Правовые аспекты обеспечения безопасности интернета вещей

Размещено на http://www.allbest.ru/

Правовые аспекты обеспечения безопасности интернета вещей

С.В. Куликова, К.Д. Михайлова, С.В. Рындина

Аннотация

Отмечается, что стремительное развитие технологий, приложений и конечного оборудования для Интернета вещей формирует потребности правового регулирования отношений и процессов между поставщиками услуг, сервисов, устройств Интернета вещей и пользователями. Рассматривается проблема обеспечения безопасности и конфиденциальности в цифровом пространстве.

Ключевые слова: Интернет вещей, правовое регулирование, безопасность.

Интернет вещей (InternetofThings, IoT) привносит новые сценарии и кейсы пользовательского взаимодействия с устройствами в быт и новое качество в технологические и деловые процессы компаний. Главное основание для использования технологий Интернета вещей для пользователя - это удобство интерфейсов взаимодействия. В коммерческом использовании технологий важен экономический эффект: экономия на издержках и персонале, повышение управляемости и адаптивности бизнеса, снижение рисков, прозрачность оценки активов, повышение инвестиционной привлекательности.

В то же время Интернет вещей - это прежде всего большой объем циркулирующих данных, которые передаются, принимаются, сохраняются, обрабатываются и т.п. Соответственно компании, желающие воспользоваться преимуществами Интернета вещей для цифровой трансформации бизнеса, должны проанализировать правовые риски и текущие требования законодательства, предъявляемые к сбору, хранению и обработке данных.

По мере развития технологий Интернета вещей появляются кейсы, которые демонстрируют, что добровольная регуляция профессиональных участников рынка Интернета вещей не достаточна для комплексного обеспечения безопасности и требуются законодательные инициативы, призванные снизить уязвимость технологий к вредоносным воздействиям.

Для бизнеса дополнительные расходы на безопасность чувствительны и очень часто принимается решение их минимизировать. При этом негативные последствия от низкой защищенности устройств Интернета вещей перекладываются с производителей устройств на других участников: пользователей, поставщиков сервисов, поставщиков платформ. А закрепление в законодательстве соответствующих правовых норм и ответственности за нанесенный ущерб при использовании устройств, приложений и т.п. Интернета вещей с недостаточным уровнем безопасности способствовало бы соблюдению вводимых требований подавляющим числом участников рынка.

Рынок товаров и услуг, процессы компаний, связанные с логистикой, маркетингом, производством, меняются под воздействием Интернета вещей. Появляются новые игроки: производящие оборудование для Интернета вещей, обеспечивающие построение и обслуживание компонентов инфраструктуры, разрабатывающие интерфейсы и приложения для межмашинного взаимодействия и т.п. Одна и та же базовая технология может иметь множество вариантов использования: в быту, на производстве, адаптируясь к различным сценариям и спецификациям за счет небольших изменений в интерфейсе, приложениях, устройствах.

Барьеры на пути использования Интернета вещей минимальны: число подключенных устройств растет, затраты на производство с ростом объема и оптимизацией снижаются, и при отсутствии реальной ответственности за уязвимость производимых компонент именно расходы на поддержание приемлемого уровня безопасности могут быть признаны нецелесообразными. Как отмечает Брюс Шнайер, внешние проблемы возникают в тех случаях, когда производитель продукта не несет ответственности за ущерб из-за недостаточного уровня безопасности [1]. Повышение ответственности перед потребителем (конечным и промежуточным), прежде всего финансовой, создает необходимые стимулы для появления на рынке устройств и сервисов, отвечающих тр е- бованиям информационной безопасности. Однако правовые нормы не должны создавать бюрократических препятствий внедрению инноваций, так как технологии развиваются и возможно как появление новых более сложных проблем с безопасностью, которые не регулируются текущим законодательством, так и устаревание законодательных требований.

В сфере бизнеса производителям важно ориентироваться на сокращение издержек, снижение степени сложности и уменьшение time-to-market(времени вывода продукта на рынок). Многие устройства Интернета вещей относятся к сфере массового производства с низким уровнем прибыли. Повышение уровня безопасности эксплуатации подобных устройств зачастую связано с увеличением объема памяти или установкой более мощного процессора, что делает их более дорогими и неконкурентоспособными в условиях рынка, ориентированного на цену. Проблема безопасности обычно остро осознается пользователями только в случае, если они напрямую пострадали от уязвимостей оборудования. В остальных случаях переплачивать за безопасность пользователь не готов. И в сложившихся рыночных условиях именно законодательные ограничения стимулируют предложение более дорогих, но и более безопасных устройств.

При эксплуатации слабо защищенных устройств возникает множество рисков, которые распределяются по различным участникам рынка. Зачастую максимальный ущерб наносится не в точке появления уязвимости, а концентрируется в наиболее прибыльных и этим привлекательных для мошенников процессах финансовой сферы, энергетики и т.п. Законодательные инициативы, стимулирующие вложения в информационную безопасность, способствуют установлению стандартов производства, функционирования и ведения деятельности, которые обеспечивают высокую защищенность устройств, приложений, сервисов и платформ Интернета вещей от противоправных действий, связанных с организацией утечек данных, кражей имущества, получением контроля над оборудованием и т.п.

