Некит Екатерина Георгиевна,
К.ю.н., доцент, доцент кафедры гражданского права
Национального университета «Одесская юридическая академия»
Что такое «Интернет вещей»?
Под «Интернетом вещей» (Іnternet of Things — IoT) сегодня понимают совокупность физических или виртуальных объектов («вещей»), которые подключены к Интернету и имеют такие технологии для взаимодействия между собой и с окружающей средой, которые позволяют им выполнять определенные действия без вмешательства человека.
Количество устройств, подключенных к Интернету, беспрестанно растет. Если в 2003 г. к Интернету были подключены 500 миллионов устройств, то уже в 2010 г. их количество выросло до 12,5 миллиардов, а до 2025 года прогнозируется подключение к Интернету 75 миллиардов устройств. То есть практически все вещи вокруг нас могут стать узлами «Интернета вещей».
Проблемы «Интернета вещей»
Конечно, при таких прогнозах одной из наиболее глобальных проблем, которые необходимо сегодня решать, является проблема ответственности за вред, причиненный устройствами, которые входят в систему IoT. Это достаточно сложный вопрос, поскольку существует несколько взаимодействующих между собой компонентов, в результате использования которых причиняется вред, и права на них могут принадлежать разным субъектам. Но оставлять этот вопрос нерешенным нельзя, поскольку количество случаев совершения киберпреступлений с использованием «Интернета вещей» неуклонно растет.
Причина, по которой объекты, входящие в «Интернет вещей», чаще используются хакерами для злоумышленных действий, заключается в том, что такие объекты обычно гораздо хуже защищены от взломов, чем компьютеры, поскольку такая защита существенно повышала бы их себестоимость. Примером киберпреступления с использование объектов из системы «Интернета вещей» может служить выявленная в июне 2016 г. так называемая ботнет (зомби-сеть), состоящая из более чем 25 тысяч городских и частных камер и использованная хакерами для осуществления DDoS-атак. Такая ситуация становится возможной благодаря тому, что более чем 70% устройств, которые входят в «Интернет вещей», имеют уязвимости, в 60% из них — опасный web-интерфейс. При этом большинство из них имеет доступ к персональным данным своих собственников, таких как адрес, e-mail и даже банковский счет. Часто это связано с тем, что производители, пытаясь уменьшить свои расходы, радикально экономят на обеспечении безопасности. Например, поставщики дешевых камер практически игнорируют включение в свои продукты средств защиты, поскольку, по их оценкам, для большинства пользователей камер низкая стоимость намного важнее.
Когда нужно бояться холодильника?
Другим примером недобросовестного подхода производителей к защите устройств, которые становятся элементами «Интернета вещей», может стать ситуация с взломом холодильника Sumsung, у которого специалистам по безопасности удалось получить данные от аккаунта Gmail. Это стало возможным, потому что компания-производитель не позаботилась о правильной проверке сертификата SSL при установлении защищенного соединения с сервером Google. Несмотря на то, что в холодильнике была реализована поддержка SSL, проверка сертификата де-факто не осуществлялась, что делало возможным проведение атаки MiTM. С учетом того, что устройство подключалось к Сети через Wi-Fi, такую атаку можно было провести из-за пределов квартиры, от соседей или даже с улицы.
Мировая практика судебной защиты по делам об «Интернете вещей»
Сегодня уже существуют случаи обращения с исками в суд ввиду необеспечения надлежащей безопасности устройств, которые входят в систему «Интернета вещей». Так, 9 января 2017 г. Федеральная торговая комиссия США подала иск против тайванской компании D-link за то, что производитель не обеспечил безопасность своих продуктов, оставив их уязвимыми для хакерских атак. В соответствии с исковым заявлением, D-link не реализовала необходимые механизмы защиты в маршрутизаторах и видеокамерах, которые подключаются к Интернету, и этим поставила под угрозу безопасность тысяч потребителей. Причиной обращения в суд стало использование киберпреступниками незащищенных устройств «Интернета вещей» для создания ботнетов, которые использовались для мощных ddos-атак. К таким, в частности, относится ботнет Mirai (с японского — будущее), которая состоит из маршрутизаторов, веб-камер и видеорегистраторов, с ненадежными заводскими паролями, с помощью которой были осуществлены наиболее сильные за всю историю ddos-атаки. При этом D-link с помощью рекламы ввела пользователей в заблуждение относительно безопасности своих продуктов, утверждая, что были приняты все меры безопасности против известных угроз, в том числе неизменяемых паролей. Поэтому, в силу того что производитель не позаботился о безопасности своего программного обеспечения, его продукция позволяла хакерам следить за местонахождением пользователей с целью осуществления краж или других преступлений.
