Претпоставимо да неки криминалац користи ваш монитор за бебе да би вам осматрао кућу. Или да ваш хладњак у ваше име шаље спам и-мејлове људима које уопште не познајете. Сада замислите да је неко хаковао ваш тостер и добио приступ цијелој вашој мрежи. Како се паметни производи развијају с Интернетом ствари, тако се повећава ризик од хакерских напада због тог новог повезивања. ISO стандарди могу побољшати сигурност ове индустријске гране која је у настајању.

Као потрошачи и корисници технологије често смо превише растрзани невјероватним карактеристикама Интернета ствари да често заборављамо да размишљамо о томе шта то значи за нашу приватност и сигурност. Дакако, повезани монитор за бебе може дати родитељима одређену сигурност, допуштајући им да у било које вријеме, било гдје лако провјере своју дјецу преко паметних телефона. Но, када  ова технологија није заштићена, можемо нехотице изложити себе и своје најмилије опасности.

Заиста, шпијунирање случајних странаца никад није било једноставније. Све што вам је потребно је претраживач попут Shodana – који је Google Интернета ствари (IoT-а) ‒ који, морамо истаћи опасност  ове технологије, претражује веб и снима незаштићене уређаје. Унутрашњост наших домова, наши кућни љубимци, чак и фрижидери су надохват руке уз само један клик. Неки родитељи су  на тежи начин схватили колико су осјетљиви када је монитор за бебе на који су се ослањали био хакован и када је хакер њиховој поспаној дјеци викао разне простоте. Зато и не чуди да је број притужби везаних уз IoT технологију само у Великој Британији порастао за 2000% током посљедње три године.

Врли нови свијет

Интернет ствари односи се на милијарде повезаних паметних уређаја који рутински размјењују велике количине података о томе како живимо, радимо и како проводимо слободно вријеме. „Они су требали да наш живот учине лакшим, здравијим и паметнијим, а наше пословање продуктивнијим, али то често има своју цијену”, каже проф. Edward Humphreys, модератор ISO/IEC-ове радне групе за системе управљања сигурношћу информација. „Ми желимо да вјерујемо у ове технологије због свега онога што су нам омогућиле да радимо. Али морамо бити свјесни посљедица по сигурност и приватност наших података.”

На примјер, у читавој еуфорији око куповине најновијег паметног телевизора који се активира гласом можда нисте узели у обзир да та технологија мора бити у стању да „слуша” све што кажете како би могла да препозна праву команду. Ако то остаје између вас и вашег ТВ-а, шта је онда ту лоше, зар не? Међутим, чешће него што бисте и помислили, комуникацијски канали који омогућавају уређајима да размјењују информације нису шифровани или на други начин заштићени од вањског приступа. „То је у ствари као да сте оставили широм отворена врата; свако може ушетати у било које вријеме”, каже Humphreys.

Срж проблема је да већина нас очекује да су компаније и законодавци узели у обзир ове ризике у цјелини и да су урадили нешто у вези с тим. Али, ако купци не разумију или не показују интерес за приватност података, неће ни произвођачи зато што знају да нећемо заснивати наше одлуке о куповини према тим критеријумима ‒ веће су шансе да ћемо купити веб-камеру због компатибилности, цијене или чак и изгледа! Истраживање потрошача које је провео Consumers International показује да  просјечна особа проведе шест секунди гледајући одредбе и услове прије него што кликне и дȃ свој пристанак, па зашто би се онда компаније тиме бавиле?

„Што се тиче закона, оно што радимо у нашим домовима је ријетко заштићено у односу на организацијске податке”, каже Pete Eisenegger, стручњак за питања потрошача, који се бави проблемима везаним за приватност на међународном и европском нивоу. „Узмите на примјер носиву и преносиву технологију ‒ она прати и надзире наше покрете и активности и тачно зна гдје се налазимо. Ако то искомбинујемо са свим личним подацима које пружамо, фотографије које постављамо онлајн и везе које правимо, често и несвјесно уступамо права о нашим сазнањима, што је очит знак да постоји разлог за забринутост. Анализа велике количине података је омогућила да се на једноставан начин сазна о људима преко њиховог понашања и њихових склоности.”

