Владислав Некрутенко, юрист практики технологий, медиа и телеком в ЮК Juscutum, подготовил материал на тему требований к безопасности, которые нужно учитывать при создании умного девайса, — пишет AIN.UA.
28 сентября 2018 года Калифорния одобрила законопроект, регулирующий вопросы конфиденциальности и безопасности в одном из ведущих секторов технической индустрии – интернете вещей (Internet of Things, IoT). В то время как прогрессивные производители бытовой техники говорят о волшебных преимуществах умного холодильника, Калифорнийский закон будет регулировать их «темную» сторону – использование и защиту данных, собранных устройствами IoT.
С быстрым ростом (согласно прогнозам, общий рынок интернета вещей удвоится к 2021 году и достигнет 520 миллиардов долларов по всему миру) возникают новые вызовы для этой индустрии. Большой вопрос заключается в том, следует ли принимать отдельное законодательство по регулированию умных девайсов как, например, в Калифорнии, или применять уже существующие положения законодательства о кибербезопасности и защите персональных данных. Так или иначе, для производства и предоставления умных устройств необходимо учитывать специфику информационной безопасности.
Что такое умные устройства и почему эту отрасль нужно регулировать?
Простым языком, умное устройство — это любая вещь, которая подключена к интернету и собирает данные вокруг нее через датчики. Соответственно, интернет вещей представляет собой сеть умных устройств, которые совместно собирают и сопоставляют данные вокруг них.
Считается, что первое устройство IoT создал еще в 1989 году американский технолог Джон Ромки. Это был тостер, который можно было включить и выключить через интернет. Сегодня, благодаря дешевым микрочипам, умные устройства становятся обычным явлением в нашей повседневной жизни. Все вокруг нас теперь можно подключить к всемирной сети – холодильники, дверные звонки, колонки, пылесосы и даже розетки.
С одной стороны, подключение устройств к интернету дает людям все преимущества интернета в чем-либо вокруг. Это позволяет оставить значительную часть повседневной рутины для таких устройств, благодаря удаленному контролю над ними и данным, которые они собирают. При необходимости холодильник автоматически заказывает молоко. Дверной звонок записывает любые действия вокруг входной двери и отправляет их прямо на телефон владельца, используя распознавание лица для улучшения безопасности. Умный динамик или, как его называют, помощник по дому, как Alexa, подключается ко всем бытовым приборам и помогает его владельцу руководить рутиной автоматически и централизованным образом, выполняя всю монотонную работу вместо себя. Единственное, что должен сделать человек, — это отрегулировать работу IoT в соответствии со своим ежедневным графиком.
Люди привыкли думать, что онлайн-мир остается внутри компьютеров и смартфонов. Теперь ситуация меняется, и граница между онлайн и офлайн размывается. Умные устройства становятся широко распространенными внутри наших домов. Большую часть времени подключенные домашние устройства включены, иногда без возможности отключения интернет-соединения. Они собирают данные о поведении и привычках людей, обрабатывают, анализируют и отправляют их на серверы. В сочетании с другими технологиями, такими как распознавание речи или лиц, умные устройства создают дополнительную ценность данных, что дает значительные преимущества.
Помимо кастомизации для пользователей, устройства предоставляют информацию своим производителям, которые могут быть использованы для улучшения работы IoT. Кроме того, данные могут делиться с рекламодателями, что позволяет им учиться на потребительских предпочтениях пользователей.
С другой стороны, такое удобство создает риски для конечных пользователей, о которых они даже могут и не знать. Работа умных устройств полностью зависит от их подключения к интернету, качества их датчиков и данных, которые они собирают. Кроме того, устройства IoT спроектированы таким образом, что трудно вручную управлять или регулировать их работу, в отличие от классического ПК или смартфонов. Это приводит к двум основным проблемам подключенных устройств: кибербезопасности или защиты от несанкционированного доступа к ним и конфиденциальности пользователей – защите данных, собранных о пользователе.
CyberINsecurity
Кибербезопасность, киберугрозы, кибератака – все эти категории существуют в невидимой области повседневной жизни людей. Однако это делает кибербезопасность не менее важной. Поскольку все сегодня связано с интернетом, сама природа преступлений меняется. Мошенникам больше не нужен физический доступ к активам – они могут их просто украсть, получив несанкционированный доступ через онлайн-соединение. Как говорят специалисты по кибербезопасности, ни одна система не безопасна. Это можно легко доказать, просмотрев последние новости кибербезопасности – ежедневно происходит множество утечек данных – от печально известных утечек в Facebook до утечки данных сотрудников Пентагона.
