Pretpostavimo da neki kriminalac koristi vaš monitor za bebe kako bi vam osmatrao kuću. Ili da vaš hladnjak u vaše ime šalje spam e-mailove ljudima koje uopće ne poznajete. Sada zamislite da je neko hakirao vaš toster i dobio pristup cijeloj vašoj mreži. Kako se pametni proizvodi razvijaju s Internetom stvari, tako se povećava rizik od hakerskih napada zbog tog novog povezivanja. ISO standardi mogu poboljšati sigurnost ove industrijske grane koja je u nastajanju.

Kao potrošači i korisnici tehnologije često smo previše rastrzani nevjerojatnim karakteristikama Interneta stvari da često zaboravljamo kako razmišljamo o tome što to znači za našu privatnost i sigurnost. Dakako, povezani monitor za bebe može dati roditeljima određenu sigurnost, dopuštajući im da u bilo koje vrijeme, bilo gdje lako provjere svoju djecu preko pametnih telefona. No, kada  ova tehnologija nije zaštićena, možemo nehotice izložiti sebe i svoje najmilije opasnosti.

Zaista, špijuniranje slučajnih stranaca nikad nije bilo jednostavnije. Sve što vam je potrebno jeste pretraživač poput Shodana – koji je Google Interneta stvari (IoT-a) ‒ koji, moramo istaknuti opasnost  ove tehnologije, pretražuje web i snima nezaštićene uređaje. Unutrašnjost naših domova, naši kućni ljubimci, čak i hladnjaci su nadohvat ruke uz samo jedan klik. Neki su roditelji na teži način shvatili koliko su osjetljivi kada je monitor za bebe na koji su se oslanjali bio hakiran i kada je haker njihovoj pospanoj djeci vikao razne prostote. Zato i ne čudi da je broj pritužbi vezanih uz IoT tehnologiju samo u Velikoj Britaniji porastao za 2000% tijekom posljednje tri godine.

Vrli novi svijet

Internet stvari odnosi se na milijarde povezanih pametnih uređaja koji rutinski razmjenjuju velike količine podataka o tome kako živimo, radimo i kako provodimo slobodno vrijeme. „Oni su trebali naš život učiniti lakšim, zdravijim i pametnijim, a naše poslovanje produktivnijim, ali to često ima svoju cijenu”, kaže prof. Edward Humphreys, moderator ISO/IEC-ove radne skupine za sustave upravljanja sigurnošću informacija. „Mi želimo vjerovati u ove tehnologije zbog svega onoga što su nam omogućile da radimo. Ali moramo biti svjesni posljedica po sigurnost i privatnost naših podataka.”

Primjerice, u čitavoj euforiji oko kupnje najnovijeg pametnog televizora koji se aktivira glasom možda niste uzeli u obzir da ta tehnologija mora biti u stanju „slušati” sve što kažete kako bi mogla prepoznati pravu naredbu. Ako to ostaje između vas i vašeg TV-a, što je onda tu loše, zar ne? Međutim, češće nego što biste i pomislili, komunikacijski kanali koji omogućuju uređajima razmjenjivanje informacija nisu šifrirani ili na drugi način zaštićeni od vanjskoga pristupa. „To je u stvari kao da ste ostavili širom otvorena vrata; svatko može ušetati u bilo koje vrijeme”, kaže Humphreys.

Srž je problema u tome što većina nas očekuje da su kompanije i zakonodavci uzeli u obzir ove rizike u cjelini i da su uradili nešto u svezi s tim. Ali, ako kupci ne razumiju ili ne pokazuju interes za privatnost podataka, neće ni proizvođači zato što znaju da nećemo temeljiti naše odluke o kupnji prema tim kriterijima ‒ veće su šanse da ćemo kupiti web-kameru zbog kompatibilnosti, cijene ili čak i izgleda! Istraživanje potrošača koje je proveo Consumers International pokazuje da prosječna osoba provede šest sekundi gledajući odredbe i uvjete prije no što klikne i dȃ svoj pristanak, pa zašto bi se onda kompanije time bavile?

„Što se tiče zakona, ono što radimo u našim domovima rijetko je zaštićeno u odnosu  na organizacijske podatke”, kaže Pete Eisenegger, stručnjak za pitanja potrošača, koji se bavi problemima vezanim za privatnost na međunarodnoj i europskoj razini. „Uzmite na primjer nosivu i prenosivu tehnologiju ‒ ona prati i nadzire naše pokrete i aktivnosti i točno zna gdje se nalazimo. Ako to iskombiniramo sa svim osobnim podatcima koje pružamo, fotografije koje postavljamo online i veze koje pravimo, često i nesvjesno ustupamo prava o našim saznanjima, što je očit znak postojanja razloga za zabrinutost. Analiza velike količine podataka omogućila je da se na  jednostavan način sazna o ljudima preko njihova ponašanja i njihovih sklonosti.”

