Pretpostavimo da neki kriminalac koristi vaš monitor za bebe kako bi vam osmatrao kuću. Ili da vaš hladnjak u vaše ime šalje spam e-mailove ljudima koje uopće ne poznajete. Sada zamislite da je neko hakirao vaš toster i dobio pristup cijeloj vašoj mreži. Kako se pametni proizvodi razvijaju s Internetom stvari, tako se povećava rizik od hakerskih napada zbog tog novog povezivanja. ISO standardi mogu poboljšati sigurnost ove industrijske grane koja je u nastajanju.

Kao potrošači i korisnici tehnologije često smo previše rastrzani nevjerovatnim karakteristikama Interneta stvari da često zaboravljamo razmišljati o tome šta to znači za našu privatnost i sigurnost. Dakako, povezani monitor za bebe može dati roditeljima određenu sigurnost, dopuštajući im da u bilo koje vrijeme, bilo gdje lahko provjere svoju djecu preko pametnih telefona. No, kada  ova tehnologija nije zaštićena, možemo nehotice izložiti sebe i svoje najmilije opasnosti.

Zaista, špijuniranje slučajnih stranaca nikad nije bilo jednostavnije. Sve što vam je potrebno je pretraživač poput Shodana – koji je Google Interneta stvari (IoT-a) ‒ koji, moramo istaknuti opasnost  ove tehnologije, pretražuje web i snima nezaštićene uređaje. Unutrašnjost naših domova, naši kućni ljubimci, čak i frižideri su nadohvat ruke uz samo jedan klik. Neki roditelji su  na teži način shvatili koliko su osjetljivi kada je monitor za bebe na koji su se oslanjali bio hakiran i kada je haker njihovoj pospanoj djeci vikao razne prostote. Zato i ne čudi da je broj pritužbi vezanih uz IoT tehnologiju samo u Velikoj Britaniji porastao za 2000% tokom posljednje tri godine.

Vrli novi svijet


Internet stvari odnosi se na milijarde povezanih pametnih uređaja koji rutinski razmjenjuju velike količine podataka o tome kako živimo, radimo i kako provodimo slobodno vrijeme. „Oni su trebali naš život učiniti lakšim, zdravijim i pametnijim, a naše poslovanje produktivnijim, ali to često ima svoju cijenu”, kaže prof. Edward Humphreys, moderator ISO/IEC-ove radne grupe za sisteme upravljanja sigurnošću informacija. „Mi želimo da vjerujemo u ove tehnologije zbog svega onoga što su nam omogućile da radimo. Ali moramo biti svjesni posljedica po sigurnost i privatnost naših podataka.”

Naprimjer, u čitavoj euforiji oko kupovine najnovijeg pametnog televizora koji se aktivira glasom možda niste uzeli u obzir da ta tehnologija mora biti u stanju da „sluša” sve što kažete kako bi mogla da prepozna pravu komandu. Ako to ostaje između vas i vašeg TV-a, šta je onda tu loše, zar ne? Međutim, češće nego što biste i pomislili, komunikacijski kanali koji omogućavaju uređajima da razmjenjuju informacije nisu šifrovani ili na drugi način zaštićeni od vanjskog pristupa. „To je u stvari kao da ste ostavili širom otvorena vrata; svako može ušetati u bilo koje vrijeme”, kaže Humphreys.

Srž problema je da većina nas očekuje da su kompanije i zakonodavci uzeli u obzir ove rizike u cjelini i da su uradili nešto u vezi s tim. Ali, ako kupci ne razumiju ili ne pokazuju interes za privatnost podataka, neće ni proizvođači zato što znaju da nećemo zasnivati naše odluke o kupovini prema tim kriterijima ‒ veće su šanse da ćemo kupiti web-kameru zbog kompatibilnosti, cijene ili čak i izgleda! Istraživanje potrošača koje je proveo Consumers International pokazuje da  prosječna osoba provede šest sekundi gledajući odredbe i uslove prije nego što klikne i dȃ svoj pristanak, pa zašto bi se onda kompanije time bavile?

„Što se tiče zakona, ono što radimo u našim domovima je rijetko zaštićeno u odnosu na organizacijske podatke”, kaže Pete Eisenegger, stručnjak za pitanja potrošača, koji se bavi problemima vezanim za privatnost na međunarodnom i evropskom nivou. „Uzmite naprimjer nosivu i prenosivu tehnologiju ‒ ona prati i nadzire naše pokrete i aktivnosti i tačno zna gdje se nalazimo. Ako to iskombinujemo sa svim ličnim podacima koje pružamo, fotografije koje postavljamo online i veze koje pravimo, često i nesvjesno ustupamo prava o našim saznanjima, što je očit znak da postoji razlog za zabrinutost. Analiza velike količine podataka omogućila je da se na  jednostavan način sazna o ljudima preko njihovog ponašanja i njihovih sklonosti.”

U hiper povezanom svijetu ulozi su veoma visoki. Nedavni eksperiment je pokazao kako je moguće da se preko sistema za zabavu hakira automobil u pokretu i onemogući pedala za gas. „Elektronski pejsmejkeri mogu biti uređaji koji spašavaju život, sve dok ih niko ne hakira. Opseg digitalnih tehnologija koje su sada u nastajanju i koje se integrišu u naše živote je ogroman”, kaže Humphreys.

„Svjedoci smo pojave novog svjetskog poretka zasnovanog na internet tehnologiji. Ne radi se samo o proizvodima nego o cijelom sistemu. „Nedostatak sigurnosti jednog uređaja može itekako utjecati na druge. U 2013. godini hakeri su ukrali milione brojeva kreditnih kartica iz baze podataka velikog američkog maloprodajnog giganta tako što su njihovim sistemima za grijanje pristupili putem interneta.

Ugroženi uređaji mogu se koristiti i za napad na druge uređaje. Moramo razmišljati o sigurnosti u IoT-u kao o vakcini. Ako niste zaštićeni, rizikujete da zarazite i druge. Što više štitimo ili „vakcinišemo” naše uređaje poboljšanim tehnikama sigurnosti, to bolje za sve nas.

„Upravo to je razlog zašto ne mogu dovoljno naglasiti važnost korištenja standarda za sigurnost informacija i zaštitu privatnosti”, objašnjava Humphreys. „Mi imamo niz rješenja za mnoge od tih rizika i minimiziranje njihovih efekata, a još njih je u fazi izrade ‒ ali su organizacije te koje treba da ih koriste.”

Standardi poput ISO/IEC 27001 i ISO/IEC 27002 pružaju zajednički jezik za rješavanje pitanja upravljanja, rizika i usklađenosti koja se odnose na sigurnost informacija. ISO/IEC 27031 i ISO/IEC 27035 pomažu organizacijama da efikasno reaguju, razriješe i oporave se od sajber-napada. Tu su također i ISO/IEC standardi koji  definišu mehanizme za enkripciju i elektronski potpis koji se mogu integrisati u proizvode i aplikacije za zaštitu online transakcija, korištenje kreditnih kartica i pohranjenih podataka.

Prema Humphreysu, sljedeći na redu su standardi koji se tiču privatnosti. „Radimo na tome da izgradimo čvrstu osnovu standarda koji štite naše podatke u digitalno povezanom svijetu i jačaju povjerenje potrošača. Nadamo se da će se oni moći koristiti za iznalaženje rješenja koja zadovoljavaju specifične izazove Interneta stvari.”

Zanima li to potrošače?


Problem dodatno komplikuje činjenica da su mnogi od nas nevoljno, a ponekad i dobrovoljno bili spremni da ugroze privatnost i sigurnost u zamjenu za ono što smatramo vrednijim, a to je pristup najsavremenijoj tehnologiji. Ti uređaji su postali nešto što moramo imati u svakodnevnom životu. Jesu li naši lični podaci zaista vrijedni svih tih modernih pogodnosti?

Pogledajmo ponašanje potrošača na internetu. Ljudi redovno postavljaju svoje slike i objavljuju videosnimke svoje djece, dijele svoja politička uvjerenja, turističke destinacije i omiljene šoping  adrese. Pitanje nije više treba li dozvoliti pristup našoj privatnosti, ako tako odlučimo, već hoćemo li shvatiti implikacije onoga šta radimo i  možemo li kontrolisati kakvi se to podaci od nas prikupljaju.

S obzirom da internet olakšava praćenje i identifikovanje ljudi, ove informacije, ako dospiju u pogrešne ruke, mogu nas dovesti u opasnost. Svijest o sigurnosti interneta raste. Istraživanje National Consumers League iz SAD-a otkrilo je da je 76% američkih tinejdžera zabrinuto za privatnost kao i da su imali štete od  aktivnosti na internetu, mada to ljudi rijetko povezuju sa IoT-om.

ISO komitet za politiku potrošača (ISO/COPOLCO) insistira da se ova pitanja stave na dnevni red standardizacije. Samo zato što potrošači nekada ne razumiju posljedice neadekvatne sigurnosti ne znači da ne bi trebali biti zaštićeni. „Svijest potrošača, stavovi i vrijednosti koje se tiču sigurnosti kao i potreba za privatnošću su važan dio slagalice koju trebamo riješiti”, kaže Bill Dee, predstavnik ISO/COPOLCO-a. „Mi u COPOLCO-u smo završili izvještaj o nedostacima u strateškim standardima za zaštitu privatnosti i sada prioritet dajemo „zaštiti privatnosti pri dizajnu proizvoda i usluga koje su kupili ili koriste potrošači.”

Zaštita privatnosti pri dizajnu

Za Eiseneggera suština problema leži u činjenici da je, od samog početka, većina opreme koja se koristi iz dana u dan a koju potrošači upotrebljavaju u svakodnevnom životu plasirana na tržište a da se pritom malo ili nimalo nisu uzeli u obzir problemi potrošača kao što su privatnost i zaštita podataka. „Iako postoje brojni međunarodni standardi koje organizacije mogu koristiti za zaštitu naših ličnih podataka, kako bismo omogućili da IoT bude sigurniji za početak moramo izgraditi bezbjednu tehnologiju za kontrolu privatnosti u realnom vremenu. Mijenjanje pristupa ne samo da će obezbijediti da sigurnost bude preduslov, već će također omogućiti da sigurnosna obilježja postanu lakša za korištenje i ažuriranje.”

Jedan od razloga zašto kompanije ne štite uređaje je i činjenica da su dizajneri koji razvijaju IoT tehnologiju rijetko stručnjaci za sigurnost i privatnost. „Inženjeri bi trebali da usvoje procese dizajna koji se snažno fokusiraju na te funkcije kako bi se ograničila ranjivost, kaže Eisenegger. Nadajući se da će doći do tih promjena, ISO/COPOLCO je predložio da se razvije standard o digitalnom dizajnu za privatnost robe i usluga.

„Ako bismo mogli razviti proces za dizajn privatnosti po uzoru na kontinuirani ciklus poboljšanja iz standarda ISO 9001, kao što je u ISO 10377 već učinjeno za sigurnost proizvoda, mi bismo napravili veliki korak naprijed”, dodaje Eisenegger. „Takav standard bi se mogao fokusirati na lakše praćenje i zaštitu naših podataka, te osigurati tajnost velike analize podataka i procijeniti privatnost proizvoda.”

„Umjesto što se pitamo trebaju li potrošači prihvatiti zadate opcije vezane za  sigurnost i zaštitu privatnosti koje trenutno nude tehnologija, proizvodi i usluge, trebali bismo se pitati šta to programeri mogu učiniti da se izgradi povjerenje potrošača”, kaže Eisenegger. „Ovo je novi izazov za međunarodne standarde sigurnosti i privatnosti. Ovo je „vakcinisanje” proizvoda i usluga kako bi se adekvatno štitile informacije i omogućila kontrola pristanka u realnom vremenu o načinu njihovog korištenja. Ovo će značiti smanjenje količine ličnih podataka koju prikupljaju uređaji i omogućiti nam da budemo obaviješteni o bilo kakvoj obradi od treće strane, te poboljšati sljedivost i odgovornost.”

Ako se ovaj pristup pokaže uspješnim, onda bi sličan pristup mogao obraditi međusektorska digitalna pitanja kao što su dostupnost i ugroženost, kao i privatnost, a uzimajući u obzir troškove, pravednost i nediskriminaciju.

Dakle, iako nam je trenutno na raspolaganju širok spektar standarda za sajber-sigurnost, ISO još uvijek ima dosta toga da uradi vezano za Internet stvari. „ISO/IEC 27001 porodica standarda u dobroj mjeri pomaže organizacijama da svoje informacije održe sigurnim nakon što ih prikupe. Međutim, mi moramo iznaći rješenja koja su posebno usmjerena na rizike vezane za IoT”, kaže Eisenegger. Standardi su efikasan način da se ta pitanja nađu na međunarodnom planu.

Mi više nemamo šta da čekamo. Naši domovi, aktivnosti i lične informacije su sada kroz svakodnevne uređaje nepovratno isprepleteni i povezani s onima milijardi drugih ljudi. Internet stvari diže implikacije vezane za privatnost i sigurnost na potpuno novi nivo time što će ono ko smo i šta radimo biti dostupno na internetu. Kako bi naši životi ostali skriveni od znatiželjnih očiju, vrata moramo zatvoriti i na njih staviti katanac.  

Preuzeto iz ISOFocusa #118
Maria Lazarte