文章发表于2020-12-30 10:39:40,归属【信息安全】分类,已有1307人阅读
毫无疑问,物联网(IoT)为我们提供了前所未有的便利和快捷。我们已经习惯了物联网设备,它们已经成为我们日常生活中不可或缺的一部分。撇开实用程序不谈,我们来看看相关的隐私风险。
物联网指的是普通家庭或个人设备通过互联网相互连接。物联网设备通常配备传感器,能够与其他设备通信和交换数据,并可以远程控制。物联网设备的例子包括智能手表、智能电视、人工智能家庭助手、联网汽车和智能灯柱等。物联网设备是“智能生活”和“智能城市”不可或缺的组成部分。物联网设备的核心功能包括数据的收集和传输,通常还包括某些级别的自动监控和决策。
许多物联网设备,如可穿戴设备、智能电视和家用电器,都有能力收集关于个人健康、运动、习惯和私人生活的大量私人信息。将通过不同物联网设备收集的信息拼合在一起,可以构建物联网用户的配置文件。对物联网设备的跟踪可能相当于对用户的行为跟踪。
有些智能设备收集的数据是合法的,如智能电表能源消耗数据收集是受美国宪法第四修正案保护。尽管如此,个人往往不知道数据正在由物联网设备收集,收集的目的和数据可能在哪里保存。在有关个人资料的重要资料方面,几乎没有向使用者提供透明和适当的通知。
根据法律规定,机构(资料使用者)有义务以合法及公平的方式收集资料。消费者(数据主体)必须被告知数据将被用于何种目的,以及任何数据转移给第三方的可能性。数据的收集不能秘密进行。资料使用者在二次使用个人资料(例如资料当事人的概要分析及广告)时,必须取得资料当事人的同意。
数据安全是与物联网相关的另一个棘手问题。由于物联网设备相对便宜,制造商和用户可能没有在设备中安装足够的安全措施。在许多设备相互连接的物联网生态系统中,整个系统的安全级别可能只与最弱的接入点一样强。黑客可能会首先侵入不安全的物联网设备,从而侵入信息系统。黑客也可能通过控制数千或数百万被破坏的物联网设备来发起分布式拒绝服务(DDoS)攻击。由香港计算机应急响应小组协调中心发布的《2018年香港信息安全展望》数据证实,物联网攻击明显呈上升趋势。根据《资料保安条例》第4条(资料保安),机构有义务采取一切切实可行的措施,确保受其控制的个人资料受到保护,不会在未经授权或意外的情况下被查阅、使用或遗失。安全措施应与任何潜在违约的危害风险成比例。
我们作为独立的物联网设备用户也应该对我们的物联网设备的安全设置保持警惕。例如,前段时间,很多摄像头被黑客入侵,导致设备用户的家庭生活被网络直播。为了避免被偷窥,我们可以简单地将网络摄像头(和其他物联网设备)的登录凭证从出厂默认改为用户定制的。
为了从源头上解决安全问题,我们非常鼓励物联网设备制造商在设计时采用隐私保护做法,而消费者只部署那些包含此类设计的物联网设备。