Jak uważa wielu przedstawicieli świata nowoczesnej technologii (i nie tylko), współczesne społeczeństwo jest silnie przerośnięte nowymi technologiami, że prawo do ochrony własnych, prywatnych danych, jest już jednym z podstawowych praw człowieka.
Kilka tygodni temu odbyło się spotkanie RISC-V Summit, poświęcone zagadnieniom związanym z nową, otwartą architekturą procesorów. Jednym z zagadnień poruszanych w ramach tej konferencji były kwestie związane z wbudowanym bezpieczeństwem w produktach opartych na otwartych źródłach, czy w tym przypadku, otwartej architekturze procesora.
W swojej krótkiej analizie tych zagadnień Lou Covey zwrócił uwagę na fakt, że firmy produkujące oprogramowanie są bardziej niż chętne, by opowiadać o swoich zabiegach, związanych z poprawą poziomu bezpieczeństwa tworzonych przez siebie aplikacji. Z drugiej strony spółki produkujące hardware, na pytania Coveya odpowiadały niechętnie lub odmawiały odpowiedzi w ogóle, zasłaniając się stwierdzeniem, że "to nie ich problem".
Oczywiście po opublikowaniu tej opinii w artykule prasowym, skrzynka autora rozgrzała się do czerwoności – to przedstawiciele sektora sprzętowego pisali, by „wyklaryfikować”, jak to wygląda w ich firmach – nie tak źle, jak przedstawił to Covey. To wynik zabiegów marketingowych i braku przeszkolenia PR-owego osób, które prezentowały stoiska poszczególnych firm na targach. A więc jak jest w rzeczywistości?
Oczywiście, jak to często bywa, prawda jest bardziej złożona niż przedstawione powyżej uogólnienie.
Przyznać trzeba, że wiele firm zaangażowanych jest w projektowanie i produkcję bardzo bezpiecznych systemów. Przykładem tutaj może być chociażby SiFive i Microsemi, które wspólnie pracują nad bezpiecznymi rozwiązaniami, wykorzystującymi wysoko zintegrowane połączenie software i hardware do zapewnienia wysokiego poziomu bezpieczeństwa danych. Ich podejście jest spójne z Manifestem Bezpieczeństwa, opublikowany przez ARM, które mocno sugeruje tak holistyczne podejście do tych kwestii.
Jest w tym jednak pewien haczyk.
W założeniu układy RISC-V mają chronić wszystkie urządzenia dookoła nas, co jest doskonałym pomysłem. Niestety – to tylko teoria, a nie realna praktyka. Z pominięciem kilku wyjątków, firmy, z którymi okazję miał rozmawia Covey, tworzą rozwiązania bezpieczeństwa, które swoje aplikacje znajdują w bardzo wąskich sektorach przemysłu półprzewodnikowego.
Rynek elektroniczny można podzielić na dwie sekcje, jak wskazuje dziennikarz. Pierwszą, mniejszą z nich, nazwać można infrastrukturą. Tutaj znajdziemy duże firmy oraz klientów rządowych, militarnych, kosmicznych i tym podobnych. To dobrze, że te firmy bronią swojego bezpieczeństwa, ponieważ jego naruszenie w ich przypadku miałoby bezpośredni wpływ na nas.
Druga sekcja to produkty komercyjne, elektronika konsumencka. Ten rynek jest o wiele większy niż sektor infrastrukturalny, ale pełen jest małych firm projektujących różne urządzenia konsumenckie. Potencjalnie jest on bardziej zagrożony atakami, szczególnie, że jakkolwiek mówi się w jego kontekście o wielu różnych systemach zabezpieczeń, to rzadko kiedy w pełni się je implementuje w tego rodzaju urządzeniach.
