Правовые аспекты информационной безопасности в Интернете вещей

Исследователи отмечают, что проблема осложняется тем, что часто те инженеры, которые создают устройства Интернета вещей, совершенно не разбираются в информационной безопасности, они не могут увидеть все возможные уязвимости. Here's the scariest part about the Internet of Things Возможно, для устранения данной проблемы, на законодательном уровне следовало бы ввести, что каждая компания, выпускающая IoT-устройства, должна иметь в команде разработчиков действительно высококвалифицированных специалистов по информационной безопасности. Кроме того, можно привести в пример антивирус на персональном компьютере, который выпускают сторонние разработчики, а не те, кто делает сами компьютеры, поэтому не удивительно, что компании, производящие устройства Интернета вещей часто не могут обеспечить адекватную информационную безопасность.

При сравнении с персональными компьютерами также важно понимать, что, как правило, устройства Интернета вещей не являются настолько производительными. Это значит, что правовые нормы, существующие в сфере информационной безопасности персональных компьютеров, не могут просто быть продублированы к IoT-устройствам.

Одной из важных проблем Интернета вещей также является вопрос о том, где хранятся такие данные. В данном случае, важно, чтобы законодательно было установлено, что компании-производители IoT-устройств обязаны в своей документации объяснять то, куда отсылаются данные, например, в «облако» или куда-либо еще. Возможно, следовало бы законодательно обязать крупные технологические компании создавать центры хранения для данных, получаемых через устройства Интернета вещей, которые государственные органы могли бы проверять на соблюдение безопасности. Здесь стоит сказать, что в пункте 5 статьи 18 Федерального закона «О персональных данных» сказано о том, что «при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона». Федеральный закон "О персональных данных" от 08.07.2006 № 152 // Российская газета. 2006 г. № 0(4131). с изм. и допол. в ред. от 31.12.2017 Известно, что его игнорируют некоторые крупные зарубежные компании, работающие в сфере информационных технологий, такие как, например, Facebook. Глава Роскомнадзора назвал печальной ситуацию с Facebook в России

Каким образом данный пункт должен применяться к устройствам Интернета вещей (которые собирают, как сказано выше, довольно чувствительную информацию, зачастую позволяющую идентифицировать пользователя), тоже большой вопрос. Очевидно, что перенос данных таких компаний на российские сервера будет чрезвычайно трудным процессом по нескольким причинам. Во-первых, для начала нужно определить что за данные собирает каждая компания, которую хотят заставить хранить данные на российской территории, то есть должно осуществиться огромное количество проверок, а во-вторых устройства Интернета вещей определенной компании могут вообще не продаваться легально в России, а люди купили их заграницей и тогда вопрос, связанный с хранением данных, вообще может не подниматься.

Также важный вопрос касается того, как долго будут храниться такие данные и могут ли они быть удалены по запросу клиента. Кажется верным то, что если клиент просит удалить данные, то компании должны удовлетворить его желание, однако здесь вопрос опять же состоит в том, что часто данные собираются для дальнейшего развития устройств Интернета вещей, отрасли в целом. Имеется в виду, что собранные через IoT-устройства данные клиентов могут использоваться компанией для того, чтобы сделать эксплуатацию их устройства более эффективным. То есть государство должно решить вопрос о том, что в данном случае важнее - принимать жесткие правила по соблюдению клиентской конфиденциальности, или наоборот, дать более менее свободно развиваться компаниям в данной отрасли, не лишая их возможности работы со всеми получаемыми данными.

Кроме вопроса об удалении данных также возникает вопрос о том, как компания может использовать такие данные - только ли в каких-то своих целях, или они могут быть, например, отданы третьим лицам? Безусловно, поначалу кажется, что данные не должны попадать в третьи руки, но что, если, например, компания развивает свой продукт вместе с каким-то другим юридическим лицом и для этого она должна делиться собранными данными? Кроме того, за этим очень сложно следить государственным органам. Если компании могут даже не раскрывать, где хранятся данные, то и их дальнейшая судьба тоже может быть неизвестна.

В связи с этим мы приходим к той ситуации, когда должна быть не только открытость компаний по отношению к клиенту и государству, но и ответственность за нарушения в области Интернета вещей. То есть должна быть предусмотрена ответственность за любые возможные нарушения, вытекающие из информационной безопасности именно Интернета вещей, а не просто общая ответственность, например, за неправильную работу с персональными данными.

К сожалению, в российском законодательстве пока не существует акта, где серьезно затрагивались бы вопросы, связанные исключительно с ответственностью в области Интернета вещей.

Частой проблемой можно также назвать то, что при установке какого-либо приложения на смартфон, которое может использоваться для работы Интернета вещей, нет сведений ни о какой политике конфиденциальности. То есть человек может уже установил приложение и начинает пользоваться через него Интернетом вещей, но до сих пор он не увидел ничего о политике конфиденциальности, и чтобы ее узнать ему придется, например, зайти на сайт разработчика, где он обнаружит неподходящие ему условия. Это конечно редко случается, и с политикой конфиденциальности клиента, обычно, знакомят сразу, но, учитывая возрастающее число компаний, работающих в сфере Интернета вещей, конечно, возможна ситуация, при которой некоторые из них посчитают конфиденциальность не обязательной, особенно это касается разработчиков IoT-приложений для смартфонов. Поэтому следует со стороны властей более серьезно относиться к вопросам конфиденциальности, вне зависимости от того приложение на смартфон это или отдельное устройство, никому нельзя давать преимущество, для всех должен быть равный контроль.

