2019-01-30 | Adatvédelem, Érdekességek
Az okos eszközök kémkednek utánunk – avagy már az otthonunk sem biztonságos?
Ahogy egyre több okos eszköz jelenik meg a technológia fejlődésével napjainkban, folyamatosan növekszik magánéletünk megsértésének kockázata is. Bármilyen okos eszköz a TV-től akár a porszívóinkig képes lehet személyes adatok gyűjtésére, majd ezek továbbítására harmadik fél vagy hackerek számára. A továbbított információkhoz egy rosszindulatú kémprogram segítségével férhetnek hozzá a nemkívánatos személyek, például az eredetileg kikapcsolt állapotban lévő webkameránkat is bármikor aktiválni tudják és felvétel készíthető rólunk anélkül, hogy erről tudomásunk lenne. Kiszivárgott dokumentumok tanúsága szerint az amerikai Központi Hírszerző Ügynökség (CIA) is használt már okos TV-t emberek megfigyelésére.
Mik azok az okos eszközök?
Az okos eszközök (Internet of Things – IoT) olyan különböző eszközök, amelyek képesek valamilyen fontos információ felismerésére és azt egy internet alapú hálózatra való csatlakozáson keresztül továbbítani is tudják egy másik eszköz felé. Lényegében tehát hálózatba kötött „intelligens” eszközöket takar a fogalom.
Bármilyen készülék, amely csatlakozni tud az internetre – a pirítótól az autónkig – fokozott veszélynek van kitéve, hackerek áldozata lehet a tulajdonos. Sok ilyen eszköz ráadásul olyan beállítással kerül a piacra, amely alapértelmezetten adatokat küld vissza a gyártónak. A biztonsági kockázat jelentősen nőtt az IoT elterjedésével, mivel ezek tipikusan fel vannak szerelve érzékelőkkel vagy naplózási képességet lehetővé tevő alkatrészekkel, melyek összegyűjtik és továbbítani tudják az adatokat az interneten keresztül.
Mely eszközök jelentenek fokozott veszélyt?
§ Okos TV
Az okos televíziók beépített kamerával, mikrofonnal és például hangfelismerési funkcióval is rendelkezhetnek, ezáltal szobánkba állítva minden tevékenységünket rögzíteni tudják, felvétel készíthető legintimebb magánbeszélgetésünkről is. Mielőtt bárki azt gondolná, hogy ez csak a legritkább esetekben valósítható meg, érdemes megnézni a ReVuln, egy máltai biztonság-technikai cég által készített videót, melyben azt prezentálják, hogy kutatóik hogyan törték fel a televízió rendszerét. Az említett esetben teljes hozzáférést nyertek a TV beállításaihoz, az azon tárolt személyes adatokhoz és fájlokhoz, sőt még a készülék irányítását is át tudták venni. Egy kiberbiztonsági szakértő, Luigi Auriemma, a ReVuln társalapítója beszámolt róla hogyan tudta lenyomozni egy ilyen eszköz IP címét, majd hozzáférni minden csatlakoztatott meghajtóhoz és lemásolni az azokon tárolt adatokat. Arról is rendelkezünk információval, hogy a Samsung Smart TV-t a beépített kamera és mikrofon segítségével már használták egy teljes szoba megfigyelésére.
A hackereken kívül maga a TV is gyűjt információt a felhasználói szokásokról, – mely az „intelligens” működés alapja – majd ezeket alapértelmezetten továbbítja a hirdetőknek.
§ Webkamera
Ahogy már korábban említettük, egy rosszindulatú program feltelepítésével átvehető számítógépünk webkamerája felett az irányítás és felvétel készíthető akkor is, ha tudomásunk szerint a kamera nincs bekapcsolva. Ugyancsak elérhetővé válik minden, ami a számítógéphez vagy a hálózathoz van csatlakoztatva, például külső kamerák vagy a ház biztonsági rendszere. A későbbiekben kifejtjük, hogy a jogszerűtlen képmás és hangfelvételkészítés milyen következményeket vonhat maga után polgári jogi és adatvédelmi szempontból.
