Den digitala resan

Seminariedag om Internet of Things och säkerhet

IoT Sveriges seminariedag om Internet of Things och säkerhet. IoT Sverige är ett strategiskt innovationsprogram som beviljades finansiering av VINNOVA den 19 maj 2014.

Idag fokuserar IoT Sverige på Internet of Things och säkerhet. IoT Sverige är ett strategiskt innovationsprogram som beviljades finansiering av VINNOVA den 19 maj 2014. Under dagen kommer denna artikel att uppdateras kontinuerligt med seminariets diskussionspunkter.

Diskussion: IoT + Juridik (uppdaterad 4 juni 2015)

”Privacy är morgondagens kortsiktiga konkurrensfördel.”

Marie Andervin, Digital Intelligence Scandinavia AB

Vem äger data som skapas?

Man kan tro att det är företaget/organisationen som äger rätten till data som skapas, men enligt Legal Geek Girls finns det ingen juridisk rätt till data som skapas. Det finns ingen upphovsrätt för datat. Det som då blir viktigt både för organisation och användare är vad som står i avtal och allmänna villkor kring detta data.

Individens integritet är superviktigt!

Ett exempel som de berättar är om data inte lämnar app´n kan inte organisationen äga data.

Integritet – Dataskydd

Pam Storr och Christine Kirchberger, Legal Geek Girls, har tolkat att data som skapas inom IoT är personuppgifter. Då är PUL (Personuppgiftslagen) som är tillämplig och data som kan knytas till en individ har krav på sig att det måste;

  • finnas ett samtycke
  • ett tydligt syfte med varför man samlar in den specifika informationen
  • informera om vilka uppgifter som sparas samt att de
  • sparas säkert.

När data = personuppgifter är det extra viktigt att behandla data korrekt och det finns specifika regler gällande känsliga personuppgifter.

Visste du om att data kring någons hälsa är känslig personuppgift?

Organisationen måste ha tydliga syften med att spara data och uppgifterna (data) ska vara relaterade till dem. (Refererar till 9 § PUL.) När data hämtas från användares utrustning krävs det alltid samtycke + att företaget måste informera om vilken data som hämtas från användares utrustning. (Refererar till 6 kap 18 § LEK (cookies))

Säkerställa att behandlingen är tillåten (refererar till 10 § PUL) och att organisationen har rätt till data. Rätten till data beror på det avtal som görs mellan individ och organisation.

Det vill säga att du kan inte bara göra en app och tro att företaget kan använda sig utav det data som skapas hur som helst!

Säkerhet kring hur data hanteras och sparas är oerhört viktigt (refererar till 31 § PUL) och det organisationer gör idag är att man utvecklar ”Privacy by design”. Lägger in detta som en del av erbjudandet. Precis som ”Social by design”. Det är smart!

När data sparas i molnet

Här finns det lagar och regler som bestämmer hur överföring av data ska fungera. Det krävs även här ett tydligt syfte, referat till 9 § PUL, och samtycke/intresseavvägning, refererar till 10 § PUL. Organisationer måste;

  • Ge tydlig information till användaren om överföringen
  • Om molnet finns utanför EES/EU krävs ytterligare samtycke, refererar till 34 § PUL.
  • Om molntjänsteleverantören är en tredje part (till exempel Dropbox) måste ett speciellt avtal (personuppgiftsbiträdeavtal) slutas.

För att underlätta och säkerställa denna process arbetar företag med ”Privacy impact assessment (PIA)”. 

Innan ett företag sparar data i molnet behöver en enkel riskanalys genomföras och vidta lämpliga tekniska & organisatoriska, refererar till åtgärder 31 § PUL. Legal Geek Girls poängterar att man skall beakta;

  • tekniska möjligheter
  • kostnad
  • risk vid behandling
  • typ av uppgifter

 Vad gäller vid data mining & profiling

  • Samtycke (eller intresseavvägning) + tydligt syfte
  • Individens rätt till information 23 § ff PUL
  • Har organisationen rätt till data?
  • Tydlighet i hur man hanterar om data läcker ut;  ”Data Breach Notification

Innan ett företag ska börjar arbeta med datamining och profiling behöver en enkel riskanalys genomföras och vidta lämpliga tekniska & organisatoriska åtgärder (31 § PUL). Legal Geek Girls poängterar att man skall beakta;

  • tekniska möjligheter
  • kostnad
  • risk vid behandling
  • typ av uppgifter

Diskussion: IoT Security – Vad kan vi förvänta oss?