Стоит также отметить, что если человек пользуется несколькими сразу IoT-устройствами, то это может привести к еще более серьезным последствиям при утечке данных. То есть как два глаза видят больше одного, так и два соединенных устройства Интернета вещей позволяют в целом гораздо больше узнать о человеке, легче его идентифицировать. Значит, возможно должен существовать отдельный список правил при работе с несколькими IoT-устройствами сразу. Например, информация о каком-то пользователе, собираемая двумя устройствами одной компании не может храниться на одном и том же сервере, следует их разделять для того, чтобы было сложнее его идентифицировать, то есть сложнее завладеть данными с обоих устройств сразу.

В общем, многие из вышеуказанных проблем частично могут быть решены, в случае появления соответствующих правовых норм. Как уже было сказано, чрезвычайно важно законодательно заставлять компании иметь в штате высококвалифицированных сотрудников, занимающихся информационной безопасностью Интернета вещей. Также со стороны государственных органов должны быть рекомендации по поводу создания системы информационной безопасности еще на стадии проектирования устройств, чтобы со стороны компаний была не только реакция на возможные угрозы, но и были осуществлены действия по их предотвращению, то есть до того как они вообще себя проявили. Кроме того, должны быть решены проблемы хранения данных. Следовало бы установить сроки хранения компаниями информации, получаемой через устройства Интернета вещей. Такие компании также должны отчитываться государственным органам о месте хранения собранных данных. Что касается мер ответственности, то они не должны быть чрезмерно жесткими, однако, штрафы, как одна из мер, должны быть действительно существенными, чтобы компании уделяли большое внимание вопросам информационной безопасности.

Глава 3. Подходы к правовому обеспечению информационной безопасности Интернета вещей в Российской Федерации и зарубежных странах

3.1 Подход к правовому обеспечению информационной безопасности Интернета вещей в Российской Федерации

Правовое регулирование часто следует за реальными общественными отношениями. То есть сначала они появляются и лишь потом законодательство с одной стороны подстраивается под существующее положение дел, а с другой, наоборот, в какой-то степени его меняет. Со сферой Интернета вещей, и, в частности, информационной безопасностью, происходит то же самое. Это логично, так как технологии Интернета вещей постоянно изменяются, то есть технологический прогресс создает новые возможности. Следовательно, некоторые технологии Интернета вещей просто не могли быть зарегулированы, так как об их существовании еще не было известно.

IoT-устройства, безусловно могут принести большую пользу отдельным лицам и обществу в целом, но есть основания полагать, что это все может принести большие проблемы из-за отсутствия надлежащей безопасности.

Сложившаяся ситуация говорит о том, что вопросы, возникающие в области информационной безопасности Интернета вещей, не могут быть урегулированы сразу, так как законодатель с этим раньше просто не встречался. Однако, в виду того, что технологии Интернета вещей также могут развиваться, меняться, то поэтому очень важно чтобы законодатель отслеживал эти тенденции и не просто один раз урегулировал эту область, но и потом постоянно улучшал законодательство.

В российском законодательстве нет четкого определения, что такое Интернет вещей. Однако, в прогнозе долгосрочного социально-экономического развития Российской Федерации на период до 2030 года Министерства экономического развития Российской Федерации предусмотрено, что Интернет вещей это «информатизация различных предметов и включение их в единую сеть сетей». Прогноз долгосрочного социально-экономического развития Российской Федерации на период до 2030 года Минэкономразвития России

В 2019 году в целях реализации национальной программы «Цифровая экономика Российской Федерации» и Концепции построения и развития узкополосных беспроводных сетей связи "Интернета вещей" на территории Российской Федерации, вышел приказ Минкомсвязи России № 637 «Об утверждении Плана (дорожной карты) реализации Концепции построения и развития узкополосных беспроводных сетей связи «Интернета вещей» на территории Российской Федерации. Приказ Минкомсвязи России № 637 «Об утверждении Плана (дорожной карты) реализации Концепции построения и развития узкополосных беспроводных сетей связи «Интернета вещей» на территории Российской Федерации»

Согласно данной дорожной карте должен быть утвержден перечень федеральных органов исполнительной власти, которые ответственны за разработку и утверждение моделей угроз нарушителей для различных систем узкополосных беспроводных сетей связи «Интернета вещей" с учетом требований защиты объектов критической информационной инфраструктуры, в приоритетных и иных отраслях экономики Российской Федерации. Должна осуществиться сама разработка и утверждение моделей угроз и нарушителей для различных систем узкополосных беспроводных сетей связи «Интернета вещей». До 31декабря 2021 года предусмотрена реализация пилотных проектов по развертыванию различных систем идентификации устройств узкополосных беспроводных сетей связи «Интернета вещей».

В данной дорожной карте есть и другие указания, например разработка проектов первых национальных стандартов в области узкополосных беспроводных сетей связи «Интернета вещей» к 2021 году, а также освещена область международного сотрудничества. Очевидно, что на данный момент в Российской Федерации очень слабо с точки зрения права разработана данная область, и именно поэтому была принята данная дорожная карта. Однако, как мы видим, здесь с самого начала идет речь об угрозах и нарушителях, чем подтверждается то, что это самый животрепещущий вопрос в области Интернета Вещей.

