خبرگزاری مهر در گزارش به بررسی چالشهای امنیتی اینترنت اشیا پرداخت.
به گزارش گرداب، گجتهای هوشمند در گوشه و کنار خانه و حتی دستگاههایی که سلامت انسان را رصد میکنند، ابزارهای پیچیدهای هستند که بیسروصدا کوچکترین حرکات و رفتار کاربران را تحت نظر دارند.
آیا تا به حال احساس کردهاید که یک نفر شما را تماشا میکند؟ بر میگردید و پشت سرتان هیچ نکته غیر معمولی نمیبینید. اما در عصر دیجیتال و با توجه به آنکه فرد در کجا قرار دارد، ممکن است این احتمال چندان دور از ذهن نباشد. در حال حاضر میلیاردها ابزار با حسگرهای مختلف در اطراف افراد وجود دارند. جالب آنکه برخی از آنها جلوی چشمان فرد داخل تلویزیون، یخچال، خودرو و دفتر کار مخفی شدهاند.
این ابزارها دانشی بسیار زیاد درباره کاربر دارند و بسیاری از آنها اطلاعات را در اینترنت به اشتراک میگذارند.
در سال ۲۰۰۷ میلادی به سختی تصور میشد انقلابی که اپها و سرویسهای موبایل آغاز کردهاند به کجا منتهی میشود، اما این دگرگونی بهایی داشت، بهای سنگین نفوذ به حریم خصوصی و از دست دادن آن. در این انقلاب همانطور که محققان رایانشی که مدیریت داده و حریم خصوصی را پیش بینی کردند، اینترنت به تمام دستگاهها در خانهها، دفاتر کار و شهرها گسترده شده و حریم خصوصی بیش از پیش در معرض خطر گرفته است.
اینترنت اشیا راهی برای تسهیل زندگی یا نفوذ به زندگی خصوصی
دستگاههای مختلف کاربر، خانه و خودروها طوری طراحی شدهاند تا زندگی فرد سادهتر شود و فعالیتهای روزانه به طور اتوماتیک انجام شود. با روشن و خاموش کردن لامپها هنگام ورود و خروج از اتاق به شما یادآوری میشود گوجه فرنگیهای گوشه یخچالتان کمی دیگر فاسد میشود، دمای خانه به دلخواه خود و بر اساس آب و هوا و ترجیح هریک از اعضای خانه شخصی سازی میشود.
برای انجام دادن این کارها وسایل خانه باید به اینترنت مرتبط باشند تا با یکدیگر ارتباط برقرار کنند و دادهها را به اشتراک بگذارند. بدون دسترسی به اینترنت، ترموستات هوشمند خانه میتواند دادهها درباره فرد را جمعآوری کند، اما نمیداند پیش بینی وضعیت آب و هوا چیست و این وضعیت به اندازه کافی قدرتمند نیست تا تمام اطلاعات را فرآوری کند و تصمیم بگیرد.
اما مسئله فقط این نیست که وسایل خانه به وسیله اینترنت با یکدیگر ارتباط برقرار میکنند. فروشگاهها و دفاتر کاری و شهرها نیز در حال هوشمندتر شدن هستند و دستگاههای هوشمند در این اماکن الزامات خاصی دارند. در حقیقت اینترنت اشیا هم اکنون به طور گسترده در حمل و نقل و لجستیک، کشاورزی و صنعت اتوماسیون به کار میرود. در سال ۲۰۱۸ میلادی حدود ۲۲ میلیارد دستگاه متصل به اینترنت در سراسر جهان وجود داشتند و پیش بینی میشود این رقم تا ۲۰۳۰ میلادی به ۵۰ میلیارد دستگاه برسد.
دستگاههای هوشمند از ما چه میدانند
دستگاههای هوشمند طیف وسیعی از اطلاعات کاربران را جمعآوری میکنند. دوربینهای امنیتی و دستیارهای هوشمند در حقیقت دوربین و میکروفونهایی در خانه افراد هستند و اطلاعات ویدئویی و صوتی درباره حضور و فعالیتهای کاربر در خانه جمعآوری میکنند. از سوی دیگر دستگاههایی مانند تلویزیونهای هوشمند از دوربین و میکروفونها برای جاسوسی از کاربران، لامپهای هوشمند برای ردیابی خواب و ضربان قلب، جاروبرقی هوشمند برای شناسایی اشیای موجود در خانه و ایجاد نقشهای از موقعیت مکانی آنها در آنجا استفاده میکند.
