Правовые аспекты информационной безопасности в Интернете вещей

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ОБРАЗОВАНИЯ

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

«ВЫСШАЯ ШКОЛА ЭКОНОМИКИ»

Факультет права

Выпускная квалификационная работа - БАКАЛАВРСКАЯ РАБОТА

по направлению подготовки 40.03.01 «Юриспруденция»

ПРАВОВЫЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ИНТЕРНЕТЕ ВЕЩЕЙ

Татарян Габриэль Владиленович

Москва 2020

Оглавление

Введение

Глава 1. Интернет вещей: понятие и необходимость правового регулирования

1.1 Понятие и значение Интернета вещей

1.2 Необходимость правового регулирования Интернета вещей

Глава 2. Информационная безопасность Интернета вещей: аспекты правового регулирования

2.1 Проблемы защиты персональных данных в Интернете вещей

2.2 Киберугрозы и уязвимости устройств Интернета вещей

Глава 3. Подходы к правовому обеспечению информационной безопасности Интернета вещей в Российской Федерации и зарубежных странах

3.1 Подход к правовому обеспечению информационной безопасности Интернета вещей в Российской Федерации

3.2 Подходы к правовому обеспечению информационной безопасности Интернета вещей в зарубежных странах

Заключение

Список использованных источников и литературы

Введение

В современном мире сложно удивить новыми технологиями. Технологии играют все более важную роль в том, как мы живем. Повсеместно на фабриках появляются роботы, через приложения на смартфоне и соединения с Интернетом можно выполнить все больше действий, специальные наручные часы могут измерить пульс. Это происходит, так как человечество развивается чрезвычайно высокими темпами, и если еще 500 лет назад технологии не могли в короткий промежуток времени полностью изменить уклад жизни, то сейчас и в течение 10 лет технологии меняются настолько, что, например, старшим поколениям уже сложно понять принцип их работы, однако появление новых технологий несет огромное количество плюсов.

Однако, несмотря на все те положительные моменты, что новые технологии с собой несут, у многих людей в тоже время появляются опасения по поводу возможного вреда от них, особенно учитывая их все более широкое распространение. Эти опасения отнюдь не беспочвенны. Чем больше мы впускаем в свою жизнь различных технологий, тем более уязвимы мы становимся в данной области. То есть надо понимать, что с развитием технологий возникают и угрозы для человека, причем речь идет даже ни о чем-то незаконном. Следовательно, очень важно, чтобы государство следило за тем, чтобы развитие законодательства шло в ногу со временем. Кроме того, инновационное регулирование должно рождать у обычных людей уверенность в современных технологиях, которые помогают развиваться обществу.

Технология Интернета вещей (далее также - IoT) является как раз одной из тех технологий, которые получили развитие в текущий период времени. Главная идея Интернета вещей заключается в том, что существуют устройства, которые связаны между собой Интернетом, и через него же ими можно управлять. IoT представляет из себя новую главу о том, как технологии становится все более и более распространены в наших домах, делая жизнь людей гораздо легче и приятнее. В. А. Бородин отмечает: «после 2003 года интерес к IoT перешел на качественно новый уровень, и прежде всего, благодаря проявлению протокола IPv6, позволяющего присвоить адреса 340 ундециллионам (10 в 39 степени) объектов». Бородин В.А. Интернет вещей - следующий этап цифровой революции // Образовательные ресурсы и технологии. 2014. №2(5). С. 178.

Следует также сказать о том, что на сегодняшний день продажа IoT-устройств находится на подъеме. Исследования показывают, что к концу 2025 года в домах по всему миру будет 75 миллиардов подключенных к Интернету устройств, таких как телевизоры, камеры, домашние помощники и связанные с ними услуги. Government to strengthen security of internet-connected products Это число в десять раз превосходит количество проживающих на планете людей, а значит, это можно будет говорить о том, что Интернет вещей будет оказывать серьезное влияние на все в любом уголке нашей планеты.

Интернет вещей получил быстрое развитие также и потому, что происходит повсеместное развертывание недорогих интеллектуальных устройств и широкое использование высокоскоростных беспроводных сетей.

Однако, кроме тех очевидных преимуществ, которые появляются у людей при использовании этой технологии, существуют и минусы. Один из главных вопросов, возникающих в связи с применением Интернета вещей-вопрос информационной безопасности. Совершенно очевидно, что если размещать везде устройства с доступом в Интернет (а в Интернете вещей используются только такие «девайсы»), то сразу появятся вопросы к информационной безопасности. В данном случае имеется в виду, что что информация, которую получают, обрабатывают и хранят данные устройства может быть использована не по назначению, либо быть утеряна, попасть в руки к злоумышленникам. Более того, нет уверенности в том, что информация надежна защищена компанией, которая управляет устройствами Интернета вещей, так как зачастую они не связаны ничем и могут использовать информацию так, как посчитают нужным. Кроме того, многие IoT-устройства используются непосредственно в доме хозяев таких устройств, а, так как мы защищаем свой дом от посторонних лиц, так же мы должны защищать такие устройства. Информация, собираемая данными устройствами, может быть действительно чувствительной, и ее можно сравнить с историей интернет-браузера. Он записывает историю вашего нахождения в интернете, а некоторые IoT-устройства могут записывать ваше нахождение в реальном мире. Очевидно, что никому не хотелось бы раскрытия ни той, ни другой информации посторонним людям.

Покупая IoT-устройство, потребитель, конечно, получает инструкцию для пользования им, однако, в ней не описаны многие вопросы, касающиеся информационной безопасности. То есть просто нельзя найти на страницах этого руководства упоминаний о политике конфиденциальности, которая может применяться к данным, сгенерированным устройством. Это также показывает то, насколько пока еще мала готовность нашей цивилизации к широкому распространению Интернета вещей.

