Prywatność w IoT

Written by Natalia Misiuk

 

Nie sposób nie zgodzić się ze słowami Arthura C. Clarke’a: „Any sufficiently advanced technology is indistinguishable from magic”, które idealnie oddają możliwości, jakie oferuje nam nowoczesna technologia. Niestety „magia” może niezauważalnie przeistoczyć się w cyberzagrożenie i niezależnie od tego, jakie środki zostały wykorzystane w celu zapewnienia cyberbezpieczeństwa, żadna istniejąca w cyberprzestrzeni infrastruktura nie jest całkowicie bezpieczna. Zarówno zdarzenia losowe, jak i celowe działania mogą prowadzić do niekontrolowanego przesyłu danych, ujawnienia poufnych informacji, ich modyfikacji, kradzieży bądź też całkowitego zniszczenia. Dlatego kwestia ochrony danych musi być brana pod uwagę również przez producentów z sektora technologicznego, mowa tutaj m.in. o internecie rzeczy (IoT).

Prywatność w fazie projektowania

IoT to koncepcja, umożliwiająca interoperacyjność różnorodnych teleinformatycznych systemów, za pośrednictwem których mogą być gromadzone, przetwarzane i wymieniane dane. Jednym z najważniejszych aspektów w obszarze IoT jest prywatność, która wymaga skrupulatnie przemyślanych rozwiązań chroniących dane zarówno biznesowe, jak i prywatne użytkowników. Kwestie związane z prywatnością powinny być uwzględnione już na etapie projektowania, zgodnie z zasadą privacy by design, w przeciwnym razie dostawcy rozwiązań mogą zostać narażeni na poważne kary finansowe i ryzyko naruszenia praw lub wolności osób fizycznych.

Analiza ryzyka i ocena skutków dla ochrony danych

W tym miejscu warto wspomnieć o analizie ryzyka, która pomoże wykazać administratorowi czy mamy do czynienia z wysokim ryzykiem, o którym mowa w art. 32 ust.1 RODO. Jeżeli przetwarzanie danych osobowych z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, konieczne będzie przeprowadzenie oceny skutków w kontekście ochrony danych osobowych.  Wyniki oceny są podstawą do określenia środków zapewnienia zgodności przetwarzania z przepisami RODO. Na stronie UODO można znaleźć informacje o narzędziu opracowanym przez francuski organ ochrony danych osobowych, które będzie pomocne w budowaniu i wykazaniu takiej zgodności. Pomocna w dokonaniu oceny skutków może być również norma ISO/IEC 29134:2017, która zawiera wytyczne w zakresie przeprowadzenia oceny wpływu pod kątem ochrony prywatności (PIA).  PIA jest szerszą koncepcją niż DPIA i dotyczy szeroko pojętej prywatności.

Badanie sektorowe dotyczące konsumenckiego internetu rzeczy

Na początku 2022 r. Komisja Europejska opublikowała sprawozdanie końcowe z badania sektorowego dotyczącego konsumenckiego internetu rzeczy, w którym wskazano między innymi główne obszary mogące budzić pewne wątpliwości. Zakres tego badania nie obejmuje przemysłowego internetu rzeczy, a wyłącznie konsumencki, który charakteryzuje się tym, że  „rodzaj danych gromadzonych przez urządzenia inteligentne zazwyczaj obejmuje dane osobowe. Można zatem oczekiwać, że rozwój tego sektora będzie miał szczególnie istotny wpływ zarówno bezpośrednio na konsumentów, jak i na całe społeczeństwo.”[1]. Ankietowani wyrazili szczególne obawy w odniesieniu do kwestii prywatności. Ich zdaniem przestrzeganie standardów ochrony prywatności danych przyczyni się do utrzymania zaufania konsumentów, poufności, dostępu do danych i ich integralności. „Ponadto ten uprzywilejowany dostęp do ogromnych ilości danych może umożliwić czołowym dostawcom asystentów głosowych poprawę jakości ich asystenta głosowego/technologii rozpoznawania głosu poprzez szkolenie algorytmiczne i uczenie maszynowe. Brak dostępu do takich danych może stwarzać bariery dla nowych podmiotów na rynku asystentów głosowych i utrudniać rozwój mniejszych konkurentów na tym rynku.”[2]. Niestety dotychczas nie stworzono odrębnych regulacji w zakresie technologii IoT, co ze względu na ciągły postęp technologiczny jest nie lada wyzwaniem legislacyjnym, jednak w niektórych rozporządzeniach, można znaleźć jednostkowe zapisy odnoszące się do tego obszaru m.in. RODO czy prawo telekomunikacyjne.

