Internet Rzeczy (IoT) wykracza poza bycie po prostu tendencją na przestrzeni ostatnich lat. Odpowiednio wykorzystany, IoT ma potencjał, aby poprawić jakość życia. Jednak rosnąca popularność Internetu Rzeczy sprawia, że ​​jest to nowa droga do skutecznych cyberataków. Według badań przeprowadzonych przez Gartnera, prawie 20 procent organizacji zaobserwowało przynajmniej jeden atak z wykorzystaniem Internetu Rzeczy w ciągu ostatnich trzech lat.

Obecnie większa odpowiedzialność za bezpieczeństwo urządzeń IoT w dużym stopniu spada na użytkowników urządzeń i aplikacji IoT, czy na organizacje, czy osoby prywatne. Według tej samej ankiety organizacje przewidują, że wydadzą 1,5 miliarda dolarów amerykańskich na bezpieczeństwo Internetu przedmiotów w 2018 r., co stanowi 28-procentowy wzrost w stosunku do 1,2 miliarda dolarów w 2017 roku.

Dzięki miliardom urządzeń IoT już w użyciu i powszechnym dostępie do Internetu bezpieczeństwo jest kwestią wymagającą większej uwagi. Oprócz środków, które organizacje muszą już podejmować w celu zachowania i zabezpieczenia własnych systemów IoT, wszechstronne podejście za pomocą przepisów może pomóc w zapewnieniu maksymalnej ochrony.

Bezpieczeństwo jako wspólna odpowiedzialność

Regulacja prawna może odegrać kluczową rolę. Organy regulacyjne mogą narzucić wspólną odpowiedzialność za Internet Rzeczy, zaczynając od producentów urządzeń IoT, a także angażując ich użytkowników. Po ustaleniu zasad można również wyjaśnić odpowiedzialność w odniesieniu do niewystarczających zabezpieczeń urządzeń IoT. Odpowiedzialność może być silnym bodźcem dla producentów do ciągłego podnoszenia poziomu bezpieczeństwa i może chronić użytkowników w przypadku naruszenia ich danych i innych zdarzeń związanych z inteligentnymi urządzeniami.

Wpływ rządu poprzez odpowiednie regulacje może pomóc stworzyć “kulturę” bezpieczeństwa w odniesieniu do systemów Internetu Rzeczy. Regulacje mogą promować najlepsze praktyki i wiodące zasady dotyczące opracowywania i wdrażania urządzeń Internetu Rzeczy.

Dostosowanie do przepisów o ochronie danych

IoT to sieć urządzeń i innych podmiotów, która zajmuje się głównie odbiorem i udostępnianiem danych w celu wykonania zautomatyzowanych zadań. Jako taki wchodzi w zakres innych regulacji dotyczących danych.

Szczególnie istotną regulacją dotyczącą danych, na którą zwraca się szczególną uwagę w tym roku, jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), opracowane przez Unię Europejską. Dzięki szerszej definicji danych osobowych i ściślejszej kontroli podmiotów operujących na danych, niektóre praktyki dotyczące przetwarzania danych z wykorzystaniem systemów Internetu Rzeczy mogą być wątpliwe. Zgodnie z RODO, użytkownik musi wyrazić zgodę zanim będzie możliwe przetwarzanie jego danych. Oznacza to, że dostawcy usług oraz producenci urządzeń IoT muszą zadbać o to, aby użytkownik mógł wyrazić zgodę na przetwarzanie danych. Ze względu na to, jak działa IoT, może to być jednak trudniejsze niż się wydaje.

RODO kładzie również nacisk na bezpieczeństwo i prywatność danych, z aspektem “poszanowania prywatności od samego początku i domyślnie”. Stosowany w systemach IoT niniejszy aspekt regulacji wymaga dokładnego przemyślenia polityki prywatności i bezpieczeństwa urządzeń IoT już na etapie ich opracowywania.

Przepisy takie jak RODO stosują szersze terminy i nie mają konkretnych wymagań dotyczących metod stosowanych w celu zapewnienia prywatności i bezpieczeństwa. Stworzenie reguł i standardów dla urządzeń IoT, tj. regulacji zgodnych z wymaganiami RODO, może pomóc uprościć przestrzeganie regulacji przez organizacje, które opracowują rozwiązania IoT.

Aktualne przepisy i wytyczne IoT

W Stanach Zjednoczonych Federalna Komisja ds. Handlu (FTC) opublikowała zbiór wytycznych, które firmy powinny stosować, aby lepiej chronić prywatność i bezpieczeństwo konsumentów. Wytyczne FTC zawierają zalecenia, w tym stosowanie wielu warstw zabezpieczeń, a także bezpieczeństwo z założenia. Wielka Brytania opublikowała także zestaw wskazówek, dzięki którym urządzenia podłączone do Internetu są bezpieczniejsze, co więcej, opublikowano raport dotyczący prywatności w fazie projektowania urządzeń Internetu Rzeczy.

Stany Zjednoczone podjęły się pracy nad ustawą dotyczącą bezpieczeństwa w Internecie. Ustawa nie nakłada bezpośrednich wymagań na producentów urządzeń IoT, ale sprawia, że agencje rządowe włączają klauzule do swoich umów, które wymagają funkcji bezpieczeństwa dla wszelkich urządzeń IoT, które będą nabyte przez rząd USA.

W międzyczasie UE ma swoją dyrektywę dotyczącą bezpieczeństwa sieci i systemów informatycznych, co może mieć wpływ na Internet Rzeczy. Przepisy te dotyczą państw członkowskich UE i mają na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa. Dyrektywa uznaje w ten sposób znaczenie Internetu w ułatwianiu przepływu towarów i usług.

Dobre praktyki

Przepisy, jeśli opracowane skutecznie, mogą skłonić branże do podjęcia inicjatyw w zakresie bezpieczeństwa Internetu Rzeczy poprzez politykę promującą odpowiedzialność i wymianę informacji między wszystkimi podmiotami, które mają swój udział w zakresie IoT. W międzyczasie, chociaż niektóre przepisy mogące dotyczyć Internetu Rzeczy nie zostały opracowane, najlepsze praktyki w zakresie obsługi urządzeń IoT są niezwykle istotne dla wszystkich stron zainteresowanych wykorzystaniem IoT. Organizacje muszą już teraz podejmować działania w celu ochrony swoich systemów IoT, aby pomóc utrzymać zarówno funkcjonalność, jak i bezpieczeństwo.