Internetul și dispozitivele inteligente ne schimbă viața mai rapid decât am putea crede. Nu cu mulți ani în urmă, telefoanele și ceasurile erau inteligente doar în filmele science fiction. În prezent, aproape toată lumea deține un smartphone. Trăim o nouă eră, iar aceasta este era datelor. Și ar trebui să ne bucurăm de avantajele noilor tehnologii, din moment ce impactul pe care Internet of Things îl generează în mai multe aspecte ale vieții noastre este imens. Dar, în timp ce explorăm avantajele, trebuie, mai mult ca oricând, să fim atenți la riscurile inerente. În timp ce unii consideră că securitatea datelor este un mit, legiuitorul european încearcă să facă securitatea datelor parte a realității cotidiene.

Cuvinte cheie: Internet, dispozitive inteligente, smartphone, date, Internet of Things, riscuri, securitatea datelor.

Abstract:

The internet and smart devices are changing our lives more rapidly than we might think. Not many years before, phones and watches were smart only in science fiction movies. Now, almost everyone has a smartphone. We’re living a new era, and that is the era of data. And we should enjoy the advantages of new technology, as the impact which the Internet of Things can bring in various segments of our lives is huge. But, while exploring the advantages, we must, as never before, pay attention to the inherent risks. While some consider data security is a myth, the European legislator is trying to make it our everyday reality.

Keywords: Internet, smart devices, smartphone, data, Internet of Things, risks, data security.

Într-unul din articolele anterioare subliniam că datele personale reprezintă noul combustibil care alimentează economia digitală, în contextul în care societatea modernă se confruntă cu o avalanșă de informații fără precedent, care modifică paradigma în multe sectoare comerciale. Cu doar câțiva ani în urmă, căutam informații în calculatorul personal printr-o conexiune internet de mică viteză, însă astăzi internetul a devenit o prezență familiară și indispensabilă, atât acasă, cât și la locul de muncă. Putem accesa internetul aproape oriunde – în mașină, în tren, în avion sau chiar în cort, când facem camping. Purtăm internetul în buzunar și la încheietura mâinii.

Pe neobservate, o bază de date de informații a acaparat chiar sub ochii noștri o parte semnificativă din viața modernă, transformându-se în „internetul obiectelor” (Internet of Things – IoT). Potrivit unui raport emis în 2015 de Comisia Federală pentru Comerț din SUA (US Federal Trade Commission), IoT se referă la capacitatea obiectelor de uz cotidian de a se conecta la internet și de a transmite și primi date. Aceste obiecte – așa numitele „dispozitive inteligente” – se găsesc peste tot în jurul nostru: camere conectate la internet, care permit utilizatorului să împărtășească cu ceilalți imagini sau filme, instantaneu; brățări care înregistrează și procesează informații despre starea noastră, dietă și efortul fizic depus, etc[1]. Numărul de dispozitive conectate la internet a depășit deja numărul de oameni. Și asta nu e tot. Conform raportului menționat, până în anul 2020 vor exista probabil în jur de 50 de miliarde de dispozitive conectate la internet.

Fără îndoială, suntem din ce în ce mai dependenți de dispozitivele conectate la internet. În primul rând, ele ne fac viața mai ușoară: putem cumpăra hainele preferate cu câteva atingeri de deget pe ecranul telefonului; putem evita ambuteiajele cu ajutorul unei aplicații; putem aprinde lumina în casă chiar și de la mii de kilometri depărtare.

În plus, IoT pare să deschidă o nouă eră în medicină. Dispozitivele conectate la internet pot ajuta pacienții să conlucreze cu medicii pentru gestionarea afecțiunilor medicale. Există deja soluții IT care, prin procesarea de Big Data și Smart Data, aduc plus valoare în cercetarea medicală: Watson, super-computerul creat de IBM, a reușit să diagnosticheze cu exactitate o formă rară de cancer în 10 minute[2]. Iar acestea sunt doar câteva exemple; IoT are capacitatea de a oferi multe alte beneficii, potențial revoluționare.