§ „Okos” porszívó
A porszívó megjelenésének az alapját egy ilyen listán egy 2015-ös eset adja. Egy Roomba nevű csúcsminőségű okos porszívó térképeket tud készíteni a tulajdonosok otthonairól, elősegítendő a takarítás közbeni hatékonyabb navigációt. A Roomba gyártója, az iRobot pedig közölte, hogy ezek az alaprajzokról készült térképek megoszthatóak a kereskedelmi partnereikkel, noha ehhez a tulajdonos teljes hozzájárulása szükséges. Persze az iRobot mindezt jogszerűen teheti meg, de maga a tény, hogy egy eszköz részleteket rögzít az otthonunkról vagy a tevékenységünkről, kiváltképp veszélyesnek hangzik. Mivel semmilyen készülék nincs biztonságban a hackerektől, az olyan eszközök, amelyek rögzítik adatainkat – még ha a jobb üzemelés érdekében is – komoly biztonsági kockázatot jelenthetnek.
§ Játékok
Aggodalmak merültek fel két internetre csatlakoztatott játékkal – a My Friend Cayla babával és az i-Que intelligens robottal – kapcsolatban, amelyek gyerekekkel folytatnak beszélgetést. Ezek a játékok rögzítették a beszélgetéseket, és sikerült feltörni őket oly módon, hogy a hackerek visszahallgathatták a felvett beszélgetéseket, és még azt is irányíthatták, hogy milyen választ ad a játék a kérdésekre. Ezt a folyamatot be is mutatta a BBC-nek Ken Munro, egy biztonságtechnikai kutató. A biztonsági aggodalmak a My Friend Cayla betiltásához vezettek Németországban, emellett a német Szövetségi Hálózati Ügynökség a bluetooth eszközöket is veszélyesnek minősítette, mivel kapcsolatot teremthet a játék hangszórójával és mikrofonjával 10 méteres körzeten belül.
§ Számítógépek, több eszköz egyidejű megtámadása
Nagyobb léptékben az okos eszközök egyidejűleg megtámadhatók egy rosszindulatú programmal, hálózat hozható létre belőlük és így ún. botnetekké (készülékek olyan csoportja, amelyek központilag irányítottak) válhatnak. Kiberbűnözők 2016 októberében sikeresen alkalmazták a Mirai kártevő programot, hogy feltörjenek IoT eszközöket és ezekkel együttesen támadást indítsanak a népszerű internetszolgáltató Dyn ellen, amely olyan weboldalak összeomlásához vezetett, mint a Twitter, a Guardian és a CNN.
Az említett eset egy túlterheléses támadás (DDoS) volt, melynek lényege, hogy újabb és újabb megkeresésekkel úgy leterhelik a számítógépeket, hogy azok a normális tevékenységükkel, az igazi felhasználókkal nem tudnak foglalkozni. Ami azonban a legijesztőbb, az az, hogy nem csak hagyományos számítógépek vettek benne részt, hanem készülékek. Biztonsági kamerák, digitális videokamerák, világítástechnikai eszközök, háztartási készülékek is voltak az „elkövetők” között. Azonban minden bizonnyal mindez csak a kezdet és a biztonsági kockázat egyre komplexebbé válik majd az IoT készülékek számának növekedésével. Becslések szerint 2020-ra több mint 20 milliárd internetre csatlakozó eszköz lesz használatban a világon, mely azt jelenti, hogy potenciálisan nagyon sok olyan eszköz létezik, amelyek más webhelyek megzavarására használt botnetek lehetnek.
A biztonság növelése a gyakorlatban. Mit tesz a jogalkalmazás?
