Quatro desafios jurídicos que rondam a Internet das Coisas
13/07/2016
Por: Computerworld
CIOs têm grandes ideias para soluções de marketing e experiências do cliente usando sensores e análises de dados. Mas precisam pensar também nas implicações legais da crescente rede de objetos físicos acessados ​​através da Internet e conectados à rede corporativa.
"Muitas das questões jurídicas não são bem compreendidas até pelos mais preocupados com questões de privacidade", diz Christopher Wolf, sócio do escritório de advocacia Hogan Lovells.
"No mundo dos sensores, as questões jurídicas são um desafio", afirma. E essas questões jurídicas estão destinadas a se multiplicarem com o crescimento do mercado de Internet das Coisas.
Analistas aconselham os CIOs a considerarem a auto-regulação em questões de privacidade, segurança e consentimento, para ficarem do lado certo da lei.
Líderes tecnologia podem assumir que devem tornar os dados anônimos para proteger a privacidade dos indivíduos. Mas os pesquisadores têm mostrado que muitos grandes conjuntos de dados podem ser re-identificados com menos esforço do que se poderia supor, diz Scott Peppet, professor de Direito da Universidade de Colorado. Os dados de localização, por exemplo, podem facilmente ser reconstruídos.
"Isto sugere que os CIOs devam realmente olhar para os dados que estão rastreando e armazenando, e questionar se esses dados são absolutamente necessários para o seu modelo de negócio ou para melhorar a experiência do usuário", diz Peppet. "Caso contrário, devem pensar duas vezes antes de acumular grandes quantidades de dados potencialmente muito sensíveis, e muito reveladores."
Grupos como o Future of Privacy Forum estão examinando as possibilidades de identificação posterior de dados coletados de forma anônima na tentativa de gerar alguma clareza para os reguladores, diz Wolf. "Quanto maior a proteção contra a re-identificação, melhor será a aplicação da Internet das Coisas aos olhos das leis e princípios de privacidade."
Muitos dispositivos conectados à Internet têm capacidades de computação, conectividade ou vida útil da bateria limitadas, e seus criadores podem não estar acostumados a lidar com a segurança da forma adequada.
"Se você produz fornos ou carros, segurança de rede pode não ser uma preocupação primária", diz Peppet. E uma vez identificadas falhas de segurança, pode ser difícil atualizar e proteger estes dispositivos. A maioria não tem mecanismos de atualização automática, devido a limitações de largura de banda e de energia e exigirão patching manual.
Além disso, os CIOs devem pensar sobre quando e como vão pedir o consentimento expresso dos indivíduos para a utilização dos dados coletados, acrescenta. Isso significa fornecer avisos claros de que dados são acessados​​, como são analisados e utilizados, onde são armazenados, como são criptografados e em que circunstâncias serão divulgados.
É bastante desafiador para os consumidores darem o seu consentimento para o uso dos dados gerados sem que estejam cientes de que forma é possível fazê-lo.
"É difícil para os consumidores entenderem as práticas por trás dos dispositivos conectados, e argumentar que estão dando ou não o seu consentimento", diz ele.
Desafios jurídicos endereçam desafios técnicos
Para assegurar a privacidade, atender ao compliance e cuidar da segurança dos clientes e da própria empresa, os CIOs precisam desenvolver estratégias para lidar com IoT, já que aspectos desta iminente avalanche de dados incluem:
1. Como conservar os dados, inicialmente, no momento em que são gerados
Você provavelmente vai receber dados de dispositivos da Internet das Coisas em uma variedade de formatos, estruturados e não estruturados. Como você vai armazená-los? Você só vai escrevê-los em disco no formato que os receber e descobrir a fa;ta de padrão mais tarde? Você vai configurar uma instância Hadoop online para processar esses dados? Você vai torná-los disponíveis a cada hora, diariamente, semanalmente ou em algum outro intervalo de tempo?
2. Como categorizar e classificar os dados que você recebe
Você pode não se preocupar com todos os dados que você estará recebendo a cada hora, de cada dispositivo. Mas, novamente, a parte dos dados que você não está interessado hoje pode ser a chave para uma análise amanhã. Como você irá desenvolver sistemas de classificação? Você vai reter alguns dados classificados como relevantes imediatamente e, só mais tarde, arquivar os dados brutos? Quantas vezes você vai rever os seus resultados e suas classificações para se certificar que que estejam alinhados com suas expectativas?
