Ваш холодильник – шпион: правовое обеспечение информационной безопасности Интернета вещей

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Все большую популярность в современном мире набирают домашние устройства Интернета вещей (Internet of Things, IoT). Они предоставляют своим пользователям удобство и возможность управления устройствами внутри дома из любого места через Интернет. Однако, такой скачок популярности IoT привел к возникновению правовых вопросов, связанных с конфиденциальностью данных потребителей и их защитой.

Вопрос защиты персональных данных пользователя является одним из основных аспектов, требующих регулирования российским законодательством в области IoT. Устройства Интернета вещей собирают и обрабатывают большие объемы таких данных, включая информацию о привычках, личной жизни, предпочтениях. Их неправомерное использование приводит к нарушению прав и свобод граждан.

В данной статье мне хотелось бы подробнее обсудить существующие проблемы правового обеспечения Интернета вещей в нашей стране, разобраться в том, какие нормативно-правовые акты и как могут быть применимы в этой сфере на сегодняшний день.

Введение

Еще в 1920 году в пьесе «Р. У. Р.» («Россумские универсальные роботы») чешским писателем Карелом Чапеком был впервые упомянут термин «робот», который означал создание, состоящее из отличающихся от входящих в состав человека материалов и играющее роль рабочей силы. Тогда это была фантастика, а сегодня человек уже изобрел множество устройств, способных избавить его от лишних усилий и упростить жизнь: стиральные машинки, холодильники, умные колонки и так далее. А в совокупности все эти вещи мы называем Интернетом вещей, или IoT (Internet of Things).

Основная концепция Интернета вещей заключается в том, что несколько взаимосвязанных устройств могут собирать и передавать данные по беспроводной сети без участия человека. Помимо перечисленных выше объектов, к IoT можно отнести любое устройство, способное передавать данные по сети и имеющее IP-адрес.

Безусловно, многие бы не отказались от возможности дистанционно управлять абсолютно всеми устройствами, находящимися в вашей квартире, однако и у этой технологии есть другая сторона. Самый главный вопрос, вопрос информационной безопасности, вызывает огромное недоверие к Интернету вещей со стороны пользователя: сложно сказать, насколько защищена вся та информация, которую получают, хранят и обрабатывают устройства. 

Меня, как человека, являющегося специалистом в области информационной безопасности, интересующегося  новинками в мире информационных технологий, вопрос безопасности Интернета вещей и перечне актуальных угроз, непосредственно с ними связанных, интересовал довольно давно.

Более того, со стороны обычного потребителя, заботящегося о безопасности своих личных данных, хотелось быть пролить свет на эту тему и подробнее рассмотреть данный вопрос перед тем, как принимать решение о приобретении таких устройств.

В данной статье мне хотелось бы выделить основные риски угрозы безопасности персональных данных пользователей, а также проанализировать существующие нормативно-правовые акты Российской Федерации, применимые к вопросу регулирования сферы Интернета вещей и сделать выводы о том, какое будущее у организационно-правового обеспечения информационной безопасности данных технологий.

Какие угрозы безопасности информации, связанные с IoT, актуальны на сегодняшний день?

Как мы помним, Интернет вещей – это несколько устройств, связанным между собой посредством сети Интернет, через которую ими можно управлять. Конечно же, наличие большого количества таких устройств может привести к следующим рискам:

  • Уязвимость конфиденциальной информации за счет генерирования устройствами Интернета вещей большого объема данных

  • Риск взлома технологий Интернета вещей

  • Использование злоумышленниками подключенных устройств для прослушивания домов пользователей

  • Сбор личной информации о человеке

Последний пункт мне хотелось бы раскрыть более подробно, поскольку он непосредственно связан с нашими персональными данными и обеспечением их сохранности.

Как злоумышленники могут использовать наши личные данные против нас?

Как уже было упомянуто мной ранее, технология IoT вызывает ряд вопросов, связанных с ее правовым регулированием. Насколько безопасны устройства Интернета вещей? Кто владеет данными, которые они хранят? Как и кем они могут быть использованы? Могут ли эти данные быть использованы злоумышленниками против самих владельцев устройств?

Одной из потенциальных опасностей является возможное получение таких данных третьими лицами, после чего они могут быть проданы работодателям, страховщикам, кредиторам, другим личностям, способные использовать эти данные в своих целях. 

Так, например, получив данные, хранящиеся на IoT-устройствах, установленных на автомобилях, страховые компании, владея этой информацией, смогут давать водителям страховки с более тягостными условиями. Соответственно, в данной ситуации устройства Интернета вещей ухудшают положение пользователя перед процессом получения страховки.

Другой пример – IoT, связанные непосредственно с нашим здоровьем, например умные часы или весы. Такие устройства знают наши привычки, отслеживают физическую активность человека, пульс, сердцебиение, количество шагов. Незаконно овладев такими данными, работодатель может по своим личным предпочтениям принять решение о приеме кого-либо на работу, что не является честным по отношению к владельцу IoT-устройства.

Стоит также отметить, что если человек пользуется несколькими сразу IoT-устройствами, то это может привести к еще более серьезным последствиям. 

Как российское законодательство регулирует правовое обеспечение информационной безопасности Интернета вещей? (спойлер: никак)

К сожалению, законодательство Российской Федерации не способно в полной мере раскрыть сферу Интернета вещей, данная область правового регулирования сейчас не развита. Более того, в законодательстве нет и четкого определения, что такое Интернет вещей. Однако в прогнозе долгосрочного социально-экономического развития Российской Федерации на период до 2030 года Министерства экономического развития Российской Федерации Интернет вещей определён как «информатизация различных предметов и включение их в единую сеть сетей».