Az okos eszközök számának exponenciális növekedésével párhuzamosan nő a biztonsági kockázat, amely magával vonzza az adatvédelem és adatbiztonság felülvizsgálatának igényét is. Az Egyesült Államokban ezért az ország legfőbb adatvédelmi és kiberbiztonsági végrehajtó szerve, a Szövetségi Kereskedelmi Bizottság (Federal Trade Commission – FTC) felel.
Az FTC jelentést tett közzé 2012-ben A fogyasztói magánélet védelme a gyors változás korában címmel. Ebben a jelentésben egy állásfoglalást fogalmaztak meg a személyazonosításra alkalmas információk gyűjtésével, használatával és közzétételével kapcsolatosan. A Bizottság által felvázolt keretrendszerben a legfontosabb adatvédelmi elvek a fogyasztó értesítése, az átláthatóság, valamint a fogyasztói választás lehetősége, különös tekintettel az érzékeny adatokra és a „váratlan” adatgyűjtésre, használatra és megosztásra. Az okos eszközök kontextusában azonban komoly kihívást jelenthet egyértelmű értesítést küldeni és hozzájárulást szerezni a felhasználótól. Ennek ellenére az FTC világossá tette, hogy az állásfoglalás alkalmazandó az IoT világában is, sőt 2015-ben iránymutatást bocsátott ki, hogy ennek, hogyan és milyen módon kell történnie. Egy friss végrehajtási intézkedésében pedig a Bizottság addig merészkedett, hogy megköveteli azon fogyasztói információk törlését, melyet a vállalat tisztességtelenül – az értesítés és a választás lehetősége alapelvek megsértésével – gyűjtött.
Mi minősül kémprogramnak?
Egy másik jelentős kockázatot a kémprogramok jelentik, melyet az FTC korábban úgy definiált, mint „olyan szoftverek, amelyek egy személyről vagy szervezetről történő információgyűjtést célozzák az ő tudomásuk nélkül, és amelyek a fogyasztó beleegyezése nélkül továbbíthatják ezt az információt egy másik entitásnak, vagy a fogyasztó tudta nélkül irányíthatják a számítógépet.”
Annak a meghatározása viszont, hogy egy szoftver mikor lépi át az illegális kémprogramnak minősülés kategóriáját, már egy kicsit összetettebb feladat, ezért a vállalatoknak körültekintően kell eljárniuk. A csatlakoztatott eszközök gyakran használnak bizonyos típusú szoftver-alapú funkciókat az információk nyomon követéséhez, így a vállalatoknak ügyelniük kell arra, hogy ne telepítsék a csatlakoztatott eszközöket oly módon, hogy azok a kémprogram kategóriába tartozzanak.
Annak a biztosítására, hogy egy szoftver nem lépte át ezt a határvonalat, komoly jogi és technikai vizsgálatok szükségesek. Az FTC közelmúltban hozott, okos eszközöket érintő végrehajtási intézkedései nem említik meg kifejezetten a kémprogramokat, tartalmaznak azonban iránymutatásokat arra vonatkozóan, hogy a Bizottság mit tekint a fogyasztói tevékenységek indokolatlan nyomon követésének.
Egy 2017-es fellépés során az FTC szabályokat fektetett le a csatlakoztatott eszközökre és a váratlan információgyűjtésre. Az ügy főszereplője egy amerikai vállalat, a Vizio, amely szórakoztató elektronikai cikkek gyártásával foglalkozik, egyben a világ egyik legnagyobb okos TV gyártója és forgalmazója. Az általa gyártott okos televíziókon keresztül a Vizio automatikusan követte a fogyasztók televíziós megtekintéseit azok beleegyezése vagy megfelelő értesítése nélkül, és az adatokat harmadik félnek is értékesítette.