Miliardy urządzeń Internetu Rzeczy zostały w ciągu ostatnich pięciu lat przejęte przez hakerów, a kolejne miliardy są bardziej podatne na takie ataki. Na przykład w tym roku, jak donoszą specjaliści, każde urządzenie z systemem Android na całej planecie jest podatne na ataki z użyciem technologii Bluetooth. Firma programistyczna SecureRF zapewnia w tym sektorze ochronę, ale ich technologia nie jest powszechnie dostępna. Czemu? Ponieważ nie jest powszechnie przyjętym standardem. Nie jest to wina SecureRF i nie jest to nawet wina producentów procesorów itp. Problem tkwi w dostawcach urządzeń i ogóle społeczeństwa, którzy nie chce ponosić dodatkowych kosztów związanych ze zwiększeniem poziomu bezpieczeństwa swoich urządzeń.
To właśnie jest zasadnicza przyczyna problemów z bezpieczeństwem. Ogólnie rzecz biorąc, bezpieczeństwo cyfrowe jest łatwodostępne ale tylko dla tych, którzy mogą sobie na to finansowo pozwolić. Można powiedzieć, że bogatsi członkowie rynku mają więcej do stracenia, ale – co zaskakujące - 74% cyberprzestępczości jest skierowane do kobiet w wieku od 18 do 30 lat, jak donosi zeszłoroczny raport organizacji Cyber Crime Awareness Foundation . Na drugim miejscu są osoby starsze. Bardzo często ataki te także trafiają w osoby mniej zamożne.
Według firmy ubezpieczeniowej Aviva, 73% osób powyżej 45 roku życia, posiadających dostęp do Internetu stwierdziło, że były one celem ataku z wykorzystaniem poczty elektronicznej, a 6% stwierdziło, że wpadło w taką pułapkę.
Tutaj jest właśnie zasadnicza przyczyna problemu. Dzisiejsze społeczeństwo jest nierozerwalnie związane z technologiami cyfrowymi. Do tego stopnia, że bezpieczeństwo naszych danych w tej rzeczywistości jest prawem człowieka, co wreszcie dostrzegać zaczynają także rządy.
Rozporządzeniem o ochronie danych osobowych Unii Europejskiej (GDPR) jest dopiero początkiem. W innych rejonach świata powstają podobne dokumenty - kalifornijska wersja GDPR wejść w życie ma dopiero 2020 roku. Oba akty są obecnie głównie skierowane do firm, które zbierają dane osobowe i sprzedają personalizowane reklamy. W Unii wysokie kary mają być wymierzane we wszelkiego rodzaju przedsiębiorstwa, które nielegalnie wykorzystują dane osobowe.
Ponieważ jednak sprzedawcy sprzętu, do którego przekazywane są dane, sprzedają produkty, które zasadniczo nie są bezpieczne, ile czasu minie, zanim handlujące danymi firmy, o ich wycieki zaczną obwiniać nieodpowiednio zabezpieczony sprzęt?
Zastanówmy się nad tym przez chwilę: miliony telefonów z systemem Android są atakowane w momencie, gdy czytacie ten artykuł. Według amerykańskiego taryfikatora, koszt każdego naruszenia poufności danych osobowych w Kalifornii to 7 500 dolarów. Czy producenci telefonów zdają sobie sprawę z tego, że to oni mogą być obarczeni tymi kosztami w przypadku, gdy do wycieku danych dojdzie z uwagi na niedostateczny poziom zabezpieczenia ich urządzeń? Jak wskazuje Covey, kwestia jest jeszcze niejasna, ale do 2020 musi zostać rozstrzygnięta. Obecnie analizuje on to wspólnie z przedstawicielami producentów smartfonów.
Wzrost poziomu ochrony danych osobowych, jako prawa człowieka, szybko wejdzie w życie jako coś normalnego. Problemem może być tylko fakt, że przemysł komputerowy nie rozwija się wystarczająco szybko, aby spełnić nowe wymogi prawne. Tego jednakże dowiemy się w najbliższej przyszłości.