Способы профилактики вреда, причиняемого «Интернетом вещей»
Для предотвращения таких ситуаций исследователи проблем кибербезопасности подчеркивают необходимость взятия профессиональным содружеством ответственности по этому вопросу, в том числе осуществлять давление на потребителей. Инструментами такого давления называют государственные регулятивные органы и общества по защите прав потребителей. Так, отвечая на такого рода инициативы, Федеральная торговая комиссия США провела более пятидесяти дел относительно компаний, которые не обеспечивают достаточного уровня защищенности сетей, продуктов и сервисов, используемых ими, и провела серию семинаров Start With Security, посвященных необходимости включать разработку методов обеспечения приватности и безопасного использования на ранние этапы разработки продуктов.
Кроме регулятивных действий в этой сфере, обсуждается и возможность саморегулирования, что способствовало бы развитию IoT, не сдерживая развития инновационных технологий. Такая альтернатива возможна путем введения системы сертификации, как в Национальном управлении безопасности на транспорте в США. О необходимости сертификации IoT-гаджетов говорят и специалисты в сфере IoT. В частности, об этом было заявлено специалистом по разработке программного обеспечения, председателем SF Internet Society IoT Working Group Г. Шпигельмоком. По его словам, если представить себе все ІоТ-устройства как движение по одной дороге, то сегодня складывается ситуация, при которой каждый из производителей считает, что он является единственным, кто двигается по этой дороге. Тогда как в действительности дорога одна, а машин много, и все они двигаются по этой дороге, разделяя ресурсы — внешний IP-адрес, Wi-Fi, радиочастоты. И раньше или позже эти машины начнут сталкиваться, конфликтовать между собой. Поэтому необходимо согласовать их сосуществование путем введения открытой сертификации ІоТ-продуктов. Сертификация поможет дать гарантию, что то или иное устройство не является очевидно доступным для первого хакера.
Ключевые концепции безопасности в сфере IoT были обсуждены в рамках мероприятия RightsCon, это, в частности, безопасность данных, разделение обновлений безопасности и функциональности, обновлений безопасности для разумного срока службы данного продукта, и более широкая цифровая безопасность — с использованием шифровки и информационной безопасности для обеспечения конфиденциальности и целостности устройств, служб и данных, которые они создают. Было подчеркнуто, что, несмотря на то что государство может осуществлять некоторые средства защиты прав человека, компании также должны активизировать и вводить средства защиты на уровне программного и/или аппаратного обеспечения, и, конечно, сами пользователи должны иметь возможность выстраивать собственную защиту. Это требует устойчивого сотрудничества между гражданским обществом, группами по защите прав потребителей и технологическими компаниями.
Следовательно, среди мероприятий по обеспечению информационной безопасности в сфере IoT и профилактики причинения вреда «Интернетом вещей» в первую очередь необходимо выделить саморегулирование, которое должно обеспечиваться с помощью тесного сотрудничества технологических компаний и гражданского общества. Это минимизирует вмешательство государства в эту сферу, что будет содействовать быстрому развитию инновационных технологий. Возникает лишь потребность в правовом регулировании отношений между гражданским обществом, организациями по защите прав потребителей и технологическими компаниями. Прежде всего усилия должны быть направлены на охрану прав человека от нарушений, связанных с функционированием «Интернета вещей», что предусматривает необходимость профилактики таких нарушений путем контроля за установлением надлежащего защитного программного обеспечения на все устройства, которые входят в экосистему IoT.
Условия возмещения вреда, причиненного «Интернетом вещей»
Проблема защиты прав человека и возмещения вреда, причиненного «Интернетом вещей», возникает уже в случае, когда состоялся факт правонарушения. Здесь следует учесть, что условия возмещения вреда, причиненного устройством, входящим в «Интернет вещей», будут включать:
1) наличие вреда;
2) противоправность поведения причинителя вреда (которым будет выступать производитель устройства), выраженная в непринятии мер по обеспечению безопасности устройства;
3) причинная связь между поведением причинителя и вредом;
4) вина причинителя вреда.
Следует отметить также, что при определении размера вреда, причиненного устройством, подключенным к системе «Интернета вещей», необходимо учитывать вину потребителя за неприменение средств обеспечения личной безопасности, если производитель предупредил о необходимости применения таких мер. Кроме того, целесообразно возложить на потребителей обязанность применять все возможные меры безопасности, поскольку здесь вступает в силу правило о необходимости учета общественных интересов при использовании собственности, поскольку в этом случае собственность (устройства, включенные в систему «Интернета вещей») может использоваться злоумышленниками с целью совершения преступлений, то есть несет в себе угрозу интересам государства и общества.
Блог отражает исключительно точку зрения автора. Текст блога не претендует на объективность и всесторонность освещения темы, о которой идет речь.
Мнение редакции «Судебно-юридической газеты» может не совпадать с точкой зрения автора. Редакция не несет ответственность за достоверность и толкование приведенной информации и выполняет исключительно роль носителя.