Все большую популярность в современном мире набирают домашние устройства Интернета вещей (Internet of Things, IoT). Они предоставляют своим пользователям удобство и возможность управления устройствами внутри дома из любого места через Интернет. Однако, такой скачок популярности IoT привел к возникновению правовых вопросов, связанных с конфиденциальностью данных потребителей и их защитой.

Вопрос защиты персональных данных пользователя является одним из основных аспектов, требующих регулирования российским законодательством в области IoT. Устройства Интернета вещей собирают и обрабатывают большие объемы таких данных, включая информацию о привычках, личной жизни, предпочтениях. Их неправомерное использование приводит к нарушению прав и свобод граждан.

В данной статье мне хотелось бы подробнее обсудить существующие проблемы правового обеспечения Интернета вещей в нашей стране, разобраться в том, какие нормативно-правовые акты и как могут быть применимы в этой сфере на сегодняшний день.

Введение

Еще в 1920 году в пьесе «Р. У. Р.» («Россумские универсальные роботы») чешским писателем Карелом Чапеком был впервые упомянут термин «робот», который означал создание, состоящее из отличающихся от входящих в состав человека материалов и играющее роль рабочей силы. Тогда это была фантастика, а сегодня человек уже изобрел множество устройств, способных избавить его от лишних усилий и упростить жизнь: стиральные машинки, холодильники, умные колонки и так далее. А в совокупности все эти вещи мы называем Интернетом вещей, или IoT (Internet of Things).

Основная концепция Интернета вещей заключается в том, что несколько взаимосвязанных устройств могут собирать и передавать данные по беспроводной сети без участия человека. Помимо перечисленных выше объектов, к IoT можно отнести любое устройство, способное передавать данные по сети и имеющее IP-адрес.

Безусловно, многие бы не отказались от возможности дистанционно управлять абсолютно всеми устройствами, находящимися в вашей квартире, однако и у этой технологии есть другая сторона. Самый главный вопрос, вопрос информационной безопасности, вызывает огромное недоверие к Интернету вещей со стороны пользователя: сложно сказать, насколько защищена вся та информация, которую получают, хранят и обрабатывают устройства. 

Меня, как человека, являющегося специалистом в области информационной безопасности, интересующегося  новинками в мире информационных технологий, вопрос безопасности Интернета вещей и перечне актуальных угроз, непосредственно с ними связанных, интересовал довольно давно.

Более того, со стороны обычного потребителя, заботящегося о безопасности своих личных данных, хотелось быть пролить свет на эту тему и подробнее рассмотреть данный вопрос перед тем, как принимать решение о приобретении таких устройств.

В данной статье мне хотелось бы выделить основные риски угрозы безопасности персональных данных пользователей, а также проанализировать существующие нормативно-правовые акты Российской Федерации, применимые к вопросу регулирования сферы Интернета вещей и сделать выводы о том, какое будущее у организационно-правового обеспечения информационной безопасности данных технологий.

Какие угрозы безопасности информации, связанные с IoT, актуальны на сегодняшний день?

Как мы помним, Интернет вещей – это несколько устройств, связанным между собой посредством сети Интернет, через которую ими можно управлять. Конечно же, наличие большого количества таких устройств может привести к следующим рискам:

  • Уязвимость конфиденциальной информации за счет генерирования устройствами Интернета вещей большого объема данных

  • Риск взлома технологий Интернета вещей

  • Использование злоумышленниками подключенных устройств для прослушивания домов пользователей

  • Сбор личной информации о человеке

Последний пункт мне хотелось бы раскрыть более подробно, поскольку он непосредственно связан с нашими персональными данными и обеспечением их сохранности.

Как злоумышленники могут использовать наши личные данные против нас?

Как уже было упомянуто мной ранее, технология IoT вызывает ряд вопросов, связанных с ее правовым регулированием. Насколько безопасны устройства Интернета вещей? Кто владеет данными, которые они хранят? Как и кем они могут быть использованы? Могут ли эти данные быть использованы злоумышленниками против самих владельцев устройств?

Одной из потенциальных опасностей является возможное получение таких данных третьими лицами, после чего они могут быть проданы работодателям, страховщикам, кредиторам, другим личностям, способные использовать эти данные в своих целях. 

Так, например, получив данные, хранящиеся на IoT-устройствах, установленных на автомобилях, страховые компании, владея этой информацией, смогут давать водителям страховки с более тягостными условиями. Соответственно, в данной ситуации устройства Интернета вещей ухудшают положение пользователя перед процессом получения страховки.