Az Bizottsággal és a New Jersey-i főügyésszel folytatott ügy lezárásaképpen a Vizionak 2,2 millió dollár büntetést kellett fizetnie, ezentúl arra is kötelezték, hogy törölje a legtöbb nyomkövető szoftveren keresztül összegyűjtött fogyasztói adatot, és hozzon létre egy olyan adatvédelmi programot, amely alá van vetve egy harmadik fél általi, kétévenkénti felülvizsgálatnak.
Tisztességtelen kereskedelmi gyakorlat?
A Vizio-ügy kapcsán lefektetett kritériumok minden olyan vállalatra vonatkoznak, amely érzékeny vagy váratlan adatgyűjtést folytat a csatlakoztatott eszközökön keresztül. Potenciálisan ez még olyan vállalatra is vonatkozhat, amely megszerzi ezeket a tisztességtelenül gyűjtött adatokat. Ha például a vállalat nem szerzett ésszerű biztosítékokat az adatgyűjtőtől arról, hogy a fogyasztói adatok védelme a fogyasztói adatok összegyűjtésében és megosztásakor tiszteletben volt tartva, fennáll annak a vádnak a veszélye, hogy tisztességtelenül járt el.
Az említett szövetségi kockázatokon túl 20 főállamügyész is jogosult pénzbüntetés indítványozására. Míg a kiszabható pénzbírság államonként átlagosan 100 000 dollárig terjed, a fogyasztói magánélet nagymértékű vagy túlzott megsértése esetén a bírságok tízmillió dolláros nagyságrendre emelkedhetnek, nem beszélve a cég jóhírnevének sérelméről és az esetleges csoportos keresetek megindításának magas kockázatáról.
A jövőbe tekintve annyi bizonyos, hogy az IoT-vel kapcsolatos adatvédelmi és biztonsági ügyek vizsgálata fokozódik majd, és a jogalkotás térképén is állandó változások várhatók. A körültekintő és óvatos cégvezetőknek ezt szem előtt kell tartaniuk.
Mit tehetnek a szervezetek, hogy csökkentsék az adatvédelmi incidensek kockázatát?
Az eddig felvázoltakat figyelembe véve az információvédelemnek kulcsfontosságúnak kell lennie az IoT ökoszisztéma bármely részében érintett szervezetnek – legyen szó akár a gyártásról, összeszerelésről vagy a forgalmazásról. A lépések, amelyeket a szervezetek az adatszegések vagy incidensek kockázatának mérséklése, valamint az ezekből származó következmények enyhítése érdekében tehetnek, a következők:
- a szakemberek szerint a felhasználóknak érdemes alaposan átgondolni az okoseszközök használatát, a gyártóknak pedig a hosszú távú biztonságos működés alapoktól való betervezését is be kell vezetniük a gyártás folyamatába, azaz már az eszközök tervezésénél, fejlesztésénél, illetve telepítésénél érdemes alkalmazni a „beépített biztonság” elvét,
- fontos a megfelelő IT-biztonsági irányelvek és eljárások, személyzeti politikák fenntartása és rendszeres frissítése;
- hatékony megfelelést biztosító képzés és a személyzeti oktatási folyamatok kialakítása és végrehajtása egy olyan környezet megteremtése érdekében, amelyben a hatékony adatkezelés és biztonság alapvető fontossága biztosított;
- a szervezeten belüli működésbe egy olyan visszacsatoló rendszer tervezése és beépítése, mellyel a lehetséges és tényleges biztonsági kockázatok és problémák nyomon követhetők és azonosíthatók;
- vállalatvezetési és irányítási stratégiák kialakítása a külső eladók felé a kötelező biztonsági követelményeknek és egyéb szerződéses kötelezettségeknek való megfelelés ellenőrzésére;
- célszerű adatszegések vagy biztonsági problémák felmerülése esetére egy incidens-kezelési tervvel rendelkezni, valamint fontos e terv időszakos felülvizsgálata és frissítése;
- az ilyen incidensekre adott válaszokat rendszeresen tesztelni, és szükség esetén módosítani kell. A jelentősebb események bekövetkezése után is meg kell vizsgálni az események bekövetkezését, valamint dokumentálni kell azokat.