Поскольку умные устройства подключены к интернету, они не являются исключением для взломов. Более того, пользователи расценивают умное устройство как обычный домашний прибор, забывая о простых мерах компьютерной безопасности, поэтому ситуация даже ухудшается. То же относится и к производителям IoT-устройств – из-за ограниченной функциональности они обычно решают не соблюдать соответствующие стандарты безопасности.
В результате порог безопасности для доступа к таким устройствам является низким, что дает возможность вмешиваться в их работу любому, кто имеет базовые знания в области сетевой безопасности. Согласно опросам, большинство профессионалов (более трех четвертей респондентов), работающих в отрасли IoT, считают, что их устройства будут взломаны в ближайшие два года. Число может быть даже увеличено теми, кто не знает рисков или не хочет признаваться в утечках данных.
Последствия несанкционированного доступа можно разделить на две категории. Первая категория связана с возможностью дистанционного управления подключенными устройствами. Из-за простоты паролей (например, «pass1234» или «12345678»), их отсутствия или низкого уровня кибербезопасности, контроль над устройством IoT получить относительно легко. Дальнейшие действия полностью остаются на усмотрение хакеров. Например, в 2016 году киберпреступники отключили всю систему регулирования температуры и давления в жилом доме в Финляндии. В результате этого, жители остались без водоснабжения в течение целой недели, просто из-за отсутствия базовой защиты в виде брандмауэра.
Пример рисков слабых паролей по умолчанию был представлен атакой BrickerBot в 2017 году. Вредоносная программа BrickerBot могла подключиться к любому устройству IoT с именем и паролем по умолчанию – что в основном легко найти через интернет и просто “уничтожить” устройство. Вредоносная программа наносила настолько серьезный ущерб по устройствам, что после этого требовалась полная замена оборудования.
Вторая категория рисков связана со сбором данных с помощью смарт-устройств в больших масштабах. Эти данные могут быть исключительно ценными для киберпреступников – принципы работы системы безопасности, данные геолокации или повседневные привычки пользователя часто являются ключевой информацией для планирования высококачественного мошенничества. Нет необходимости собирать ее на законных основаниях, поскольку вы можете просто подключиться к устройству IoT и взять все, что вам нужно. Например, весной прошлого года хакеры украли базу данных по ставкам в казино, используя соединение с термометром в лобби казино. Чем больше уязвимостей в системе IoT, тем доступнее ее данные.
Как результат, сегодня можно наблюдать пробел в регулировании производства IoT. Существующие законы о кибербезопасности касаются только определенных вопросов использования умных устройств, таких как защита персональных данных или предоставление ключевых общественных услуг (например, энергетического или телекоммуникационного сектора). Пока что, отдельного регулирования по IoT, как Калифорнийский закон, не так много. Однако, как доказано многочисленными кибератаками на умные устройства, необходимо установить минимальный уровень для их безопасности, включая требования к паролям, брандмауэрам и другим методам защиты.
Защита персональных данных
Говоря о данных, использование умных устройств в повседневной жизни людей значительно расширяет сбор наших персональных данных. Фитнес-трекеры, умные игрушки, автоматические транспортные средства и все другие вещи в нашем личном пользовании собирают большие объемы информации о нас. Фактически, подключенные устройства могут собирать данные о нас 24/7, часто без нашего ведома и согласия. Более того, такой обширный сбор данных не требуется для предоставления функционала устройства, в большинстве случаев.
В соответствии с современными правилами защиты данных, такими как Европейский Общий Регламент по защите персональных данных (GDPR), на сбор персональных данных и их дальнейшее использование накладываются строгие требования. Чтобы получить данные на законных основаниях, поставщик IoT должен обеспечить соответствующий уровень конфиденциальности пользователей. Это включает обязательство информировать пользователей о сборе их персональной информации, получать согласие на это в определенных случаях, обязательство минимизации данных, те же меры кибербезопасности, о которых говорилось выше, и многое другое. Конфиденциальность пользователей должна буквально быть реализована «в дизайне», учитывая защиту данных на самых ранних стадиях разработки. К сожалению, в дизайн умных устройств редко закладывается защита персональных данных.
Большая часть устройств IoT устроены так, что они могут только получать информацию, а не предоставлять ее. Из-за этого провайдеры IoT (не)намеренно не информируют пользователей о сборе их данных. Следовательно, пользователи не знают, кто именно обрабатывает данные, каким образом они используются, какие третьи стороны имеют доступ к данным и как пользователи могут осуществлять свои информационные права. Кроме того, провайдеры IoT не задумываются о получении согласия на использование данных, касающихся нашего здоровья или, например, убеждений. Однако в таких случаях согласие на использование данных является основным и часто единственным законным основанием для обработки.
