Добре дошли в ада на личните данни

Ако говорите достатъчно дълго с Джош Корман, перспективата за един свят, който все повече е изпълнен с интернет на вещите (IoT), започва да изглежда все по-плашеща.

"Има все повече типове устройства, така има все повече възможности хората да ви проследят или да ви навредят", коментира Корман. Той е дългогодишен експерт по сигурността и е съосновател на I Am The Cavalry.

"Грешката, която хората постоянно правим, е сляпо да вярваме, че добавянето на софтуер и свързаност винаги е нещо добро. И правим ужасни, глупави избори в това отношение".

Заедно с изследователя на сигурността Ник Перкоко на хакерска конференция през 2013 година, Корман основава IATC - некомерсиална организация за изследване на киберсигурността, ориентирана към намаляване на свързаните с "интернет на вещите" рискове.

Интернет свързаността на медицинските устройства е сред най-големите тревоги на Корман и групата му.

Освен уязвими инсулинови помпи и пейсмейкъри, хакерите на конференцията са демонстрирали как високотехнологично болнично оборудване - от съвместими с Bluetooth дефибрилатори до дистанционно контролирани системи за вливане на лекарства - може да бъде "хакнато" и да предизвика сериозни, дори смъртоносни инциденти.

IATC държи под око и автомобилите с интернет връзка, домашните системи за сигурност и автоматизация и "умната" публична инфраструктура, от рода на електрически и водопроводни мрежи, както и контрола на трафика по пътищата.

Да не говорим за старомодните опасения за личното пространство, които възникват, когато информацията за всяка ваша стъпка се събира и е достъпна онлайн.

FitBit данни вече се признават от съда в дела за травми, а според юристи нищо чудно да се употребяват скоро и в дела за развод.

"Според мен ще има достатъчно много хора, които скоро ще бъдат шпионирани от бивши гаджета или пък няма да имат доверие на правителството, или просто ще пострадат от възомжностите на IoT устройства", казва Корман.

"Тогава ще осъзнаем, че сме стигнали твърде далеч".

Корман, който в момента е технически директор на софтуерна компания, работеща с най-големите компании за финансови услуги и кредитни карти, казва, че заедно с контингента му от доброволци-изследователи в IATC са мотивирани от практиките за сигурност, които са виждали в най-горния ешелон на големите компании.

"Отидохме при възрастните в стаята", казва той "и осъзнахме, че няма възрастни".

IoT всъщност представлява общо понятие, включващо всичко, което има сензори, връзка с интернет и някакъв процесор. А в момента това е тотален хит.

За съжаление, от потребителска гледна точка, защитата на личните данни и сигурността остават на заден план.

Но публикувани наскоро сериозни доклади започват изваждат в светлината на прожекторите недостатъците и опасенията около IoT.

Първият по рода си доклад от Федералната търговска комисия на САЩ за пропуските в сигурността и защитата на личните данни в IoT, призова производителите да се стремят активно към вграждане на сигурност в продуктите си.

Въпреки добре документирани случаи на IoT злоупотреби - спамещ хладилник, деактивиран автомобил, манипулирана инсулинова помпа (списъкът е доста дълъг) - потребителите изглежда продължават да не обръщат внимание.

Изследване от 2014-та на Accenture констатира, че 13% от хората възнамеряват да си купят домашно свързано с Интернет устройство през следващата година (броят им се увеличава до 69 % в 5-годишен период), а 22% възнамеряват да купят свързано с интернет устройство за носене върху тялото още тази година.

IoT в момента е в постоянен възход - с ръст на устройствата, доларите и особено данните.

Но доколкото производителите на предмети с технологията IoT са много повече от изследователите на киберсигурността, то как защитата на личните данни и мерките за безопасност да бъдат адекватни?

По-малки, по-бързи, по-евтини

"Основната част от бранша на сигурността е концентрирана в частния сектор, защитавайки банки и кредитни карти", изтъква Корман. Когато е започнал да се появява софтуер за инсулинови помпи и коли, той, естествено, бил притеснен.

"Мисля си, че не можем дори да опазим кредитни карти с 80 млрд. долара, защо тогава създаваме уязвимости на места, където те може да доведат до нечия смърт?"

Чрез IATC, Корман и група експерти по киберсигурност и хакери са разработили 5-точков списък със стандарти за свързани с мрежата коли и си сътрудничат с асоциацията на автомобилните инженери.

Той възнамерява да разпространи подобни препоръки за други жизненоважни приложения на технологията, от рода на медицински устройства и обществена инфраструктура.

Но сигурността остава по-скоро екстра или въпрос на личен избор за производителите.

"Технологиите, снабдени с "интернет на вещите" като цяло нямат добра сигурност", коментира Сюзън Ландау, преподавател в политехническия институт в Уорчестър и учен в областта на киберсигурността и защитата на личните данни.

"Отново препускаме напред, без да залагаме сигурност и защита на личното пространство".

Технологичните компании междувременно се възползват от актуалната тенденция за IoT.