گاهی اوقات نظارت بر زندگی فرد به عنوان یک ویژگی به عاملی برای بازاریابی و تبلیغات تبدیل میشود. مثلاً برخی روترهای وای فای میتوانند اطلاعات درباره مکان کاربر در خانه فراهم کنند و حتی با دستگاههای خانه هماهنگ شوند تا حرکات وی را حس کنند.
تولید کنندگان دستگاهها به طور معمول وعده میدهند فقط سیستمهای تصمیم خودکار هستند و انسانها دیگر نمیتوانند دادهها را رصد کنند. اما همیشه قضیه اینطور نیست. به عنوان مثال کارمندان آمازون به برخی از محاورات با الکسا (دستیار هوشمند) گوش میکردند و آنها را نوشته و تفسیر میکردند و سپس به سیستمهای تصمیمگیری خودکار ارائه میدادند.
اما حتی محدود کردن دسترسی به دادههای خصوصی به سیستمهای تصمیمگیری خودکار میتواند پیامدهای ناخواستهای داشته باشد. هرگونه اطلاعاتی که در اینترنت به اشتراک گذاشته میشود در معرض خطر دسترسی هکرها در هر گوشه دنیا قرار دارد و تعداد کمی از دستگاههای متصل به اینترنت ایمن هستند.
این در حالی است که گوشیهای موبایل نیز به ابزاری برای رصد افراد تبدیل شدهاند. علاوه بر حسگرهای مختلف مانند مکانیاب که در این دستگاهها نصب شده، میکروفونها و دوربینهای آنها میتوانند اطلاعات افراد را جمع آوری کنند و با توجه به آنها تبلیغات هدفمند انجام دهند یا این اطلاعات را به همتایان و شرکتهای ثالث دیگر بفروشند. همچنین الگوریتمهای نوشته شده برای موبایلها با توجه به اطلاعاتی که از میکروفون، دوربین و حسگرهای مختلف جمعآوری میشود، محتواهای مختلفی را به کاربر پیشنهاد میکند.
هیلی تسوکایاما یکی از فعالان قانونگذاری در بنیاد Electronic Frontier Foundation معتقد است در آمریکا محدودیتهای اندکی درباره شیوه استفاده شرکتها از دادههای کاربران وجود دارد و این امر نقطه شروعی برای فعالیتهای این بنیاد به حساب میآید. او از افراد میخواهد هنگام خرید کادوهای الکترونیک برای دوستان و خانواده حریم خصوصی را در نظر بگیرید.
او در اینباره میگوید: به اطلاعاتی که جمعآوری میشود، فکر کنید و اینکه چقدر از اینکه اطلاعات جمعآوری شده در شرکتهای دیگر جریان مییابد و آن را به اشتراک میگذارند. آنها مجبور نیستند به شما بگویند چه چیزی را و به چه دلیل به اشتراک میگذارند.
چنین دستگاههایی ممکن است دستگاههای هوشمندی نظیر ردیابهای سلامت و ابزارهای محبوب خودشناسی مانند کیتهای تست دی انای باشند.
در همین راستا نشریه گاردین با کمک کارشناسان ریسکهای امنیتی برخی از این محصولات را فاش کرده است.
ردیابی کاربر با دستگاه رصد خواب آمازون
ابزار Halo Rise متعلق به آمازون یک دستگاه رصد خواب است که با کمک الکسا فعال میشود و از فناوری حسگر آرام و بی تماس برای ردیابی حرکات بدن و تنفس جهت محاسبه مراحل خواب استفاده میکند. به بیان دیگر این دستگاه میداند فرد چه زمان میخوابد و چه زمان بیدار است. هالو علاوه بر رصد تحرکات فرد هنگام خوابیدن، محیط وی را رصد و دمای اتاق، رطوبت، توزیع نور و ... را ارزیابی میکند تا کیفیت خواب فرد مشخص شود. این دستگاه سپس به یک اپ متعلق به آمازون به نام هالو متصل میشود و امتیازی برای خواب تعیین میکند.
