Adres siedzibyAdres siedziby ul. Zabrska 49, 44-177 Paniówki, tel.: +48 (32) 338 92 28 | Dział handlowy: 510 019 048
biuro@itd24.pl
Szeroki
wybór produktów
Profesjonalna
obsługa klienta
Wysoka jakość
obsługi

5 powszechnych regulacji bezpieczeństwa i prywatności IoT

Przez większą część historii ludzkości, równowaga sił w transakcjach handlowych była silnie ważona na korzyść sprzedawcy. Jak powiedzieliby Rzymianie, caveat emptor – kupujący, strzeż się!

Jednak istnieje równie długa historia ludzi, którzy wykorzystują swoją zbiorową władzę, aby chronić konsumentów przed pozbawionymi skrupułów sprzedawcami, których zyski zbyt często opierają się na eksternalizacji ich kosztów ponoszonych przez społeczeństwo. Prawdopodobnie najwcześniejsze znane prawo dotyczące bezpieczeństwa konsumentów znajduje się w Kodeksie Hammurabiego sprzed ponad 4000lat – jest to dość ostry przykład:

„Jeśli budowniczy wybudował komuś dom, a dzieła swego nie wykonał trwale i dom, który wybudował, zawali się i zabije właściciela, budowniczy poniesie karę śmierci.”

Jednak przepisy dotyczące bezpieczeństwa konsumentów jakie znamy dzisiaj, są względnie nowym wynalazkiem. Ustawa o bezpieczeństwie produktów konsumenckich stała się prawem w USA w 1972 r. Ustawa o ochronie konsumentów stała się prawem w Wielkiej Brytanii w 1987 r.

Dzisiejsze przepisy przewidują surowe kary – na przykład brytyjski CPA sprawia, że ​​kwestie dotyczące bezpieczeństwa produktów stają się przestępstwami podlegającymi karze do 6 miesięcy pozbawienia wolności i nieograniczonym grzywnom. Przepisy te upoważniają również organy ścigania do ustalania standardów, kupowania i testowania produktów oraz do pozwania sprzedawców i producentów.

Jeśli sprzedajesz urządzenie gospodarstwa domowego, które wyrządza komuś krzywdę, narażasz się na poważne ryzyko dla swojej firmy i wolności osobistej. To samo nie jest prawdą, jeśli sprzedajesz urządzenie gospodarstwa domowego, które powoduje bardzo realną krzywdę finansową, psychiczną i fizyczną, narażając ich bezpieczeństwo. To samo nie jest prawdą, jeśli sprzedajesz urządzenie gospodarstwa domowego, które powoduje bardzo poważną krzywdę psychiczną, szkodzi prawu obywatelskiemu, a czasem naraża fizycznie kogoś poprzez wystawienie na ryzyko jego prywatności. W takich wypadkach Twoim największym ryzykiem obecnie jest uderzenie w nadgarstek.

Sytuacja ta może ulec zmianie pod koniec maja 2017 r, kiedy rozporządzenie UE w sprawie ochrony danych wejdzie w życie w całej Unii, a także we wszystkich przedsiębiorstwach, które są obecne lub prowadzą działalność gospodarczą w UE. RODO zapewnia dwa bardzo pożądane zagrożenia, które można zastosować przeciwko potencjalnym niedbałym sprzedawcom: możliwość prawdziwych grzywien – do 2% światowych obrotów  oraz domniemanie winy w przypadku naruszenia – od sprzedawcy zależy czy się go dopuści.

Jednak RODO nie reguluje w szczególności cyfrowych towarów konsumpcyjnych – innymi słowy „inteligentnych” urządzeń internetu rzeczy (IoT). Twoje przeciętne urządzenie IoT jest katastrofą zarówno pod względem bezpieczeństwa, jak i prywatności – zgodnie z tytułem prawa naszego Mikko Hypponena: „urządzenie smart” = „wrażliwe urządzenie” lub, jeśli wolisz Fennel Corollary: „urządzenie smart” = „podatne urządzenie nadzorujące”.

