Как защитить права человека в пространстве Интернета вещей

 Рынок Интернета вещей (IoT) очень активно развивается, но, вместе с тем, растут и риски для самих пользователей в отношении защиты их данных при взаимодействии с «умными устройствами».

Интернет вещей включает в себя множество продуктов, продаваемых потребителям в виде игрушек или повседневных устройств, для промышленности в качестве корпоративных решений или для правительств в качестве новых инструментов взаимодействия. Это бытовая техника, фитнес-трекеры, ювелирные изделия и транспортные средства, а также городская инфраструктура, системы освещения и совершенно новые продукты, такие как «виртуальные помощники» Amazon Echo и Google Home. 

Несмотря на то, что во всем мире предпринимается множество усилий, направленных на то, чтобы сохранять интернет-безопасность (и мы начинаем наблюдать за появлением регулирования IoT по всему миру), мало кто смотрит на проблематику прав человека в новом мире интернета вещей. Организация по защите прав человека Access Now рассматривает этот вопрос в качестве приоритетного. Нас весеннем саммите RightsCon в Брюсселе была проведена дискуссия и отдельный семинар, чтобы открыть обсуждение с экспертами со всего мира по данной проблематике.

.

Как Интернет вещей может войти в конфликт с правами человека? 

.

Есть много способов, с помощью которых IoT может вмешиваться в права человека, активно или пассивно. Не все страны имеют систему защиты частной жизни, чтобы обеспечить адекватную защиту наших персональных данных от излишнего внимания IoT. Существует реальная угроза почти повсеместного наблюдения, когда хакеры могут использовать уязвимости, например, в IoT-игрушках, таких как Cayla. Да и правительства могут шпионить за вами, используя не только ваш компьютер и смартфон. Это очень опасно для сохранения прав человека. Исследования неоднократно доказывали, что меры подобного надзора не только ущемляют конфиденциальность пользователей, но и озлобляют их. Эти же исследования показывают, что данное негативное воздействие на наше поведение и на общество может стать еще шире.

.

Почему у нас нет гарантий защиты от этого?

.

Во многих случаях законы о защите частной информации требуют явного согласия пользователя, чтобы компании могли собирать о них личные данные. Однако, данные согласия сложно осуществимы в пространстве интернета вещей. Компания может получить согласие от кого-то, кто купил устройство или приложение IoT, но устройству все еще может потребоваться сбор пассивных данных для работы, что влияет на конфиденциальность личных данных граждан. Например, самозаводящиеся автомобили собирают данные об их окружении, и это включает данные о людях вокруг них. Возможно, не удастся реализовать традиционный режим уведомления пользователей для применения этой технологии IoT. Тем не менее, у людей по-прежнему есть фундаментальное право на неприкосновенность частной жизни, и они могут не согласиться с этой безальтернативной формой сбора данных.

Ключевой вопрос здесь: в какой степени должно существовать исключение из правил, касающихся согласия, когда сбор данных строго необходим для функционирования устройства? Люди покупают многие устройства IoT, потому что они как раз таки собирают и анализируют данные, например, кто-то покупает смарт-холодильник, потому что не нужно помнить, когда покупать продукты. Анализ по вашим личным привычкам делает его ценным для вас, в противном случае, IoT-продукт не может выполнить свои обещания. Но даже с учетом этих проблематик всё еще возможно применить принципы защиты прав человека к экосистеме IoT.

.

Какие права мы должны обеспечить для людей в мире IoT?

.

Начнем с безопасности. На конференции DEFCON 2016 хакеры протестировали безопасность множества IoT-продуктов. Они смогли найти 47 новых уязвимостей на 23 различных типах устройств от 21 разных производителей. Большинство из них были простыми, легко предотвращаемыми пробелами в защите. Фактически, одна из самых больших ботнетов IoT, известная как Mirai, была построена специально, чтобы использовать повсеместную слабость безопасности IoT, сканируя устройства IoT, доступные через интернет, и защищенные только заводскими настройками по умолчанию или жестко запрограммированными именами пользователей и паролями. Эти виды атак только продолжают расти, поскольку компании продолжают пренебрегать элементарной безопасностью.

На RightsCon участники панели IoT обсудили ключевые концепции безопасности: безопасность данных, разделение обновлений безопасности и функциональности, обновлений безопасности для разумного срока службы данного продукта и более широкую цифровую безопасность — с использованием шифрования и информационной безопасности для обеспечения конфиденциальности и целостности устройств, служб и данных, которые они создают.

Тем не менее, даже если мы достигнем лучшей безопасности для Интернета вещей, это не гарантирует лучшую конфиденциальность. Экспертная группа пришла к выводу, что для IoT должны быть «системные значения по умолчанию», которые выходят за рамки технических спецификаций. Примеры включают уведомление перед изменениями условий обслуживания (помимо существующих четких, уважающих права условий обслуживания), конфиденциальность местоположения, ограничение целей для сбора данных и объемов самих данных, а также строгие правила минимизации данных. Эти права уже гарантированы в определенных юрисдикциях.

Вопрос защиты прав человека в мире Интернета вещей заключается не столько в том, что то или иное устройство IoT собирает и анализирует данные, так как это часто является сутью его функционирования. Дело в том, что люди должны иметь возможность сохранять своё прайваси и иметь возможность тонкой настройки IoT-устройств. Мы должны иметь возможность проверять, ремонтировать или просто изучать свои устройства, услуги IoT и данные, которые они собирают и производят. Кроме того, мы всегда должны иметь возможность отключать наши IoT-устройства или использовать их в автономном режиме, а это означает, что данные продукты должны работать при необходимости и без подключения к интернету, чтобы пользователи могли отказаться от ряда функций без потери основной функциональности.

Конечно, этот список не является исчерпывающим. Для решения таких вопросов, как прозрачность и алгоритмическая подотчетность, необходимо решить важные вопросы, чтобы экосистема IoT могла функционировать таким образом, чтобы соблюдались права человека.

Хотя сами власти могут осуществлять некоторые меры защиты прав человека, компании также должны активизировать и внедрять меры защиты на уровне программного и/или аппаратного обеспечения, и, конечно же, сами пользователи должны также иметь возможность строить свою личную защиту. Это потребует устойчивого сотрудничества между гражданским обществом (включая такие направления, как «Ranking Digital Rights»), группами по защиты прав потребителей и технологическими компаними.

.

Англоязычные материалы для изучения данной темы:

• Overview from Wired: The Internet of Things Is Wildly Insecure — And Often Unpatchable
• Deep dive from Schneier on Security: Security and the Internet of Things
• The global effort from ITU: Internet of Things Global Standards Initiative
• Vulnerabilities of wearables from Nature: What could derail the wearables revolution?
• EU gets technical from Body of European Regulators for Electronic Communications report: Enabling the Internet of Things
• Look at vulnerabilities from Wired: How the Internet of Things Got Hacked
• Regulation emerges with Tunisia’s Information and Communications Technology Ministry: draft law

.

По материалам публикации Access Now:
Secure all the things! How to protect human rights on the Internet of Things

Читайте также:

ЕС отрегулирует интернет вещей
? 
Предложенный Минпромторгом путь развития «интернета вещей» приведёт к технологической изоляции России
?
Интернет вещей способен уничтожить право на тайну личной жизни
?
Кофеварка, ломай меня полностью!
?
Интернет вещей сложат в «пакет Яровой»