Źródło: https://www.eeweb.com/profile/loucovey/articles/are-we-ready-to-accept-digital-security-as-a-human-right
Kilka tygodni temu odbyło się spotkanie RISC-V Summit, poświęcone zagadnieniom związanym z nową, otwartą architekturą procesorów. Jednym z zagadnień poruszanych w ramach tej konferencji były kwestie związane z wbudowanym bezpieczeństwem w produktach opartych na otwartych źródłach, czy w tym przypadku, otwartej architekturze procesora.
W swojej krótkiej analizie tych zagadnień Lou Covey zwrócił uwagę na fakt, że firmy produkujące oprogramowanie są bardziej niż chętne, by opowiadać o swoich zabiegach, związanych z poprawą poziomu bezpieczeństwa tworzonych przez siebie aplikacji. Z drugiej strony spółki produkujące hardware, na pytania Coveya odpowiadały niechętnie lub odmawiały odpowiedzi w ogóle, zasłaniając się stwierdzeniem, że "to nie ich problem".
Oczywiście po opublikowaniu tej opinii w artykule prasowym, skrzynka autora rozgrzała się do czerwoności – to przedstawiciele sektora sprzętowego pisali, by „wyklaryfikować”, jak to wygląda w ich firmach – nie tak źle, jak przedstawił to Covey. To wynik zabiegów marketingowych i braku przeszkolenia PR-owego osób, które prezentowały stoiska poszczególnych firm na targach. A więc jak jest w rzeczywistości?
Oczywiście, jak to często bywa, prawda jest bardziej złożona niż przedstawione powyżej uogólnienie.
Przyznać trzeba, że wiele firm zaangażowanych jest w projektowanie i produkcję bardzo bezpiecznych systemów. Przykładem tutaj może być chociażby SiFive i Microsemi, które wspólnie pracują nad bezpiecznymi rozwiązaniami, wykorzystującymi wysoko zintegrowane połączenie software i hardware do zapewnienia wysokiego poziomu bezpieczeństwa danych. Ich podejście jest spójne z Manifestem Bezpieczeństwa, opublikowany przez ARM, które mocno sugeruje tak holistyczne podejście do tych kwestii.
Jest w tym jednak pewien haczyk.
W założeniu układy RISC-V mają chronić wszystkie urządzenia dookoła nas, co jest doskonałym pomysłem. Niestety – to tylko teoria, a nie realna praktyka. Z pominięciem kilku wyjątków, firmy, z którymi okazję miał rozmawia Covey, tworzą rozwiązania bezpieczeństwa, które swoje aplikacje znajdują w bardzo wąskich sektorach przemysłu półprzewodnikowego.
Rynek elektroniczny można podzielić na dwie sekcje, jak wskazuje dziennikarz. Pierwszą, mniejszą z nich, nazwać można infrastrukturą. Tutaj znajdziemy duże firmy oraz klientów rządowych, militarnych, kosmicznych i tym podobnych. To dobrze, że te firmy bronią swojego bezpieczeństwa, ponieważ jego naruszenie w ich przypadku miałoby bezpośredni wpływ na nas.
Druga sekcja to produkty komercyjne, elektronika konsumencka. Ten rynek jest o wiele większy niż sektor infrastrukturalny, ale pełen jest małych firm projektujących różne urządzenia konsumenckie. Potencjalnie jest on bardziej zagrożony atakami, szczególnie, że jakkolwiek mówi się w jego kontekście o wielu różnych systemach zabezpieczeń, to rzadko kiedy w pełni się je implementuje w tego rodzaju urządzeniach.