Следует также сказать, что люди могут даже не осознавать, что IoT-устройства, которыми они пользуются, собирают большое количество информации, и, так как для данной технологии это необходимо-информация отсылается в места сбора таких данных, о которых обычным людям тоже ничего неизвестно.

Кроме того, надо понимать, что большинство людей не имеют ни технического образования, ни элементарных знаний о технике, чтобы задумываться о том, насколько то или иное устройство может быть в действительности опасно. Однако, хоть какой-то инстинкт самосохранения есть у всех, и нет сомнений, что им многие могут пользоваться и в обращении с устройствами Интернета вещей. Это значит, что обеспечение информационной безопасности должно быть важно для компаний и с данной точки зрения, ведь если люди будут чувствовать опасность, то и доверять они таким устройствам не смогут, то есть пользоваться спросом они не будут, а вся отрасль от этого будет страдать. Поэтому важно, чтобы правовое регулирование не влияло отрицательно на компании, и они могли развивать свои продукты, зная в каких рамках все должно происходить.

В общем потенциальные преимущества Интернета вещей будут достигнуты только в том случае, если продукты и услуги будут разработаны с учетом доверия, конфиденциальности и безопасности, вследствие чего пользователи посчитают их безопасными. Государственные органы обязаны обеспечить данную ситуацию, так как именно от них будет зависеть то, как будет происходить взаимодействие между обычными людьми и компаниями, которые выпускают такие устройства.

Актуальность данного исследования заключается в том, что развитие информационных технологий, в данном случае Интернета вещей, ведет к возникновению новых угроз в области информационной безопасности и других областях, к которым действующее правовое регулирование на данный момент не готово.

Цель исследования - установление тенденций в сфере информационной безопасности Интернета вещей и разработка рекомендаций для правового регулирования тех вопросов, которые возникают в данной сфере.

Для достижения цели поставлены следующие задачи:

1. Определить роль Интернета вещей в современном мире, какой она будет в будущем, и как это влияет на право.

2. Обобщение доктринальных позиций о том, какие наиболее серьезные угрозы возникают в области информационной безопасности Интернета вещей с правовой точки зрения.

3. Сравнительно-правовой анализ правовых норм в данной области в России и зарубежных странах.

4. Поиск правовых путей обеспечения информационной безопасности Интернета вещей.

В данной работе используются формально-юридический, сравнительно-правовой и системный методы научного исследования.

Объектом данной работы являются общественные отношения, которые возникают в области Интернета вещей. Предметом работы являются правовые аспекты, существующие в сфере информационной безопасности Интернета вещей.

Данное исследование включает в себя введение, три главы и заключение. Во введении описывается актуальность темы, цель, задачи, объект, предмет и методы исследования. В первой главе внимание уделено понятию Интернета вещей, его значению и выявлению необходимости правового регулирования данной сферы. Во второй главе раскрываются угрозы Интернета вещей, связанные с отсутствием правового регулирования его информационной безопасности. В третьей главе речь идет о существующих подходах к правовому обеспечению информационной безопасности Интернета вещей в России и зарубежных странах, а также предлагаются новые подходы. В заключении работы подводятся итоги исследовании и формируются выводы по данной теме.

интернет вещь информационный безопасность

Глава I. Интернет вещей: понятие, значение и необходимость правового регулирования

1.1 Понятие и значение Интернета вещей

Прежде чем приступать к правовым аспектам информационной безопасности Интернета вещей, следует определить понятие «Интернет вещей». Как уже было сказано, главная идея Интернета вещей заключается в том, что существуют устройства, которые связаны между собой Интернетом, и через него же ими можно управлять. Например, чрезвычайно маленькие датчики могут быть размещены на растениях, животных и быть подключены к Интернету, что даст человеку такую информацию, которую он не смог бы получить без данной технологии.

Эксперты отмечают, что «Общепризнанного определения IоТ пока не выработано». Сабанов А. Некоторые проблемы обеспечения безопасности Интернета вещей // Защита информации. Инсайд. 2016. №4. С. 84. Это связано с тем, что Интернет вещей действительно многогранен и с каждым годом эта многогранность возрастает. Однако, многие ученые высказывают свое мнение о том, каково должно быть понятие Интернета вещей.

Понятие «Интернет вещей» может разниться в зависимости от того, с какого «угла» его хотят истолковать. Некоторые исследователи полагают, что Интернет вещей представляет из себя сетевую систему, организованную на межсетевом информационном взаимодействииЦветков В.Я. Информационное взаимодействие// Европейский исследователь. №11-1 (62). С. 2574..

Международный союз электросвязи (МСЭ) описывает Интернет вещей как «глобальную инфраструктуру для информационного общества, обеспечивающую возможность предоставления более сложных услуг путем соединения друг с другом (физических и виртуальных) вещей на основе существующих и развивающихся функционально совместимых информационно-коммуникационных технологий». Серия Y: Глобальная информационная инфраструктура, аспекты протокола интернет и сети последующих поколений. Сети последующих поколений - Структура и функциональные модели архитектуры. Обзор интернета вещей. Сами вещи, согласно этому обзору, означают предметы, которые могут являться предметами как физического мира (физические вещи), так и информационного мира (виртуальные вещи), и они могут быть идентифицированы и интегрированы в сети связи.

А.В. Козлов пишет: «Интернет вещей может быть рассмотрена как технология и как система, если принимать технологию работы безотносительно к физическим устройствам речь идет о технологической системе, если учитывать физические устройства и их взаимную согласованность, то можно говорить о сложной системе». Козлов А.В. Интернет вещей как субсидиарная система // Государственный советник. 2019. №1. С. 11.