Другой пример – IoT, связанные непосредственно с нашим здоровьем, например умные часы или весы. Такие устройства знают наши привычки, отслеживают физическую активность человека, пульс, сердцебиение, количество шагов. Незаконно овладев такими данными, работодатель может по своим личным предпочтениям принять решение о приеме кого-либо на работу, что не является честным по отношению к владельцу IoT-устройства.

Стоит также отметить, что если человек пользуется несколькими сразу IoT-устройствами, то это может привести к еще более серьезным последствиям. 

Как российское законодательство регулирует правовое обеспечение информационной безопасности Интернета вещей? (спойлер: никак)

К сожалению, законодательство Российской Федерации не способно в полной мере раскрыть сферу Интернета вещей, данная область правового регулирования сейчас не развита. Более того, в законодательстве нет и четкого определения, что такое Интернет вещей. Однако в прогнозе долгосрочного социально-экономического развития Российской Федерации на период до 2030 года Министерства экономического развития Российской Федерации Интернет вещей определён как «информатизация различных предметов и включение их в единую сеть сетей».

Однако, несмотря на отсутствие должного законодательства, при правовом регулировании Интернета вещей должны быть задействованы следующие нормативно-правовые акты:

Предлагаю более подробно рассмотреть данные нормативно-правовые акты

№ 152-ФЗ «О персональных данных»

Здесь следует обратить внимание на п. 3 ст. 5, в которой говорится, что недопустимо объединение баз данных тогда, когда обработка таких данных происходит в несовместимых между собой целях. В п. 2. ст. 5 также указано, что обработка персональных данных должна ограничиваться исключительно достижением конкретных, законных и определённых заранее целей. То есть, должна быть обозначена конкретная цель обработки данных человека. Более того, данные так же должны быть уничтожены или обезличены после того, как закончится срок выполнения цели обработки данных. Следовательно, в будущем производители устройств Интернета вещей должны будут в обязательном порядке ознакамливать пользователя с целями обработки персональных данных и сроках их хранения.

Ст. 6 федерального закона устанавливает обязательное наличие согласия пользователя на обработку его персональных данных, соответственно, включая данные, полученные через IoT-устройства.

№149-ФЗ «Об информации, информационных технологиях и о защите информации»

В п. 7 ст. 3 сказано, что частная жизнь человека неприкосновенна, недопустим сбор, хранение, использование и распространение частной жизни лица без его согласия. Думаю, многие из вас задались вопросом: на сбор какой информации мы даем согласие при использовании устройств Интернета вещей? 

На самом деле, учитывая весь функционал IoT-устройств, сложно сказать, какую именно информацию о человеке такое устройство способно собрать. Из этого можно сделать вывод, что в области Интернета вещей данный пункт следовало бы пересмотреть, например, закрепив, что каждый случай должен быть рассмотрен судом индивидуально.

Доктрина информационной безопасности Российской Федерации.

Эта доктрина постулирует о том, что информационные технологии расширяют свое присутствие в жизни человека, именно поэтому защита информационной безопасности граждан является интересами государства

Данная доктрина позволяет сделать вывод, что государство все больше понимает важность информационного права в нашей жизни, в том числе важность защиты информационной безопасности в области Интернета вещей, ведь количество людей, пользующихся данной технологией, возрастает. 

Государственные органы уже создают основу для разрабатывания норм в информационной сфере. Примером такой основы может послужить так называемая «дорожная карта», упомянутая в приказе Минкомсвязи России № 637 «Об утверждении Плана (дорожной карты) реализации Концепции построения и развития узкополосных беспроводных сетей связи „Интернета вещей“ на территории Российской Федерации. Она должна утвердить перечень федеральных органов исполнительной власти, ответственных за разработку и утверждение моделей угроз нарушителей для систем Интернета вещей, что уже говорит о том, что государственные органы осведомлены об этой проблеме.

Заключение

Безусловно, Интернет вещей показал нам множество пробелов в законодательстве, так как четкие меры для регулирования этой области в нем на сегодняшний день не представлены. Государство должно обратить внимание на существующие проблемы и разработать четкое правовое регулирование для решения данных проблем.

В настоящее время Интернет вещей хоть и стремительно развивается, но и таит в себе большое количество угроз нарушения информационной безопасности, в том числе проблем в области правового регулирования. 