Однако, несмотря на отсутствие должного законодательства, при правовом регулировании Интернета вещей должны быть задействованы следующие нормативно-правовые акты:

  • Федеральный закон №152 «О персональных данных»

  • Федеральный закон №149 «Об информации, информационных технологиях и о защите информации»

  • Доктрина информационной безопасности Российской Федерации

Предлагаю более подробно рассмотреть данные нормативно-правовые акты

№ 152-ФЗ «О персональных данных»

Здесь следует обратить внимание на п. 3 ст. 5, в которой говорится, что недопустимо объединение баз данных тогда, когда обработка таких данных происходит в несовместимых между собой целях. В п. 2. ст. 5 также указано, что обработка персональных данных должна ограничиваться исключительно достижением конкретных, законных и определённых заранее целей. То есть, должна быть обозначена конкретная цель обработки данных человека. Более того, данные так же должны быть уничтожены или обезличены после того, как закончится срок выполнения цели обработки данных. Следовательно, в будущем производители устройств Интернета вещей должны будут в обязательном порядке ознакамливать пользователя с целями обработки персональных данных и сроках их хранения.

Ст. 6 федерального закона устанавливает обязательное наличие согласия пользователя на обработку его персональных данных, соответственно, включая данные, полученные через IoT-устройства.

№149-ФЗ «Об информации, информационных технологиях и о защите информации»

В п. 7 ст. 3 сказано, что частная жизнь человека неприкосновенна, недопустим сбор, хранение, использование и распространение частной жизни лица без его согласия. Думаю, многие из вас задались вопросом: на сбор какой информации мы даем согласие при использовании устройств Интернета вещей? 

На самом деле, учитывая весь функционал IoT-устройств, сложно сказать, какую именно информацию о человеке такое устройство способно собрать. Из этого можно сделать вывод, что в области Интернета вещей данный пункт следовало бы пересмотреть, например, закрепив, что каждый случай должен быть рассмотрен судом индивидуально.

Доктрина информационной безопасности Российской Федерации.

Эта доктрина постулирует о том, что информационные технологии расширяют свое присутствие в жизни человека, именно поэтому защита информационной безопасности граждан является интересами государства

Данная доктрина позволяет сделать вывод, что государство все больше понимает важность информационного права в нашей жизни, в том числе важность защиты информационной безопасности в области Интернета вещей, ведь количество людей, пользующихся данной технологией, возрастает. 

Государственные органы уже создают основу для разрабатывания норм в информационной сфере. Примером такой основы может послужить так называемая «дорожная карта», упомянутая в приказе Минкомсвязи России № 637 «Об утверждении Плана (дорожной карты) реализации Концепции построения и развития узкополосных беспроводных сетей связи „Интернета вещей“ на территории Российской Федерации. Она должна утвердить перечень федеральных органов исполнительной власти, ответственных за разработку и утверждение моделей угроз нарушителей для систем Интернета вещей, что уже говорит о том, что государственные органы осведомлены об этой проблеме.

Заключение

Безусловно, Интернет вещей показал нам множество пробелов в законодательстве, так как четкие меры для регулирования этой области в нем на сегодняшний день не представлены. Государство должно обратить внимание на существующие проблемы и разработать четкое правовое регулирование для решения данных проблем.

В настоящее время Интернет вещей хоть и стремительно развивается, но и таит в себе большое количество угроз нарушения информационной безопасности, в том числе проблем в области правового регулирования. 

Тезисно формулируя основные меры, которые стоит принять правительству для решения этих проблем, можно выделить следующее:

  1. Необходимо разработать и внедрить специальные требования для производителей устройств IoT, которые будут обязывать их предоставлять ясную и доступную информацию о сборе и использовании персональных данных.

  2. Вопросы, касающиеся неправомерного использования персональных данных пользователя, должны решаться индивидуально, поскольку возможный функционал Интернета вещей может непреднамеренно привести к нарушения №149-ФЗ

  3. Государство должно быть заинтересовано в регулировании Интернета вещей и информационных технологий, оказывать поддержку и внедрение методов защиты данных устройств.

Я же лично призываю вас всех быть осторожными в вопросе сохранения безопасности своих персональных данных, всегда иметь свой критический взгляд на ситуацию, рассматривать все плюсы и минусы, чтобы сделать правильный выбор.

Спасибо за то, что прочли мою статью. Искренне надеюсь, что она показалась вам полезной и интересной, что вы узнали для себя что-то новое в области правового регулирования Интернета вещей.

Источник: https://habr.com/ru/articles/742956/


Интересные статьи

Интересные статьи

В этом материале мы расскажем, что такое аттестованный сегмент ЦОД. Поговорим о преимуществах и проблемах IaaS и on-premise как собственного решения. Также разберем, как А-ЦОД закрывает потребности ...
Мы часто сталкиваемся с ситуациями, когда заказчик (а часто бывает что и специалист по ИБ) не понимают разницы между тестированием на проникновение и аудитом ИБ. Поэтому сегодня мы поделимся своим опы...
GitHub стремится обеспечить безопасность для open-source и поэтому мы (GitHub) продолжаем сотрудничать с коллегами из Open Source Security Foundation (OpenSSF). Вышел новый релиз V4 OpenSSF's - э...
Сталкивались ли вы когда-нибудь с необходимостью работы с аппаратным обеспечением устройств из веб-приложения, а, когда оказывалось, что это невозможно, создавали ли нативное приложение д...
В конце прошлого года, после сделки с «Ростелекомом», мы получили в свое распоряжение облачную SD-WAN/SDN-платформу для предоставления заказчикам ИБ-сервисов. Мы подключили к проекту вендоров, ...