هرچند آمازون ادعا میکند هیچ دوربین یا میکروفونی در دستگاه نصب نشده، بنابراین ویدئو یا صوت ثبت نمیشود، اما تمام اطلاعاتی که دستگاه درباره الگوی خواب و محیط کاربر رصد میشود به سیستم ابر آمازون فرستاده و پردازش میشود. سیاست حریم خصوصی این شرکت حاکی از آن است که کاربران میتوانند به راحتی دادههای خود را حذف و ردیابی را متوقف کنند، اما اطلاعات آنها با تهیه کنندگان طرف ثالث محتوا به اشتراک گذاشته میشود تا به ارتقای کیفیت ابزار هالو کمک کند.
از سوی دیگر اپ هالو نیز دادههایی درباره اینکه کاربر چگونه از اپ و دستگاه استفاده میکند از جمله آنکه دستگاه به شارژر متصل شده و اینکه چه تعداد صفحات در یک اپ خاص باز است یا حتی آنکه فرد از یک ویژگی خاص بیشترین استفاده را میکند نیز ردیابی میکند. در این میان، چون دادههای فرد به طور سربه سر رمزگذاری نمیشود، نیروهای مجری قانون نیز میتوانند از آن استفاده کنند.
کریس گیلیارد یکی از کارمندان شورای تحقیق علوم اجتماعی در این باره میگوید: ارتقای این دستگاهها که بسیاری از آنها ارتباط مشکوکی با بهبود نتایج سلامت افراد دارند، جهانی را ایجاد میکنند که در آن هر حرکت و فعالیت بدنی به طور مداوم تحت نظارت خواهد بود. این نوع از جامعه برای هیچ کس البته به غیر از افرادی که فناوریهای مذکور را میفروشند، خوب نیست.
گوگل نست هاب ابزاری برای درآمدزایی از تبلیغات
تاکنون چند نسل این دستگاه هوشمند خانگی که با کمک صوت فعال میشود، به بازار ارائه شده است. این دستگاه مجهز به نمایشگر و دوربینهایی است که در تحت برند امنیت خانگی گوگل ساخته شدهاند و به دستیار هوشمند این شرکت متصل میشوند. قابلیتهای نسلهای مختلف آن اندکی با دیگری متفاوت است، اما در کل شامل عملکرد جستجوی اینترنتی، پخش ویدئوهای یوتیوب، خرید کردن و فعالسازی رصد خانه با دوربین و صوت و حتی خواب فرد است. نسل دوم نست هاب دارای یک حسگر تقریبی است که وجود فرد در نزدیکی خود را حس میکند.
در اینجا باید به یک نکته مهم درباره گوگل اشاره کرد که آن هم شیوه درآمدزایی شرکت از تبلیغات است؛ بنابراین جمعآوری اطلاعات درباره فرد بهترین روش برای هدف گرفتن این نوع تبلیغات به حساب میآید. علاوه بر آن شرکت سالانه هزاران درخواست از آژانسهای دولتی دریافت میکند، زیرا انبوهی از اطلاعات درباره کاربران جمع و نگهداری میکند.
هرچند شرکت ادعا میکند نست هاب کلیپهای صوتی افراد را جمعآوری نمیکند، اما احتمالاً از روی کلیپها متنی تهیه میشود که برای تبلیغات هدفمند به کار میرود. البته یک دکمه فیزیکی برای خاموش کردن میکروفون وجود دارد و میتوان در صورت تمایل دوربین را خاموش کرد. دوربینهای دستگاه میتوانند فعالیتهای مختلف از ردیابی فرد ناشناس تا گوش دادن به صوت شکستن شیشه یا خرخر فرد را انجام دهند.
این در حالی است که گوگل برای روشهای جمعآوری اطلاعات درباره موضوعات حساسی مانند سقط جنین با انتقادات زیادی روبرو است و کاربر هنگام استفاده باید در نظر داشته باشد با اینکه تاریخچه جستجو و ارتباطات وی جمع آوری و ذخیره میشود، مشکلی نداشته باشد.
