne bet kokią teorinę klaidą kode, o spragą, kuri jau realiai išnaudojama arba dėl kurios yra rimtas pagrindas reaguoti greitai.
Per 72 valandas gamintojas turės pateikti išsamesnį pranešimą: apie kokį produktą kalbama, kokia spragos ar incidento esmė, kokių veiksmų imtasi ir ką, jei įmanoma, gali daryti vartotojai.
Vėliau turės būti pateikta galutinė ataskaita. Jei kalbama apie pažeidžiamumą, ji turi būti pateikta ne vėliau kaip per 14 dienų po to, kai atsiranda pataisa ar kita švelninimo priemonė. Jei tai rimtas saugumo incidentas, galutinės ataskaitos terminas gali siekti vieną mėnesį.
Kitaip tariant, gamintojas nebegalės apsiriboti tyla arba miglotu „dirbame ties problema“. Bus nustatyti konkretūs terminai.
Kokiems įrenginiams tai gali būti aktualu?
ES Kibernetinio atsparumo aktas taikomas produktams su skaitmeniniais elementais. Skamba sausai, bet realybėje tai labai plati kategorija.
Į ją gali patekti namų maršrutizatoriai, išmaniosios kameros, kūdikių stebėjimo prietaisai, išmanieji laikrodžiai, išmanūs garsiakalbiai, robotai dulkių siurbliai, išmanūs kištukiniai lizdai, programėlės, programinė įranga ir kiti produktai, kurie jungiasi prie tinklo ar veikia su skaitmeniniais komponentais.
Paprastai tariant, jei įrenginys „protingas“, jungiasi prie interneto arba gauna programinius atnaujinimus, yra didelė tikimybė, kad naujos taisyklės vienaip ar kitaip bus susijusios ir su jo gamintoju.
Tai ypač svarbu todėl, kad išmanieji įrenginiai dažnai perkami kaip paprasti buitiniai daiktai. Žmogus nori kameros prie durų, laikrodžio žingsniams skaičiuoti ar siurblio, kuris pats važinėja po kambarius. Apie kibernetinį saugumą pirkimo metu pagalvoja ne visi.
Ar vartotojai iš karto pajus pokyčius?
Tikėtina, kad rugsėjį paprastas žmogus dar nepamatys staiga pasikeitusių lentynų ar naujų lipdukų ant visų įrenginių. Pirmoji pareiga labiausiai palies gamintojus ir jų vidinius procesus.
Tačiau vartotojams ši taisyklė svarbi dėl kitos priežasties: ji spaudžia gamintojus greičiau pripažinti problemas ir greičiau apie jas informuoti atsakingas institucijas.
Didesni pokyčiai turėtų pasijusti nuo 2027 m. gruodžio 11 d., kai pradės būti taikomi pagrindiniai Kibernetinio atsparumo akto reikalavimai. Tuomet nauji produktai ES rinkoje turės atitikti privalomus kibernetinio saugumo reikalavimus per visą gyvavimo ciklą – nuo projektavimo iki priežiūros.
Praktiškai tai gali reikšti geresnius numatytuosius nustatymus, aiškesnę informaciją apie saugumo atnaujinimus, rimtesnį gamintojų požiūrį į slaptažodžius ir saugesnį programinės įrangos palaikymą.
Svarbiausia suprasti: ši taisyklė nepavers visų senų įrenginių saugiais per vieną naktį, bet ji keičia atsakomybės kryptį. Gamintojas turės daugiau pareigų, o vartotojas – daugiau pagrindo klausti, ar produktas tikrai prižiūrimas.
Ką reiškia pranešimas per 24 valandas?
24 valandų terminas nereiškia, kad per parą problema visada bus ištaisyta. Kartais pataisai sukurti reikia daugiau laiko, ypač jei spraga sudėtinga arba paveikia daug įrenginių.
Tačiau tai reiškia, kad gamintojas turės greitai įspėti, jog problema egzistuoja ir yra rimta. Vėliau turės sekti išsamesnis paaiškinimas ir galutinė ataskaita.
Tai panašu į situaciją, kai daugiabutyje aptinkamas pavojingas elektros gedimas. Pirmas žingsnis – ne tyliai ieškoti meistro savaitę, o įspėti, kad yra rizika. Tada aiškintis detales, taisyti ir pranešti, kas padaryta.
Skaitmeniniame pasaulyje laikas labai svarbus. Jei spraga jau naudojasi nusikaltėliai, delsimas gali reikšti daugiau pažeistų įrenginių, daugiau pavogtų duomenų ir daugiau žalos.
Kodėl ES imasi tokių griežtų taisyklių?
Išmaniųjų įrenginių rinka ilgą laiką augo greičiau nei saugumo kultūra. Gamintojai varžėsi dėl kainos, funkcijų ir patogumo, tačiau saugumas ne visada buvo pirmoje vietoje.
Kai kurie įrenginiai buvo parduodami su silpnais numatytaisiais slaptažodžiais. Kai kurie greitai nustodavo gauti atnaujinimus. Kai kurių gamintojai neaiškiai nurodydavo, kiek laiko produktas bus palaikomas.
Vartotojui tai labai nepatogu. Jis perka daiktą, kuris veikia, bet ne visada žino, ar po dvejų metų jis vis dar saugus.
ES Kibernetinio atsparumo aktas bando keisti šią logiką. Idėja paprasta: jei produktas turi skaitmeninių elementų ir parduodamas rinkoje, saugumas turi būti ne papildomas privalumas, o būtina dalis.
