вимкнути дудлвключити дудл

Privacy of Things: які вимоги до безпеки враховувати при створенні розумного девайса. Владислав Некрутенко

27496413_15739695926722l7_1986501452_n28 вересня 2018 року Каліфорнія схвалила законопроект, який врегульовує питання конфіденційності та безпеки в одному з провідних секторів технічної індустрії – інтернеті речей (Internet of Things, IoT). У той час як прогресивні виробники побутової техніки говорять про чарівні переваги розумного холодильника, Каліфорнійський закон буде регулювати їх «темну» сторону – використання і захист даних, зібраних пристроями IoT.

З швидким зростанням (згідно з прогнозами, загальний ринок інтернету речей подвоїться до 2021 року і досягне 520 мільярдів доларів по всьому світу) виникають нові виклики для цієї індустрії. Велике питання полягає в тому, чи слід приймати окреме законодавство з регулювання розумних девайсів як, наприклад, в Каліфорнії, або застосовувати вже існуючі положення законодавства про кібербезпеку і захист персональних даних. Так чи інакше, для виробництва і надання розумних пристроїв необхідно враховувати специфіку інформаційної безпеки.

Що таке розумні пристрої і чому цю галузь потрібно регулювати?

Простою мовою, розумний пристрій – це будь-яка річ, яка підключена до інтернету і збирає дані навколо неї через датчики. Відповідно, інтернет речей являє собою мережу розумних пристроїв, які спільно збирають і зіставляють дані навколо них.

Вважається, що перший пристрій IoT створив ще в 1989 році американський технолог Джон Ромки. Це був тостер, який можна було включити і вимкнути через інтернет. Сьогодні, завдяки дешевим мікрочіпам, розумні пристрої стають звичайним явищем в нашому повсякденному житті. Все навколо нас тепер можна підключити до всесвітньої мережі: холодильники, дверні дзвінки, колонки, пилососи і навіть розетки.

З одного боку, підключення пристроїв до інтернету дає людям всі переваги інтернету в чому-небудь навколо. Це дозволяє залишити значну частину повсякденної рутини для таких пристроїв, завдяки віддаленому контролю над ними і даними, які вони збирають. При необхідності холодильник автоматично замовляє молоко. Дверний дзвінок записує будь-які дії навколо вхідних дверей і відправляє їх прямо на телефон власника, використовуючи розпізнавання особи для поліпшення безпеки. Розумний динамік або, як його називають, помічник по дому, як Alexa, підключається до всіх побутових приладів і допомагає його власникові керувати рутиною автоматично і централізовано, виконуючи всю монотонну роботу замість себе. Єдине, що повинна зробити людина, – це відрегулювати роботу IoT відповідно до свого щоденного графіку.

Люди звикли думати, що онлайн-світ залишається всередині комп’ютерів і смартфонів. Тепер ситуація змінюється, і межа між онлайн та офлайн розмивається. Розумні пристрої стають широко поширеними всередині наших будинків. Велику частину часу підключення домашні пристрої включені, іноді без можливості відключення інтернет-з’єднання. Вони збирають дані про поведінку і звички людей, обробляють, аналізують і відправляють їх на сервери. У поєднанні з іншими технологіями, такими як розпізнавання мови або осіб, розумні пристрої створюють додаткову цінність даних, що дає значні переваги.

Крім кастомізації для користувачів, пристрої надають інформацію своїм виробникам, які можуть бути використані для поліпшення роботи IoT. Крім того, дані можуть ділитися з рекламодавцями, що дозволяє їм вчитися на споживчих уподобаннях користувачів.

З іншого боку, така зручність створює ризики для кінцевих користувачів, про які вони навіть можуть і не знати. Робота розумних пристроїв повністю залежить від їх підключення до інтернету, якості їх датчиків і даних, які вони збирають. Крім того, пристрої IoT спроектовані таким чином, що важко вручну управляти або регулювати їх роботу, на відміну від класичного ПК або смартфонів. Це призводить до двох основних проблем підключених пристроїв: кібербезпеки або захисту від несанкціонованого доступу до них і конфіденційності користувачів – захист даних, зібраних про користувача.

CyberINsecurity

Кібербезпека, кіберзагрози, кібератака – всі ці категорії існують в невидимій області повсякденному житті людей. Однак це робить кібербезпеку не менш важливою. Оскільки всі сьогодні пов’язані з інтернетом, сама природа злочинів змінюється. Шахраям більше не потрібен фізичний доступ до активів – вони можуть їх просто вкрасти, отримавши несанкціонований доступ через онлайн-з’єднання. Як кажуть фахівці з кібербезпеки, жодна система не безпечна. Це можна легко довести, переглянувши останні новини кібербезпеки – щодня відбувається безліч витоків даних – від сумнозвісних витоків в Facebook до витоку даних співробітників Пентагону.