Стремежът към по-евтини, по-бързи и по-малки устройства обикновено оставя въпроса за сигурността настрана.

"Целият развоен цикъл работи срещу вас от гледна точка на сигурност и защита на личните данни - особено ако сте стартираща компания", казва Лий Тиен, старши юрист в Electronic Frontier Foundation и изявен критик на рисковете за сигурността в IoT.

"По-големите компании имат повече ресурси, но не са непременно по-добри в това".

Вместо да се плаща от фирмите, неструктурираната работа по безопасността и оценката на сигурността се върши от доброволци-изследователи и хакери в бекенда на проектите.

"В информационната сигурност правилата за изграждане на софтуер не са като тези за строеж на мост", казва Лий Уайнър, старши вицепрезидент по продуктите и инженерните разработки в Rapid7.

"Ако искате да построите мост, има ясни утвърдени структурни принципи и правила. Не е така в софтуера. Единственият начин тези недостатъци да бъдат открити, е някой "да кара по този мост с различни типове автомобили".

А този процес изисква време и пари.

Някои IoT устройства според експерти са толкова малки, че нямат нужната изчислителна мощ, осигуряваща сигурност на данните или дистанционно отстраняване на уязвимости, след като те бъдат открити.

С милиарди свързани устройства, навлизащи на пазара ежегодно, активистите за защита на потребителите и личните данни са изправени пред невероятно трудна задача.

"Нещата са несравними като мащаби", казва Тиен. "Има стотици компании и само няколко регулаторни агенции".

Да хакваш или да не хакваш.

Масовият аргумент е: само защото нещо може да бъде хакнато, това не означава, че то ще бъде хакнато. Дали наистина е така?

Специалистите по сигурност са демонстрирали неведнъж как се хаква управлението на достъпните на пазара автомобили, но единственият досега известен случай на злонамерено хакване на автомобил е от 2010 и е дело на ядосан служител на автомобилен дилър.

Корман се разпалва при споменаването на аргумента, че атаките върху физически IoT устройства не си заслужават усилията.

"Да приемаме, че всички извършители на зло са финансово мотивирани, е знак на невежество", казва той.

"Няма безопасни райони в интернет. Ако последната ви бариера на защита е волята и стремежът на всеки човек на Земята да бъде добър, то преминаваме от ерата "те не могат да ми навредят" към "надявам се, че няма да го сторят".

Тиен изтъква разширените възможности за шпионаж, които IoT позволява - от носени на тялото тракери на активност до сензори за трафик и системи за мониторинг.

"В исторически план светът, който сме създавали, е бил относително инертен", казва той. "Като телевизора в хола - вие го гледате, но той не ви гледа. Сега всичко това се променя".

Разпространението на прецизни данни за местоположение е сериозен повод за притеснение. "Особено когато тези устройства са малки и са до вас постоянно, те неизбежно разкриват какво вършите и къде сте", отбелязва Ландау.

Кой има полза от тази огромна вълна от данни? Зависи кого питате.

IoT поддръжниците изтъкват като плюсове по-доброто градско планиране, по-ефективната употреба на енергия и грижата за общественото или лично здраве. Защитниците на личните данни обаче мислят за доста неприятни начини за употреба на тези данни.

"Мисля, че NSA примерно ще го счетат за нещо прекрасно", казва Тиен. "Задачата им освен другото е да събират много информация. И за тях е от полза да знаят, че други хора също събират много информация".

Той изтъква и размитите граници между лични и публични данни в ерата след 11 септември 2011-та.

"Отдавна сме отминали отвъд времето, когато можехме да мислим за частното събиране на данни и държавното събиране на данни като две съвсем отделни неща".

Според него добронамерената мотивация, стояща зад събирането на данни на обществени места - за инициативи тип "умен град" например - нормализира навлизането на следенето чрез данни на всички.

"Има нещо много привлекателно в иначе опасни шпионски практики, когато тези практики са ориентирани към хората и ежедневния им живот и се опитват да решават градски проблеми", пояснява Тиен.

Какво предстои?

В обозримо бъдеще IoT пространството изглежда готово за класическия дебат "дали регулациите ще унищожат иновациите?".

Дори активните защитници на личните данни твърдят, че законодателство конкретно за IoT все още е твърде незряло.

Но има масово съгласие, че политиките на компаниите трябва да бъдат по-прозрачни, когато става дума за употреба на данни, както и че са нужни повече изследвания на киберсигурността - без проучващите сигурността да бъдат третирани като злонамерени хакери.

"Трябва да се гарантира, че законодателството и предложенията за регулация продължават да насърчават изследването на сигурността, вместо да го блокират", казва Уайнър.

"Вече сме навлезли в напълно нов свят," казва Ландау. "Изправени сме пред огромна загуба на личното пространство и докато не се научим как да действаме в тази среда - и обществото, и управляващите - постигането на защита за него ще е трудно и неудобно. Или даже повече от неудобно".

Новините

Най-четените