Соответственно, наши персональные данные собираются без нашего ведома, по умолчанию, без гарантий их безопасности. Такая ситуация позволяет контролерам данных использовать собранную информацию в любой способ. Случаи злоупотребления данными обширны: от создания и продажи социальных профилей электората политическим партиям до продажи финансовых данных брокерам данных. Несмотря на то, что упомянутые случаи не касаются сбора данных именно через IoT, к ним применяется и та же схема.
Еще одна важная проблема, которую следует рассмотреть, – отсутствие минимизации данных, которые собираются устройствами IoT. Принцип «минимизации данных» означает, что компания может собирать только данные, необходимые для обеспечения функциональности устройства. Любой сбор данных, который не связан с предоставлением функций девайса, запрещается.
Как недавний пример, принцип «минимизации» публично применил Французский орган по защите данных – The Commission nationale de l’informatique et des libertés (CNIL). 20 ноября 2017 года CNIL выслал официальное предупреждение компании, использующей технологию распознавания речи в игрушках. Умные игрушки были оснащены микрофоном и динамиком и были подключены к мобильному приложению. Для распознавания речи ребенка, игрушка направляла записи разговоров на серверы в Китай, где они обрабатывались специальной программой, без каких-либо гарантий безопасности. Такие большие объемы сбора данных в детской игрушке не соответствовали принципу «минимизации», особенно в связи с отсутствием мер безопасности. Не было никакой необходимости отправлять данные в Китай для предоставления функционала игрушки.
Более того, любой человек с Bluetooth на своем устройстве, мог подключиться к игрушке, прослушать и записать разговоры между ребенком и игрушкой или любой разговор, который происходит поблизости. Эта функция игрушки противоречит упомянутым выше практикам киберзащиты устройств.
Получив официальное предупреждение, компания внедрила соответствующие меры. Игрушки, импортированные во Францию, более не оснащаются технологиями распознавания речи, и данные не отсылаются на сервер. Следовательно, компания более не «Обрабатывает данные» в понимании законодательства о защите персональных данных.
В результате CNIL завершил расследование 20 июля 2018 года. Несмотря на это, компания так и не решила проблему незащищённого доступа к игрушке через Bluetooth. Дальнейшее рассмотрение вопроса было направлено в Французский регуляторный орган по защите прав потребителей.
Как ни странно, один из первых штрафов за нарушение Европейского GDPR также был наложен в связи с принципом минимизации данных. Австрийский предприниматель установил перед своим офисом камеру видеонаблюдения. Камера также записала большую часть тротуара. К сожалению для предпринимателя, австрийский надзорный орган посчитал, что даже запись улицы перед офисом представляет собой масштабный мониторинг общественных мест. В сочетании с отсутствием публичного уведомления о съемке улицы с помощью CCTV, такое использование камер не соответствует Австрийскому закону защиты персональных данных. Поэтому австрийский орган выдал штраф в размере 4800 евро. Чтобы соответствовать требованиям защиты данных, компания может собирать только минимум информацию, необходимый для ее целей, ясным и прозрачным способом.
Какие меры необходимо принять для соответствия требованиям законодательства?
Как уже упоминалось выше, мы не привыкли к пониманию бытовой техники как объект угроз кибербезопасности. Следовательно, поставщики IoT обычно не включают в себя надлежащие технические и организационные гарантии против киберугроз и особенно нарушений конфиденциальности. Более того, умышленно или нет, они также нарушают приватность пользователей.
Однако, с появлением специфического регулирования производства IoT и строгих правил защиты персональных данных, ситуация вряд ли останется без изменений. Чтобы обеспечить безопасность умных устройств, основными шагами являются:
- Прозрачность – уведомление о сборе данных и его дальнейшая обработка должны предоставляться каждому конечному пользователю до (или в то время) устройства начали собирать данные;
- Согласие – при необходимости, например, обрабатывая конфиденциальные данные или используя данные для рекламных целей, поставщик IoT должен сначала получить конкретное согласие от пользователя;
- Минимизация – хотя иногда трудно поддерживать, владелец устройства / провайдер может собирать и обрабатывать данные, необходимые только для функциональности устройства;
- Безопасность и ограниченный доступ – last but not least – устройства IoT должны быть защищены техническими мерами от постороннего доступа, такими как безопасные соединения, брандмауэры и пароли. Доступ к собранным данным должен ограничиваться только теми сотрудниками, которые поддерживают работу устройства.
[customscript]techrocks_custom_after_post_html[/customscript]
[customscript]techrocks_custom_script[/customscript]