Являясь потребителями и пользователями технологий, IoT часто нас сбивает с толку, и мы даже не задумываемся о конфиденциальности и безопасности. Несомненно, радио-няня может успокоить родителей, позволяя им присматривать за своими детьми через свои смартфоны в любом месте и в любое время. Но когда данная технология не является защищенной, то мы можем непреднамеренно подвергать опасности себя и родных.
Напротив, шпионаж за случайными незнакомцами никогда не был так прост. Для этого нужна всего лишь информационно-поисковая система, такая как Shodan- браузер для IoT, который подключается к интернету, делая снимки незащищенных устройств для того, чтобы подчеркнуть небезопасность технологии IoT. Снимки предметов домашнего обихода, наших питомцев или даже холодильника могут быть получены благодаря одному клику. Родители осознали, как они были незащищены, когда радио-няня, которую они использовали для защиты своего ребенка, была взломана для того, чтобы запугивать спящих детей. Неудивительно, что количество компаний, подключенных к технологии IoT, увеличилось в Англии на 2000% за последние три года.
Новый мир
IoT – технология, которая объединяет миллиарды подключенных к интернету интеллигентных устройств, осуществляющих обмен данными друг с другом о нашем образе жизни, работе или досуге.
«Они призваны сделать нашу жизнь более простой, здоровой и интеллигентной, а бизнес более производительным, но часто это все сопровождается затратами»,- говорит Профессор Эдвард Хампрэйс (Prof. Edward Humphreys), председатель рабочей группы ISO/IEC по системе менеджмента информационной безопасностью. «Нам хотелось бы верить в данные технологии, потому что благодаря им у нас появился большой выбор интеллигентных устройств. Но мы также должны осознавать все последствия вопросов безопасности и конфиденциальности наших данных».
Например, желая приобрести «умный» телевизор последней модели, управляемый голосом, Вы можете не знать, что ему необходимо обрабатывать все, что Вы говорите. На основе Вашего голоса он может распознать правильные команды. Но если коммуникация обеспечивается только между Вами и Вашим «умным» телевизором, то в чем заключается опасность? В большинстве случаев каналы связи, позволяющие устройствам обмениваться данными, не зашифрованы и не защищены от внешнего доступа. «Это тоже самое, если Вы оставите дверь в свой дом открытой, и каждый может зайти в него в любое время»,- говорит Хампрэйс.
Главной проблемой является то, что большинство из нас ожидает, что компании и законодательные органы примут к сведению данные риски и решат данную проблему. Но если потребители не понимают или не хотят, чтобы их информация была защищена, то производителям этот вопрос также будет малоинтересен, потому что они знают, что решения относительно выбора товара не основываются в первую очередь на защите информации. Покупая камеру, например, мы основываемся на ее совместимости, цене и даже на внешнем виде. Исследование компании Consumers International показывает, что среднестатистический человек тратит 6 секунд на изучение требований и условий перед тем совершить покупку, поэтому зачем компаниям волноваться?
«Что касается законодательства, то наша личная жизнь недостаточно защищена в равной мере, как и организационные данные»,- говорит Пит Эйсенджер (Pete Eisenegger), эксперт, занимающийся вопросами конфиденциальности на международном и европейском уровнях. «Если рассматривать портативные переносные устройства, то они отслеживают и контролируют наши движения и деятельность, и они также могут определить наше местоположение. Если ко всему этому добавить персональные данные, которые мы предоставляем, фото, которые мы публикуем и все подключения, которые мы совершаем, непреднамеренно предоставляя права на данную информацию, то это является поводом для беспокойства. Анализ больших объемов данных позволяет без труда сформировать мнение о людях по их поведению и предпочтениям.
«В мире современных технологий ставки высоки. Недавно проведённый эксперимент показал, что стало возможным взломать машину на ходу через мультимедийную систему и вывести из строя ускоритель. «Электрические кардиостимуляторы могут спасти жизни до тех пор, пока в их работу не будут вмешиваться. Количество мультимедийных технологий, которые разрабатываются и внедряются в наш организм ошеломляет»,-говорит Хампрейс.
«Мы наблюдаем за становлением нового мирового порядка интернет-технологий. Это касается не только продукции, но всех систем». Неспособность обезопасить одно устройство может негативно отразиться на других. В 2013 году хакеры украли миллионы номеров кредитных карт у крупного американского ритейлера, подключив свои системы к интернет ориентированной системе отопления. Слабозащищенные устройства могут использоваться с целью совершения атак на другие устройства. Нам обязательно необходимо задуматься о безопасности технологии IoT. Если Вы не защищены, то риск быть взломанным распространяется и на других. Чем активнее мы будем осуществлять защиту наших устройств и внедрять мощные технологии по обеспечению их безопасности, тем лучше будет для всех нас».
«Именно поэтому я не могу акцентировать внимание на актуальности применения стандартов по безопасности и конфиденциальности»,- объясняет Хампрейс. «У нас есть определенный набор решений, благодаря которым риски могут быть минимизированы и многие из которых скоро будут реализованы, но организациям необходимо строго их придерживаться».
Стандарты, такие как ISO/IEC 27001 and ISO/IEC 27002 предоставляют общий язык для того, чтобы обращаться к регулированию, вопросам относительно рисков и соблюдения, связанным с информационной безопасностью. Стандарты ISO/IEC 27031 и ISO/IEC 27035 оказывают содействие организациям для того, чтобы они могли эффективно отражать и обезвреживать кибер атаки и восстанавливаться после них. Также существуют стандарты ISO/IEC, определяющие механизмы шифрования и подписей, которые могут внедряться в устройства и приложения для обеспечения безопасности осуществления онлайн переводов, использования кредитных карт и хранящихся данных. Для Хампрейса следующими на очереди являются стандарты по конфиденциальности. «Мы работаем с целью построения прочной основы стандартов, защищающих наши данные в нашем гиперподключенном мире и для того, чтобы укреплять доверие потребителей. Мы надеемся, что данные стандарты могут использоваться для разработки решений, необходимых для урегулирования конкретных проблем IoT.