”Säkerhets teknologin är nästan färdig”

enligt Christian Rohner, lektor Uppsala Universitet.

Det finns olika lösningar, men ännu ingen standard. Detta blir ett viktigt område för IoT Sverige att arbeta vidare med. Det kommer att ställas mycket högre krav på slutanvändaren att skaffa sig ”rätt” säkerhet för sitt hem och sin personlig kommunikation.

IoT Applications är en kombination av;

  • Fysiska objekt: Saker vi kan styra i hemmet, spel och saker som är integrerat i en helhetsupplevelse på nätet

och

  • Virtuell representation: Metadata

Exempel på dessa är lampan kan blinka till när du får ett mail eller kopplar ihop sociala medier med en TV. Utmaningen är att dessa har inte samma säkerhet som etablerade tjänster på nätet, som till exempel Banktjänster.

Säkerhet kan delas upp i ;

Traditionell säkerhet

  • Communication
  • Network
  • data at rest security

Annan säkerhet:

  • platform/hardware security
  • mobile app
  • physical
  • use of enryption
  • cloud
  • network
  • software
  • use of a authentication

Det finns stöd som företag och organisationen kan börja arbeta med. Exempel på whitepapers ”Internet of Things Top Ten, Security Guidance for early adoptera of Internt of Things.

Läs gärna mer via dessa källor;

  • builditsecure.ly
  • OWASP
  • FTC, ISO
  • apple och google har även tagit fram riktlinjer

Diskussion: Hot mot samhällets säkerhet?

Visste du att;

  • Samsungs TV kan spionera på vad du säger i hemmet? Enligt Lisa Kaati kan Samsung även ge denna information vidare till en tredje part.
  • 100 000 smarta hushållsapparater har gått ihop och skickat 700 000 spam mail.

IoT Sverige arbetar med frågeställningen. De delar in samhällets säkerhet i två kategorier

  • Kritiskt infrastruktur (samhällsnivån; sjukhus, kärnkraftverk, elförsörjning, livsmedel, transport, vattenverk, telefonnät)
  • Personlig infrastruktur (en attack som påverkar en eller flera personer och hoten är oftare mot personlig integritet / privacy)

deras kommande arbete har fokus fyra områden;

  1. privacy
  2. etik
  3. lagar och etik
  4. ”teknisk” säkerhet

Diskussion: Möjligheter med Internet of Things

IoT är här och nu. Med möjligheter kommer massor av utmaningar.

50 miljarder uppkopplade enheter år 2020.

Möjligheter – det satsas mycket inom;

  • Transport: Projektet ”Drive Me” innebär att Volvo redan 2017 ska leverera 100 självkörande bilar till kunder på utvalda vägar i och omkring Göteborg
  • Hälsa: appar, lagra hälsodata kopplat till sin sjuk
  • Hem: brandlarm, uppkopplade hemmet, applösningar
  • Sjukvård: Medicinsk IoT: En fallstudie kring tekniska , kliniska och regulativa krav på IoT i akut och intensivvården. Hur kan sjukvården effektiviseras och förbättras genom att skicka data från ambulans till akutmottagningen?
  • Militärt: ”Nya drönare skiljer på vän och fiende”

Utmaningar – Övervakningssamhälle. ”Är vi på mot The Internet of Evil Things”?  Ta del av rapporten här, The Growing EoET Attack Surface.

Kort om innovationsprogrammet

Programkontoret har skapat en utlysning om förstudier för att identifiera och verifiera krav och behov inom användningsområden som är viktiga för Sverige. Resultatet av utlysningen är 7 godkända ansökningar med finansiering på över 11 mkr varav 48% finansieras av VINNOVA. Innovationsprogrammet Internet of Things har arbetat fram tre strategiska projekt som beviljats av VINNOVA. Projekten är inom;

  • Säkerhet & Robusthet
  • Utbildning
  • Samordning av IoT testbäddar.

Det strategiska innovationsprogrammet Internet of Things har genomfört första fasen av programmet och etablerat en organisation med resurser för att genomföra ett 10-årigt program. Det finns nu en strategi och programplan för att genomföra programmet åren 2015-2017.

LinkedIn IoT Sweden

19 maj, 2015

0 Responses on Seminariedag om Internet of Things och säkerhet"

Leave a Message