В долгосрочной перспективе использование технологий Интернета вещей для многих компаний будет одной из обязательных составляющих процессов. Поэтому так важно формировать условия, при которых будет обеспечиваться безопасность использования Интернета вещей для устранения и минимизации возможных рисков.

В сфере экономики использование устройств Интернета вещей позволяет постоянно повышать эффективность потребления, снижать издержки, внедрять новые товары, услуги и технологии. Но необходимо помнить о безопасности, чтобы не увеличивать потенциал действий нарушителей при реализации ими информационных угроз.

Демонстрируемая скорость проникновения Интернета вещей позволит соответствующим технологиям и устройствам занять значительную часть рынка, а это уже требует вмешательства регулирующих органов. Эксперты в данной области утверждают, что благодаря четкому регулированию технологий Интернета вещей и их эксплуатации производители смогут обеспечить необходимый уровень защиты, так как будут наложены некоторые ограничения на развитие рынка IoT [2].

Регулирование Интернета вещей не просто рекомендация, а необходимая мера. С увеличением числа данных технологий на рынке также возрастает вероятность непредвиденных и даже опасных ситуаций, связанных с ними. Можно выделить следующие пункты, свидетельствующие о необходимости регуляции

1. 1оТ-устройства могут собирать данные о физических лицах из одной юрисдикции и передавать эти данные для хранения и обработки в другую юрисдикцию. Ситуация может осложниться, если законодательство о защите данных в той юрисдикции, где находятся субъект персональных данных и устройство, противоречит или не соответствует законам страны, где данные обрабатываются и хранятся.

2. 1оТ-устройства могут использоваться в целях, не предусмотренных производителями. Всегда есть вероятность подключения IoT-устройств и их взаимодействия с другими устройствами непроверенными и непредсказуемыми способами, ведь производители 1оТ-устройств не могут предусмотреть все возможные сценарии использования. Поэтому трудно оценить недобросовестные варианты использования этих устройств.

3. Технологии Интернета вещей могут иметь длительный срок службы, что может представлять неизвестную угрозу безопасности в будущем. Устройства можно взломать и перепрограммировать для нанесения вреда этим или другим устройствам, а также для раскрытия конфиденциальной информации непреднамеренными и неизвестными способами [1].

4. В связи с развитием таких технологий происходит стирание грани между технической информацией и персональными данными. Само устройство становится носителем данных, связанных с пользователем: активация устройства в определенные моменты п е- редает информацию о привычках и распорядке дня пользователя, о местонахождении и т.п. и создает возможности при обогащении этих данных информацией из других приложений, с других устройств формировать из технических данных персональные за счет идентификации пользователя, благодаря объему и качеству содержания передаваемых данных, а также алгоритмам извлечения из данных связей, знаний и т.п. Такую безобидную только на первый взгляд информацию потенциальный злоумышленник способен использовать в своих целях.

5. Также стоит обратить внимание на проблему оборота коммерческой информации. Объем данных растет, как и затраты на их хранение и обработку. Появляются новые способы извлечения прибыли из собираемых данных. Одна из востребованных на совр е- менном рынке бизнес-моделей связана с оборотом данных: сервисы или приложения, основанные на данных, позволяют автоматизировать и/или оптимизировать многие бизнес-процессы, например логистику, маркетинг, сервисное обслуживание и ремонт. Если компания выбрала бизнес-модель оборота данных, то ей необходимы инструменты защиты, связанные с минимизацией рисков, возникающих при использовании персональных данных в информационных продуктах, с защитой прав на созданные цифровые продукты и многими другими тонкостями, возникающими в сфере оборота данных.

Вопросы технологического регулирования все больше пересекаются со сферой юриспруденции, и то, какими темпами будут развиваться данные технологии, не в последнюю очередь зависит от модернизации правовых норм [2].

Государственные регулирующие органы устанавливают стандарты, без соблюдения которых производители не могут называть свою продукцию безопасной. С ростом количества атак на IoT-системы этим вопросом заинтересовалось правительство США. Устройства, подключенные к сети, должны поддерживать определенные стандарты безопасности. Архитекторы, занимающиеся глобальным масштабированием IoT -устройств, должны ориентироваться в этих правилах и законах, так как похожие нормы могут быть введены и в других странах. Эти законы касаются конфиденциальности и безопасности на уровне физических лиц и общества в целом. Рассмотрим некоторые законы и проекты, которые разрабатывают специалисты в разных странах.

1. 1 августа 2017 г. в Сенате США был представлен кросспартийный законопроект S.1691 - InternetofThings (IoT) CybersecurityImprovementActof 2017 [3]. Это попытка формализовать и отрегулировать минимальные стандарты безопасности для устройств, подключаемых к интернету, которые покупаются правительством США. Законопроект учитывает тот факт, что IoT-устройства имеют жесткие ограничения относительно вычислительной мощности и памяти, а значит, могут не соответствовать заявленным стандартам [4]. Тогда глава управления может направить прошение о послаблении требований с планом дальнейшего обновления и замены.

2. Департаменты правительства США также опубликовали нормы и рекомендации для целого ряда технологий Интернета вещей. Например, Национальный институт стандартов и технологий (NationalInstituteforStandardsandTechnology, или NIST [5]) разработал несколько документов и руководств по защите устройств, подключенных к сети. Институт также занимается поддержкой национальных и международных стандартов безопасности.

3. Компьютерные группы реагирования на чрезвычайные ситуации - группы экспертов по компьютерной безопасности под общим названием CERT (ComputerEmergencyResponseTeam), например в США [6], в России [7], они отвечают за поиск, изолирование, публикацию и остановку угроз кибербезопасности на национальном уровне. Сотрудники занимаются цифровой судебной экспертизой, подготовкой персонала, мониторингом в режиме реального времени, созданием отчетов и действенной защиты от уязвимостей нулевого дня и актуальных угроз безопасности [8].

4. Инициатива ЕС - «построение европейской экономики данных» [9] - затрагивает вопросы обеспечения развития экономики, основанной на использовании данных, формирует политики и правовые решения, касающиеся свободного потока данных через национальные границы, а также вопросы ответственности, связанные с Интернетом вещей.

5. В России Федеральное агентство по техническому регулированию и метрологии в 2016 г. сформировало технический комитет по стандартизации «Кибер -физические системы», который занимается стандартизацией таких сфер, как Интернет вещей (InternetofThings), «Умные города» (Smartcities), «Большие данные» (Bigdata) и «Умное производство» (Smartmanufacturing). В рамках деятельности данного комитета уже принят ряд национальных стандартов [10].

Законодательные инициативы затрагивают деятельность компаний, уже вовлеченных в отрасль технологических решений для Интернета вещей. К ним относятся:

1) производители конечной продукции - Apple, Google, Fitbit, Samsung, LG, Sony, Ford, Audi и т.д.;

2) производители средств производств - GE, IBM, Rockwell, Fanuc, ABB, Kawasaki, Kuka и т.д.;

3) производители сетевых устройств - Alcatel Lucent, JuniperNetworks, Cisco, Nokiaи т.д.;

4) операторысетей - BT, Softbank, Telefonika, Verizon, Vodafone, China Telecom ит.д.;

5) IT-компании- Amazon, IBM, Google, Oracle, SAP, HP, Huawei, Red Hat ит.д.;

6) операторыэлектронныхплатформE-commerce - Alibaba, Amazon, Paypal ит.д.;

7) социальныесети - Google, Facebook, Microsoft, Twitter, Baidu ит.д.;

8) инжиниринговыекомпании-интеграторыготовыхрешений - Citrix Systems, Red Hat, SAS, Information Builders ит.д.

Интернет вещей не только делает комфортной сферу производства товаров и услуг, облегчает быт, но и несет своим распространением множество угроз, поэтому производителям и разработчикам необходимо постоянно двигаться в направлении повышения безопасности предметов Интернета вещей.

Библиографический список

интернет вещей законодательное регулирование

1. Роуз, К. Интернет вещей: краткий обзор. Вопросы и проблемы использования сети Интернет в более глобальном масштабе / К. Роуз, С. Элдридж, Л. Чапин. - ICOS, 2015. - 78 с. - URL: https://www.internetsociety.org

2. Пиджуков, А. Право на Интернет вещей / А. Пиджуков // Теле-Спутник. - 2017. - № 2 (256). - C. 50-51. - URL: https://old.telesputnik.ru

3. S.1691 - Internet of Things (IoT) Cybersecurity Improvement Act of 2017. - URL: https:// www.congress.gov

4. Riley, W. Greater Oversight Needed for the Federal Government's Use of the “Internet of Things” / Walters Riley. - URL: https://www.heritage.org

5. National Institute for Standards and Technology. - URL: https://www.nist.gov

6. Official website of the Department of Homeland Security. - URL: https://www.us-cert.gov

7. RU-CERT. - URL: https://www.cert.ru

8. Ли, П. Архитектура Интернета вещей / П. Ли ; пер. с англ. М. А. Райтман. - Москва : ДМК Пресс, 2019. - 454 с. - URL: https://e.lanbook.com

9. Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions "Building a European Data Economy" (COM(2017) 9 final). - URL: https://eur-lex.europa.eu

10. Рындина, С. В. Цифровая трансформация бизнеса: использование аналитики на основе больших данных : учеб. пособие / С. В. Рындина. - Пенза : Изд-во ПГУ, 2019. - 182 с.

Размещено на Allbest.ru