2018.05.08  

O zagrożeniach związanych z Internet of Things pisze się często. Wraz z rosnącą popularnością wszelkiego rodzaju sprzętu sterowanego zdalnie, rośnie również problem zabezpieczenia dostępu.

Grupa organizacji, zajmująca się bezpieczeństwem w sieci, postanowiła przygotować coś w rodzaju listy przykazań, czy też wymagań, jakie powinny spełniać urządzenia.

Czy to jest konieczne?

Po niemal permanentnych informacjach o kolejnych ujawnieniach danych, ich wykorzystywaniu bez jawnej zgody do różnych celów. Po wielu aferach, niemal co tydzień pojawiających się w prasie. Trudno nie odpowiedzieć na to pytanie twierdząco.

Chyba wszyscy się zgodzimy, że wobec coraz głośniejszych przestępstw w sieci, ważną sprawą staje się sformułowanie zasad, jakimi powinni kierować się producenci. Stąd wziął się pomysł stworzenia Digital Standard. Projekt jest otwarty, dołączyć może każdy zainteresowany tematem. Na GitHubie umieszczono całość, która znajduje się na różnych poziomach opracowania.

Niektóre z „przykazań” są już opracowane i gotowe. Niektóre są jeszcze otwarte, wymagają uzupełnienia lub przeformułowania. Pozostałe, to propozycje poddane pod dyskusję.

Jak to zrobić?

Wydaje nam się, że propozycja przedstawiona przez zespół współpracujących organizacji, jest optymalna. Nie tylko dlatego, że gromadzi ludzi zajmujących się od lat sferą prywatności i bezpieczeństwa w sieci. Przede wszystkim dlatego, że otwarte zostały drzwi do współpracy wielu osób interesujących się tematem. Zadawanie pytań, propozycje zmian, próby odpowiedzi, to wszystko pozwala na przeanalizowanie tematu z wielu różnych stron. Zaangażowanie szerokiej społeczności, daje takie gwarancje. Jak przedstawiają swój projekt pomysłodawcy:

„Digital Standard, to ambitna wspólnota, której celem jest stworzenie ram do testowania i oceniania produktów i usług na podstawie zasad prywatności, bezpieczeństwa danych.

Konsumenci dbają o cyfrową prywatność i bezpieczeństwo, ale często nie mają możliwości zrozumienia, w jaki sposób produkt lub usługa traktuje i chroni ich dane. Chociaż istnieją ustalone kryteria i testy służące do pomiaru efektywności zużycia paliwa w samochodach, odporności na awarie siedzeń samochodowych oraz efektywności energetycznej urządzeń gospodarstwa domowego, organizacje konsumenckie nie mają obecnie standardów testowania i oceny, jak dobrze produkty i usługi zarządzają prywatnością i bezpieczeństwem danych.”

Czym więc jest Digital Standard?

To zestaw testów, za pomocą których można ocenić, jak producent wdraża dobre praktyki. Odpowiedzi na pytania, pozwolą samej firmie sprawdzić, czy oprogramowanie sterujące urządzeniem, spełnia wymogi postawione w testach.

Przeciętny użytkownik, może ocenić jakość, trwałość i przydatność urządzenia poprzez jego testowanie w praktyce. Co jednak z oprogramowaniem? Nie mamy wiedzy ani nawet możliwości, aby sprawdzić, na przykład, jakie dane i w jakim celu są zbierane. Czy są przekazywane dalej, jaki mamy wgląd co się z nimi dzieje. A przecież, coraz częściej, aby zacząć cokolwiek używać, musimy podać wiele informacji na swój temat. Wiele danych zbieranych jest bez naszej wiedzy i świadomej zgody. A praktycznie każde urządzenie dostępne w sieci, może być źródłem informacji dla przestępców.

Co zawiera?

Pytania w testach dotyczą wielu dziedzin. Od jakości wykonania, niezawodności, ochrony danych po sposób dysponowania urządzeniem przez użytkownika, naprawy, reklamacje. Czy oprogramowanie jest chronione przed znanymi podatnościami, systematycznie aktualizowane i przez jaki czas. Jak producent zachowuje się, gdy zostanie wykryta nowa podatność (informuje klientów? przygotowuje łatkę? jak szybko?).

Jakie informacje o kliencie są zbierane i przechowywane, jaki ma na nie wpływ. Czy po zaprzestaniu korzystania z usługi konto wraz z danymi są ostatecznie wykasowane. A także, czy zostaniemy poinformowani, jeśli jakaś instytucja zwróci się do firmy po nasze dane.

Szczerze mówiąc, jest to bardzo ciekawa ciekawa lektura. Wiele pytań jest wręcz oczywista dla klienta. Czy dla producenta również? Czytając Digital Standard nie mogliśmy się oprzeć wrażeniu, że powinien on dotyczyć wszystkich dziedzin, nie tylko IoT, gdzie mamy do czynienia z jakimkolwiek oprogramowaniem. Naprawdę, warto spojrzeć na ten dokument, a może nawet włączyć się w proces twórczy.

 

 

 

Akademia Extel jest niekomercyjnym programem edukacyjnym kierowanym przede wszystkim do menadżerów i pracowników firm. O nowych artykułach informujemy poprzez newsletter. Napisz do nas