У хипер повезаном свијету улози су веома високи. Недавни експеримент је показао да је могуће да се преко система за забаву хакује аутомобил у покрету и онемогући педала за гас. „Електронски пејсмејкери могу бити уређаји који спашавају живот, све док их нико не хакује. Опсег дигиталних технологија које су сада у настајању и које се интегришу у наше  животе је огроман”, каже Humphreys.

„Свједоци смо појаве новог свјетског поретка заснованог на интернет технологији. Не ради се само о производима него о цијелом систему. „Недостатак сигурности једног уређаја може итекако утицати на друге. У 2013. години хакери су украли милионе бројева кредитних картица из базе података великог америчког малопродајног гиганта тако што су њиховим системима за гријање приступили путем интернета. Угрожени уређаји могу се користити и за напад на друге уређаје. Морамо размишљати о сигурности у IoT-у као о вакцини. Ако нисте заштићени, ризикујете да заразите и друге. Што више штитимо или „вакцинишемо” наше уређаје побољшаним техникама сигурности, то боље за све нас.

„Управо то је разлог зашто не могу довољно нагласити важност кориштења стандарда за сигурност информација и заштиту приватности”, објашњава Humphreys. „Ми имамо низ рјешења за многе од тих ризика и минимизирање њихових ефеката, а још њих је у фази израде ‒ али су организације те које треба да их користе.”

Стандарди попут ISO/IEC 27001 и ISO/IEC 27002 пружају заједнички језик за рјешавање питања управљања, ризика и усклађености која се односе на сигурност информација. ISO/IEC 27031 и ISO/IEC 27035 помажу организацијама да ефикасно реагују, разријеше и опораве се од сајбер-напада. Ту су такође и ISO/IEC стандарди који  дефинишу механизме за енкрипцију и електронски потпис који се могу интегрисати у производе и апликације за заштиту онлајн трансакција, кориштење кредитних картица и похрањених података.

Према Humphreysu, сљедећи на реду су стандарди који се тичу приватности. „Радимо на томе да изградимо чврсту основу стандарда који штите наше податке у дигитално повезаном свијету и јачају повјерење потрошача. Надамо се да ће се они моћи користити за изналажење рјешења која задовољавају специфичне изазове Интернета ствари.”

Да ли то потрошаче занима?


Проблем додатно компликује чињеница да су многи од нас невољно, а понекад и добровољно били спремни да угрозе приватност и сигурност у замјену за оно што сматрамо вреднијим, а то је приступ најсавременијој технологији. Ти уређаји су постали нешто што морамо имати у свакодневном животу. Да ли су наши лични подаци заиста вриједни свих тих модерних погодности?

Погледајмо понашање потрошача на интернету. Људи редовно постављају своје слике и објављују видео-снимке своје дјеце, дијеле своја политичка увјерења, туристичке дестинације и омиљене шопинг адресе. Питање није више да ли би требало дозволити приступ нашој приватности, ако тако одлучимо, већ да ли ћемо схватити импликације онога шта радимо и да ли можемо контролисати какви се то подаци од нас прикупљају.

С обзиром да интернет олакшава праћење и идентификовање људи, ове информације, ако доспију у погрешне руке, могу нас довести у опасност. Свијест о сигурности интернета расте. Истраживање National Consumers League из САД-а открило је да је 76% америчких тинејџера забринуто за приватност као и да су имали штете од  активности на интернету, мада то људи ријетко повезују са IoT-ом.