Тезисно формулируя основные меры, которые стоит принять правительству для решения этих проблем, можно выделить следующее:

  1. Необходимо разработать и внедрить специальные требования для производителей устройств IoT, которые будут обязывать их предоставлять ясную и доступную информацию о сборе и использовании персональных данных.

  2. Вопросы, касающиеся неправомерного использования персональных данных пользователя, должны решаться индивидуально, поскольку возможный функционал Интернета вещей может непреднамеренно привести к нарушения №149-ФЗ

  3. Государство должно быть заинтересовано в регулировании Интернета вещей и информационных технологий, оказывать поддержку и внедрение методов защиты данных устройств.

Я же лично призываю вас всех быть осторожными в вопросе сохранения безопасности своих персональных данных, всегда иметь свой критический взгляд на ситуацию, рассматривать все плюсы и минусы, чтобы сделать правильный выбор.

Спасибо за то, что прочли мою статью. Искренне надеюсь, что она показалась вам полезной и интересной, что вы узнали для себя что-то новое в области правового регулирования Интернета вещей.

Комментарии (29)


  1. kulhaker478
    21.06.2023 06:46
    +1

    Объясните человеку без умного дома следующее: В чём проблема не выпускать умный дом в сеть? Оставить доступ только для какого-нибудь голосового ассистента и спать спокойно


    1. vin2809
      21.06.2023 06:46

      Вся проблема как раз в том, что "умный дом" это всегда СЕТЬ.

      Если можно прослушать ваш дом просто через сеть энергопитания, то уж про сеть связи с датчиками и устройствами управление я просто молчу.


      1. rsashka
        21.06.2023 06:46

        Сеть может быть локальной, а не публичный интернет хрен знает у кого в облаках.


    1. sav13
      21.06.2023 06:46
      +3

      Вы недооцениваете голосового ассистента. Та же Яндекс колонка - готовая прослушка для вашего дома, причем с несколькими микрофонами неплохого качества )))


    1. agat000
      21.06.2023 06:46
      +1

      Одна из причин - ПО нужно обновлять. Изначально оно все содержит "первородный грех".

      Вторая - часть ПО идет по лицензии или подписке, нужна проверка или продление.

      Третья - дом должен получать информацию извне (погода, пробки) и от хозяина (подъезжаю, включай кофейник)

      Четвертая - голосовые аськи офлайн не работают нормально.

      Пятая - производителю нужна инфа. Разумеется для улучшения качества и все такое.

      И еще десяток важных причин


    1. Kanut
      21.06.2023 06:46
      +2

      Вопрос в том что вы понимаете под "умный дом"и что вы от него ожидаете. То есть у меня в квартире была самопальная реализация рудиментарного "умного дома", которая регулировала свет и температуру. Всё великолепно работало без интернета.


      Сейчас у меня просто банально стоит дверной звонок с видеокамерой. Одна из функций, которой я очень часто пользуюсь, это общение с курьерами когда меня нет дома. Без интернета эта функция естественно работать не будет.


    1. qw1
      21.06.2023 06:46

      В чём проблема не выпускать умный дом в сеть?

      Производители оборудования сильно заинтересованы в привязке клиентов к своему облаку, поэтому большая часть решений на рынке — это онлайн.


  1. Alex500IS
    21.06.2023 06:46
    +3

    Боишься? Не покупай IoT устройства себе и в свой дом. Все твои персональные данные давно известны десяткам частных компаний и конечно же государству. А сокровенная информация о том, сколько ты времени просидел на белом "троне" нужна только тебе


    1. freeExec
      21.06.2023 06:46
      +1

      нужна только тебе

      Отнють, ведь ты там сидишь не газеты читаешь, а в телефоне залипаешь, а значит на тебя можно воздействовать.


      1. Popadanec
        21.06.2023 06:46

        Я не удивлюсь, если по сроку отсидки времени сидения в туалете, можно сделать другие, не очевидные выводы. Как о состоянии здоровья(и подсунуть в выдачу докторов/таблеток), так и о состоянии серого вещества в голове.


  1. ifap
    21.06.2023 06:46
    +1

    Какие угрозы безопасности информации, связанные с IoT, актуальны на сегодняшний день?

    Отсутствие мозгов у большинства потребителей продукции IoT: видя на экране сообщение "Требуется подключение к Интернету!" они бегут исполнять распоряжение электронного господина - волосы назад, вместо того чтобы сдать товар обратно продавцу с диагнозом "не работает". Действительно, если условному холодильнику для заморозки продуктов требуется подключение к Интернету, он именно не работает.