Одним из федеральных законов, который должен быть задействован при правовом регулировании Интернета вещей, является федеральный закон «О персональных данных». Федеральный закон "О персональных данных" от 08.07.2006 № 152 // Российская газета. 2006 г. № 0(4131). с изм. и допол. в ред. от 31.12.2017 В пункте 3 статьи 5 данного закона сказано, что базы данных, которые содержат персональные данные, не могут быть объединены в случаях, когда обработка таких данных происходит в целях, которые не совместимы между собой. Кроме того, в пункте 2 этой же статьи сказано, что персональные данные должны обрабатываться исключительно ради конкретных, законных и заранее определенных целей. Они должны обрабатывать не просто «ради развития компании» или чего-то в этом роде, а обозначать конкретную цель этих своих действий.

Кроме того, возможность через персональные данные определить субъекта должна быть лишь в такой срок, который не превышает срок выполнения цели обработки данных, если иное не установлено федеральным законом либо договором с субъектом. После данные должны быть уничтожен либо обезличены, если иное не предусмотрено федеральным законом. Тут опять встает вопрос о том, как проверять компании, собирающие данные через IoT-устройства. Слишком частые проверки могут пагубно сказаться на компаниях, и вследствие, на отрасли в целом, а, наоборот, редкие, привести к тому, что они могут без соблюдения должных мер обращаться с полученными данными.

Также вышеуказанному федеральному закону, персональные данные субъекта могут обрабатываться только с его согласия (статья 6). Следовательно, при обработке данных, полученных через устройства Интернета вещей, также должно быть согласие пользователя.

В Российской Федерации действует Федеральный закон «Об информации, информационных технологиях и о защите информации». Федеральный закон "Об информации, информационных технологиях и о защите информации" от 08.07.2006 № 149 // Российская газета. 2006 г. № 0(4131). с изм. и допол. в ред. от 03.04.2020 В пункте 7 статьи 3 данного федерального закона сказано о том, что частная жизнь неприкосновенна, недопустимо сбор, хранение, использование и распространение информации о частной жизни лица без его согласия, что соответствует Конституции Российской Федерации. Здесь встает вопрос о том, на сбор какой информации человек дает согласие при использовании устройства Интернета вещей? Складывается впечатление, в виду того, что IoT-устройства обладают действительно большим набором функций и возможностями по сбору данных, сами компании при выпуске такого товара на рынок не знают как много информации может собрать такое устройство. Следовательно, данный пункт может быть ими нарушен не специально. Возможно, стоит чуть по-другому применять его в области Интернета вещей. Например, следовало бы законодательно закрепить что, что каждый случай должен рассматриваться индивидуально в судах.

Стоит также упомянуть Доктрину информационной безопасности Российской Федерации. Доктрина информационной безопасности Российской Федерации Прямо речи об Интернете вещей в этой доктрине не идет, однако, она позволяет понять политику нашего государства в области информационной безопасности. В ней постулируется то, что защита информационной безопасности граждан является интересом государства, а так как устройствами Интернета вещей пользуется все больше россиян, то государственные органы должно с большим вниманием относиться к данной области. Кроме того, в данной Доктрине идет речь о том, что информационные технологии расширяют свое присутствие. Власти понимают, что с каждым годом таких технологий будет все больше, и Интернет вещей в их расширении сыграет не последнюю роль, а, следовательно государственные органы должны уже сейчас предпринимать какие-то конкретные шаги для обеспечения безопасности.

Можно сделать вывод, что в Российской Федерации, несмотря на малое количество норм, относящихся к информационной безопасности Интернета вещей, государство планирует достаточно плотно регулировать данную сферу. Это выражается как в планировании создания специальных норм, так и в наделении полномочиями соответствующих государственных органов. Государственные органы понимают, что уже сейчас пора разрабатывать новые нормы, и создает для этого основу, например, в виде дорожной карты, о которой сказано выше.

3.2 Подходы к правовому обеспечению информационной безопасности Интернета вещей в зарубежных странах

Для более глубокого исследования нужно обратиться к опыту зарубежных стран в области регулирования информационной безопасности Интернета вещей.

Прежде всего нужно сказать, что многие государства проводят определенную работу для того, чтобы осуществлялось грамотное регулирование информационной безопасности, в том числе рассматриваемого в данной работе Интернета вещей. Следовательно, для создания российского регулирования данной области уже существуют некоторые более-менее подходящие примеры, от которых можно взять лучшее и отбросить ненужные в нашем государстве вещи, так как очевидно слепое копирование быть не может ввиду различий некоторых политических и экономических ситуаций, в сравнении с Россией.

27 января 2020 года Министерство цифровизации, культуры, СМИ и спорта Великобритании выпустило пресс-релиз о новом законе, который призван защитить граждан государства от киберпреступлений. Government to strengthen security of internet-connected products Правительство Соединенного Королевства планирует ввести три строгих правила применительно к устройствам Интернета вещей:

1. Все пользовательские пароли IoT-устройств, подключенных к Интернету, должны быть уникальными и не должны сбрасываться ни на какие универсальные заводские настройки.

2. Производители потребительских IoT-устройств должны предоставить общедоступную точку для контакта, чтобы у каждого была возможность сообщить об уязвимости, вследствие чего будут своевременно предприняты меры.

3. Производители потребительских IoT-устройств должны указывать минимальный период времени, в течение которого устройство будет получать обновления безопасности в месте продажи, вне зависимости от того, где была произведена покупка- в обычном магазине или Интернете.