ISO комитет за политику потрошача (ISO/COPOLCO) инсистира да се ова питања ставе на дневни ред стандардизације. Само зато што потрошачи некада не разумију посљедице неадекватне сигурности не значи да не би требало да буду заштићени. „Свијест потрошача, ставови и вриједности које се тичу сигурности као и потреба за приватношћу су важан дио слагалице коју требамо да ријешимо”, каже Bill Dee, представник ISO/COPOLCO-а. „Ми у COPOLCO-у смо завршили извјештај о недостацима у стратешким стандардима за заштиту приватности и сада приоритет дајемо „заштити приватности при дизајну производа и услуга које су купили или користе потрошачи.”

Заштита приватности при дизајну

За Eiseneggera суштина проблема лежи у чињеници да је, од самог почетка, већина опреме која се користи из дана у дан а коју потрошачи употребљавају у свакодневном животу пласирана на тржиште а да се притом мало или нимало нису узели у обзир проблеми потрошача као што су приватност и заштита података. „Иако постоје бројни међународни стандарди које организације могу користити за заштиту наших личних података, да бисмо омогућили да IoT буде сигурнији за почетак морамо изградити безбједну технологију за контролу приватности у реалном времену. Мијењање приступа не само да ће  обезбиједити да сигурност буде предуслов, већ ће такође омогућити да сигурносна обиљежја постану лакша за кориштење и ажурирање.”

Један од разлога зашто компаније не штите уређаје је и чињеница да су дизајнери који развијају IoT технологију ријетко стручњаци за сигурност и приватност. „Инжењери би требали да усвоје процесе дизајна који се снажно фокусирају на те функције како би се ограничила рањивост, каже Еисенеггер. Надајући се да ће доћи до тих промјена, ISO/COPOLCO је предложио да се развије стандард о дигиталном дизајну за приватност робе и услуга.

„Ако бисмо могли развити процес за дизајн приватности по узору на континуирани циклус побољшања из стандарда ISO 9001, као што је у ISO 10377 већ учињено за сигурност производа, ми бисмо направили велики корак напријед”, додаје Eisenegger. „Такав стандард би се могао фокусирати на лакше праћење и заштиту наших података, те осигурати тајност велике анализе података и процијенити приватност производа.”

„Умјесто што се питамо да ли би потрошачи требали прихватити задате опције везане за  сигурност и заштиту приватности које тренутно нуде технологија, производи и услуге, требало би да се питамо шта то програмери могу учинити да се изгради повјерење потрошача”, каже Eisenegger. „Ово је нови изазов за међународне стандарде сигурности и приватности. Ово је „вакцинисање” производа и услуга како би се адекватно штитиле информације и омогућила контрола пристанка у реалном времену о начину њиховог кориштења. Ово ће значити смањење количине личних података коју прикупљају уређаји и омогућити нам да будемо обавијештени о било каквој обради од треће стране, те побољшати следљивост и одговорност.”

Ако се овај приступ покаже успјешним, онда би сличан приступ могао обрадити међусекторска дигитална питања као што су доступност и угроженост, као и приватност, а узимајући у обзир трошкове, праведност и недискриминацију.

Дакле, иако нам је тренутно на располагању широк спектар стандарда за сајбер-сигурност, ISO још увијек има доста тога да уради везано за Интернет ствари. „ISO/IEC 27001 породица стандарда у доброј мјери помаже организацијама да своје информације одрже сигурним након што их прикупе. Међутим, ми морамо изнаћи рјешења која су посебно усмјерена на ризике везане за IoT”, каже Eisenegger. Стандарди су ефикасан начин да се та питања нађу на међународном плану.

Ми више немамо шта да чекамо. Наши домови, активности и личне информације су сада кроз свакодневне уређаје неповратно испреплетени и повезани с онима милијарди других људи. Интернет ствари диже импликације везане за приватност и сигурност на потпуно нови ниво тиме што ће оно ко смо и шта радимо бити доступно на интернету. Како би наши животи остали скривени од знатижељних очију, врата морамо затворити и на њих ставити катанац.  

Преузето из ISOFocus-а #118

Maria Lazarte