首页。 / 资源 / 新闻及趋势 / ISACA Now博客 / 2020 / 智能设备时代的五个常见隐私问题

智能设备时代的五个常见隐私问题

智能设备时代的五个常见隐私问题
作者: 丽贝卡·赫罗德,首席执行官,隐私 & 安全数据
发表日期: 2020年1月28日

我做过六次关于物联网(IoT)安全和隐私的主题演讲 去年在世界各地,以及许多高管演讲. 这些演讲描述了设备本身缺乏安全和隐私工程以及相关的促成因素. 在最近的假期里, 新闻广播和出版物警告了新的物联网漏洞, 通常是由于数据安全控制不足造成的 被设计到设备中,侵入数据 通过智能设备传输滥用对物联网设备中相关数据的访问. 过去一年的几篇新闻报道也警告了民族国家黑客攻击物联网设备的漏洞, 还有很多网络罪犯的活动.

今天是数据隐私日, 值得花点时间, 仔细研究一些常见的信息安全和隐私风险,这些风险存在于物联网设备中,并与之相关,这些风险导致了隐私泄露和数据安全事件的发生. 以下是物联网安全和隐私的五个常见问题领域:

1. 大多数智能设备 没有内置安全或隐私控制 保护敏感数据传输. 那些拥有控制的相对较少的公司通常没有将其设置为默认保护, 因此,那些使用它们的人没有设置安全控制, 错误地认为,既然它们被宣传为内置了安全性,那么默认情况下安全性是打开的. 然后,用户在不知不觉中让自己对未经授权的访问敞开大门.

在过去的几年里,我与数百名物联网设备和应用程序开发人员进行了交谈和评估, 我还没有发现任何智能设备制造商在他们的设备中内置了以下所有安全和隐私功能, 默认启用:

  1. 对存储和传输中的数据进行强加密
  2. 多因素身份验证
  3. 活动日志
  4. 设备管理用户界面

2. 设备供应商和制造商正在使用和共享你通过他们的设备和应用程序收集的数据. 数据不仅在供应商业务单元之间广泛共享, 还有下游的第三方, 许多设备用户会惊讶地知道. 一些例子包括其他智能设备的云站点, 政府机构, 保险公司, 执法, 数据聚合器, 数据银行, 社交媒体网站等. 一旦数据离开设备, 设备用户基本上已经失去了对如何使用和共享这些数据的所有控制.

3. 大多数智能设备默认开启了监听功能. 他们必须倾听,能够“听到”触发词,让他们进行互动. 一些设备, 比如智能音箱, 被发现不仅一直在听,而且还保留录音吗 都说了,都能听到. 尽管供应商声称这些设备可以监听并记录附近的相关对话,并将其存储在供应商的云中, 只有在触发词发出后. 我们还知道,供应商拥有庞大的人力团队,他们的工作是倾听正在发生的对话类型.

4. 通过在线连接访问设备. 大量流行的物联网设备, 包括许多用于提高物理安全性的设备, 实际上没有身份验证或加密, 并且可以很容易地通过诸如 Shodan, 允许潜在的攻击者绕过任何防火墙限制,与这些设备建立直接连接. 许多设备也存在漏洞,允许网络跟踪者未经授权的窥视.

5. 智能设备制造商/销售商都有可怕的隐私声明,这些声明含糊不清,通常告诉你,你没有权利控制自己的数据. 我查看了智能设备网站上的数十份隐私声明. 由于GDPR和 CCPA 是有效的. 然而, 在这些情况下, 该网站经常指出,这些保护措施只适用于加州和欧盟居民. 举几个例子:

a. 如隐私声明所述, 只有加州居民有权访问他们的个人数据,如果他们使用 飞利浦Hue智能灯泡.
b. Ecobee智能恒温器也提供这样的个人数据访问 只对加州居民开放.

如果你来自美国其他州, 像爱荷华州, 我住的地方, 然后根据他们隐私声明的内容, 如果你想看他们掌握的关于你的个人数据,看起来你就不走运了, 如果你想要他们给予加州居民的所有其他权利. 美国以外的公司也是如此. 那么, 根据目前的隐私声明,我不会购买飞利浦智能灯泡或Ecobee智能恒温器. 但有多少人会呢? 只要是智能设备, 以及智能设备上使用的应用程序提供商, 不因不符合标准的隐私通知而受到处罚, 他们将继续这种侵犯隐私的做法.

现在是时候采取行动,将这些风险降低到可接受的低水平, 同时也要满足许多现有的和新出现的关于隐私和数据安全控制的法律要求.

说到隐私保护……

在我写这篇文章的时候, 我收到了Fitbit的一封电子邮件(我从未订阅过他们的消息), 我从来没有使用过Fitbit). 它包含以下图像:

Fitbit消息

当我看到这些数据时,我想知道很多事情,包括:

  • 所有这些步骤都可以分解并归结为具体的个人吗?
  • Fitbit用户活动的所有位置都能被追踪到吗?
  • 活动的具体时间能否与每个人联系起来?
  • 所有这些信息都可以共享吗, 没有个人的知识, 与他人, 比如执法部门, 保险公司, 雇主, 和其他人?

我已经知道这些问题的答案是 是的. 当然.

我很乐意看到一家研究公司, 甚至可能是一所大学或ISACA这样的协会, 跟踪和记录, 在某种类型的目录中, 智能设备有:

  1. 独立验证他们是否有适当的隐私和安全设计以及数据处理实践, 和
  2. 隐私政策不仅易于理解, 同时也反映了组织的实际做法, 并符合所有法律合规要求.

要求智能设备澳门赌场官方下载在他们的设备中建立安全和隐私控制是不是太过分了, 并在发布的隐私通知中向消费者提供有关其隐私实践的准确信息? 目前看来,这个问题肯定太过分了,因为在我承认的短暂(大约四个小时)的网上搜索中,我找不到任何符合这些合理隐私理想的智能设备隐私通知的例子.

我对2020年的希望是:找到至少10个智能设备, 来自10家不同的设备制造公司, 这涉及到之前概述的所有隐私保护和实践. 这些早该是时候了 数十亿存在隐私和安全漏洞的物联网设备 待修复.

ISACA年度报告

2024
复选标记

2023
复选标记

2022
复选标记

2021
复选标记

2020
复选标记