Денис Береговой, партнер Axon Partners
Для IoT защита персональных данных не должна быть новостью. IoT по определению предусматривает сбор и обработку данных различными устройствами и было бы наивно предполагать, что эти данные не должны хоть как-то защищаться.
Как-то так и подумали в 2013 (!) году в Калифорнии, принимая закон о приватности для “умных” счетчиков, согласно которому данные о потреблении газа и электричества пользователями “умных” счетчиков не могут без выраженного согласия пользователя передаваться третьим сторонам. Кроме того, этот закон требует безопасного хранения и обработки собранных данных о потреблении. Главное отличие от современных законов о персональных данных – размер штрафа, всего-то 500 долларов за каждый факт нарушения.
“Но причем же здесь персональные данные, если это счетчик воды? Он же не знает ФИО пользователя. Он не то что человека, он даже об источнике воды вряд ли что-то знает” – это было бы справедливое замечание читателя, если бы мы говорили про IoT лет 20 назад.
Сейчас данным не обязательно непосредственно идентифицировать человека, т.к. ценность уже не столько в “знании” их носителя, сколько в его “профиле”, который позволяет определить его привычки и предпочтения. Те же счетчики собирают много информации о наших бытовых привычках, режиме дня. Такая поведенческая информация, равно как и количество пройденных шагов или время постановки/снятия с охраны “умного” дома – в большинстве случаев является персональными данными.
Если учесть, что MAC-, IP-адреса и прочие уникальные идентификаторы устройств вроде IMEI – также персональные данные (не верите, читайте GDPR), а IoT продолжает традиции M2M (machine-to-machine) общения, то окажется, что сети из “умных” устройств владеют и обмениваются персональными данными в объемах, не намного меньших за сети социальные. Только в соцсетях нам хотя бы кажется, что мы знаем, какими данными делимся.
Очень странные дела
Как раз для большей осведомленности граждан, во Франции в марте 2018 года, местный орган защиты данных CNIL пригрозил штрафом в 3 млн евро для крупной энергокомпании Direct Energie за то, что они собирали больше данных со своих “умных счетчиков”, чем нужно (почасовые графики потребления, хотя тарифы – за месячное потребление), да и согласие на сбор данных было добровольно-принудительное. И это все было еще до страшного и ужасного GDPR – Общего регламента ЕС о защите данных, который считается самым строгим в этой сфере.
В общем, про Smart Grid вы поняли – там есть вопросы к приватности. Организация Electronic Privacy Information Center (со звучной аббревиатурой EPIC) вообще сообщает о 14 категориях рисков для персональных данных в этом сегменте IoT. Хотя не сказал бы, что эти риски уникальны, они одинаково применимы к большей части потребительских IoT девайсов.
Вот например real-time surveillance (наблюдение в реальном времени) – общая проблема всего IoT. В последнее время несложно найти сообщения об уязвимостях IP-камер и baby-мониторов – это происходило с Fredi, Nest (компания во владении не кого-нибудь, а самого Google) и будет происходить дальше. Потому что производители недорабатывают безопасность таких устройств
Другие риски IoT также во многом связаны с недостаточной защищенностью девайсов. Например, данные носимых устройств могут быть причиной домашнего насилия и другого излишнего контроля, о чем уже внедряют образовательные программы для женщин в Австралии. Утечка детских разговоров с игрушками CloudPets могла быть причиной различных проблем для ребенка и его родителей, empowered by IoT. Хотя главный вопрос здесь в том, зачем вообще заливать эти диалоги в слабо защищенное облако?
Уже легендарным является IoT-ботнет Mirai, который в 2016 году DDoS-ил сервисы вроде Spotify, а использовал для этого умные розетки и камеры по всему миру, которые слишком легко поддавались взлому. Последствием этой атаки стал иск Федеральной комиссии по торговле США (FTC) против D-Link в связи с тем, что их умные девайсы были недостаточно защищены от взлома, хотя реклама говорила об обратном. Кстати, примирился с FTC крупный производитель роутеров только в марте этого года, частью соглашения стал обязательный аудит безопасности в течение ближайших 10 лет.
Если страшилок выше недостаточно, напомню, что персональные данные также делятся на категории – есть просто данные, а есть “чувствительные” – о религиозных, политических предпочтениях, гендере, расе, состоянии здоровья, а также биометрические данные и данные об участии в профсоюзах. Все эти данные подлежат более строгой защите да и получить их можно исключительно по согласию субъекта данных. Соответственно, лучи добра летят всей healthcare индустрии, у которой большие планы на IoT, а также ритейлу с трекингом покупательских привычек в отделах диабетического питания, распознаванием посетителей для индивидуализации предложений и т.д.
Cause I’m a creep
К этому моменту уже можно было подумать, что IoT будет развиваться только в Китае, раз у них там социальный скоринг и никаких защит приватности. Отчасти это так, но даже там, спустя год после GDPR, предложили дополнения к своим законам о персональных данных, повышая стандарты защиты.
Да и GDPR, по большому счету, требует от бизнеса быть адекватным – латать дыры безопасности, не собирать больше данных, чем нужно, дать пользователю больше контроля. Не зря ведь в мае 2019 опрос пользователей connected devices показал, что 63% находят свои устройства “пугающими” (creepy).
Читайте также: Как GDPR защищает права пользователей