Оскільки розумні пристрої підключені до інтернету, вони не є винятком для зломів. Більш того, користувачі розцінюють розумний пристрій як звичайний домашній прилад, забуваючи про прості заходи комп’ютерної безпеки, тому ситуація навіть погіршується. Те саме можна сказати і до виробників IoT-пристроїв – через обмеженої функціональності вони зазвичай вирішують не дотримуватися відповідних стандартів безпеки.

В результаті, поріг безпеки для доступу до таких пристроїв є низьким, що дає можливість втручатися в їх роботу будь-кому, хто має базові знання в області мережевої безпеки. Згідно з опитуваннями, більшість професіоналів (понад три чверті респондентів), що працюють в галузі IoT, вважають, що їх пристрої будуть зламані в найближчі два роки. Число може бути навіть збільшено тими, хто не знає ризиків або не хоче зізнаватися в витоках даних.

Наслідки несанкціонованого доступу можна розділити на дві категорії. Перша категорія пов’язана з можливістю дистанційного керування підключеними пристроями. Через простоту паролів (наприклад, «pass1234» або «12345678»), їх відсутність або низький рівень кібербезпеки, контроль над пристроєм IoT отримати відносно легко. Подальші дії повністю залишаються на розсуд хакерів. Наприклад, в 2016 році кіберзлочинці відключили всю систему регулювання температури і тиску в житловому будинку в Фінляндії. В результаті цього, жителі залишилися без водопостачання протягом цілого тижня, просто через відсутність базового захисту у вигляді брандмауера.

Приклад ризиків слабких паролів за замовчуванням був представлений атакою BrickerBot в 2017 році. Шкідлива програма BrickerBot могла підключитися до будь-якого пристрою IoT з ім’ям і паролем за замовчуванням – що в основному легко знайти через інтернет і просто “знищити” пристрій. Шкідлива програма наносила настільки серйозної шкоди пристрою, що після цього була потрібна повна заміна обладнання.

Друга категорія ризиків пов’язана зі збором даних за допомогою смарт-пристроїв у великих масштабах. Ці дані можуть бути виключно цінними для кіберзлочинців – принципи роботи системи безпеки, дані геолокації або повсякденні звички користувача часто є ключовою інформацією для планування високоякісного шахрайства. Немає необхідності збирати її на законних підставах, оскільки ви можете просто підключитися до пристрою IoT і взяти все, що вам потрібно. Наприклад, навесні минулого року хакери вкрали базу даних за ставками в казино, використовуючи з’єднання з термометром в лобі казино. Чим більше вразливостей в системі IoT, тим доступніше її дані.

Як результат, сьогодні можна спостерігати прогалину в регулюванні виробництва IoT. Існуючі закони про кібербезпеку стосуються тільки певних питань використання розумних пристроїв, таких як захист персональних даних або надання ключових суспільних послуг (наприклад, енергетичного або телекомунікаційного сектора). Поки що, окремого регулювання по IoT, як Каліфорнійський закон, не так багато. Однак, як доведено численними кібератаками на розумні пристрої, необхідно встановити мінімальний рівень для їх безпеки, включаючи вимоги до паролів, брандмауерів і інших методів захисту.

Захист персональних даних

Говорячи про дані, використання розумних пристроїв в повсякденному житті людей значно розширює збір наших персональних даних. Фітнес-трекери, розумні іграшки, автоматичні транспортні засоби і всі інші речі в нашому особистому користуванні збирають великі обсяги інформації про нас. Фактично, підключені пристрої можуть збирати дані про нас 24/7, часто без нашого відома і згоди. Більш того, такий великий збір даних не потрібно для надання функціоналу пристрою, в більшості випадків.

Відповідно до сучасних правил захисту даних, такими як Європейський Загальний Регламент щодо захисту персональних даних (GDPR), на збір персональних даних та їх подальше використання накладаються суворі вимоги. Щоб отримати дані на законних підставах, постачальник IoT повинен забезпечити відповідний рівень конфіденційності користувачів. Це включає зобов’язання інформувати користувачів про збір їх персональної інформації, отримувати згоду на це в певних випадках, зобов’язання мінімізації даних, ті ж заходи кібербезпеки, про які говорилося вище, і багато іншого. Конфіденційність користувачів повинна буквально бути реалізована «в дизайні», з огляду на захист даних на самих ранніх стадіях розробки. На жаль, в дизайн розумних пристроїв рідко закладається захист персональних даних.

Велика частина пристроїв IoT влаштовані так, що вони можуть тільки отримувати інформацію, а не надавати її. Через це провайдери IoT (не) навмисно не інформують користувачів про збір їх даних. Отже, користувачі не знають, хто саме обробляє дані, яким чином вони використовуються, які треті сторони мають доступ до даних і як користувачі можуть здійснювати свої інформаційні права. Крім того, провайдери IoT не замислюються про отримання згоди на використання даних, що стосуються нашого здоров’я або, наприклад, з точки зору. Однак в таких випадках згода на використання даних є основним і часто єдиною законною підставою для обробки.