Также некоторые ученые называют Интернет вещей эпитетом вездесущих вычислений. SIoT: Securing the Internet of Things through Distributed System Analysis

Высокотехнологичная компания CISCO, которая имеет исследования на данную тему, считает, что Интернет вещей представляет из себя следующую эволюцию Интернета, что позволит сделать огромный скачок в его способности собирать, анализировать и распространять данные, которые мы можем превратить в информацию, знания, и, в конечном счете, мудрость. The Internet of Things. How the Next Evolution of the Internet Is Changing Everything Другими словами, Интернет вещей становится одной из важнейших технологий будущего.

Концепция IoT позволяет не только объединять предметы материального мира посредством Интернета для обмена информацией между ними, но и развивать возможности по накоплению, структурированию и анализу различной информации. Богданова И.Ф., Богданова Н.Ф. Интернет вещей в научных исследованиях // Социология науки и технологий. 2017. №1. С. 85.

Согласно отчету Европейской комиссии о публичных консультациях по Интернету вещей, он является долгосрочным развитием технологий и рынка, основанным на подключении предметов повседневного пользования к Интернету. Связанные объекты обмениваются, объединяют и обрабатывают информацию о своей физической среде для предоставления услуг с добавленной стоимостью конечным пользователям, от частных лиц до компаний и общества в целом. Conclusions of the Internet of Things public consultation

В общем было показано, что существует действительно много объяснений того, чем является Интернет вещей, каждое описывает одну из его граней, и не представляется возможным сформулировать какое-то одно единственно верное понятие.

После того как было определено какие подходы использовать при объяснении что такое Интернет вещей и как это понятие может описываться с разных сторон, следует рассказать о том, какие признаки у IoT существуют, их можно назвать более-менее определенными.

Можно выделить признаки Интернета вещей:

1. Большое количество различных устройств, которые подключены к сети Интернет, причем не только персональных компьютеров и смартфонов, но и других-сигнализации, датчики и так далее.

2. Сбор большого количества данных, причем как персональных, так и нет, их последующий обмен между устройствами.

3. Осуществление в некоторых случаях автоматического (без непосредственного участия человека) исполнения устройствами Интернета вещей своих функции? (осуществления действий), которые могут иметь юридическое значение и последствия для людей.

Большинство нынешних исследователей в данной сфере считают, что первой Интернет-вещью был тостер, а создателем такой вещи является один из разработчиков протокола TCP/IP Джон Ромки. Пушкарев М.С. Интернет вещей (IoT): понятие и значение для формирования правовой основы цифровой трансформации экономики // Вопросы российского и международного

права. 2018. Том 8. № 1А. С. 17. Архитектура Интернета вещей была создана в Центре автоматической идентификации Массачусетского технологического института, который занимался современными сенсорными технологиями, в 1999 году. Тогда же его основателем Кэвином Эштаном на презентации для руководителей компании Procter&Gamble и был применен термин «Internet of Things». Тем не менее следует отметить, что сначала в качестве предпосылки для понятия «Интернет вещей» Эштан предпочитал выражение «Интернет для вещей».

Понятие «Интернет вещей» нельзя раскрыть без уточнения, какие бывают устройства. Касаемо этого вопроса следует сказать, о, фактически, список неисчерпаем, с каждым годом, по мере развития отрасли, появляются новые. На сегодняшний день самые распространенные технологии Интернета вещей это:

1. Подключенные приборы (например, стиральные машины, холодильники).

2. Связанные с безопасностью изделия, такие как детекторы дыма и дверные замки.

3. Умные камеры, телевизоры и колонки.

4. Носимые устройства, отслеживающие здоровье.

5. Подключенные системы домашней автоматизации и сигнализации.

6. Умные домашние помощники.

Говоря более конкретно, существуют IoT-устройства, например, довольно распространенные браслеты для фитнеса, которые считают калории, которые ты сжигаешь, время сна, твой пульс. Кроме того, некоторые устройства могут делать даже более серьезные вещи, например, в сфере медицины-измерить уровень глюкозы у человека в крови, температуру, уровень гемоглобина и тому подобное. В сфере здоровья интернет вещей может также предложить помощь и поддержку инвалидам, в которой они нуждаются, помочь достичь хорошего качества жизни и позволит им участвовать в социально-экономической жизни. Domnigo M. C. An overview of the Internet of Things for people with disabilities // Journal of Network and Computer Applications. 2012. №35. at 585.

Надо сказать, внутри индустрии Интернета вещей существует так называемый Интернет тел (Internet of Bodies-IoB).

Исследователи пишут: «Интернет тел очень показательно демонстрирует, как много новых возможностей таит интернет вещей. IoB соединяет человеческое тело с сетью через устройства, которые имплантируются в него или каким-то образом оказываются с ним связанными. После подключения «умные» устройства могут контролировать действия организма даже удаленно». Как интернет вещей меняет целые отрасли в России и мире Следовательно, от информационной безопасности зависит и физическая безопасность, что повышает уровень угроз.

Существует три типа устройств интернета тел:

1. Внешние устройства, которые являются носимыми, пример-Apple Watch или Fitbits, могут контролировать здоровье.

2. Внутренние устройства, куда входят кардиостимуляторы, кохлеарные импланты и цифровые таблетки, которые вводятся в организм для мониторинга и контроля здоровья.

3. Встроенные устройства, которые соединяют человеческое тело и технологии и в реальном времени связаны с компьютером.

Стоит также отметить, что кроме перечисленных выше функций, есть еще одна особенность Интернета вещей. Так как IoT-устройства могут располагаться и в квартире, и в автомобиле, и на человеке, то, совершенно очевидно, что таким образом накапливается огромный объем информации, и от человека, и от неживой природы. Это значит, что Интернет вещей открывает новые возможности для сбора информации.