    1. Kanut
      21.06.2023 06:46
      +1

      Ну если быть честным, то подавляющее большинство бытовой техники, которая просит подключения к интернету, великолепно выполняет свои основные функции и без него. Но это всё равно не мешает им просить интернет :)


      Ну и часто есть ряд "комфорт- функций", которые без интернете не работают. Но опять же обычно по этой причине бытовую технику как дефектную не сдашь. Потому что продавцы тоже не дураки и такие вещи указаны при продаже.


      1. ifap
        21.06.2023 06:46
        -1

        Как сказать, как сказать... вот фитнес-браслету зачем подключение к Интернету? Более того, оно ему не нужно для выполнения ни одной из заявленных функций, но какой-нибудь MiBand просто не заработает, пока на смарт не поставишь приложение, а приложению - не разрешишь доступ в Интернет и к геолокации.


        1. Kanut
          21.06.2023 06:46
          +1

          Как сказать, как сказать… вот фитнес-браслету зачем подключение к Интернету?

          А есть фитнес-браслеты, которые это требуют? И как они к нему подключаются? Через wlan? :)


          но какой-нибудь MiBand просто не заработает, пока на смарт не поставишь приложение, а приложению — не разрешишь доступ в Интернет и к геолокации.

          Ну зачем там приложению доступ в интернет это вопрос отдельный. Учётку например валидировать или там достижения в твиттере постить.


          Геолокация это скорее проблема андроида. То есть если я не ошибаюсь, то чтобы полноценно с bluethooth работать приложению уже нужно разрешение на геолокацию.


          П.С. Я MiBand использовал до четвертой или пятой версии. И они вполне себе работали без приложения. Максимум надо было один раз в него зайти чтобы активировать браслет.


          1. ifap
            21.06.2023 06:46

            Не в обиду Вам будь сказано, но Вы тоже, из этих ;) так легко пишите: всего-то надо один раз зайти активировать... Что активировать? Что в этом недогаджете может не работать без активации? Почему один раз не пи... можно и ничего страшного? А сколько раз уже нельзя - 2, 5, при каждом включении? Так это еще впереди. Учетка мне как пользователю не нужна от слова совсем, достижение - хочу шарю, хочу - нет, браслету это никак не мешает считать мой пульс... в теории, на практике - нет, без "активации" вообще ничего не работает. Про полноценный BT не знаю, но BT-наушники у меня работают вообще без приложения: музыка звучит, плеер в смартфоне ими управляется. Какое-то приложение для них есть, но я даже не знаю зачем оно - приложение здорового производителя, который не ссыт своим потребителям в уши, что без "активации" сбора данных его продукт работать никак не может.


            1. Kanut
              21.06.2023 06:46
              +1

              Что активировать?

              Конкретно в случае с MiBand время выставить :)


              Что в этом недогаджете может не работать без активации?

              Ну вообще-то я себе слабо представляю как бы вы настраивали первые версии MiBand и считывали с них информацию без приложения :)


              Учетка мне как пользователю не нужна от слова совсем

              Тогда наверное не стоит брать фитнес-браслеты от Xiaomе.


              браслету это никак не мешает считать мой пульс… в теории, на практике — нет, без "активации" вообще ничего не работает.

              Вообще-то нет. MiBand как раз таки можно было запустить со сторонним приложением.


              А слегка пошаманив и без приложения. Но не со 100% функциональности.


              1. ifap
                21.06.2023 06:46

                Вы точно не из Xiaomi? ;)

                Что в этом недогаджете может не работать без активации?

                Ну вообще-то я себе слабо представляю как бы вы настраивали первые версии MiBand и считывали с них информацию без приложения :)

                Тогда наверное не стоит брать фитнес-браслеты от Xiaomе.

                Я и не брал - подарили, поигрался - передарил.

                А слегка пошаманив

                А оно мне надо?


                1. Kanut
                  21.06.2023 06:46
                  +1

                  Вы точно не из Xiaomi? ;)

                  Точно. Просто я в своё время баловался с первыми версиями.
                  Апишка у них простая(как минимум была) и хватало любого BLE сниффера/дебагера.

                  И не я один, в инете полно информации на эту тему.

