Nylig gikk Forbrukerrådet og Datatilsynet ut og forbød salget av en type smartklokke for barn, som er utstyrt med GPS. Teknologi som byr på funksjoner som i utgangspunktet er nyttige, kan nemlig også utnyttes av andre med mindre hederlige hensikter. Datatilsynet og Forbrukerrådet krever at produsenten Gator AS må tette en rekke alvorlige sikkerhetshull for at klokkene skal kunne selges i Norge.

Men slike smartklokker er bare toppen av isfjellet. «Tingenes internett» åpner slusene for at ukjente aktører kan få innsyn i ditt privatliv ved hjelp av informasjonen som samles via produktenes bluetooth og wi-fi. Feltet er i svært liten grad regulert.

Salgsforbud: Forbrukerrådet og Datatilsynet sier at smartklokker for barn produsert av Gator AS ikke må selges før datasikkerheten er bedret. (Foto: Produsenten)

– En stor utfordring med «tingenes internett»-produkter er at produsentene ikke har hatt tilstrekkelig insentiv for å satse på sikkerhet og personvern. Derfor ser vi eksempler på at det gis dårlig informasjon om hvilke data som samles inn, og hvem som har tilgang til disse. For forbrukerne er det nærmest umulig å vurdere hvorvidt et produkt har tilfredsstillende datasikkerhet eller ikke, sier Catharina Nes, seniorrådgiver i Datatilsynet.

Barbie ser deg

I 2015 avslørte blant andre BBC og The Guardian at Samsungs Smart-TV-er kunne overvåke tv-seerne via en innebygget mikrofon som egentlig var beregnet på stemmestyring av apparatets funksjoner. Avsløringen førte til at Samsung la til følgende med liten skrift i kjøpekontrakten: «Vær oppmerksom på at hvis dine samtaler inneholder personlig eller annen sensitiv informasjon, så vil den informasjonen være blant dataene som fanges opp og videreføres til en tredjepart.»

Image with visual paralax effect
Ser deg: Innebygde kameraer og mikrofoner på moderne TV-er kan potensielt fange opp lyd og bilde fra stua. (Foto: Lise Åserud / NTB scanpix)

– Men Samsung er langt fra alene. Det har vært tilsvarende avsløringer om alt fra robotstøvsugere til Barbie-dukker, sier Per Øyvind Hodøl, nestleder i NITOs fagutvalg for IKT.

Produsenten av Barbie-dukker ble i 2016 dømt til å betale flere millioner kroner i bot for å ha samlet personlige data om barn via dukkenes wi-fi.

Barbie-bot: Produsenten av Barbies stemmegjenkjennende dukker, måtte ut med flere millioner i bot for manglende datasikkerhet. (Foto: Produsenten)

– Disse produktene har funksjoner som oppleves som nyttige, som at et barn kan stille et spørsmål til dukken, som da søker på nettet og gir et svar. Men det er liten eller ingen kontroll med hvordan disse dataen brukes, samtidig som det kan være sikkerhetshull i teknologien, som andre kan utnytte for å få innsyn i ens privatliv og personlige data, sier Hodøl.

Verdifulle data

Har du en treningsklokke, vil et forsikringsselskap som skal vurdere dine poliser, kunne tenkes å ha nytte av å følge med på hvilepulsen din, hvor mye du beveger deg, og når og hvor mye du sover. Søker du jobb, er du kanskje ikke interessert i at din potensielle arbeidsgiver skal vite hvor mye øl hjemmebryggeaparatet ditt produserer.

– Og dette er ikke science fiction. Firmaer som Google og Facebook har jo tjent seg styrtrike nettopp på å videreselge informasjon om dine vaner og interesser. Når alt i huset og på kroppen er koblet til nettet, gir det utrolig detaljert informasjon om deg, som selvfølgelig er interessant for ulike aktører, sier Hodøl.

Gir kriminelle adgang

Kriminelle kan også tenkes å bruke tingenes internett til både å hacke og spre virus. Verden har sett en rekke alvorlige og omfattende dataangrep de siste årene, som Wanna Cry-viruset, der hackere stjal enorme datamengder fra bedrifter og krevde løsepenger for å gi dem tilbake.