В общем Интернет вещей несет массу возможностей, но при всем при этом он собирает данные, и все эти данные могут быть использованы не только владельцем. Эти данные, как правило, собираются компаниями, устройствами которых человек пользуется. Это необходимо для правильной работы устройств Интернета вещей, для достижения целей, поставленных теми, кто создает или пользуется ими. Обычный человек ничего плохого в этом не видит, однако, в реальности отсюда вытекают многие проблемы, которые нужно решить, в том числе наличием четкого правового регулирования, а для этого нужна заинтересованность государства.

1.2 Необходимость правового регулирования Интернета вещей

Говоря о правовом регулировании Интернета вещей, следует сказать, что нужно определиться какие подходы наиболее подходящие. Рольфом Вебером и Романой Вебер выделяется несколько различных подходов. General Approaches for a Legal Framework Эти подходы такие:

1. Отсутствие регулирования.

2. Обычное регулирование правительством.

3. Международные соглашения.

4. Саморегулирование.

Отсутствие регулирования, по мнению авторов, в данной отрасли невозможно, так как Интернет вещей слишком важен. Обычное регулирование не может применяться глобально, ввиду территориальной ограниченности. Поэтому авторы считают, что симбиоз международных соглашений и саморегулирования является лучшим выбором как инструмента правового регулирования области Интернета вещей. Тем не менее, возможно здесь недооценена роль правительства, так как возможно сначала стоит создать грамотное регулирование на национальном уровне, и уже потом думать о международном взаимодействии, даже несмотря на то, что многие IoT-устройства разрабатываются не в тех странах, где впоследствии будут применяться.

Чрезвычайно важно найти баланс между правовым регулированием и технологическим развитием. Этим должна быть озабочены правительства всех государств, так как отставание в технологической отрасли будут иметь последствия в будущем гораздо более серьезные, ввиду развития технологий и общества. То есть важно понять то, насколько можно вмешиваться в данную область путем правового регулирования, не загнав при этом тех, кто работает над развитием устройств Интернета вещей и отрасли в целом, в слишком узкие рамки.

Некоторые европейские ученые, например считают, что Европа должна использовать Интернет вещей для отстаивания своих цивилизационных ценностей, таких как верховенство права и четкое государственное управление, которые определяют общий дух ее общества и формируют отношение и взгляды его народа. GЙRALD SANTUCCI: THE INTERNET OF THINGS: A WINDOW TO OUR FUTURE То есть признается то, что IoT станет весомой и заметной частью человеческой цивилизации, и все то, что сейчас есть, в сфере государственного управления и общих правовых принципов, должно не быть отодвинуто на задний план, а наоборот, развитие Интернета вещей должно происходить с оглядкой на это и пониманием того, что лишь в этом случае он сможет принести ту пользу людям, которую они от него ожидают.

П. Бенгози отмечает, что правовое регулирование должно быть направлено на стимулирование инноваций и сохранения конкурентоспособности с одной стороны, и для определения последовательной и устойчивой основы с другой стороны. Benghozi P. The Internet of Things: a New Paradigm for Regulation // Journal of Law and Economic Regulation. 2016. №1(5). at 11. Он также пишет о том, что при политике, которую проводят по отношению к Интернету вещей, все государственные органы уделяют большое внимание необходимости содействовать экономическому росту благодаря развитию технологий и инновациям. Однако, они видят достижение такой цели по-разному: некоторые рассматривают относительно невнимательный подход к регулированию, то есть государство должно меньше уделять внимания регулированию данной сферы, в то время как другие (особенно европейцы) считают использование более активного подхода (особенно в отношении конфиденциальности и данных) более уместно для данной области. Бенгози также отмечает, что регулирование IoT частично связано с различными существующими инструментами регулирования: экономическим контролем за конкуренцией и вертикальной интеграцией, управлением использованием радиочастотного спектра и сетевым нейтралитетом. Точнее, он требует рассмотрения - и осуществления - вмешательства государственных органов и многоуровневых действий.

Вопрос также заключается в том, какие органы должны заниматься областью Интернета вещей. Нужно ли вообще все технологические секторы отдавать какому-то одному государственному органу, или стоит разделять такие секторы, например, по важности для государства? И опять же стоит вопрос о том, насколько плотно такие регулирующие данную область органы должны сотрудничать с какими-то международными организациями, национальными органами других государств? Очевидно, что многие потенциально принятые нормы, относящиеся к области IoT, чрезвычайно важны для устойчивости государства, национальной безопасности, и вряд ли возможно представить сотрудничество по таким чувствительным сферам не с государствами-союзниками. Однако, в сфере Интернета вещей есть и такие вопросы, обсуждение которых с международными организациями и регулирующими органами других стран никак не может навредить государству. Тем не менее стоит отметить, что такие вопросы, конечно, не относится исключительно к области IoT, но здесь они определенно выходят на передний план.

Стоит сказать, что правовое регулирование Интернета вещей зависит от многих факторов. Большие данные, например - один из факторов, влияющих на правовые аспекты Интернета вещей. Открытая концепция. "Интернет вещей: правовые аспекты. (Российская Федерация)"

У больших данных выделяют несколько характеристик. Первая характеристика это объем-количество данных нарастает, причем как созданных людьми, так и машинами, следовательно предъявляются новые требования к IT инфраструктуре в отношении хранения, обработки и предоставления доступа. Это напрямую касается правового регулирования информационной безопасности Интернета вещей, так как данные, собираемые через устройства Интернета вещей, относятся к данной категории, а, следовательно, и то, что в законодательной области относится к Большим данным, то в какой-то степени относится к Интернету вещей. Вторая характеристика - скорость. В данном случае имеется в виду скорость, с которой данные должны поступать в хранилище и скорость, с которой информация извлекается из данных. Третьей характеристикой является разнообразие. Существует разнообразная информация, которая хранится данными и предоставлена она разными структурами. И четвертой характеристикой называют ценность-большие объемы данных являются ценным ресурсом. Шлюйкова Д.П. Большие данные: современные подходы к хранению и обработке // Наука, техника и образование. 2016. №1(19). С. 76.