Obecny rynek Internetu Rzeczy jest podobny do rynku artykułów gospodarstwa domowego, zanim wprowadzono przepisy dotyczące bezpieczeństwa konsumentów. Właśnie dlatego cieszę się z inicjatyw, takich jak proponowany przez rząd brytyjski projekt „Bezpiecznie od siebie: Poprawa bezpieczeństwa cybernetycznego konsumenta Internetu Rzeczy”. Chociaż zawiera on wiele kwestii, to istnieje wyraźna potrzeba dodania poważnych przepisów dotyczących ochrony konsumentów w dziedzinie bezpieczeństwa i prywatności.

Jeśli więc brytyjska propozycja nie idzie wystarczająco daleko, co zaproponowałbym jako zdroworozsądkową kontrolę bezpieczeństwa i prywatności? Oto 5 rzeczy, które moim zdaniem są obowiązkowe w przypadku poważnych regulacji w tej dziedzinie:

  1. Przepisy dotyczące bezpieczeństwa konsumentów w dużej mierzePrzepisy dotyczące bezpieczeństwa konsumentów w dużej mierze działają ze względu na surowe kary obowiązujące każdą firmę (i jej dyrektorów), którzy zapewniają konsumentom towary zagrażające bezpieczeństwu, a także finansowaniu i chęci rządowej agencji ochrony konsumenta do wnoszenia pozwów w ich imieniu. a sama rygorystyczna, surowa i finansowana struktura jest wymagana w przypadku towarów IoT, które stanowią zagrożenie dla cyfrowego i fizycznego bezpieczeństwa.
  2. Zagrożenia płynące z IoT dla konsumentów dotyczą nie tylko bezpieczeństwa, ale i prywatności. Uważam, że podobne wymogi muszą zostać wprowadzone w odniesieniu do prywatności w fazie projektowania, w tym powinnz istnieć surowe kary za zbieranie, przechowywanie i sprzedaż (bezpośrednio lub pośrednio poprzez profilowanie w celu kierowania reklam) danych osobowych konsumentów, jeśli nie jest to bezpośrednio wymagane dla prawidłowego funkcjonowania urządzenia i usługi.
  3. Podobnie, wymagania powinny obejmować ścisły zakaz wszelkich backdoorów , w tym związanych z rządem lub organami ścigania, w celu uzyskania dostępu do danych użytkownika, informacji o użytkowaniu lub jakiejkolwiek kontroli nad urządzeniami. Ponadto wymagania powinny obejmować ścisły zakaz sprzedaży przez dostawców takich informacji lub kontroli za pośrednictwem „umów dżentelmeńskich” z agencją rządową lub organem ścigania/przedstawicielem.
  4. Jeśli chodzi o wymagania dotyczące bezpieczeństwa i prywatności, uważam, że wszelkie wymagania zapisane w przepisach zawsze będą nieaktualne i niekompletne. W związku z tym upoważniłbym niezależne agencje normalizacyjne w podobny sposób do innych organów zarządzających internetowymi standardami. Dobrym przykładem jest zarządzanie regułami bezpieczeństwa certyfikatów TLS przez CA/Browser Forum.
  5. Wymagania muszą również dotyczyć przypadków, gdy dostawcy IoT wychodzą z biznesu lub przestają wspierać urządzenia i/lub oprogramowanie. Musi istnieć minimalny czas trwania aktualizacji oprogramowania, a w przypadku przerwania wsparcia dostawcy powinni być zobowiązani do dostarczenia najnowszego oprogramowania i narzędzia aktualizacji jako Open Source, aby umożliwić kontynuację wsparcia przez użytkownika lub stronę trzecią.

Tak jak zawsze znajdą się sposoby, aby zdeterminowana osoba mogła się włamać do jakichkolwiek zabezpieczeń fizycznych lub programowych. Ludzie zawsze znajdą sposoby na obejście przepisów, jednak nadal lepiej jest chronić wrażliwych konsumentów niż udawać, że problem nie istnieje lub – jeszcze gorzej, by winić użytkowników, którzy nie mają rzeczywistego wyboru i żadnej możliwości wyrażenia świadomej zgody a rzeczywiste ryzyko związane z bezpieczeństwem i prywatnością.

X