Prywatność w IoT

| Technika

Braku prywatności w systemach Internetu Rzeczy nie należy nazywać problemem użytkowników. Jeśli występuje, to jest to po prostu błąd na etapie projektowania.

Prywatność w IoT

W świecie IoT prywatność poszczególnych użytkowników jest jednym z głównych priorytetów, zarówno dla klientów indywidualnych, jak i firm. Jednakże dla inżynierów tworzących tego typu rozwiązania, nierzadko kwestia prywatności schodzi na dalszy plan. Nie ma co się temu dziwić - przygotowanie sprytnego systemu elektronicznego, podłączonego do Internetu wiąże się z koniecznością pokonania całej masy problemów inżynierskich.

Projektanci koncentrują się na zadaniach takich, jak dopracowywanie protokołów komunikacyjnych i dobieranie idealnego standardu łączności bezprzewodowej, a więc na implementacji podstawowych elementów tworzonej infrastruktury. W efekcie łatwo jest zapomnieć o bardziej abstrakcyjnych koncepcjach, jak ochrona prywatności użytkowników.

Obawy o prywatność

Łatwo jest też pozostawić kwestię ochrony informacji na koniec - jako temat, nad którym można się zastanowić, gdy praktycznie cały system jest już gotowy. Prawda jednak jest taka, że jeśli chcemy by Internet Rzeczy się spopularyzował, to kwestie prywatności muszą być uwzględniane już od samego początku procesu projektowania. Czekanie, aż władze narzucą odgórne wymogi w tym temacie, tylko spowolni szerokie przyjęcie IoT.

Już teraz widać rosnące zainteresowanie użytkowników sposobami przechowywania, wykorzystywania i zabezpieczania prywatnych informacji w systemach IoT. Entuzjastyczny szum medialny okazuje się nieco przygasać, przenosząc punkt koncentracji właśnie na bezpieczeństwo. Badania przeprowadzone przez firmę Farnell pokazują, że nawet 64% konsumentów obawia się negatywnego wpływu technologii urządzeń noszonych na prywatność użytkowników.

Niezależnie od tego, czy te obawy są uzasadnione, trudno zaprzeczyć faktowi, że Internet Rzeczy fundamentalnie zmienia sposób, w jaki technologia zbiera i wykorzystuje nasze prywatne informacje. Poprzez praktycznie niezauważalne otoczenie naszego codziennego życia miliardami sensorów podłączonych do Internetu, ilość gromadzonych danych bezsprzecznie musi wzrosnąć. A to wzbudza poważne obawy o bezpieczeństwo tych informacji i to z kilku powodów.

Problemy prywatności w erze IoT

Po pierwsze, wraz ze wzrostem ilości danych, zwiększa się trudność ich kontrolowania. Monitorowanie i zabezpieczanie danych zbieranych za pomocą jednego urządzenia jest ogólnie proste, ale gdy liczba połączonych ze sobą urządzeń IoT będzie liczona w miliardach, sprawa stanie się niezwykle skomplikowana. I o ile już teraz opracowywane jest wiele różnorodnych standardów bezpieczeństwa, które miałyby pomóc w rozwiązaniu tej kwestii, o tyle od projektantów i inżynierów zależy, czy i jak je zaimplementują, bez pogarszania wygody użytkowania.

Po drugie, aby technologia Internetu Rzeczy była użyteczna w praktyce, urządzenia muszą móc się ze sobą komunikować, niezależnie od tego, do kogo należą. Przykładowo, samochód może potrzebować łączyć się z telefonem lub zegarkiem kierowcy, by przekazywać informacje choćby o pozostałej ilości paliwa. Ale jednocześnie może potrzebować także komunikować się z innymi pojazdami w otoczeniu, by zbierać informacje o ruchu ulicznym. Takie pożyczanie sobie informacji pochodzących od różnych, niezależnych od siebie źródeł sprawia, że trudno mówić o właścicielu tych danych i narzucać sensowne ograniczenia na ich rozprowadzanie.

W końcu, dużym wyzwaniem dla inżynierów jest upewnienie się, że zbierane dane są naprawdę potrzebne i faktycznie wolno je przekazać innym urządzeniom. Gromadzenie danych jest niezbędne do realizacji idei IoT, ale trzeba mieć pewność, że czujniki nie zapisują niepotrzebnie tego, czego nie powinny oraz że użytkownik jednoznacznie zezwolił na dzielenie się gromadzonymi informacjami z otoczeniem.