Miliardy urządzeń Internetu Rzeczy zostały w ciągu ostatnich pięciu lat przejęte przez hakerów, a kolejne miliardy są bardziej podatne na takie ataki. Na przykład w tym roku, jak donoszą specjaliści, każde urządzenie z systemem Android na całej planecie jest podatne na ataki z użyciem technologii Bluetooth. Firma programistyczna SecureRF zapewnia w tym sektorze ochronę, ale ich technologia nie jest powszechnie dostępna. Czemu? Ponieważ nie jest powszechnie przyjętym standardem. Nie jest to wina SecureRF i nie jest to nawet wina producentów procesorów itp. Problem tkwi w dostawcach urządzeń i ogóle społeczeństwa, którzy nie chce ponosić dodatkowych kosztów związanych ze zwiększeniem poziomu bezpieczeństwa swoich urządzeń.
To właśnie jest zasadnicza przyczyna problemów z bezpieczeństwem. Ogólnie rzecz biorąc, bezpieczeństwo cyfrowe jest łatwodostępne ale tylko dla tych, którzy mogą sobie na to finansowo pozwolić. Można powiedzieć, że bogatsi członkowie rynku mają więcej do stracenia, ale – co zaskakujące - 74% cyberprzestępczości jest skierowane do kobiet w wieku od 18 do 30 lat, jak donosi zeszłoroczny raport organizacji Cyber Crime Awareness Foundation . Na drugim miejscu są osoby starsze. Bardzo często ataki te także trafiają w osoby mniej zamożne.
Według firmy ubezpieczeniowej Aviva, 73% osób powyżej 45 roku życia, posiadających dostęp do Internetu stwierdziło, że były one celem ataku z wykorzystaniem poczty elektronicznej, a 6% stwierdziło, że wpadło w taką pułapkę.
Tutaj jest właśnie zasadnicza przyczyna problemu. Dzisiejsze społeczeństwo jest nierozerwalnie związane z technologiami cyfrowymi. Do tego stopnia, że bezpieczeństwo naszych danych w tej rzeczywistości jest prawem człowieka, co wreszcie dostrzegać zaczynają także rządy.
Rozporządzeniem o ochronie danych osobowych Unii Europejskiej (GDPR) jest dopiero początkiem. W innych rejonach świata powstają podobne dokumenty - kalifornijska wersja GDPR wejść w życie ma dopiero 2020 roku. Oba akty są obecnie głównie skierowane do firm, które zbierają dane osobowe i sprzedają personalizowane reklamy. W Unii wysokie kary mają być wymierzane we wszelkiego rodzaju przedsiębiorstwa, które nielegalnie wykorzystują dane osobowe.
Ponieważ jednak sprzedawcy sprzętu, do którego przekazywane są dane, sprzedają produkty, które zasadniczo nie są bezpieczne, ile czasu minie, zanim handlujące danymi firmy, o ich wycieki zaczną obwiniać nieodpowiednio zabezpieczony sprzęt?
Zastanówmy się nad tym przez chwilę: miliony telefonów z systemem Android są atakowane w momencie, gdy czytacie ten artykuł. Według amerykańskiego taryfikatora, koszt każdego naruszenia poufności danych osobowych w Kalifornii to 7 500 dolarów. Czy producenci telefonów zdają sobie sprawę z tego, że to oni mogą być obarczeni tymi kosztami w przypadku, gdy do wycieku danych dojdzie z uwagi na niedostateczny poziom zabezpieczenia ich urządzeń? Jak wskazuje Covey, kwestia jest jeszcze niejasna, ale do 2020 musi zostać rozstrzygnięta. Obecnie analizuje on to wspólnie z przedstawicielami producentów smartfonów.
Wzrost poziomu ochrony danych osobowych, jako prawa człowieka, szybko wejdzie w życie jako coś normalnego. Problemem może być tylko fakt, że przemysł komputerowy nie rozwija się wystarczająco szybko, aby spełnić nowe wymogi prawne. Tego jednakże dowiemy się w najbliższej przyszłości.
Źródło: https://www.eeweb.com/profile/loucovey/articles/are-we-ready-to-accept-digital-security-as-a-human-right
Fajne? Ranking DIY