نگرانی از دسترسی افراد به دادههای ردیابهای سلامتی و ایرتگ اپل
ردیابیهای سلامتی مانند اپل واچ، فیت بیت (متعلق به گوگل) مشهورترین محصولات این نوع دستگاهها برای فعالیتها و قابلیتهای رصد سلامت هستند. هرچند ردیابیهای مکان مانند ایرتگ دستگاههای کوچکی هستند که به کلید یا مایملک افراد میچسبد. عملکرد این دستگاهها متفاوت است، اما در یک دسته جای میگیرند، زیرا قابلیتهای مختلف مکانیابی دارند.
کارشناسان به طور کلی نگران توانایی افراد دیگر و نیروهای مجری قانون برای دسترسی به موقعیت مکانی کاربر از طریق هر دستگاهی هستند که آنها را ردیابی میکند. ردیابهای سلامتی و ایرتگ همراه کاربر یا وسایل او حرکت میکنند و نقشهای کامل از مکانهایی که وی به آنجا رفته را فراهم میکنند. البته اپل با استفاده از یک ویژگی به نام «حفاظت پیشرفته دادهها برای آی کلود» ایمن سازی اطلاعات را تسهیل کرده است. این ویژگی تمام دادهها را در آی کلود ذخیره میکند از جمله اطلاعات موقعیت مکانی ساعت، به طور رمزگذاری سر به سر ذخیره میشوند.
کارشناسان از مدتها قبل هشدار داده بودند که احتمالاً پلیس از این گجت اپل برای دسترسی به موقعیتهای کاربر به طور قانونی استفاده خواهد کرد.
ایرتگهای اپل نگرانیها درباره کاربرد احتمالی به شیوههای خطرناک را افزایش دادند. طبق گزارشها و شکایاتی که اخیراً ثبت شده، مزاحمها یا سارقان ایرتگ را به وسایل افراد عادی چسباندهاند تا موقعیت مکانی آنها را ردیابی کنند. با وجود تغییراتی اپل در این دستگاه ایجاد کرده تا مشخص شود آیا ایرتگ متعلق به کاربر در نقطه دیگری وجود دارد یا خیر، یک شکایت جدید حاکی از آن است که تغییرات ایجاد شده ناکافی بوده اند.
کنترل دادههای خصوصی کاربران با کیتهای تست دیانای
این کیتها رازهای احتمالی درباره سلامت یا اجداد فرد را مشخص میکنند و شرکتهایی مانند 23andMe، «فمیلی تری دی ان ای» و «انسستوری دی ان ای» نیز بسیار محبوب هستند، اما مشخص نیست اشتراک گذاری نمونه دی انای تا چه حد ایمن است.
این شرکتها به طور حتم مقدار زیادی اطلاعات خصوصی درباره افراد را کنترل میکنند و احتمال آنکه این اطلاعات با آگهی دهندگان طرف سوم، محققان و حتی نیروهای مجری قانون به اشتراک گذاشته شود زیاد است.
به عنوان مثال «انسستوری» و 23andMe پس از دریافت رضایت از کاربران دادهها را به طور ناشناس در اختیار محققان قرار میدهند. این شرکت اعلام کرد تمام فروشندگان را برای نقض حریم خصوصی و اقدامات ایمنی از جمله آنکه آیا آنها نسبت به درخواست مجریان قانون پاسخ مثبت میدهند یا خیر، بررسی کرده است.
در خصوص برخی دستگاهها مانند اسپیکرهای هوشمند یا دوربینها کاربران میتوانند آنها را برای حفظ حریم خصوصی خاموش کنند. اما حتی هنگامی که این گزینه فراهم است، قطع ارتباط دستگاه با اینترنت میتواند کاربرد آنها را به شدت کاهش دهد. همچنین هنگامی که کاربر در محل کار، فروشگاه یا منطقه هوشمند در شهر حضور دارد به چنین گزینهای دسترسی ندارد، بنابراین همچنان ممکن است فرد به طور ناخواسته در برابر دستگاههای هوشمند ضعف داشته باشد؛ بنابراین به عنوان یک کاربر اهمیت زیادی وجود دارد که با توجه به بده بستانها بین حریم خصوصی و راحتی هنگام خرید، نصب و استفاده از دستگاههای متصل به اینترنت باید آگاهانه تصمیم گرفت. این کار البته همیشه ساده نیست. تحقیقات نشان داده مالکان خانههایی با دستیار هوشمند به طور دقیق درکی از دادههایی که دستگاه جمعآوری و ذخیره میکند و چه کسی به آنها دسترسی دارد، ندارند.