Стоит обратить внимание, что вышесказанное говорит нам о том, что надежные стандарты безопасности закладываются во время создания IoT-устройств, то есть уже тогда фирмы должны показать государству что такими действиями они собираются обеспечивать информационную безопасность Интернета вещей.

Кроме того, данный закон обязывает фирмы, производящие и продающие подключенные к Интернету устройства, привлекать к ответственности хакеров и пресекать действия, угрожающие конфиденциальности и безопасности людей.

В общем очевидно, что благодаря данному закону у британских пользователей IoT-устройств будет больше уверенности в том, что это безопасно и не повлечет для них каких-либо проблем, связанных, например, с утечкой данных.

Стоит сказать, что еще до того, как Министерство цифровизации, культуры, СМИ и спорта Великобритании выпустило данный пресс-релиз о будущем законе, оно в октябре 2018 года представило Кодекс практических правил по безопасности IoT для потребителей, главной целью которого является «оказание поддержки всем сторонам, участвующим в разработке, производство и продаже потребительских IoT-устройств путем установления руководящих принципов, чтобы гарантировать, что продукты безопасны и сделать нахождение людей в безопасности в цифровом мире проще». Department for Digital, Culture, Media&Sport. Code of Practice for Consumer IoT Security. Всего таких принципов тринадцать, и стоит отметить, что они относятся не только к самим устройствам интернета вещей, но и, например, к приложениям на смартфоне, которые также могут взаимодействовать с данными устройствами.

В Кодексе отдается приоритет таким принципам, как отсутствие стандартных паролей, раскрытие уязвимостей и постоянное обновления программного обеспечения. Отсутствие стандартных паролей означает, что на IoT-устройствах не должно быть встроенных паролей и логинов таких, как, например, «admin, admin», хотя сейчас таких устройств продается достаточно много, что, естественно отражается на информационной безопасности. Поэтому этот Кодекс говорит о том, что важно, чтобы все пароли устройств интернета вещей были уникальными и не могли быть сброшены универсальные заводские значения по умолчанию (это как раз будет отражено в будущем законе). Многие пользователи на каких-либо устройствах, не только IoT, оставляют стандартные пароли, например на роутере. Однако, учитывая то, что устройства интернета вещей могут собирать довольно чувствительные данные, то запрет на стандартные пароли видится логичным. Кроме того, пользователь может не осознавать того, как опасно иметь стандартные пароли, поэтому, несомненно, важно, чтобы сами производители устранили возможность этого.

Второй принцип данного кодекса также говорит о том, что является одним из трех главных правил будущего закона-раскрытие уязвимостей. Это означает предоставление общедоступной точки контакта как часть политики раскрытия уязвимости, чтобы другие могли сообщить о каких-либо уязвимостях.

Знание об уязвимостях безопасности позволяет компаниям своевременно реагировать. Компании также должны постоянно отслеживать, идентифицировать и исправлять возможные уязвимости в их собственных продуктах и услугах как часть продукта жизненного цикла безопасности. Об уязвимостях следует сообщать непосредственно пострадавшему и заинтересованным сторонам в первую очередь. Если это невозможно, об уязвимостях можно сообщить национальным властям. Компаниям также рекомендуется делиться информацией с компетентными отраслевыми органами. Конечно, видится очевидным, что большинство уязвимостей должны быть выявлены еще на стадии создания IoT-устройства до его поступления в продажу. Однако, не всегда можно проверить все до этого момента и что-то может выпасть из поля зрения, в том числе случайно, поэтому важно, чтобы государство заставляло компании проводить постоянный мониторинг обнаружившихся уязвимостей.

Последний из приоритетных принципов, третий-постоянное обновления программного обеспечения. Это означает, что программные компоненты в подключенных к Интернету устройствах должны постоянно обновляться. Обновления должны быть своевременными и не должны пагубно сказываться на функционировании IoT-устройства. Должен существовать минимальный период времени, в течение которого устройство будет получать обновление программного обеспечения и причины именно такого временного промежутка. Кроме того, должно быть объяснено что в себе несет каждое обновление для пользователя. Этот принцип важен, потому что устройства Интернета вещей имеет уязвимости, а значит рано или поздно его могут взломать злоумышленники, так как кроме развития технологий IoT происходит развитие и преступных технологий, поэтому важно постоянное реагирование компаний по производству данных устройств через разработку новых функций по защите информации пользователей.

Что касается остальных принципов Кодекс практических правил по безопасности IoT для потребителей, то конечно, стоит выделить такой принцип, как, надежное хранение учетных и конфиденциальных данных. Учитывая то, какую информацию могут собирать такие устройства, например, режим сна, то, безусловно это также видится очень важным принципом, хотя и данным Кодексом он не отнесен к приоритетным. Можно даже сказать, что все остальные принципы в том числе нужны для того, чтобы работал этот принцип, и данные пользователя не попали в чужие руки, то есть происходит взаимодействие нескольких принципов, так как они плотно связаны между собой.

Кроме того, конфиденциальные данные, включая любое удаленное управление и контроль, должны быть зашифрованы при передаче, соответствующе свойствам технологии и использования и все ключи должны управляться надежно.