Baudos gali būti labai didelės
Gamintojams ši tema nėra vien reputacijos klausimas. Už kai kurių pareigų nesilaikymą gali grėsti administracinės baudos iki 15 mln. eurų arba iki 2,5 proc. įmonės metinės pasaulinės apyvartos, priklausomai nuo to, kuri suma didesnė.
Tai rodo, kad ES šio reguliavimo nelaiko simboliniu. Taisyklės turėtų būti ne gražus pareiškimas, o realus spaudimas įmonėms susitvarkyti.
Tiesa, labai mažoms ir mažoms įmonėms numatytos tam tikros išimtys dėl baudų už pačius 24 ir 72 valandų terminus. Tačiau bendra kryptis aiški: skaitmeninių produktų gamintojai turės rimčiau žiūrėti į saugumo spragas ir incidentus.
Ką jau dabar turėtų daryti pirkėjai?
Nors pagrindiniai reikalavimai įsigalios vėliau, vartotojams neverta laukti 2027 metų. Išmanieji įrenginiai jau dabar yra namuose, todėl kelios paprastos taisyklės gali sumažinti riziką.
Perkant naują įrenginį verta pasitikrinti, ar gamintojas aiškiai nurodo, kiek laiko teiks saugumo atnaujinimus. Jei tokios informacijos nėra, tai jau klausimas.
Įrenginį įdiegus, būtina pakeisti numatytąjį slaptažodį, jei toks yra. Slaptažodžiai kaip „admin“, „123456“ ar gamintojo palikti standartiniai prisijungimai yra viena paprasčiausių dovanų užpuolikams.
Taip pat verta įjungti automatinius atnaujinimus, jei įrenginys juos palaiko. Jei atnaujinimus reikia diegti rankiniu būdu, bent kartą per kelis mėnesius reikėtų patikrinti, ar jų nėra.
Svarbu ir išmesti iš tinklo tai, ko nebenaudojate. Senas išmanusis kištukas, kamera ar maršrutizatorius, kuris jau seniai negauna atnaujinimų, gali būti silpna vieta net tada, kai apie jį pamiršote.
Klausimai, kuriuos verta užduoti prieš perkant išmanų įrenginį
Prieš perkant naują išmanų įrenginį verta užduoti kelis labai paprastus klausimus.
Ar gamintojas aiškiai nurodo saugumo atnaujinimų laikotarpį? Ar įrenginys leidžia lengvai pakeisti slaptažodį? Ar palaikomi automatiniai atnaujinimai? Ar programėlė, kuria valdomas įrenginys, atrodo prižiūrima ir reguliariai atnaujinama? Ar gamintojas turi aiškią saugumo spragų pranešimo politiką?
Jei produktas kainuoja labai pigiai, bet apie saugumą nerandate beveik jokios informacijos, verta pagalvoti du kartus. Kartais pigi kamera ar maršrutizatorius gali kainuoti daugiau, jei tampa silpna viso namų tinklo vieta.
Ko ši taisyklė neišspręs?
Svarbu nepervertinti naujo reguliavimo. Net griežtesnės ES taisyklės nepakeis vartotojo įpročių per vieną dieną.
Jei žmogus naudoja silpną slaptažodį, neįdiegia atnaujinimų, ignoruoja įspėjimus ir perka neaiškius įrenginius iš abejotinų pardavėjų, rizika vis tiek išlieka.
Reglamentas taip pat automatiškai nepataisys visų senų įrenginių, kurie jau stovi namuose. Kai kurie jų galbūt niekada negaus naujų saugumo atnaujinimų. Tokiu atveju vartotojui teks pačiam įvertinti, ar įrenginį verta toliau naudoti.
Todėl naujos taisyklės yra svarbus žingsnis, bet ne stebuklingas skydas.
Ką tai reiškia Lietuvoje?
Lietuvos vartotojams šis pokytis aktualus taip pat, kaip ir kitų ES šalių gyventojams. Jei produktas parduodamas ES rinkoje, gamintojas turės laikytis bendrų reikalavimų.
Tai reiškia, kad ateityje išmanieji įrenginiai parduotuvėse turėtų būti vertinami ne tik pagal kainą, dizainą ar funkcijas, bet ir pagal saugumo palaikymą.
Pirkėjui tai gera žinia, nes saugumas pamažu tampa ne paslėpta technine detale, o produkto kokybės dalimi. Kaip žiūrime į energijos klasę, garantiją ar CE ženklinimą, taip vis dažniau teks žiūrėti ir į programinių atnaujinimų bei saugumo palaikymo laikotarpį.
Trumpa taisyklė, kurią verta prisiminti
Jei įrenginys jungiasi prie interneto, jis nėra tik paprastas daiktas. Tai mažas kompiuteris jūsų namuose.
Todėl pirkdami maršrutizatorių, kamerą, laikrodį, išmanų garsiakalbį ar bet kurį kitą prijungtą įrenginį, klauskite ne tik „ką jis moka?“, bet ir „kas jį prižiūrės, kai bus rasta saugumo spraga?“
Nuo 2026 m. rugsėjo 11 d. gamintojams šis klausimas taps kur kas rimtesnis. Jie turės pranešti apie aktyviai išnaudojamas spragas per 24 valandas, pateikti daugiau informacijos per 72 valandas ir vėliau atsiskaityti, kaip problema buvo sprendžiama.
Vartotojui tai nėra priežastis panikuoti. Tai priežastis būti reiklesniam.
Išmanūs namai turi būti ne tik patogūs. Jie turi būti ir saugūs.