После объяснения того, что из себя представляет Интернет вещей, теперь следует сказать о том, какое он влияние оказывает на наш современный мир и как оно будет постоянно возрастать с течением времени. Важно об этом сказать, так как правовое регулирование должно создаваться вместе с пониманием того, каково значение той или иной сферы для общества. Технологии интернета вещей не только делают жизнь обычного потребителя легче, но и могут применяться в промышленности. Существование Интернета вещей способствует более быстрому развитию инфраструктуры, экономики в целом. Многие IoT-устройства позволят сэкономить ресурсы в различных сферах деятельности, таких как, например, транспорт или контроль за энергопотреблением. Распределенная система управления Интернета вещей дает возможность проведения мониторинга и контроля операций городских и сельских инфраструктур. Технология Интернета вещей может использоваться для мониторинга событий или изменений, которые представляют угрозу безопасности жизнедеятельности или увеличивают риск опасного события. Технология Интернета вещей может использоваться для эффективного координирования ремонтных работ, согласования задач между поставщиками услуг и пользователями этих услуг.

Следует сказать, что интернет вещей на государственном уровне чрезвычайно важен, так как например Национальный совет по разведке США еще в 2008 году выпустил отчет о шести наиболее влиятельных технологий в 2025 году, и Интернет вещей был назван одной из таких технологий. Disruptive Civil Technologies. Six Technologies With Potential Impacts on US Interests Out to 2025 Тут также встает вопрос о том, что государственные органы должно пользоваться Интернетом вещей без ущерба для своей безопасности, а значит законодательно должно быть определено, кто может поставлять устройства в различные ведомства и какие IoT-устройства могут быть туда поставлены. Кроме того, надо понимать, что, так как технологии Интернета вещей открывают большие возможности не только в положительном плане, но и отрицательном, то следует выстроить такое правовое регулирование, чтобы государственные органы не смогли благодаря этим технологиям по-новому контролировать законопослушных граждан и нарушать их конституционные права.

В отчете Национального совета по разведке США также говорится о том, что технологии Интернета вещей могут помочь не только экономическому развитию государства, но и американской армии. Учитывая, что этот отчет был выпущен в 2008 году, то становится очевидно, что многое уже вполне может не просто работать на благо инфраструктуры армии, а, например, стоять на вооружении. Следовательно, возможно государствам на международном уровне или международных организациям, например ООН, следовало бы поднимать вопросы о том, насколько вообще этично использовать эту технологию в военных целях, то есть, как существуют договоры о запрете распространения ракет определенной дальности, так возможны и какие-либо ограничения, связанные с данной технологией, хотя конечно вряд ли кто-то сейчас согласится в таких участвовать, но это вопросы будущего дня, а не сегодняшнего.

Самой большой областью Интернета вещей являются потребительские товары (включая носимые технологии и автомобили), экономически значимой - промышленность, критически важными с точки зрения личной и общественной безопасности областями - медицина и военные технологии, технологии обеспечения гражданской безопасности. Открытая концепция. "Интернет вещей: правовые аспекты. (Российская Федерация)"

Следует также напомнить, что сейчас в некоторых странах уже начинает формироваться информационное общество, в целом происходит четвертая промышленная революция - так называемая Индустрия 4.0. Интернет вещей при этом играет важную роль в переходе между этапами развития человечества.

Интернет вещей поднимает множество сложных вопросов. Кто владеет данными, которые хранят IoT-устройства? Как, а главное, кем, они могут быть использованы? Какие возможны юридические последствия для пользователей таких устройств: могут ли собранные данные быть использованы против них в суде, банками при выдаче кредита (если они у них окажутся), работодателями при приеме на работу? Но главный вопрос-насколько безопасны такие устройства?

Некоторые ученые считают, что аспекты ответственности в Интернете вещей до сих пор отсутствуют как в техническом, так и в законодательном плане. Singh J., Millard C., Reed C., Cobbe J., Crowcroft J. Accountability in the IoT: Systems, Law, Ways Forward // Computer. 2018. №7. at 55. То есть ответственность не может возникнуть за какие-либо действия как просто в данной среде, так и по закону. Многие юристы, ученые полагают, что на сегодняшний день юридическая техника на невысоком уровне в целом во всей сфере регулирования информационных отношении?, то есть эти проблемы касаются не только Интернета вещей. Действительно, в том числе и в Российской Федерации действующее законодательство широко не охватывает информационную сферу. В том числе из-за сложившейся ситуации страдает сфера Интернета вещей. То есть, в случае, когда отсутствует полноценное правовое регулирование проблем, возникших в информационной сфере еще до Интернета вещей, то нет ничего удивительного в том, что для него при выработке правового регулирования потребуется много усилий. В итоге это пагубно сказывается и на развитии правового регулирования Интернета вещей, и в целом на его развитии.

Законодательные основы обеспечивают базис для установления прав, ответственности, обязанностей и механизмов компенсации и привлечения субъектов к ответственности и в сфере регулирования Интернета вещей. Building accountability into the Internet of Things: the IoT Databox model Хотя понятно, что ввиду новизны и постоянного изменения Интернета вещей, до сих пор не были выработаны правовые механизмы. Это нормальная ситуация на этапе становления отрасли, тем не менее это не должно так оставаться, и надо разрабатывать современное правовое регулирование для стабильного существования данной отрасли.