Производители IoT-устройств и поставщики услуг Интернета вещей, если они работают с персональными данными, должны предоставлять потребителям четкую и прозрачную информацию о том, как эти данные используются, кем и для каких целей, для каждого такого устройства. Это также относится к любым третьим лицам, которые могут участвовать (в том числе рекламодателей). Обработка персональных данных должна быть с согласия потребителей и в рамках законодательства о персональных данных, а потребителям должна быть предоставлена возможность забрать их в любое время.

Можно также отметить принцип мониторинга телеметрии (сбор информации и измерение параметров для получения необходимых сведений об удаленных объектах), который полезен для оценки безопасности, так как позволяет выявить необычные обстоятельства на ранней стадии и устранить их, что ведет к минимизации риска безопасности и быстроте устранения проблем. Опять же, в данном случае важно, чтобы сведения собирались в соответствии с законодательством о персональных данных.

Кроме того, важным принципом является возможность для пользователя удалить все свои данные.

Европейский институт телекоммуникационных стандартов (ETSI), который является независимой организацией по стандартизации в сфере телекоммуникационной промышленности в Европе, на основе британского Кодекса практических правил по безопасности IoT для потребителей выпустил первый глобально применимый стандарт для потребительской безопасности в Интернете вещей. ETSI releases first globally applicable standard for consumer IoT security

Данный документ содержит основные рекомендации для организаций, занимающихся разработкой и производством IoT-устройств для потребителя, и дает им инструкции как реализовать то, о чем сказано в нем. ETSI TECHNICAL SPECIFICATION. Cyber Security for Consumer Internet of Things В документе не затронуты технологии Интернета вещей, которые применяются в промышленности или здравоохранении. Конечно, это видится весьма логичным, так как IoT-устройства распространены в большей степени именно в потребительском сегменте. Нет сомнений, что информационная безопасность именно обычных граждан должна быть в приоритете правительства при регулировании данной сферы, в виду того, что, во-первых, это массовый сегмент, а во-вторых, люди, как правило, не много задумываются о таких вещах как информационная безопасность, думая подсознательно, что раз это можно легально купить, то значит это надежно, хотя, это, очевидно, не всегда так. Безусловно промышленность или здравоохранение тоже весьма чувствительные к проблемам безопасности отрасли, но следует понимать, что там, зачастую, есть специальные люди, которые занимаются информационной безопасностью, и они могут чрезвычайно внимательно изучить IoT-устройства, которые их работодатели хотят установить у себя.

В этих стандартах очевидно влияние британского Кодекса практических правил по безопасности IoT для потребителей, как уже было сказано, они созданы на его основе, поэтому главные правила работы с IoT-устройствами позаимствованы оттуда: запрет на использование стандартных паролей, возможность сообщать об уязвимостях, постоянное обновление программного обеспечения, мониторинг телеметрии и другие принципы.

Важно сказать, что данные стандарты также введены, чтобы при выполнении правил для обеспечения безопасности создавали устройства, которые не противоречат Общему регламенту по защите персональных данных (General Data Protection Regulation) Европейского Союза. General Data Protection Regulation

Один из принципов в данном регламенте-законный, справедливый и прозрачный способ обработки данных по отношению к субъекту. Можно это отнести к тем данным, которые собираются IoT-устройствами и подтвердить тезис о том, что важно, чтобы компании, разрабатывающие IoT-устройства, не скрывали то, как они хранят и используют собранные данные, по крайней мере те, которые являются персональными.

Еще один из принципов- хранение в такой форме, которая позволяет идентифицировать субъекты данных ровно на тот промежуток времени что необходим для целей, для которых обрабатываются персональные данные. Здесь можно увидеть проявление проблемы, которая связана с отсутствием четкой цели у тех, кто обрабатывает данные, полученные через устройства Интернета вещей.

Кроме того, в данном акте закреплено то, как надо обращаться с персональными данными. Например, должен происходить процесс регулярного тестирования и оценки эффективности технических и организационных мер по обеспечению безопасности обработки. Очевидно, что это также должно относиться к работе с информацией, полученной через IoT-устройства.

Однако, описанные выше документы призваны регулировать безопасность Интернета вещей именно в сфере потребителей, а не промышленности. Однако, в промышленности также IoT-устройства широко применимы. Например, технологии IoT могут дать возможность на каком-либо предприятии, в том числе находящимся в государственной собственности, установить датчики, которые будут в реальном времени передавать данные о показателях окружающей среды и контролировать качество воздуха или воды, атмосферные или почвенные условия. Стоит отметить, что так как государственная собственность нуждается в большей защите в виду часто стратегического значения для страны, то здесь безусловно нужно правовое регулирование, которое не только будет относиться к информационной безопасности, но и установит критерии, по которым IoT-устройства могут использоваться государственными предприятиями, о чем будет сказано ниже.

В Соединенных Штатах Америки в сенат внесли Закон об усовершенствовании кибербезопасности Интернета вещей от 2019 года (Internet of Things Cybersecurity Improvement Act of 2019). S.734 - Internet of Things Cybersecurity Improvement Act of 2019

Согласно данному акту, Директор Административно-бюджетного управления должен будет представить для Федерального правительства стандарты и руководящие принципы по надлежащему использованию и управлению со стороны Федерального правительства устройств Интернета вещей, находящихся в собственности или под контролем Федерального правительства, включая минимальные требования информационной безопасности для управления рисками кибербезопасности, связанными с такими устройствами.