Беспокоит ли это потребителей?
Проблема осложнена тем фактом, что многие из нас иногда нехотя, а иногда охотно ставят под угрозу частную жизнь и безопасность в обмен на доступ к современным технологиям. Мобильные устройства стали неотъемлемой частью повседневной жизни. Являются ли личные данные слишком высокой ценой за современный комфорт?
Давайте посмотрим на то, как люди ведут себя в интернете. Пользователи сети интернет регулярно загружают фотографии с собой и публикуют видео со своими детьми, делятся политическими убеждениями, туристическими маршрутами и местами совершения покупок. Проблема в действительности заключается не в том, должны ли мы жертвовать нашей личной жизнью, если было принято такое решение, а в том думаем ли мы о последствиях своей деятельности и можем ли мы отследить, какие данные о нас собираются.
Поскольку интернет позволяет проще отслеживать людей, информация, находящаяся не в тех руках, ставит под угрозу нашу безопасность. Уровень информированности об интернет безопасности растет. Исследования Национальной лиги потребителей США показали, что 76% американских подростков обеспокоены вопросом конфиденциальности личной информации и нанесением вреда от интернет-деятельности, но люди редко подключатся к сети интернет, не используя интернет вещей.
Комитет ISO по потребительской политике (ISO/COPOLCO) ставит данные вопросы на повестку дня. Так как потребители не всегда понимают, что последствия низкого уровня безопасности не означают, они не должны защищаться. Председатель ISO/COPOLCO Билл Ди (Bill Dee) говорит: “Уровень информированности, отношение и ценности потребителей в области безопасности и права на частную жизнь являются важными вопросами, которые необходимо решить. В COPOLCO мы завершили отчет по устранению разрыва в стратегических стандартах в области защиты частной жизни и ставим в приоритет ‘адресную защиту персональных данныхʼ продуктов и услуг купленных и используемых потребителями”.
Адресная защита персональных данных
По мнению Эйсенджер, суть проблемы заключается в том, что сначала большая часть ежедневно эксплуатируемого оборудования, используемая потребителями поставляется на рынок без учета внимания к таким вопросом, как частная жизнь и защита данных. “Кроме того, существует ряд международных стандартов, которые организации могут использовать для отслеживания однажды собранной информации. Для того, чтобы интернет вещей стал безопасным, для начала нам необходимо разрабатывать безопасные технологии, которые бы позволяли управлять безопасностью частной жизни в реальном времени. Изменение подхода не только сделает безопасность неотъемлемым компонентом, но также упростит использование и обновление элементов безопасности.
Ряд причин, по которым компании не обеспечивают защиту устройств, заключается в том, что разработчики технологий интернета вещей редко являются экспертами в области безопасности и частной жизни. По словам Эйсенджер: “Инженеры должны участвовать в процессе разработки, в которой большое влияние уделяется этим вопросам, что способствует уменьшению «слабых сторон», в настоящее время, большая часть которых зафиксирована как «запоздалое действие». В надежде изменения сложившейся ситуации, ISO/COPOLCO вносит предложение о разработке стандарта на цифровой дизайн безопасности частной жизни и услуг.
Эйсенджер добавляет: “Если бы мы могли упорядочить процесс адресной защиты персональных данных, стимулируемый ISO 9001 к непрерывному совершенствованию, поскольку ISO 10377 по безопасности продукции уже разработан, мы могли бы сделать большой шаг вперед. Такой стандарт облегчит отслеживание и защиту наших данных, будет гарантировать конфиденциальность Больших данных и оценивать безопасность продукции”.
Также Эйсенджер отмечает: “Вместо того, чтобы задаваться вопросом, должны ли потребители принимать установленные по умолчанию параметры безопасности и настройки приватности, в настоящее время осуществляющиеся посредством технологий, продуктов и услуг, мы должны задаться вопросом, что разработчики могут сделать, чтобы повысить уровень конфиденциальности и доверия потребителей. Это новые перспективы для международной безопасности и стандартов безопасности. Те, которые будут «защищать» продукты и услуги, а также информацию и обеспечивать контроль в реальном времени за тем, как их необходимо использовать. Те, которые будут минимизировать объем данных, собираемых с помощью устройств. Те, которые будут информировать о деятельности третьих сторон и усиливать отслеживаемость и контролируемость”.
Если этот процесс пройдет успешно, то аналогичный подход можно будет применить к решению межсекторальных «цифровых» проблем таких, как доступность и незащищенность, а также безопасность, с учетом доступности, справедливости и недискриминации.
Поэтому хотя существует ряд стандартов по кибербезопасности, ISO предстоит большая работа в области интернета вещей. Эйсенджер говорит: “Серия стандартов ISO/IEC 27001 обеспечивает безопасность получаемой организациями информации. Но при этом нам также необходимо выработать решения по управлению рисками, возникающими при работе с интернетом вещей”. Стандарты – это прямой путь к вынесению данных вопросов на международную повестку дня.
Мы не можем больше не предпринимать никаких действий. В наши дома и деятельность вторглись, а персональную информацию предоставили миллионам людей, подключенных к сети интернет. Интернет вещей ставит вопросы конфиденциальности и безопасности на совершенно новый уровень, рассказывая всему миру о том, кто мы есть и что мы делаем. Чтобы обезопасить нашу жизнь «от чужих взглядов», нам необходимо «закрыть дверь на замок».