Proces monitorowania oraz zabezpieczenia informacji

Zastosowanie urządzeń technologii IoT w nowych, innowacyjnych obszarach bez wątpienia podnosi komfort życia użytkowników, jednak jest to również baza wiedzy o ich nawykach oraz zachowaniach i może nieść za sobą również potencjalne zagrożenia. Szczególnie w zastosowaniach domowych, urządzenia internetu rzeczy, ich komponenty i usługi funkcjonujące wokół nich, często są (po zakupie i instalacji przez użytkownika) pozostawione bez dalszej obsługi administracyjnej. Do chwili, gdy ich działanie nie sprawia użytkownikowi problemów, nie ingeruje on nadmiernie w ich rekonfigurację, analizę podatności na zagrożenia bezpieczeństwa, czy choćby nie aktualizuje oprogramowania układowego urządzeń IoT. Najczęściej wynika to z braku specjalistycznej wiedzy, wymaganej do zarządzania urządzeniami na poziomie administracyjnym, ale też z braku świadomości istnienia zagrożeń, daleko wykraczających poza bezpieczeństwo pojedynczego urządzenia IoT. Przejęcie kontroli nad urządzeniem IoT w sieci użytkownika, może prowadzić do przejęcia kontroli również nad pozostałymi elementami sieci, innych urządzeń i komputerów. To z kolei mogłoby być przyczyną utraty przetwarzanych w IoT danych (w tym danych wrażliwych, np. parametrów zdrowotnych użytkownika), ich kradzieży, czy też próby ingerencji w ich spójność lub w algorytmy odpowiedzialne za ich przetwarzanie. Biorąc pod uwagę, że coraz więcej wdrożeń IoT opartych będzie o mechanizmy sztucznej inteligencji, podatność urządzeń IoT na ataki będzie stanowiła olbrzymi problem. Proces monitorowania oraz zabezpieczenia informacji zgromadzonych za pomocą kilku połączonych urządzeń IoT jest sporym wyzwaniem dla projektantów, którzy przy wykorzystaniu różnych standardów bezpieczeństwa, muszą stworzyć takie urządzenie, które będzie charakteryzowało się wygodą użytkowania. Ponadto powinni upewnić się, że wszelkie dane, które będą zbierane są niezbędne, a ich przekazywanie jest konieczne do sprawnego funkcjonowania tego urządzenia.

Internet rzeczy a RODO

Proces gromadzenia danych jest nieodłącznym elementem IoT, jednak ważne jest aby użytkownik inteligentnych urządzeń miał świadomość, że jego dane są gromadzone i często przekazywane innym powiązanym urządzeniom za pomocą wbudowanych czujników i procesorów. W tym celu niezbędne jest dostarczenie użytkownikowi szczegółowych informacji o działaniu danej technologii IoT oraz tych, o których mowa w art. 13 i 14 RODO, w tym między innymi na temat administratora danych czy podmiotu przetwarzającego (procesora). Ponadto administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Urządzenia te, często w sposób autonomiczny, wykonują większość czynności, a użytkownik ma jedynie możliwość ich skonfigurowania. Dlatego istotną kwestią dotyczącą przetwarzania danych osobowych jest zgoda wyrażona przez osobę, której danej dotyczą. W przypadku IoT, problemem jest to, że brak zgody na przetwarzanie danych przez urządzenie inteligentne skutkuje ograniczeniem wielu funkcjonalności, w związku z tym, należy zadać sobie pytanie o ile zgoda udzielona przez użytkownika ma charakter dobrowolny zgodnie z art. 4 ust. 11 RODO, który mówi, że „zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. Istotna jest również kwestia, czy przetwarzanie danych w obszarze IoT, spełnia trzy zasady tj. zgodność z prawem, rzetelność i przejrzystość, zgodnie z art. 5 RODO, który mówi o tym, że „dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą”. W związku z tym, że sektor IoT należy do stale rozwijających się obszarów technologicznych, na rynek wprowadzane są często urządzenia, które nie zapewniają odpowiedniego stopnia bezpieczeństwa, a zgodnie z art. 32 RODO, „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”. Niewystarczająca wiedza, na temat praw jakie przysługują użytkownikom inteligentnych urządzeń może prowadzić do wielu nadużyć ze strony producentów, a co za tym idzie brak kontroli nad przetwarzaniem przekazanych informacji, które często stanowią dane osobowe.

Nie należy jednak zapominać, że mimo wszystko internet rzeczy jest jednym z najbardziej obiecujących kierunków rozwoju naszego kraju, który wymaga innowacyjnych koncepcji, zarówno modeli biznesowych, jak i modeli wartości.

 

[1] SPRAWOZDANIE KOMISJI DLA RADY I PARLAMENTU EUROPEJSKIEGO Sprawozdanie końcowe – Badanie sektorowe dotyczące konsumenckiego internetu rzeczy
[2] SPRAWOZDANIE KOMISJI DLA RADY I PARLAMENTU EUROPEJSKIEGO Sprawozdanie końcowe – Badanie sektorowe dotyczące konsumenckiego internetu rzeczy