Już niedługo jak Nieustraszony K.I.T.T. – IoT w samochodach i nie tylko

Jakie zagrożenia rodzi Internet rzeczy ?

Internet rzeczy  (Internet of Things – IoT), czyli urządzenia komunikujące się bezprzewodowo z najbliższym w otoczeniu innym urządzeniem np. smartfonem, tabletem, smartwatchem, routerem, APT itp. Urządzenia te poprzez odpowiednią aplikację mogą przesyłać komunikaty między sobą lub w inne w dowolne miejsce na świecie. Komunikaty te mogą być również przechowywane w chmurze obliczeniowej, z którą łączy się wspomniana aplikacja.

Obawy budzi fakt nie stosowania w urządzeniach IoT odpowiednich zabezpieczeń przesyłanych danych osobowych. W ostatnim czasie właśnie urządzenia IoT posłużyły jako medium do przeprowadzenia ataków cracker polegających na blokowaniu  dostępu do usług w sieci czy też przejęcie kontroli nad zaatakowanymi urządzeniami poprzez użycie wbudowanych w nich kamer i mikrofonów. Urządzenia takie wykorzystywane są również do szpiegowania nas.

Na ile pomocne w tym wszystkim może być unijne rozporządzenie o ochronie danych osobowych RODO?

Na szczególną uwagę zasługują słowa Pani dr Edyty Bielak-Jomaa, Generalnego Inspektora Ochrony Danych Osobowych:  „W tym względzie istotne mogą być m.in. dwa mechanizmy mające na celu zwiększenie ochrony naszej prywatności – privacy by design (prywatność w fazie projektowania), zakładający, że narzędzia i usługi powinny być tak konstruowane, by od samego początku uwzględniały potrzebę ochrony prywatności obywateli, oraz privacy by default (prywatność w ustawieniach domyślnych), który odnosi się przede wszystkim do usług i aplikacji kierowanych do konsumentów.
Mechanizm ten wskazuje, iż podstawowe ustawienia powinny chronić prywatność użytkownika i dawać mu swobodę decydowania w tym zakresie. Rozwinięciem praktycznych aspektów ochrony prywatności w fazie projektowania jest zaś dokonywanie oceny ryzyka i skutków wpływu projektu na prywatność oraz poziom ochrony danych (privacy impact assessment). Do jej przeprowadzania administrator danych lub podmiot przetwarzający są zobowiązani wówczas, gdy operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów. Żeby przynosiła ona oczekiwane rezultaty, powinna być przeprowadzana, jeszcze zanim jakieś urządzenia czy systemy zostaną wprowadzone do użycia. Ważne jest, by zakres dokonywanej oceny był
szeroki i wykraczający poza problemy ściśle prawne oraz by odbywała się ona w sposób systematyczny.
Istotne znaczenie może też mieć przyjęcie koncepcji risk based approach, która zakłada, że im większe jest ryzyko związane z przetwarzaniem danych osobowych, tym większy powinien być zakres obowiązków ciążących na administratorze. W tym kontekście do zwiększonej dbałości o dane osobowe będą zobowiązani administratorzy korzystający właśnie z takich rozwiązań technologicznych, jak np. Big Data czy chmura obliczeniowa (cloud computing). O wymogu przywiązywania szczególnej wagi do zabezpieczenia danych decydowała będzie również sama treść gromadzonych informacji. Im zakres przetwarzanych danych jest szerszy, bądź znajdują się w nim dane osobowe wrażliwe, tym poziom zabezpieczenia danych powinien być wyższy.”

Jak Big Data wpływa na prywatność? Czego zabrakło w Ustawie o Policji? – wywiad z Generalnym Inspektorem Ochrony Danych Osobowych
Marcin Maj, 26.01.2016

 

IOT

 

 

 

 

 

 

 

 

 

 

 

 

Tomasz Soczyński