Юристы отмечают: «отсутствие четкой терминологии (с учетом специфики технологии? Интернета вещей, степени влияния тех или иных технологии? на частные и публичные интересы, степени воздействия на окружающую среду) не позволяет применять правовые нормы единообразно, что может нарушать права и законные интересы участников системы Интернета вещей». Открытая концепция. "Интернет вещей: правовые аспекты. (Российская Федерация)" Это также одна из причин, почему область правового регулирования интернета вещей сейчас не развита.

Естественно, что по мере расширения сферы распространения технологий Интернета вещей вопрос об его регулировании поднимется на новый уровень, хотя им и сейчас озабочены власти многих государств. Это также означает, что существующие юридические пробелы будут приносить все больше реальных проблем. Тем не менее, важно с чего-то начать, с каких-то общих для этого норм. Важно также определиться со сферой, кругом вопросов правового регулирования Интернета вещей, какие из существующих общих правовых норм информационной сферы применимы, а какие абсолютно не подходят.

Учитывая, что до сих пор нет даже единого подхода к понятию «Интернет вещей», то понятно почему и правовые вопросы, возникающие в данной сфере, до сих пор не получили решения. Нужна серьезная работа в том числе с компаниями, выпускающими такие устройства, только вместе можно прийти к такому правовому регулированию, которое поможет как отрасли, так и государству.

В общем, так как Интернет вещей в наше время уже играет серьезную роль, то это влияет и на людей, и на компании, и на страны. Следовательно, процесс создания правового регулирования нельзя откладывать на потом, и им уже надо более активно заниматься сегодня при участии государственных органов, компаний и экспертов в данной сфере. Отсутствие четкого правового регулирования ведет к тому, что отрасль не чувствует себя уверенно. Компании, которые развивают свои продукты, не знают какое в действительности влияние могут оказать государственные органы на них, когда отсутствуют определенные правовые рамок. В тоже время и обычные потребители от этого страдают, так как компании-производители IoT-устройств могут злоупотреблять отсутствием адекватного правового регулирования, понимая, что законодательство их не сдерживает.

Глава 2. Информационная безопасность Интернета вещей: аспекты правового регулирования

2.1 Проблемы защиты персональных данных в Интернете вещей

Родриго Роман пишет: «Без прочных правовых основ безопасности атаки и сбои, происходящие в работе Интернета вещей, перевесят любые его преимущества». Securing the Internet of Things

Данные, собранные Интернетом вещей позволят нам сортировать пользователей точнее, чем когда-либо прежде, но такая сортировка может легко превратиться из относительно доброкачественной дифференциации в новые и оскорбительные виды нежелательной дискриминации. Pepper S. R. Regulating the Internet of Things: First Steps Toward Managing Discrimination, Privacy, Security, and Consent // Texas Law Review. 2014. at 117. Это одна является одной из проблем, если такими данными завладеют третьи лица, которые потом их продадут работодателям, страховщикам, кредиторам или кому-либо еще, так как те в свою очередь могут затем принимать экономически важные решения на основе этих данных.

Пользователь такого устройства может даже не знать, что его данные попали в руки вышеназванным лицам, то есть дискриминация действительно может быть скрытой, как от гражданина, так и от закона. Например, потенциальный работник так и не узнает, что его не взяли по таким причинам, которые его дискриминируют, а работодатель смог это сделать, получив данные, собранные через устройства Интернета вещей.

Можно предположить, что с таким большим количеством потенциальных источников данных (IoT-устройства могут стоять от автомобиля до квартиры), предоставляющих соответствующую информацию о потенциальном работнике, работодатель может обратиться к любому числу коммерческих партнеров для получения информации об этом сотруднике. Учитывая, что количество устройств Интернета вещей вокруг нас постоянно возрастает, то возможности делать выводы, сопоставляя данные из разных источников, растут тоже.

Тоже самое касается, например, выдачи автомобильной страховки. Огромное количество IoT-устройств установлено в автомобилях, на дорогах. Получив доступ к этим данным страховые компании смогут давать водителям страховки с более тягостными условиями, то есть, фактически, использовать информацию, к которой они получили доступ, во вред тем, о ком эта информация. Конечно, некоторым может показаться, что здесь появляются некие стимулы для аккуратного вождения, однако, страховка должна зависеть от того, например, как человек часто попадал в ДТП, а не от того, какой стиль вождения он предпочитает, если это ни на нем, ни на ком-то еще, не сказалось. То есть стиль его вождения, как и привычки, не должны контролироваться. Получается, что устройства Интернета вещей вместо того, чтобы давать автомобилистам какие-то преимущества, наоборот, ухудшают их положение перед процессом их вступления в отношения со страховой компанией.

Кроме того, как известно, многие устройства Интернета вещей работают в сфере здоровья. Такие устройства знают наши привычки, как часто мы ходим, насколько вредную пищу употребляем, курим ли мы, занимаемся спортом или нет. Следовательно, если работодатели получат доступ к такой информации, они могут по своим предпочтениям определять кого брать на работу, а кого нет.

Это же может касаться и обычной страховки. Например, в США в соответствии с Законом о доступном медицинском обслуживании работодатели могут предлагать своим работникам до 30-процентной скидки на страховые взносы за участие в оздоровительных программах компании. Big Doctor Is Watching То есть для работодателя чрезвычайно важно здоровье сотрудников. Учитывая, что многие IoT-устройства собирают данные о здоровье, например фитнесс браслеты, очевидно, что для работодателя будет интересны данные и потенциальных работников, если у них будет возможность их откуда-то получить, в том числе у лиц, которые их получили нелегально.

