L'IdO mine-t-il nos attentes raisonnables en matière de confidentialité?

Aux États-Unis, le concept de l ' "attente raisonnable en matière de vie privée" est né lorsque la police a été considérée comme ayant enfreint le quatrième amendement en mettant sur écoute un téléphone public pour capturer un anneau de jeu. Aujourd'hui, nous avons une attente raisonnable de confidentialité dans notre propre personne, à la maison, en voiture, au bureau et, dans une certaine mesure, dans les lieux publics. De nouvelles réglementations sur la confidentialité des données, telles que GDPR ont étendu cela pour renforcer les droits des individus sur la façon dont leurs données personnelles sont capturées et utilisées.

Alors, quelle est la différence entre une écoute électronique sur un téléphone public et la collecte des preuves provenant d'un appareil compatible IoT tel qu'un assistant personnel comme Alexa ou un portable comme Fitbit ? Pour tout son potentiel l'IoT pourrait facilement devenir un champ de mines éthique et de confidentialité des données pour les forces de l'ordre.

Les poubelles vous espionnent-elles?

En 2012, la ville de Londres avait un bonne idée: il a mis des écrans vidéo sur ses poubelles publiques. Mais à l'insu du public, les poubelles collectaient des informations sur les appareils compatibles WiFi pour suivre les mouvements de leurs propriétaires. Au cours du premier mois, plus d'un million d'appareils uniques ont été enregistrés avant la fermeture du système en raison d'un tollé général.

Les appareils IoT rassemblent une grande quantité de données et il est de plus en plus difficile de s'assurer que l'individu a correctement donné son consentement pour leurs données à capturer de cette façon. La question qui se pose est de savoir de quels droits dispose l'organisme d'application de la loi pour utiliser ces données.

Le RGPD offre à la fois un «intérêt vital» et un «intérêt public» pour le traitement des données personnelles. Elle suggère que cela signifie qu’elle est «nécessaire à l’exécution d’une mission exécutée dans l’intérêt public ou dans l’exercice de l’autorité publique dévolue au responsable du traitement». L’énorme mot ici est «nécessaire». Le règlement juge nécessaire de signifier ciblé et proportionné à l'objectif visé. Supposons qu'une caméra capture un trafiquant de drogue connu dans une zone où ils n'ont jamais été vus auparavant. L'organisme chargé de l'application des lois aurait-il le droit de conserver ces informations pour suivre le trafiquant de drogue?

La réponse est probablement négative. Les informations personnelles saisies dans un seul but ne peuvent être utilisées que dans le but initial. Tout autre élément, sauf dans certaines circonstances limitées, doit être considéré comme un objectif secondaire non autorisé. Les réglementations sur la confidentialité des données mettent l'accent sur la minimisation des données, ce qui signifie que vous ne devez pas conserver les données dont vous n'avez pas besoin.

À mesure que les données personnelles des appareils IoT augmentent, les forces de l'ordre exigent des politiques et une gouvernance extrêmement strictes sur la façon dont ces données sont capturées et stockées. . En outre, des solutions de gestion des données sont nécessaires pour garantir l'utilisation légitime des données lors de leur passage dans le système, du contact initial à la remise finale des preuves numériques au tribunal.

L'IoT et la menace de cyberattaque

Aujourd'hui , presque tous les appareils IoT sont vulnérables aux cyberattaques – même Alexa, Siri et Google Home ont été piratés simplement en braquant des lasers sur eux! De nombreux experts estiment que l'IoT représente désormais le plus grand risque de cybersécurité .

L'adoption croissante d'appareils compatibles IoT, tels que des caméras portées sur le corps, des armes connectées et des véhicules intelligents, crée une énorme zone d'attaque pour les pirates. Il existe tout simplement trop d'exemples de cas où un dispositif IoT à sécurité limitée a été le point d'entrée des criminels dans les systèmes d'entreprise. À certains égards – bien que toujours extrêmement importants – les violations de données deviennent un problème moindre pour les forces de l'ordre. Réfléchissez à ce qu'un pirate malveillant pourrait faire s'il contrôlait une arme à feu compatible IoT!

Cette année, nous avons vu les premiers pas pour remédier à cette situation. Aux États-Unis, la Internet of Things (IoT) Cybersecurity Improvement Act exige des agences du gouvernement fédéral, des sous-traitants et des fournisseurs fournissant des appareils IoT au gouvernement qu'ils soient plus transparents dans la communication de toute vulnérabilité de cybersécurité associée aux appareils connectés. De plus, la loi SB-327 entrera en vigueur en Californie l'année prochaine pour garantir que les fabricants d'appareils soient équipés de dispositifs de sécurité «raisonnables» pour empêcher tout accès, modification ou divulgation d'informations non autorisés.

dans la bonne direction, mais il est important que tous les organismes chargés de l'application des lois protègent les limites de leur réseau. En effet, l'IoT introduit un nombre croissant de dispositifs périphériques qui doivent être provisionnés, gérés et mis hors service en toute sécurité.

Le rôle d'une plate-forme IoT basée sur l'identité

une agence d'application de la loi avec la capacité de créer et de gérer une identité centrale unique pour tout ce qui est attaché à votre réseau IoT, y compris les appareils, applications, personnes et autres ressources IoT. Les nouveaux appareils se connectant au réseau sont immédiatement identifiés et, si l’authentification ne peut pas être établie, isolés. Vous disposez d'une infrastructure d'identité de bout en bout qui gère l'accès, les relations et le cycle de vie pour chaque appareil IoT utilisé dans votre organisation.

Vous voulez en savoir plus sur la manière dont l'IoT transforme tous les domaines du secteur public? Visitez notre site Web .