U hiper povezanom svijetu ulozi su veoma visoki. Nedavni je eksperiment pokazao kako je moguće da se preko sustava za zabavu hakira automobil u pokretu i onemogući pedala gasa. „Elektronički pejsmejkeri mogu biti uređaji koji spašavaju život, sve dok ih nitko ne hakira. Opseg digitalnih tehnologija koje su sada u nastajanju i koje se integriraju u naše  živote je ogroman”, kaže Humphreys.

„Svjedoci smo pojave novoga svjetskog poretka utemeljenog na internet tehnologiji. Ne radi se samo o proizvodima nego o cijelome sustavu. „Nedostatak sigurnosti jednog uređaja može itekako utjecati na druge. U 2013. godini hakeri su ukrali milijune brojeva kreditnih kartica iz baze podataka velikoga američkog maloprodajnog giganta tako što su njihovim sustavima za grijanje pristupili putem interneta. Ugroženi uređaji mogu se koristiti i za napad na druge uređaje. Moramo razmišljati o sigurnosti u IoT-u kao o cjepivu. Ako niste zaštićeni, rizikujete da zarazite i druge. Što više štitimo ili „cijepimo” naše uređaje poboljšanim tehnikama sigurnosti, to bolje za sve nas.

„Upravo je to razlog zašto ne mogu dovoljno naglasiti važnost korištenja standarda za sigurnost informacija i zaštitu privatnosti”, objašnjava Humphreys. „Mi imamo niz rješenja za mnoge od tih rizika i minimiziranje njihovih učinaka, a još njih je u fazi izrade ‒ ali su organizacije te koje ih trebaju koristiti.”

Standardi poput ISO/IEC 27001 i ISO/IEC 27002 pružaju zajednički jezik za rješavanje pitanja upravljanja, rizika i sukladnosti koja se odnose na sigurnost informacija. ISO/IEC 27031 i ISO/IEC 27035 pomažu organizacijama da efikasno reagiraju, razriješe i oporave se od cyber napada. Tu su također i ISO/IEC standardi koji  definiraju mehanizme za enkripciju i elektronički potpis koji se mogu integrirati u proizvode i aplikacije za zaštitu online transakcija, korištenje kreditnih kartica i pohranjenih podataka.

Prema Humphreysu, sljedeći su na redu standardi koji se tiču privatnosti. „Radimo na izgradnji čvrstog temelja standarda koji štite naše podatke u digitalno povezanom svijetu i jačaju povjerenje potrošača. Nadamo se da će se oni moći koristiti za iznalaženje rješenja koja zadovoljavaju specifične izazove Interneta stvari.”

Zanima li to potrošače?

Problem dodatno komplicira činjenica da su mnogi od nas nevoljno, a ponekad i dobrovoljno bili spremni ugroziti privatnost i sigurnost u zamjenu za ono što smatramo vrednijim, a to je pristup najsuvremenijoj tehnologiji. Ti su uređaji postali nešto što moramo imati u svakodnevnome životu. Jesu li naši osobni podatci zaista vrijedni svih tih modernih pogodnosti?
Pogledajmo ponašanje potrošača na internetu. Ljudi redovito postavljaju svoje slike i objavljuju videozapise svoje djece, dijele svoja politička uvjerenja, turističke destinacije i omiljene shopping  adrese. Pitanje nije više treba li dozvoliti pristup našoj privatnosti, ako tako odlučimo, već hoćemo li shvatiti implikacije onoga što radimo i  možemo li kontrolirati kakvi se to podatci od nas prikupljaju.

S obzirom na to da internet olakšava praćenje i identificiranje ljudi, ove informacije, ako dospiju u pogrešne ruke, mogu nas dovesti u opasnost. Svijest o sigurnosti interneta raste. Istraživanje National Consumers League iz SAD-a otkrilo je da je 76% američkih tinejdžera zabrinuto za privatnost kao i da su imali štete od  aktivnosti na internetu, mada to ljudi rijetko povezuju sa IoT-om.

ISO komitet za politiku potrošača (ISO/COPOLCO) inzistira da se ova pitanja stave na dnevni red standardizacije. Samo zato što potrošači nekada ne razumiju posljedice neadekvatne sigurnosti ne znači da ne bi trebali biti zaštićeni. „Svijest potrošača, stavovi i vrijednosti koje se tiču sigurnosti kao i potreba za privatnošću su važan dio slagalice koju trebamo riješiti”, kaže Bill Dee, predstavnik ISO/COPOLCO-a. „Mi u COPOLCO-u smo završili izvješće o nedostatcima u strateškim standardima za zaštitu privatnosti i sada prednost dajemo „zaštiti privatnosti pri dizajnu proizvoda i usluga koje su kupili ili koriste potrošači.”

Zaštita privatnosti pri dizajnu

Za Eiseneggera suština problema leži u činjenici da je, od samog početka, većina opreme koja se koristi iz dana u dan a koju potrošači uporabljuju u svakodnevnome životu plasirana na tržište a da se pritom malo ili nimalo nisu uzeli u obzir problemi potrošača kao što su privatnost i zaštita podataka. „Iako postoje brojni međunarodni standardi koje organizacije mogu koristiti za zaštitu naših osobnih podataka, kako bismo omogućili da IoT bude sigurniji za početak moramo izgraditi sigurnu tehnologiju za kontrolu privatnosti u realnom vremenu. Mijenjanje pristupa dovest će ne samo do toga da sigurnost bude preduvjet, već će također omogućiti da sigurnosna obilježja postanu lakša za korištenje i ažuriranje.”

Jedan od razloga zašto kompanije ne štite uređaje je i činjenica da su dizajneri koji razvijaju IoT tehnologiju rijetko stručnjaci za sigurnost i privatnost. „Inženjeri bi trebali  usvojiti procese dizajna koji se snažno usredotočuju na te funkcije kako bi se ograničila ranjivost, kaže Eisenegger. Nadajući se promjenama, ISO/COPOLCO je predložio da se razvije standard o digitalnom dizajnu za privatnost robe i usluga.

„Ako bismo mogli razviti proces za dizajn privatnosti po uzoru na kontinuirani ciklus poboljšanja iz standarda ISO 9001, kao što je u ISO 10377 već učinjeno za sigurnost proizvoda, mi bismo napravili veliki korak naprijed”, dodaje Eisenegger. „Takav bi se standard mogao usredotočiti na lakše praćenje i zaštitu naših podataka, te osigurati tajnost velike analize podataka i procijeniti privatnost proizvoda.”

„Umjesto što se pitamo trebaju li potrošači prihvatiti zadane opcije vezane za  sigurnost i zaštitu privatnosti koje trenutačno nude tehnologija, proizvodi i usluge, trebali bismo se pitati što to programeri mogu učiniti za izgradnju povjerenja potrošača”, kaže Eisenegger. „Ovo je novi izazov za međunarodne standarde sigurnosti i privatnosti. Ovo je „cijepljenje” proizvoda i usluga kako bi se adekvatno štitile informacije i omogućila kontrola pristanka u realnom vremenu o načinu njihova korištenja. Ovo će značiti smanjenje količine osobnih podataka koju prikupljaju uređaji i omogućiti nam da budemo obaviješteni o bilo kakvoj obradi od treće strane, te poboljšati sljedivost i odgovornost.”

Ako se ovaj pristup pokaže uspješnim, onda bi sličan pristup mogao obraditi međusektorska digitalna pitanja kao što su dostupnost i ugroženost, kao i privatnost, a uzimajući u obzir troškove, pravednost i nediskriminaciju.

Dakle, iako nam je trenutačno na raspolaganju širok spektar standarda za cyber sigurnost, ISO još uvijek ima dosta toga uraditi vezano za Internet stvari. „ISO/IEC 27001 obitelj standarda u dobroj mjeri pomaže organizacijama da svoje informacije održe sigurnim nakon što ih prikupe. Međutim, mi moramo iznaći rješenja koja su posebno usmjerena na rizike vezane za IoT”, kaže Eisenegger. Standardi su efikasan način da se ta pitanja nađu na međunarodnom planu.

Mi više nemamo što čekati. Naši su domovi, aktivnosti i osobne informacije sada kroz svakodnevne uređaje nepovratno isprepleteni i povezani s onima milijardi drugih ljudi. Internet stvari diže implikacije u svezi s privatnosti i sigurnosti na potpuno novu razinu time što će ono tko smo i što radimo biti dostupno na internetu. Kako bi naši životi ostali skriveni od znatiželjnih očiju, vrata moramo zatvoriti i na njih staviti lokot.  

Preuzeto iz ISOFocusa #118
Maria Lazarte