این خانه امن نیست...
در همین راستا طاها سرهنگی پژوهشگر امنیت سایبری - آزمایشگاه امنیت پژوهشگاه ارتباطات و فناوری اطلاعات در گفتگو با خبرنگار مهر گفت: اینترنت اشیا امکانات جذابی را برای کاربران ایجاد کرده و ورود تجهیزات الکترونیک و تجهیزات سایبری را به زندگی روزمره انسانها تسهیل کرده است و میتوان گفت این تکنولوژی همانند خانه هوشمند، خودروی هوشمند و کشاورزی هوشمند که زندگی انسانها را تحت تأثیر قرار میدهد میتواند صنعت و کسب و کارها را نیز تحت تأثیر قرار دهد.
وی افزود: با ورود صنعت گسترده اینترنت اشیا به گستره پهناور و زندگی، اطلاعاتی در این بستر گردش پیدا میکند و در اختیار عموم قرار میگیرد که میتواند برای کاربران خوشایند نباشد به طور مثال اگر خانه هوشمندی در نظر گرفته شود که تمام تجهیزاتش هوشمند باشد این اطلاعات ممکن است از یک ابزار در آشپزخانهای ساده جمع آوری شود، اینکه شما از چه رژیم غذایی میتوانید استفاده کنید، چه رژیمی بیشتر مدنظرتان است، الگوی مصرف شما چطور است، الگوی نظافت شما چطور است، الگوی پخت و پز شما چه طور است، همه اینها اطلاعاتی هستند که شاید برای کاربران خوشایند نباشد تا در سطح عموم بخواهد منتشر شود.
سرهنگی در ادامه با اشاره به اینکه متأسفانه بیشتر شرکتهایی که در حوزه اینترنت اشیا کار میکنند اصل اول تجارتشان فروش آن تجهیزات و بستر اتصال کاربران و ایجاد آن اکوسیستم نیست، گفت: این شرکتها توانسته اند بازارهای جدیدی برای خودشان کشف کنند که یکی از پردرآمدترین مارکتها و بازارهایی که برایشان ایجاد شده، بازار سوداگری اطلاعات است که قبلاً تجربهاش را در شبکههای اجتماعی داشتیم و امروز هوشمندتر شدند.
وی در ادامه با اشاره به اینکه در حال حاضر ذائقه سنجی کاربران بر اساس کنشها و اقداماتشون در شبکههای اجتماعی کافی نیست و به بحث رفتارشناسی ورود پیدا کرده اند افزود: رفتار انسانها را هدف گرفتند و میخواهند عادات ورفتارهای آنها را در دنیای واقعی رصد کنند و بعد بر اساس آن بتوانند الگوهای بازار یابی و الگوهای مختلف تجارت را تعریف کنند مثلاً شرکتی که یخچال هوشمند میسازد با استفاده از این، اطلاعاتی میتواند در لحظه رصد کند.
پژوهشگر امنیت سایبری ادامه داد: در چنین فضایی اگر کاربر هوشمندی و آگاهی لازم را نداشته باشد، تبدیل میشود به یک هدف بسیار راحت برای سامانههای جاسوسی برای اینکه از اطلاعاتش بخواهدسوء استفاده بشود.
وی همچنین گفت: یکی از راههای جذاب کسب در آمد برای شرکتهای تجاری این است که شاید داده را مستقیم و نفر به نفر و کاربر به کاربر نفروشند یا در معرض افشا قرار ندهند، ولی بالاخره یک مجموعهای از الگوهای رفتاری را میتوانند در قالب تحلیلهایی، خرید و فروش کنند و در اختیار کمپانیهای شخص ثالث قرار دهند.
سرهنگی در ادامه در خصوص اینکه شرکتها چه استفادهای از اطلاعات کاربران میبرند، افزود: بحث رفتاری برای تولید کنندگان تجهیزات مهم است و بستگی دارد در چه صنعتی و چه حوزهای کاربرد داشته باشد مثلاً در حوزه خودرو هوشمند، یک کارخانه تولید کننده خودرو اگر این سامانه را بر روی محصولش مستقر کرده باشد خیلی الگوها را میتواند استخراج کند.