Директор Административно-бюджетного управления также должен обеспечить, чтобы стандарты и руководящие принципы, разработанные для Федерального правительства, соответствовали позиции Национального института стандартов и технологий в отношении решений по управлению рисками кибербезопасности Интернета вещей, в частности, в отношении следующих решений для устройств Интернета вещей:

1. Безопасное развитие.

2. Управление идентификацией.

3. Постоянные изменения, направленные на обновление, исправление или улучшение системы.

4. Конфигурационное управление.

Директор Административно-бюджетного управления после консультаций, которые он посчитает целесообразными, с исследователями в области кибербезопасности и экспертами частного сектора, должен опубликовать руководящие принципы для отчетности, координации, публикации и получения информации:

1.Об уязвимостях безопасности устройств Интернета вещей.

2. Об устранении таких уязвимостей.

Должен быть разработан процесс раскрытия информации об уязвимостях безопасности подрядчика или поставщика, предоставляющего устройства Интернета вещей федеральному Правительство.

Кроме того, возможно использование устройства Интернета вещей без учета каких-либо политик, принципов, стандартов или руководств, выпущенных в соответствии с данным Законом, если использование устройства Интернета вещей:

1. Необходимо для национальной безопасности или для исследовательских целей.

2. Соответствует функции покрытого устройства (это специальный термин для определенного типа устройств).

3. Обеспечены с использованием альтернативных и эффективных методов.

4. Такое устройство существенно более высокого качества, чем продукт, который соответствует таким политикам, принципам, стандартам или руководствам.

Этот акт не первая попытка продвинуться в правовом регулировании данной сферы, перед ним были два провальных законопроекта в конгрессе: Закон об усилении кибербезопасности Интернета вещей (IoT) от 2017 года и Федеральный закон об усовершенствовании кибербезопасности Интернета вещей (IoT) от 2018 года. Акты 2017 и 2018 года фокусировались на обеспечении минимального уровня безопасности эксплуатационных стандартов кибербезопасности для подключенных к Интернету устройств, приобретенных федеральными агентствами. Они ограничивали роль вышеупомянутого Национального института стандартов и технологий, и Административно-бюджетное управление должно было выполнить больше работы. Например, законопроект 2017 года требовал, чтобы Административно-бюджетное управление предоставило руководящие принципы по конкретным перечисленным договорным условиям в договорах поставщиков для устройств Интернета вещей, а законопроект 2018 года предписывал Административно-бюджетному управлению учитывать «стандарты добровольного консенсуса» при опубликовании руководящих принципов, касающихся договорных условий. Senate Reintroduces IoT Cybersecurity Improvement Act

Кстати, один из принципов, перечисленных в Федеральном законе «Об информации, информационных технологиях и о защите информации» звучит как: «обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации». То есть в России также регулируются вопросы информационной безопасности по отношению к тому, что может пагубно сказаться именно на государстве. Очевидно, что устройства Интернета вещей несут большие риски для страны, поэтому было бы не лишним как в Соединенных Штатах ввести какие-то правила по поводу поставок таких устройств государственным органам.

Однако, как уже было сказано, вышеупомянутый акт направлен именно на те устройства Интернета вещей, которыми пользуются на государственной службе, а в январе 2015 году в США Федеральная Торговая Комиссия выпустила отчет с названием «Интернет вещей. Конфиденциальность и безопасность в связанном мире (Internet of things. Privacy & Security in a Connected World)», который охватывает устройства Интернета вещей, которыми пользуются потребители, и которые продаются только им. FTC Report on Internet of Things Urges Companies to Adopt Best Practices to Address Consumer Privacy and Security Risks В данном отчете об Интернете вещей, «сотрудники Федеральной торговой комиссии рекомендуют ряд конкретных шагов, которым могут следовать предприятия для повышения и защиты конфиденциальности и безопасности потребителей, в тот момент, когда американцы начинают пожинать плоды растущей выгоды мира интернет-устройств». Отчет был создан в том числе при помощи ведущих технологов и ученых, представителей отрасли, защитников интересов потребителей, а также тех, кто представил свои комментарии Комиссии.

Некоторые пункты совпадают с теми, что вводятся правительством Великобритании, например процесс построения безопасности с самого начала при проектировании устройства и мониторинг IoT-устройств в течении всего жизненного цикла с возможностью предоставить помощь по борьбе с возникающими угрозами. Однако, есть и бросающиеся в глаза отличия, по сравнению с вышеописанными актами, например, есть пункт про обеспечение надежного надзора за поставщиками, который отсутствует в будущем британском законе. Кроме того, интересно отметить пункт про обучение сотрудников IoT-безопасности и обеспечению управлению безопасностью на должном уровне в организации.

В данном отчете также есть пункт про поставщиков устройств, которые обязаны безопасно оказывать услуги, и за которыми надо обеспечивать надзор в пределах разумного. Также там существует рекомендации о принятии мер по предотвращению доступа неавторизованных пользователей к устройству, данным или личной информации потребителя.

Компаниям, выпускающим устройства Интернета вещей также рекомендуется попытаться собирать как можно меньший объем данных о потребителях и сохранять эту информацию лишь на определенный период времени. В отчете отмечается, что как можно меньший объем собираемых данных поможет устранить ключевые риски для конфиденциальности, которые состоят в следующем:

1. Компания с большим хранилищем данных о потребителях станет более привлекательной целью для воров или хакеров.

2. Данные о потребителях будут использоваться не так как те этого ожидали.