A kapcsolódó hazai szabályozás áttekintése
Az eddig említett esetekkel kapcsolatban felmerül az érintettek személyiségi jogainak és természetesen az adatkezelési szabályoknak a megsértése. Az ember képmása és hangfelvétele több jogág védelmét is élvezik. Az új Polgári Törvénykönyv a korábbi bírói gyakorlatot alapul véve alakította át a személyhez fűződő jogokra vonatkozó szabályozást. A Ptk. 2:43. §-a nevesített személyiségi jogként deklarálja a képmáshoz és a hangfelvételhez való jogot. A képmással és a hangfelvétellel kapcsolatban szükségszerűen megvalósuló adatkezelés szabályait az Infotv. és az Európai Unió Általános Adatvédelmi Rendelete (GDPR) tartalmazza, mely hazánkban 2018. május 25-től alkalmazandó.
A Ptk. a személyiségi jogok általános védelmeként úgy rendelkezik, hogy „mindenkinek joga van ahhoz, hogy törvény és mások jogainak korlátai között személyiségét, így különösen a magán- és családi élet, az otthon, a másokkal való – bármilyen módon, illetve eszközzel történő – kapcsolattartás és a jóhírnév tiszteletben tartásához való jogát szabadon érvényesíthesse, és hogy abban őt senki ne gátolja.” Ráadásul a képmás vagy hangfelvétel elkészítéséhez és felhasználásához az érintett személy hozzájárulását követeli meg a törvény. A hozzájáruláson kívül még a tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esete jelent mentesülést a jogsértés következményei alól. Egy okos eszközzel rögzített felvétel – melyhez az érintett nem járult hozzá -, e jogok súlyos megsértését jelentheti.
Az új Polgári Perrendtartás külön rendelkezik az egyes személyiségi jogok érvényesítése iránt indított perekről, mely szerint a sérelmet szenvedett fél keresetet indíthat, melyben kérheti:
- a jogsértés megtörténtének bírósági megállapítását;
- a jogsértés abbahagyását és a jogsértő eltiltását a további jogsértéstől;
- azt, hogy a jogsértő adjon megfelelő elégtételt, és ennek biztosítson saját költségén megfelelő nyilvánosságot;
- a sérelmes helyzet megszüntetését, a jogsértést megelőző állapot helyreállítását és a jogsértéssel előállított dolog megsemmisítését vagy jogsértő mivoltától való megfosztását.
A személyiségi jogok megsértése egyéb szankcióinak alkalmazása iránt pedig külön per indítható. Vagyis külön perben kérheti, hogy a jogsértő a jogsértéssel elért vagyoni előnyt engedje át a jogalap nélküli gazdagodás szabályai szerint, valamint kártérítésre és sérelemdíjra is igényt tarthat.
Adatvédelmi követelmények
Az Infotv. értelmező rendelkezéseinek értelmében a fénykép-, hang- vagy képfelvétel készítése adatkezelésnek minősül. E törvény egy másik rendelkezése alapján személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, azonban a hozzájárulás fogalmát az Infotv szűken határozza meg. Eszerint: „az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez.”
Az említett jogszabályi rendelkezések alapján a képmás és hangfelvétel elkészítése – a kötelező adatkezelés esetén kívül – csak akkor felel meg az adatvédelmi követelményeknek, ha az érintett az adatkezeléssel kapcsolatos, megfelelő tájékoztatás alapján félreérthetetlen hozzájárulását adja a felvételkészítéshez. Fontos megjegyezni, hogy az adatkezelés jogszerűségéhez szükséges hozzájárulás nem azonos a polgári jogi jogszerűséget megalapozó hozzájárulással, hiszen ez utóbbinak nem kell semmiféle tájékoztatáson alapulnia.