Rzeczywistość to nie świat wirtualny

Koncentracja uwagi na prywatności w rozwiązaniach IoT może wynikać z faktu, że większość technologii zbierających dane użytkowników funkcjonowała dotąd tylko w Internecie i była dostępna online. Wyszukiwarki, portale społecznościowe - to abstrakcyjne twory, stworzone w dużej mierze właśnie po to by gromadzić i prezentować dane.

Wiele z tradycyjnych praw odnoszących się do prywatności nie wydaje się mieć do nich zastosowania. Przykładowo portale społecznościowe z zasady wymagają od użytkowników, by ci zgadzali się dostarczać swoje prywatne informacje - w końcu po to zostały stworzone. W ten sposób odpowiedzialność jest przerzucana na użytkownika, który przecież zgadza się na rezygnację z prywatności. Gdyby się nie zgadzał, w ogóle nie korzystałby z danego serwisu.

Tymczasem urządzenia Internetu Rzeczy działają w prawdziwej rzeczywistości i dotyczą naszej fizycznej codzienności, a przez to ich działanie może kolidować z wieloma istniejącymi normami społecznymi.

Weźmy pod uwagę Google Glass. O ile indeksowanie stron internetowych i przechowywanie danych o zachowaniach użytkowników wydają się zbyt abstrakcyjne, aby bezpośrednio oburzały, o tyle idea noszenia na sobie kamery wideo jest już trudna do zignorowania. W efekcie, po wstępnej fazie testów, korzystanie z Google Glass zostało zakazane w samochodach, kinach, bankach, kasynach, szpitalach i restauracjach w wielu państwach. Taka reakcja na nową technologię to dobry przykład tego, co może się zdarzyć i co projektanci powinni wziąć pod uwagę podczas opracowywania nowych rozwiązań.

Wraz z coraz głębszą integracją systemów IoT z naszym życiem nie będzie już możliwe świadome rezygnowanie z korzystania z takich urządzeń. Zamiast tego, my jako projektanci musimy dać użytkownikom pewność, że dostarczany im sprzęt jest bezpieczny, a ich prywatne dane - niezagrożone.

To prawda - pewność tę można częściowo wytworzyć za pomocą odpowiedniego marketingu, ale w praktyce najlepiej by było, gdyby o prywatność dbali projektanci już od początku tworzenia systemów. Zamiast oczekiwać, że użytkownicy sami zadbają o swoją prywatność, powinniśmy budować rozwiązania, które same minimalizują ryzyko wycieku danych.

Pięć zasad

Zamiast tylko nakłaniać do zainteresowania się tematem, lepiej podać konkretne zasady, które pomogą zagwarantować odpowiedni poziom bezpieczeństwa prywatności. Zaprezentowane tu zasady zostały oryginalnie opracowane przez amerykańską Federalną Komisję Handlu i noszą miano FIPP - Fair Information Practice Principles. Składają się na nie:

  • powiadamiaj - upewnij się, że użytkownicy są świadomi, że informacje na ich temat są zbierane,
  • daj wybór - postaraj się, by użytkownik miał możliwość rezygnacji ze zbierania danych na jego temat,
  • zapewnij dostęp i dokładność - pozwól użytkownikowi podglądać zebrane informacje oraz umożliw mu poprawianie danych,
  • minimalizuj - nigdy nie zbieraj danych, które nie są potrzebne ani nie przechowuj ich dłużej niż jest to konieczne,
  • zabezpieczaj - zapewnij odpowiednie mechanizmy bezpieczeństwa, uniemożliwiające niepowołany dostęp do danych.

Powyższe zasady to co prawda tylko wskazówki, a samo ich zaimplementowanie może stanowić wyzwanie. Przykładowo, o ile pytanie na pozwolenie o udostępnienie danych na większych urządzeniach ma sens, o tyle wprowadzenie takiego pytania przy każdej okazji w urządzeniach, których są miliony staje się nierealne.

Inny problem dotyczy minimalizacji. Przechowywanie dużych ilości informacji może być po prostu kosztowne. Im dalej sięgają one wstecz, tym bardziej inteligentnie może działać korzystający z nich system.

Cliff Ortmeyer
Dyrektor Działu Marketingu
Technicznego Premier Farnell
Farnell element14

pl.farnell.com