Cu toate acestea, deși beneficiile nu pot fi puse sub semnul întrebării, riscurile aferente sunt mai greu de identificat și mai dificil de contracarat de către utilizatorul individual. Accesul neautorizat la datele personale, utilizarea abuzivă a acestora și atacurile cibernetice sunt permanent prezente în mass-media. Acesta este punctul în care ar trebui să intervină principiile statutare din legile privind protecția datelor – transparența, utilizarea legitimă, proporționalitatea, securitatea și confidențialitatea prelucrării datelor – pentru a proteja consumatorii de accesarea neautorizată și utilizarea abuzivă a datelor lor personale.

Ca fapt relevant, în iulie 2016, Parlamentul European a adoptat Directiva privind securitatea rețelelor și sistemelor informatice (Directiva NIS), care este concepută pentru a spori securitatea pe Piața Unică Digitală, prin asigurarea unui nivel comun de securitate a rețelelor și informațiilor în UE. Respectiva Directivă prevede obligații atât pentru autorități, cât și pentru sectoarele implicate. Statele Membre trebuie să adopte strategii naționale pentru securitatea rețelelor și a sistemelor informatice, și să instituie, pentru cazurile în care se produc incidente de securitate informatică, echipe de intervenție care să monitorizeze incidentele și să asigure intervenții corespunzătoare. De asemenea, se așteaptă ca fiecare Stat Membru să identifice operatori de servicii esențiale în sectoarele vitale pentru economie și societate, precum sectoarele energiei, transportului, furnizarea apei, infrastructurii pieței financiare, sănătății, infrastructurii digitale și sectorul bancar. Acești operatori de servicii esențiale și furnizorii de servicii digitale (motoare de căutare, servicii de „cloud computing” și piețe online) vor trebui să ia măsuri pentru gestionarea riscurilor prezentate de rețeaua și sistemele informatice pe care le dețin și să înștiințeze autoritățile naționale cu privire la incidentele grave.

Date fiind creșterea numărului de atacuri cibernetice și complexitatea din ce în ce mai mare a acestora, o întrebare logică ce ar putea fi adresată legiuitorilor este următoarea: Aceste măsuri garantează siguranța consumatorilor? Conform revistei The Economist, securitatea informatică este un mit, iar computerele nu vor fi niciodată în siguranță dacă nu se produc schimbări semnificative în modul în care vulnerabilitățile programelor informatice sunt tratate de consumatori și de sectorul industrial[3].

The Economist sugerează că, în timp ce utilizatorii ar trebui stimulați să acorde o atenție sporită securității – de exemplu, prin schimbarea cu regularitate a numelor și parolelor – guvernele ar trebui să se concentreze pe schimbarea regulilor jocului în industria programelor informatice. Creșterea răspunderii pentru produsele informatice, precum și schemele de asigurare profesională la care ar trebui să adere dezvoltatorii de programe pot fi stimulente adecvate pentru a impulsiona interesul dezvoltatorilor față de securitatea programelor informatice. Rămâne de văzut în ce fel va reacționa sectorul relevant, în cazul în care se adoptă această abordare. Lipsa intervenției în domeniu a constituit însăși coloana vertebrală pe care s-a dezvoltat acest sector, astfel încât companiile relevante ar putea pretinde că, prin creșterea responsabilității pentru produsele lor, se va încetini dezvoltarea unui sector care s-a dovedit capabil să ofere multe beneficii revoluționare într-un interval scurt de timp.

În comunicatul de presă referitor la Directiva privind Securitatea Rețelelor și Informațiilor, Comisia confirmă că Directiva este un prim pas dintr-o serie de inițiative menite să pregătească mai temeinic Europa împotriva atacurilor cibernetice, și să consolideze competitivitatea în sectorul securității cibernetice[4]. Rămâne de văzut ce abordare va fi adoptată pe viitor și cât de eficient putem asigura securitatea beneficiilor remarcabile asociate cu internetul obiectelor.