وی افزود: دسترسی و گرد آوری این اطلاعات لزوماً منفی نیست بلکه سازنده هم هست مثلاً کارخانه میتواند برای بهبود محصولش، فرایند تولیدش و برای اینکه نواقصی که در فرایند تولید هست را پوشش دهد، میتواند از آن استفاده کند.
سرهنگی ادامه داد: اطلاعاتی که برای این کمپانیها در صدر اهمیت است، اطلاعاتی است که به ذائقه سنجی و تحلیل رفتار کاربر ارتباط مستقیم دارد و اینها ارزشمندترین اطلاعاتی هستند که کمپانیها به دنبالش هستند که بتوانند بر مبنای این اطلاعات سرویس و خدمت جدیدی را طراحی کنند یا اینکه بتوانند خدمات یا محصولات گذشته خودشان را بهبود بدهند.
وی به نقش دولتها در جلوگیری از هک و جاسوسی سایبری و… اشاره کرد و گفت: بیشتر کشورها متوجه اهمیت این موضوع شدهاند، کشورهایی که پیش رو هستند یعنی ضریب نفوذ این گونه تجهیزات و ضریب رشد این اکوسیستمها بالا است متوجه اهمیت این مساله شدهاند و سعی میکنند با قانون گذاری و رگولاتوری صحیح درآن حوزه، ریسک بروز مخاطرات امنیتی را برای شهروندانشان کنترل کنند. یعنی این به صورت یک فضای مبهم بدون اصول و قوانین برای شهروندانشان رها نمیشود و در کشور ما هم اهمیت این موضوع بسیار زیاد است.
پژوهشگر امنیت سایبری آزمایشگاه امنیت پژوهشگاه ارتباطات و فناوری اطلاعات با اشاره به علاقه جوانان کشور به حوزه سایبر و استفاده از تکنولوژی تصریح کرد: تحلیل الگوی مصرف کاربران ایرانی و علاقه مندی هایشان و تحلیل رفتارشان در فضای سایبر نشان داده که ما یکی از کشورهایی هستیم که علاقه زیادی به نقش آفرینی در فضای سایبری و استفاده کردن از این فرصتها داریم.
وی با بیان اینکه وقتی جامعهای اینقدر علاقهمند است باید فعالیت ناسالم در این فضا را نیز بشناسد، گفت: خیلی از کشورها با قانونگذاری صحیح، ایجاد نهادهای ناظر و همکاری مؤثرتر با این نهادها توانسته اند تا حدودی در کنترل فضای سایبر نقش سازنده داشته باشند و تا حد زیادی این فضا را از رها شدگی و بی قانون شدن نجات دهند. در کشور ما هم راهکار اصلی همین است یعنی نهادهای مربوطه باید قوانین و تعامل مناسب با نهادهای ارائه دهنده و تولید کننده این ابزارها و خدمات تشکیل دهند تا بتواند از کاربر، منافع و حقوقش محافظت کنند.
ورود دولتها به حوزه جمعآوری اطلاعات کاربران
به گزارش مهر، اکنون باتوجه به نفوذ ابزارهای دیجتال در زندگی کاربران، دولتهای سراسر جهان برای حفظ حریم خصوصی کاربران دست به کار شدهاند. آنها مشغول وضع قوانینی برای حفاظت از دادههای شهروندان هستند و از سوی دیگر سعی دارند به افراد اختیار بیشتری درباره شیوه کنترل دادههایشان بدهند. برخی نمونههای این مورد قانون حفاظت از دادههای عمومی اتحادیه اروپا (جی دی پی آر) و قانون حمایت از حریم خصوصی مصرف کننده کالیفرنیا (سی سی پی ای) است.
با این وجود هنوز راه زیادی تا تأمین حقیقی امنیت دادههای کاربران باقی مانده است چرا که از سوی دیگر شرکتهای بزرگ فناوری مانند گوگل و اپل هر کدام به نوبه خود سعی دارند با استفاده از لابی گری و شیوههای مختلف شدت قوانین را کاهش دهند یا آنکه تصویب قوانین را به تعویق بیندازند.