3. Quanto tempo você deve manter esses dados
Você terá que descobrir o que acontece com qualquer dispositivo ou sensor conectado, em momentos aleatórios, em qualquer dia da semana, nos próximos 10 anos? Em algum ponto você terá que tomar algumas decisões sobre a retenção de registros. Caso contrário, seus advogados vão fazê-lo por você. Mas você precisa descobrir por quanto tempo manter o material, e de que forma. Você vai descartar alguns dados no fim do ano? Vai fazer um pacote cumulativo? Vai arquivar alguns dados na nuvem?
4. Como você deve descartar esses dados, com segurança
Com o advento do IPv6, existem endereços suficientes para dar a cada átomo na Terra 100 números IPv6, de modo que, no futuro, não haja qualquer necessidade de mascarar endereços. Nós vamos ser capazes de identificar cada dispositivo, o que significa que há preocupações de segurança e privacidade que precisam ser abordadas ao descartar dados com esse tipo de informação rastreável nele. Qual será o seu plano para isso?
Segurança também tem uma série de perguntas abertas
A segurança dos dispositivos conectados é importante, claro, mas talvez a segurança da rede e da plataforma sejam ainda mais cruciais para que esses dispositivos estejam conectados.
A maioria dos CIOs vai lidar com a primeira fase da Internet das Coisas através do investimento e implantação de uma plataforma: a o sistema Brillo, Da Google, a plataforma AllJoyn, da Qualcomm e a plataforma criada pelo Industrial Internet Consortium.
A ideia por trás de uma plataforma, entre outras coisas, é a de criar rapidamente a rede com os dispositivo que você precisa para realizar as tarefas de IoT. Mas o que acontece quando há uma violação ou uma vulnerabilidade? Que tipos de riscos existem para os sensores, os dados, a transmissão desses dados, se ocorrer um erro? Que tipos de proteções são incorporadas ao protocolo de compartilhamento e conectividade para tornar as transmissões seguras, criptografadas e não vulneráveis a ataques man in the middle, entre outros? Como é que vai integrar a segurança na plataforma IoT com os produtos existentes de segurança, as políticas e procedimentos que você já tem implantados ma sua organização hoje?
Sensores de luzes domésticas que forem lidos por hackers podem informar dados íntimos da vida das pessoas que vivem naquela casa. Informações como qual a frequência com que um quarto é ocupado – o que indica os horários em que há gente em casa, e os horários em que a casa está vazia. Sensores de temperatura podem criar um idêntico mapeamento da vida pessoal ao informar o horário em que uma pessoa costuma tomar banho. Equipamentos de entretenimento como Home Theater podem ser ligados remotamente para gravar, em vídeo ou em voz, cenas vividas dentro de casa.
Departamentos de TI devem se preparar para um mundo onde tudo que está ligado é uma potencial vulnerabilidade.
Uma coisa é uma quebra de segurança que resulta em tempo de inactividade ou perda de dados, ou roubo de números de cartões de crédito ou outras informações personalizadas. Mas o que acontece quando os profissionais de segurança são responsáveis por proteger a disponibilidade de sistemas orientados a eventos em tempo real?
Os cenários apocalípticos são infinitos. Basta imaginar sistemas hospitalares de distribuição de medicamentos, semáforos urbanos ou sistemas municipais da água sendo atacados. “Em muitas indústrias, a vida humana vai estar em risco”, alerta Christian Byrnes, do Gartner. “Isto é muito diferente de tudo o que tivemos que proteger até agora”.
À medida que edifícios e outros sistemas no mundo físico se tornam instrumentos com sensores, a segurança física será misturada com a cibersegurança, sob a responsabilidade do departamento de TI. Isso coloca um outro nível de responsabilidade nos ombros dos profissionais de segurança.
Quando os CIOs olharem para o futuro, eles precisarão de ir além de simplesmente proteger os sistemas informáticos. “A estratégia é detectar, isolar e responder”, lembra o Gartner.
Esta mudança é o maior desafio já enfrentado pelas TI. A transição do mainframe para servidores ou a transição para a mobilidade vão parecer brincadeira de criança.