                  И по хорошему, опять же как минимум в первых версиях, там не злой умысел и попытка вас трэкать, а банальное неумение и кривые руки у отдельных китайцев :)


                  1. ifap
                    21.06.2023 06:46

                    а банальное неумение и кривые руки у отдельных китайцев :)

                    Это объясняет (даже такому параноику, как я), почему браслету требуется специальное приложение для коммуникации со смартфоном, хотя казалось бы "чистого" BT достаточно. Но никак не объясняет необходимость "активации" без которой вот ну никак. Впрочем, ее и невозможно объяснить ничем, кроме как "для удобства пользователя, повышения степени эмэйзинга и более полного экспириенса", т.е. желанием сунуть нос в чужие данные. У меня ЕМНИП была третья версия. Впрочем, мне ее хватило чтобы понять: фитнес-браслет мне просто не нужен.


                    1. Kanut
                      21.06.2023 06:46
                      +1

                      Но никак не объясняет необходимость "активации" без которой вот ну никак.

                      "Активация" это время выставить. То есть если вы его выставляли сами пошаманив, то никакая активация через приложение не была нужна.

                      Их родное приложение в свою очередь действительно требовало создание учётной записи у Xiaome. В принципе без этого действительно можно было бы обойтись. И мне казалось что в какой-то момент это даже и убрали. Но не уверен.

                      Впрочем, мне ее хватило чтобы понять: фитнес-браслет мне просто не нужен.

                      Это другой вопрос. Я например мибанды использовал не как фитнес-браслет, а как тихий будильник и "жужжалку" при сообщениях и звонках.


                      1. ifap
                        21.06.2023 06:46

                        Кажется, я понял: у Вас были самые первые версии, которые еще не играли в "хочу все знать", моя уже просто не работала от слова никак без "активации": т.е. пока ее не сопряжешь со смартом, на котором приложение, которому открыт доступ в Тырнет и разрешен доступ к геолокации - на экране браслета будет красоваться красивый иероглиф. И на этом его функционал все. Хотя зарядить можно было и без "активации" ;)

                        Вот мне он тоже больше всего понравился как "пульт ДУ" к смартфону, но увы - мне был нужен мой пульт, а не пульт ксяоми, которым они дозволяют попользоваться и мне. Пока я их устраиваю. И если перед началом пользования я сбацаю им железный краковяк. Спасибо, на... картинка кланяющегося пингвина.jpg


                      1. Kanut
                        21.06.2023 06:46

                        Перестал ими пользоваться я на четвёртой или пятой версии. Из-за того что аккумулятор быстро садился.

                        Но к тому времени были сторонние приложения и я пользовался одним из них вместо официального. Просто потому что у него функциональность лучше была. Можно было фильтры для сообщений самому делать :)


          1. Popadanec
            21.06.2023 06:46

            По фитнес шпионам браслетам даже военные базы находили.


        1. rsashka
          21.06.2023 06:46

          Не совсем так. Доступ нужен приложению, а не браслету. После настройки браслета приложение уже не нужно и его можно выключить или удалить, а браслетом пользоваться как автономным устройством.


          1. ifap
            21.06.2023 06:46

            Доступ нужен приложению, а не браслету.

            А без приложения не включается браслет.


            1. rsashka
              21.06.2023 06:46

              Конечно плохо говорить "у меня все работает", но у меня действительно браслет работает без приложения, более того, последние версии браслетов могут даже включать/выключать настроенные будильники без приложения, чем я с удовольствием постоянно пользуюсь (завел десяток временных меток, часть из которых активирую только при необходимости).

              Если что, марка браслета Xiaomi Mi Smart Band 5 RU


              1. ifap
                21.06.2023 06:46

                Возможно, Вам достался уже активированный браслет и Вы его не сбрасывали до заводских или не перепрошивали. Нормальное состояние браслета с фабрики: неубираемая и ни на что кроме сопряжения со смартофном с установленным приложением с последующей "активацией" не реагирующая заставка. "Активировали" - дальше можно вообще забыть про смартфон, но без этого этапа умный фитнес-браслет является просто браслетом из тупого куска резины.


                1. rsashka
                  21.06.2023 06:46

                  Да, нужно активировать и после пользоваться уже без приложения. Я же про это в первом комментарии писал:

                  После настройки браслета приложение уже не нужно и его можно выключить или удалить, а браслетом пользоваться как автономным устройством.


                  1. ifap
                    21.06.2023 06:46

                    А я на это и ответил:

                    А без приложения не включается браслет.

                    Надо было написать "включается, но не работает, пока не активируешь"? ОК, виноват-с.