[1] https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf

[2] https://www.top500.org/news/watson-proving-better-than-doctors-in-diagnosing-cancer/; http://www.hotnews.ro/stiri-inovatie_in_sanatate-21757923-webpr-suntem-pregatiti-pentru-medicina-personalizata.htm

[3] http://www.economist.com/news/science-and-technology/21720268-consequences-pile-up-things-are-starting-improve-computer-security

[4] http://europa.eu/rapid/press-release_IP-16-2321_en.htm

Unnoticeably, under our very eyes, an information database has taken over a significant portion of our modern lives and turned into the “internet of things”  (IOT). According to a report released by the U.S. Federal Trade Commission in 2015, the IOT refers to the ability of everyday objects to connect to the internet and send and receive data. These objects – so-called “smart devices” – are all around us: internet-connected cameras allowing the user to share pictures or movies instantly; bracelets recording and processing information about our physical condition, diet and workout routines, etc.[1] The number of devices connected to the internet has already exceeded the number of people. And there is more to come. According to the same report, by 2020 there will probably be around 50 billion internet-connected devices.

It is beyond any doubt that we are more and more addicted to internet-connected devices. In the first place, they are making our lives easier: we can shop for our favourite clothes with a swipe and a few taps on our phone screen; we can avoid traffic jams with the help of an app; we can switch on the lights in our homes even from thousands of kilometres away.

Then, the IOT seems to open a new era in medicine. Internet-connected devices may help patients work with their physicians to manage their diseases. There are already IT solutions which, through the processing of Big Data and Smart Data, provide added value in medical research: Watson, the super-computer created by IBM, managed to accurately diagnose a rare form of cancer in 10 minutes.[2] And these are just a few examples; the IOT has the ability to offer many other potentially revolutionary benefits.

But, while the benefits cannot be disputed, the attached risks are more elusive and difficult for the individual user to counter. Unauthorised access to personal data, misuse of the same and malicious software attacks constantly make headlines in the media. This is where the statutory principles in the data protection laws – transparency, legitimate use, proportionality, security and confidentiality of data processing – should step in to keep consumers safe from unauthorised access to and misuse of their personal data.

Notably, in July 2016, the European Parliament adopted the Directive on security of network and information systems (the NIS Directive), which is designed to enhance security in the Digital Single Market by ensuring a common level of network and information security in the EU. This Directive sets forth obligations both for the authorities and the industry. Member States must adopt national strategies on the security of network and information systems, and set up computer security incident response teams entrusted with monitoring incidents and providing an appropriate response. Moreover, each Member State is expected to identify operators of essential services in the sectors that are vital for the economy and society, such as energy, transport, water, banking, financial market infrastructure, healthcare and digital infrastructure. These operators of essential services, as well as digital service providers (search engines, cloud computing services and online marketplaces), will have to take measures to manage the risks posed to the security of their network and information systems and notify the national authorities of serious incidents.

Given the increased number and ever greater sophistication of cyber-attacks, a reasonable question to put to legislators is: Are consumers kept safe by these measures? According to The Economist, computer security is a myth, and computers will never be safe while there is no significant change in the way consumers and industry treat the vulnerabilities of software programmes.[3]

The Economist suggests that while users should be incentivised to pay more attention to security – e.g., by regularly changing user names and passwords – governments should focus on changing the rules of the game in the software industry. Increased liability for software products, together with professional insurance schemes software developers should adhere to may be good incentives for increasing developers’ interest in software security. It remains to be seen how the industry will react If that approach is taken. The lack of intervention in this industry was the backbone of its growth, so companies in the field might claim that increasing responsibility for their products will slow the growth of an industry which has proved capable of offering many revolutionary benefits over a small period of time.

In its press release on the NIS Directive, the Commission acknowledges that the Directive is the first step in a series of new initiatives to better equip Europe against cyber-attacks and to strengthen the competitiveness of its cybersecurity sector.[4] It remains to be seen what approach will be taken in the future and how efficiently we can secure the remarkable benefits associated with the IOT

[1] https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf

[2] https://www.top500.org/news/watson-proving-better-than-doctors-in-diagnosing-cancer/; http://www.hotnews.ro/stiri-inovatie_in_sanatate-21757923-webpr-suntem-pregatiti-pentru-medicina-personalizata.htm

[3] http://www.economist.com/news/science-and-technology/21720268-consequences-pile-up-things-are-starting-improve-computer-security

[4] http://europa.eu/rapid/press-release_IP-16-2321_en.htm