Сотрудники Федеральной Торговой Комиссии также дают рекомендации того, чтобы компании уведомляли потребителей и давали им выбор относительно того, как их информация будет использоваться, особенно в том случае, когда данные собираются в большем объеме, чем этого ожидают потребители.

Во всех трех рассмотренных в данном параграфе юрисдикциях очевидны усилия правительств по созданию регулирования сферы информационной безопасности Интернета вещей. Однако, конкретное правовое регулирование только начинает создаваться в данной сфере, хотя уже существуют некоторые нормы, которые здесь применимы. Например, относящиеся к персональным данным. Видна тенденция установления четких правовых рамок и ухода от широкого саморегулирования. Основной акцент в рассмотренных актах сделан больше на самих IoT-устройствах, вопросы, связанные с ответственностью, не рассматриваются. Стоит также отметить, что пока не видно стремления государств к международному сотрудничество по вопросам правового регулирования сферы информационной безопасности Интернета вещей, хотя очевидно, что передача данных, собранных такими устройствами, идет и трансгранично, а значит в конце концов должны будут заключаться некоторые международные соглашения по вопросам информационной безопасности Интернета вещей.

Заключение

В данном исследовании было показано то, что роль Интернета вещей в современном мире уже велика, и это влияет как на обычных людей, частные компании, так и на государство в целом. Нет сомнений, что в будущем по мере технологического развития эта роль возрастет.

Интернет вещей выявляет многие пробелы, которые есть в действующем законодательстве.

С точки зрения доктринальных позиций можно говорить о том, что наиболее серьезные угрозы, возникающие в области информационной безопасности Интернета вещей, с правовой точки зрения, являются те, которые связаны со сбором, хранением и использованием данных, что также подтверждается реально происходившими случаями у разных компаний-производителей IoT-устройств.

Основные правовые решения, благодаря которым возможно обеспечить информационную безопасность Интернета вещей, следующие. Система информационной безопасности должна быть в первую очередь направлена на предотвращение неправомерного использования данных и попадания их в чужие руки. Следует законодательно обязать компании иметь в своем штате высококвалифицированных специалистов по информационной безопасности. Такие специалисты не всегда у них имеются, так как производители IoT-устройств часто не разбираются в вопросах информационной безопасности, и они, выпустив товар на рынок могут даже не знать о возможных угрозах их продукту, в итоге это вредит клиентам, что вызывает в них сомнения насчет надежности вообще всей концепции Интернета вещей, а это уже вредит отрасли в целом. Кроме того, стоит обязать компании, работающие в данной области, уделять большее внимание информационной безопасности как на стадии разработки IoT-устройств, так и уже в процессе их применения пользователями- с их стороны должен быть постоянный контроль работы и обновление уже выпущенных устройств.

Важно также чтобы законодательно было четко определено то, где и как долго могут храниться данные, полученные через устройства Интернета вещей, и в зависимости от ценности собираемых данных должны быть различия. Следует также разработать более жесткие меры ответственности за отсутствие адекватной системы информационной безопасности в случаях, когда из-за этого пострадали клиенты, данные которых были использованы не по назначению, либо украдены. Это нужно, так как с каждым годом пользователей устройств Интернета вещей становится больше, а, следовательно и ответственность компаний должна возрасти.

Конечно, сейчас пока еще не требуется огромное количество норм для регулирования данной сферы, регулирование в виде дополнений в отдельные законы, касающиеся информационной сферы вполне достаточно. Главное, не следует оставлять все эти проблемы без четкого правового регулирования, должен существовать определенный контроль со стороны государства. Однако следует помнить, что государство должно вмешиваться в сферу информационной безопасности Интернета вещей, но не должно мешать развитию отрасли. Иначе, можно нанести ущерб своей собственной экономике, в том числе цифровой экономике, а это, учитывая то, что на государственном уровне развитие оной является безусловным приоритетом, неприемлемо.

Действительно, Интернет вещей таит в себе много угроз, которые возникают из-за слабого понимания информационной безопасности, в том числе с точки зрения права, возможно этих угроз даже не меньше, чем положительных моментов. Однако, это касалось и многих областей, которые до этого не имели четкого правового регулирования. Конечно, просто правом не решить все вопросы, но тем не менее можно избежать многих проблем и дать отрасли шанс на нормальное развитие.

В зарубежных странах уже либо существуют, либо готовятся правовые акты, которые регулируют как Интернет вещей, так и конкретно его информационную безопасность. В Российской Федерации пока что данная область развита меньше с правовой точки зрения, однако государство обращает внимание на нее на самом высоком уровне, и есть вероятность того, что в ближайшие несколько лет произойдет скачок в развитии правового регулирования.

В данной сфере государственным органам следует плотно сотрудничать с создателями IoT-технологий, бизнес-индустрией так как регулирование не должно быть для тех неожиданным. Компании, работающие в данной отрасли, должны иметь возможность в том числе и сами предлагать какие-либо решения, касающиеся информационной безопасности, так как именно им лучше всего известны все плюсы и минусы таких технологий. Не стоит забывать, что правовое регулирование информационной безопасности нужно не только для защиты потребителей от возможного нарушения в области работы с данными, но и для стабильного развития технологий Интернета вещей, которые создаются частными компаниями. Это будет способствовать развитию индустрии информационных технологий, которая уже является одной из самых важных для государств и в будущем будет еще важнее.