Конечно, это может казаться надуманным, однако мы живем в постоянно меняющемся мире, и где гарантия, что злоумышленниками, получившими данные из-за плохой информационной безопасности, не будет создан «банк данных», доступ к которому за определенную плату могут получить в том числе работодатели, страховщики, кредиторы. С другой стороны, это может быть даже легально, без участия злоумышленников, в случае если создатели устройств Интернета вещей будут пытаться настаивать на том, что такие данные не являются персональными и идентифицировать пользователя по ним нельзя, а передача информации не нарушает никаких правил, или пользователь и вовсе согласился на это, не зная какие у него могут возникнуть проблемы из-за такого решения.

Ученые констатируют, что интернет породил массовую инфраструктуру брокеров данных, которые накапливают и отслеживают информацию о физических лицах. Pepper S. R. Regulating the Internet of Things: First Steps Toward Managing Discrimination, Privacy, Security, and Consent // Texas Law Review. 2014. at 120. Многие недобросовестные компании будут готовы пойти на все, ради того, чтобы получить информацию, собранную огромным множеством IoT-устройств, а хакеры с большим удовольствием такую информацию продадут, ведь в конце концов главная цель большинства фирм-прибыль, а не соблюдение этических норм, поэтому такие риски действительно существуют.

Конечно, данные, полученные любым незаконным способом, будь то из-за слабой безопасности или недобросовестности лиц ими законно владеющими, скорее всего не будут сразу использоваться кем-то для дискриминации при приеме на работу или выдаче страховки, однако, законодатель должен предусмотреть все возможные варианты и обратить на это свое внимание.

Одним из решений проблем, связанных с идентификацией людей по полученных данным, видится их анонимизация, то есть процесс сокрытия того, чьи данные собираются и хранятся. Очевидно, что данные будут полезны кому-то, если с помощью них можно точно идентифицировать человека. То есть в принципе, если даже данные попадут в руки злоумышленников, для пользователя не будет это иметь значения, в случае их анонимизации, так как никто не будет знать о том, что это он, и, следовательно, использовать их никто против него не будут.

Многие производители IoT-устройств пытаются анонимизировать данные. Однако, здесь также существует проблема, так как никто в реальности не может гарантировать пользователям анонимность данных, даже если они это гарантируют или их обязали это делать на законодательном уровне, потому что нельзя слепо доверять технологиям.

Кроме того, следует понять, насколько вообще данные могут быть подвергнуты процессу анонимизации. Пол Ом говорит, что анонимность не всегда обеспечивает конфиденциальность, то есть не стоит значительно преувеличивает силу анонимизации, так как умные противники часто могут повторно идентифицировать или деанонимизировать людей. Broken promises of privacy: responding to the surprising failure of anonymization Однако, стоит сказать, что деанонимизировать легче ту информацию, которая получена с помощью IoT-устройства, собирающего как можно больше информации о человеке или более чувствительную. Следовательно, законодателю следует подразделять на категории технологии в зависимости от собираемой информации, и каким-то из них предъявлять более серьезные требования в процессе работы с данными, в том числе при их обработке и возможной анонимизации.

Исследователи также говорят о том, что в принципе технологиям сложно доверять при процессе анонимизации, однако можно доверять тем, кто работает с информацией, чтобы они не давали ее лицам, которые собираются использовать ее недобросовестно. Ohm P. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization // U of Colorado Law Legal Studies Research Paper. 2010. №9-12. at 58. Понятно, что большинству людей обычно не хочется делиться с кем-то конфиденциальной информацией, с которой они работают. Однако, даже в этом случае они могут выдать людям, просто из-за того, что доверились им, не зная настоящие мотивы и поверив в их добросовестность. Следовало бы как-то законодательно обеспечить возможность передачи такой информации, получаемой через устройства Интернета вещей и впоследствии передаваемой третьим лицам, но без риска получения данных недобросовестными людьми, то есть формализировать и систематизировать правила, по которым передаются такие данные третьим лицам.

Для правильной работы IoT-устройств при их конструировании следует также помнить о принципе privacy by design. Privacy by design означает, дословно: «установление рамок для заблаговременного встраивания конфиденциальности непосредственно в информационные технологии, деловые практики, дизайн и сетевую инфраструктуру, что должно происходить по умолчанию». Privacy by Design Основная идея данного принципа в том, что следует реагировать на угрозы еще до их возникновения, предсказывать их, и создавать устройства Интернета вещей, понимая, какие угрозы могут быть. Безусловно, следуя принципу privacy by design можно избежать многих проблем, с которыми сталкиваются компании, производящие такие устройства, но надо понимать, что лишь слепо следуя ему не избежать всех возможных угроз, и такой принцип должен быть просто вспомогательным.

В общем, те уязвимости, которые проявляются при работе компаний с данными пользователей, являются основными, и в первую очередь именно на это должно быть направлено внимание законодателя при работе над созданием правового регулирования в сфере информационной безопасности Интернета вещей. Закон должен обязывать компании-производители IoT-устройств создавать адекватную систему информационной безопасности, которая бы сужала варианты того, как данные могут попасть к злоумышленникам или быть использованы не по назначению. Данные, которые могут раскрыть большой пласт информации о пользователях, должны быть защищены, и процесс идентификации пользователей по ним не должен быть легким, чтобы в случае попадания таких данных посторонним они не смогли легко идентифицировать личность. Кроме того, компании должны отвечать за случаи попадания данных посторонним, следовательно должны существовать действительно серьезные меры ответственности за это.