Den amerikanske senatoren Maggie Hassans delstat New Hampshire ble sterkt rammet av hackere i fjor, der blant annet en stor internettleverandør ble skadelidende. Hun har engasjert seg sterkt i USAs offentlige debatt om tingenes internett, og mener dette feltet utvikler seg for raskt til at myndighetene klarer å innføre reguleringer som beskytter brukerne.

Image with visual paralax effect
På avveie: Med tingenes internett fryktes det at hackere kan få adgang til dine private data via sikkerhetshull. (Foto: Thomas Winje Øijord / NTB scanpix)

– Bare i 2017 har det blitt kjøpt 5,2 milliarder slike produkter, og man regner med at det vil være flere enn 50 milliarder innen 2020. Det vi begynner å skjønne er at et nettverk bare er like sterkt som sitt svakeste ledd. Her må industrien på banen og beskytte både forbrukere og selve infrastrukturen, sier Hassan til nettmagasinet Cnet.

Jo flere punkter man kobler seg på nettet med, desto mer omfattende og dyptgripende kan angrepene bli.

– Når et produkt har et sikkerhetshull, vil det lett kunne gi uvedkommende tilgang. I teorien vil disse kunne komme seg inn i ens private sfære gjennom brødristeren, for så å peile seg videre inn på datamaskinen, mobilen og så videre, forklarer Per Øyvind Hodøl.

Vanskelig avveining

Samtidig er nytteverdien av smartprodukter og tingenes internett knyttet til nettopp at din personlige informasjon og dine vaner samles, for at du skal kunne fjernstyre og følge med på ulike ting.

– At produktene samler inn data, er ikke problematisk i seg selv. Produktene er avhengige av å samle visse opplysninger for å fungere. Men produktene skal ikke samle inn mer data enn det som er nødvendig for å levere tjenesten. Det er videre viktig at forbrukerne blir informert om hvilke opplysninger som samles inn, hva opplysningene blir brukt til, og om de eventuelt blir delt videre med andre selskaper, understreker Catharina Nes.

Datatilsynet etterlyser i første omgang en merkeordning – tilsvarende CE-merking – som gir forbrukere trygghet for at et produkt oppfyller visse minstekrav til datasikkerhet. Men det er langt fram før vi har reguleringer som garanterer at dine private data forblir private.

– Noe av problemet er at nye produkter produseres i et forrykende tempo, og sikkerheten kommer i siste rekke. Lite vil endre seg uten et forbrukeropprør, samt overnasjonale reguleringer, mener Per Øyvind Hodøl, som anbefaler at man tenker både en og to ganger før man kobler et produkt på tingenes internett.

Juletre-app: Selveste juletreet skaper en potensiell sikkerhetsrisiko dersom den er koblet til nett. (Foto: Produsenten)
Fakta: Tingenes internett

* Stadig flere produkter utstyres med bluetooth og wi-fi, slik at de kan «snakke» sammen og koble seg på nettet.

* Blant populære produkter er smartklokker, robotstøvsugere, TV-er, lyspærer, termostater, vannkokere, barneleker og kjøleskap.

* Fordelen for forbrukerne er mange. Man kan for eksempel skru opp termostaten på vei hjem fra jobben via telefonen, få melding om at man snart er tom for melk, og fjernstyre TV-en med stemmen.

* De potensielle ulempene er også mange. Det er liten kontroll med hvordan dataene som sendes til produktets produsent, brukes. Produsenten kan for eksempel dele informasjonen med en tredjepart som er interessert i dine vaner og din livsstil. Det er også en risiko for at dårlige sikkerhetsrutiner blant produsenter gir sikkerhetshull som hackere kan utnytte. Har en hacker først klart å penetrere ett produkt i hjemmet, kan vedkommende i teorien derfra angripe andre enheter som har bluetooth eller wi-fi.

* Forbrukerrådet og Datatilsynet etterlyser bedre forbrukerinformasjon om datasikkerheten knyttet til tingenes internett, og EU jobber med å utvikle et regelverk for kommunikasjon fra maskin til maskin – såkalt M2M.

Kommenter gjerne, men vis saklighet: