Jucăriile inteligente și securitatea cibernetică – două povești paralele, uneori

Jucăriile inteligente și securitatea cibernetică – două povești paralele, uneori

Cazul Germaniei, care acum mai puțin de o lună a interzis vânzarea ceasurilor smart pentru copii, readuce în discuție o problemă delicată: câtă importanță acordă producătorii de dispozitive inteligente protejării vieții private a utilizatorilor. Motivul interzicerii acestor ceasuri este acela că pot înregistra și transmite conținut audio din mediul unde se află copilul, fără ca acest lucru să fie vizibil. Prin urmare, sunt considerate sisteme de transmisie neautorizate.

Lipsa de grijă cu care sunt tratate datele personale ale utilizatorilor de jucării inteligente a devenit de notorietate după mai multe incidente neplăcute, apărute din cauza producătorilor. Unul dintre aceste atacuri a vizat VTech, în 2015, în urma lui fiind expuse datele personale a peste 6 milioane de clienți, printre care fotografii și conversații. Anul trecut am avut un alt exemplu de gestionare necorespunzătoare a datelor, din partea producătorilor unui ursuleț inteligent: 800.000 de conturi ale utilizatorilor au fost capturate de hackeri, care ulterior au cerut și răscumpărare pentru ele. Atacul nici măcar nu a fost unul foarte sofisticat: informațiile erau păstrate într-o bază de date neprotejată, ceea ce a făcut posibilă accesarea lor foarte facilă. Ursulețul respectiv permitea schimbul de mesaje între copii și părinții aflați la distanță. Chiar dacă, la prima vedere, nu este vorba de “secrete” importante, sunt lucruri care țin de viața personală a utilizatorilor, pe care nu le-ar dori nimeni expuse în văzul tuturor. Tocmai pe acest lucru se bazează infractorii cibernetici atunci când atacă utilizatorii de jucării inteligente.

Revenind la cazul ceasurilor smart din Germania, situația este delicată și se reduce, până la urmă, la o alegere dificilă pentru mulți utilizatori: control/siguranță versus protejarea vieții private. Însă, posibilitatea ca datele pe care le oferi de bunăvoie pentru un plus de siguranță să ajungă la persoane rău intenționate, complică un pic lucrurile. În exemplul din Germania, este vorba de ceva mai mult decât datele utilizatorilor: de dreptul la viață privată al celor din jurul copiilor, care și ei ar fi înregistrați fără cunoștința sau consimțământul lor.

[readmore]

Cei care aleg controlul din partea unui terț, în detrimentul vieții private, trebuie să își pună întotdeauna întrebarea cât de sigur este sistemul care le preia datele personale și dacă ar fi dispuși ca aceste date să ajungă publice. Dacă răspunsul la ultima întrebare este da, înseamnă că este o alegere asumată. Dacă, însă, răspunsul este nu, ar fi bine să fie urmat de o serie de alte întrebări și de o mică cercetare:

  • Este un produs de care am absolută nevoie?
  • Producătorul de la care urmează să cumpăr jucăria inteligentă sau alt dispozitiv conectat are o reputație bună?
  • A trecut prin episoade similare celor de mai sus?
  • Ce măsuri a luat?

Dacă utilizatorul ajunge în etapa în care a luat deja decizia de cumpărare, nu strică să verifice cu atenție funcțiile obiectului respectiv, pentru a vedea dacă nu poate dezactiva unele funcții ce implică transmisiuni de date către terți. Abia după aceea putem vorbi de o alegere documentată și asumată – mai ales în cazul jucăriilor inteligente, unde alegerea o fac părinții pentru copiii lor, care nu sunt încă în măsură să aleagă.

La rândul lor, producătorii trebuie să fie mult mai responsabili, iar noul regulament privind protecția datelor personale, care intră în vigoare din mai 2018, cred că va fi un impuls serios pentru a lua măsuri. În cazul multor dispozitive IoT noi pe piață, securitatea este lăsată de cele mai multe ori în plan secundar sau ignorată complet. Acest lucru trebuie să se schimbe pentru ca atacuri de genul celor menționate mai sus să nu mai fie posibile. Până la urmă, chiar dacă este vorba de jucării inteligente, nu ar trebui să-și imagineze nimeni că și siguranța poate fi luată în joacă.

Dan Demeter
Articol scris de
Dan Demeter
Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile informatice asupra sistemelor IoT.
Comentarii
Dan Demeter
12:00 / 10.12.2017