2.2 Киберугрозы и уязвимости устройств Интернета вещей

Глава компании "Лаборатория Касперского" Евгений Касперский в одном из интервью американской прессе на вопрос о том, откуда придет следующая великая интернет-или цифровая угроза, назвал Интернет вещей. 'Internet of threats': Q&A with Eugene Kaspersky Он его обозначил как "Интернет угроз". Касперский аргументировал это тем, что число подключенных интеллектуальных устройств быстро растет, все больше и больше из них будут направлены на получение криминальной прибыли, поэтому он ожидает нападения на умные телевизоры, часы, умные очки.

На тот момент председатель Федеральной торговой комиссии США Эдит Рамирес, в своей речи на Международной выставке потребительской электроники, также высказался об угрозах, которые таит в себе Интернет вещей. Opening Remarks of FTC Chairwoman Edith Ramirez Privacy and the IoT: Navigating Policy Issues International Consumer Electronics Show Las Vegas, Nevada January 6, 2015 Он считает, что для предотвращения угроз компании должны следовать следующим правилам: 1. Безопасность должна быть приоритетом. 2.Компании должны собирать только необходимые данные, а не все подряд. 3. Пользователи должны быть предупреждены о том, как используются их данные, в том числе в не совсем стандартных ситуациях.

В подтверждении слов об угрозах следует сказать о том, что в 2016 году произошли очень мощные DDoS-атаки на французскую хостинговую компанию OVH и американского DNS-провайдера Dyn. Ловушки «интернета вещей» Известно, что они были устроены с помощью внушительного ботнета из роутеров, IP-камер, принтеров и других устройств, то есть именно с помощью устройств Интернета вещей.

Более того, IoT-устройства которые не выглядят слишком привлекательными для хакеров, все равно находятся в группе риска. Игрушка Teddy Bear, подключенная к Интернету вещей, «слила» в сеть восемьсот тысяч учетных данных клиентов и около двух миллионов записей сообщений родителей и детей из-за слишком слабой системы безопасности. Internet of Things Teddy Bear Leaked 2 Million Parent and Kids Message Recordings Spiral Toys, фирма, выпускающая данные игрушки, оставляли данные о клиентах своего бренда CloudPets в базе данных, которая не защищалась брандмауэром и не защищалась паролем. В свою очередь сами пароли пользователей оставляли желать лучшего в плане сложности для взлома. Однако, кто в этом больше виновен-пользователи, у которых были недостаточно сложные пароли или компания, которая оставила базу данных, содержащую данные клиентов, совершенно небезопасной? Должна ли быть ответственность у компании, ведь, она, возможно предупреждала об установке более сложных паролей, но пользователи, как часто бывает, не отреагировали на просьбу, обозначенную в официальных документах к IoT -устройству, должным образом? Видится справедливой ситуация, при которой на законодательном уровне в принципе устанавливается то, что в связи с чувствительными данными, собираемыми такими устройствами, именно производители должны нести ответственность и не давать возможности пользователям, например, устанавливать слабые пароли.

В подтверждение того, что безопасность Интернета вещей это одна из главных проблем данной технологии, надо сказать о существовании новой рабочей группы-Project Connected Home over IP (Подключенный дом через IP). Project Connected Home over IP Она сформирована благодаря участию крупнейших технологических компаний, таких как Amazon, Apple, Google и Zigbee Alliance. В состав рабочей группы также входят и вносят свой вклад члены совета директоров таких компаний как IKEA, Legrand, NXP Semiconductors, Resideo, Samsung SmartThings, Schneider Electric, Signify (ранее Philips Lighting), Silicon Labs, Somfy и Wulian. Данная группа должна разработать новый стандарт подключения для повышения совместимости продуктов для «умного дома» и содействовать его принятию, а основным принципом проектирования является безопасность.

Цель проекта «Подключенный дом через IP» - упростить разработку для производителей и повысить совместимость для потребителей. Проект основан на общем убеждении, что устройства для умного дома должны быть безопасными, надежными и беспроблемными в использовании. Основываясь на интернет-протоколе (IP), проект нацелен на обеспечение связи между устройствами «умный дом», мобильными приложениями и облачными сервисами и определение конкретного набора сетевых технологий на основе IP для сертификации устройств.

Отраслевая рабочая группа будет использовать подход с открытым исходным кодом для разработки и внедрения нового унифицированного протокола подключения. В проекте предполагается использовать материалы проверенных на рынке технологий умного дома от Amazon, Apple, Google, Zigbee Alliance и других. Ожидается, что решение об использовании этих технологий ускорит разработку протокола и быстрее принесет выгоды производителям и потребителям. Проект направлен на то, чтобы облегчить производителям процесс создания устройств, совместимых с умным домом и голосовыми сервисами, такими как Amazon Alexa, Apple Siri, Google Assistant и другие. Запланированный протокол дополнит существующие технологии, и члены рабочей группы призывают производителей устройств продолжать внедрять инновации, используя технологии, доступные им на сегодняшний день.

Учитывая, что некоторые из вышеуказанных компаний являются конкурентами друг друга, то становится очевидно, что они объединились, так как не могут по одиночке контролировать те устройства Интернета вещей, которые устанавливаются в умных домах. То есть у них нет ресурсов на полный контроль, что доказывает нужду во вмешательстве государства путем грамотного правового регулирования, которое должно помочь избавиться хоть от некоторых проблем.

IoT-устройства склонны к уязвимостям безопасности по причинам, которые, возможно, не так просто исправить. В данном случае имеются в виду некоторые случаи, когда злоумышленники путем взлома получают данные с серверов компании. Что если сервера компании были взломаны совершенно новым способом, и никак нельзя это было предотвратить? Очевидно, что привлечь компанию к какой-либо ответственности за это чрезвычайно тяжело, но как доказать то, что это действительно нельзя было предотвратить, или наоборот можно? И что делать, если у компании совершенно другая национальная юрисдикция, по сравнению с пострадавшим от взлома клиентом?