Кроме того, нужно обращаться и к крупным научным центрам, институтам, которые занимаются разработками в данной отрасли и в смежных, то есть чей опыт так же может помочь для выявления уязвимостей и лучшего решения проблем. Безусловно, информационная безопасность Интернета вещей имеет сложный характер, и определение того, что для нее нужно- непростая задача, однако после тщательного и надежного исследования становится возможным понять то, какие требования нужно предъявлять к компаниям, работающим над технологиями IoT.

В общем, надо понять, где та черта, которую нельзя переступать при правовом регулировании информационной безопасности Интернета вещей, так как переступив ее, можно нанести гораздо больший ущерб, чем нанесло бы его отсутствие.

Список использованных источников и литературы.

Нормативные-правовые акты.

1. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 08.07.2006 № 149 // Российская газета. 2006 г. № 0(4131). с изм. и допол. в ред. от 03.04.2020

2. Федеральный закон "О персональных данных" от 08.07.2006 № 152 // Российская газета. 2006 г. № 0(4131). с изм. и допол. в ред. от 31.12.2017

3. Приказ Минкомсвязи России № 637 «Об утверждении Плана (дорожной карты) реализации Концепции построения и развития узкополосных беспроводных сетей связи «Интернета вещей» на территории Российской Федерации»

Научные статьи и монографии.

4. Богданова И.Ф., Богданова Н.Ф. Интернет вещей в научных исследованиях // Социология науки и технологий. 2017. №1. С. 85-95.

5. Бородин В.А. Интернет вещей - следующий этап цифровой революции // Образовательные ресурсы и технологии. 2014. №2(5). С. 178-181.

6. Козлов А.В. Интернет вещей как субсидиарная система // Государственный советник. 2019. №1. С. 10-16.

7. Пушкарев М.С. Интернет вещей (IoT): понятие и значение для формирования правовой основы цифровой трансформации экономики // Вопросы российского и международного права. 2018. Том 8. № 1А. С. 16-27.

8. Сабанов А. Некоторые проблемы обеспечения безопасности Интернета вещей // Защита информации. Инсайд. 2016. №4. С. 84-87.

9. Цветков В.Я. Информационное взаимодействие// Европейский исследователь. №11-1 (62). С. 2573-2577.

10. Шлюйкова Д.П. Большие данные: современные подходы к хранению и обработке // Наука, техника и образование. 2016. №1(19). С. 75-79.

11. Benghozi P. The Internet of Things: a New Paradigm for Regulation // Journal of Law and Economic Regulation. 2016. №1(5). Pp. 1-29.

12. Domnigo M.C. An overview of the Internet of Things for people with disabilities // Journal of Network and Computer Applications. 2012. №35. Pp. 584-596.

13. Ohm P. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization // U of Colorado Law Legal Studies Research Paper. 2010. №9-12. Pp. 1-77.

14. Pepper S.R. Regulating the Internet of Things: First Steps Toward Managing Discrimination, Privacy, Security, and Consent // Texas Law Review. 2014. Pp. 87-176.

15. Singh J., Millard C., Reed C., Cobbe J., Crowcroft J. Accountability in the IoT: Systems, Law, and Ways Forward //Computer. 2018. №7. Pp. 54-65.

Интернет-ресурсы.

16. Глава Роскомнадзора назвал печальной ситуацию с Facebook в России

17. Доктрина информационной безопасности Российской Федерации

18. Как интернет вещей меняет целые отрасли в России и мире

19. Ловушки «интернета вещей»

20. Открытая концепция. "Интернет вещей: правовые аспекты. (Российская Федерация)"

21. Прогноз долгосрочного социально-экономического развития Российской Федерации на период до 2030 года Минэкономразвития России

22. серия Y: глобальная информационная инфраструктура, аспекты протокола интернет и сети последующих поколений. Сети последующих поколений - Структура и функциональные модели архитектуры. Обзор интернета вещей.

23. Big Doctor Is Watching

24. Broken promises of privacy: responding to the surprising failure of anonymization

25. Building accountability into the Internet of Things: the IoT Databox model

26. Conclusions of the Internet of Things public consultation

27. Department for Digital, Culture, Media&Sport. Code of Practice for Consumer IoT Security.

28. Disruptive Civil Technologies. Six Technologies With Potential Impacts on US Interests Out to 2025

29. ETSI releases first globally applicable standard for consumer IoT security

30. ETSI technical specification. Cyber Security for Consumer Internet of Things

31. FTC Report on Internet of Things Urges Companies to Adopt Best Practices to Address Consumer Privacy and Security Risks

32. General Approaches for a Legal Framework

33. Gйrald santucci: the internet of things: a window to our future /

34. Government to strengthen security of internet-connected products

35. Here's the scariest part about the Internet of Things

36. Internet of Things Teddy Bear Leaked 2 Million Parent and Kids Message Recordings

37. 'Internet of threats': Q&A with Eugene Kaspersky

38. Opening Remarks of FTC Chairwoman Edith Ramirez Privacy and the IoT: Navigating Policy Issues International Consumer Electronics Show Las Vegas, Nevada January 6, 2015

39. Privacy by Design

40. Project Connected Home over IP

41. Securing the Internet of Things

42. Senate Reintroduces IoT Cybersecurity Improvement Act

43. SIoT: Securing the Internet of Things through Distributed System Analysis

44. S.734 - Internet of Things Cybersecurity Improvement Act of 2019

45. The Internet of Things. How the Next Evolution of the Internet Is Changing Everything

Размещено на Allbest.ru

...