Відповідно, наші персональні дані збираються без нашого відома, за замовчуванням, без гарантій їх безпеки. Така ситуація дозволяє контролерам даних використовувати зібрану інформацію в будь-який спосіб. Випадки зловживання даними великі: від створення і продажу соціальних профілів електорату політичних партій до продажу фінансових даних брокерам даних. Незважаючи на те, що згадані випадки не стосуються збору даних саме через IoT, до них застосовується та сама схема.

Ще одна важлива проблема, яку слід розглянути, – відсутність мінімізації даних, які збираються пристроями IoT. Принцип «мінімізації даних» означає, що компанія може збирати тільки дані, необхідні для забезпечення функціональності пристрою. Будь-який збір даних, який не пов’язаний з наданням функцій девайса, забороняється.

Як недавній приклад, принцип «мінімізації» публічно застосував Французький орган із захисту даних – The Commission nationale de l’informatique et des libertés (CNIL). 20 листопада 2017 року CNIL вислав офіційне попередження компанії, що використовує технологію розпізнавання мови в іграшках. Розумні іграшки були оснащені мікрофоном і динаміком і були підключені до мобільного додатку. Для розпізнавання мовлення дитини, іграшка направляла записи розмов на сервери в Китай, де вони оброблялися спеціальною програмою, без будь-яких гарантій безпеки. Такі великі обсяги збору даних в дитячій іграшці не відповідали принципу «мінімізації», особливо в зв’язку з відсутністю заходів безпеки. Не було ніякої необхідності відправляти дані в Китай для надання функціоналу іграшки.

Більш того, будь-яка людина з Bluetooth на своєму пристрої, могла підключитися до іграшки, прослухати і записати розмови між дитиною і іграшкою або будь-яку розмову, яка відбувається поблизу. Ця функція іграшки суперечить згаданим вище практикам кіберзахисту пристроїв.

Отримавши офіційне попередження, компанія впровадила відповідні заходи. Іграшки, імпортовані до Франції, більш не оснащуються технологіями розпізнавання мови, і дані не надсилаються на сервер. Отже, компанія більше не «Обробляє дані» в розумінні законодавства про захист персональних даних.

В результаті CNIL завершив розслідування 20 липня 2018 року. Незважаючи на це, компанія так і не вирішила проблему незахищеного доступу до іграшки через Bluetooth. Подальший розгляд питання було направлено в Французький регуляторний орган із захисту прав споживачів.

Як не дивно, один з перших штрафів за порушення Європейської GDPR також був накладений у зв’язку з принципом мінімізації даних. Австрійський підприємець встановив перед своїм офісом камеру відеоспостереження. Камера також записала більшу частину тротуару. На жаль, для підприємця, австрійський наглядовий орган порахував, що навіть запис вулиці перед офісом є масштабним моніторингом громадських місць. У поєднанні з відсутністю публічного повідомлення про зйомку вулиці за допомогою CCTV, таке використання камер не відповідає Австрійському закону захисту персональних даних. Тому австрійський орган видав штраф в розмірі 4800 євро. Щоб відповідати вимогам захисту даних, компанія може збирати тільки мінімум інформації, необхідний для її цілей, ясним і прозорим способом.

Які заходи необхідно вжити для відповідності вимогам законодавства?

Як уже згадувалося вище, ми не звикли до розуміння побутової техніки як об’єкту загроз кібербезпеки. Отже, постачальники IoT зазвичай не включають в себе належні технічні та організаційні гарантії проти кіберзагроз та особливо порушень конфіденційності. Більш того, навмисне чи ні, вони також порушують приватність користувачів.

Однак з появою специфічного регулювання виробництва IoT і суворих правил захисту персональних даних, ситуація навряд чи залишиться без змін. Щоб забезпечити безпеку розумних пристроїв, основними кроками є:

  1. Прозорість – повідомлення про збір даних і його подальша обробка повинні надаватися кожному кінцевому користувачеві до (або в той час) пристрої почали збирати дані;
  2. Згода – при необхідності, наприклад, обробляючи конфіденційні дані або використовуючи дані для рекламних цілей, постачальник IoT повинен спочатку отримати конкретну згоду від користувача;
  3. Мінімізація – хоча іноді важко підтримувати, власник пристрою / провайдер може збирати і обробляти дані, необхідні тільки для функціональності пристрою;
  4. Безпека і обмежений доступ – last but not least – пристрої IoT повинні бути захищені технічними заходами від стороннього доступу, такими як безпечні з’єднання, брандмауери і паролі. Доступ до зібраних даних повинен обмежуватися тільки тими співробітниками, які підтримують роботу пристрою.

Владислав Некрутенко, юрист Практики технологій, медіа та телеком в ЮК Juscutum.

AIN.UA