Alla inlägg den 26 november 2023

:

Kommentera
Av Svenn Dybvik - 26 november 2023 20:23

https://www.datatilsynet.no/regelverk-og-verktoy/rapporter-og-utredninger/5g-og-personvern/sikkerheten-i-5g-nettet/

 


Personvernutfordringer


Vi vil her se nærmere på hvilke direkte og indirekte konsekvenser bruk av 5G kan ha for personvernet. Vi har tatt utgangspunkt i problemstillinger knyttet til personvernregelverket.


Mer presis posisjonering og sårbarhet

Det er særlig tre problemstillinger vi mener kan ha direkte konsekvenser for personvernet ved bruk av 5G.

 

1. Mer presis posisjonering av individer

Alle smarttelefoner kan posisjonere brukeren ved hjelp av GNSS (fellesbetegnelse for satellittbaserte systemer for navigasjon og posisjonering med global dekning), herunder blant annet GPS og Galileo. For å kunne posisjonere brukeren hurtigere og mer nøyaktig, vil telefonen ofte også bruke signaler fra basestasjonene i mobilnettet, samt Bluetooth- og WiFi-signaler.

 

Med 5G blir det flere basestasjoner og kortere avstand mellom stasjonene (dette beskrev vi nærmere i kapittel 2). Det gjør at geografisk posisjonering av tilkoblede enheter i nettverket blir mye mer presis sammenlignet med i dag. I 5G-nett kan posisjonsnøyaktigheten være ti meter eller mindre utendørs og tre meter innendørs (mdpi.com, engelsk).

 

At det er mulig å posisjonere en bruker, er ingen ny problemstilling. Også uten 5G kan bruken av posisjonsdata være uoversiktlig og potensielt ulovlig i noen tilfeller. NRK har i flere artikler belyst problemstillingen der posisjonsdata samles inn av ulike applikasjoner og selges videre på markedet med feilaktig informasjon til brukerne om at disse har blitt "anonymisert" (se for eksempel NRK-artiklene "Avslørt av mobilen" og "Norske offiserer og soldater avslørt av mobilen".

 

Med mer nøyaktig posisjonering av enkeltindivider er det i personvernsammenheng relevant å se på hvordan dataene brukes og hvem som får tilgang til dem. Opplysninger om hvor en person befinner seg til enhver tid, vil kunne avsløre opplysninger om bosted, arbeidssted og andre opplysninger som samlet sett vil være egnet til å identifisere vedkommende. Posisjonsdata vil derfor som oftest være opplysninger som faller inn under personvernregelverkets virkeområde.

I tillegg til å identifisere individer, vil mer nøyaktige posisjonsdata være egnet til å avsløre flere personopplysninger om vedkommende. Eksempler på dette kan være legebesøk, hvilke butikker du handler i, eller hvor ofte du befinner deg på den lokale puben. Posisjonsdata kan videre avsløre om du er aktiv deltaker i et spesifikt religiøst fellesskap, får behandling for en bestemt lidelse eller har vært tilstede der en kriminell handling foregikk, basert på hvilke bygg du har besøkt på ulike tidspunkt. Det betyr at posisjonsdata også kan brukes til å målrette annonsering basert på hvilken butikk du står utenfor eller hvilken helsehjelp du muligens trenger.

 

2. Sårbarheter i infrastruktur

Når den frittstående infrastrukturen for 5G er på plass, vil den legge til rette for bedre sikkerhet, blant annet ved sterkere autentisering og kryptering. Men det finnes også noen nye sårbarheter som kan ha konsevenser for personopplysningene som behandles i 5G-nettet.

 

Som vi så i kapittel 2, skiller 5G seg fra tidligere generasjoner nettverk ved å være mer programvareorientert og operere i en skybasert arkitektur, noe som vil muliggjøre en mer fleksibel bruk av infrastrukturen. I den sammenhengen er det viktig å være oppmerksom på potensielle sårbarheter i programvaren og operativsystemet som programvaren kjøres på.

Med et mer programvarebasert nett er det også flere aktører involvert i driften. Når infrastrukturen fordeles på flere aktører, blir verdikjedene lengre, og kompleksiteten kan øke for de som skal drifte mobilnettet. Dette kan igjen føre til høyere sannsynlighet for at det oppstår sårbarheter.

 

Hvis mange viktige samfunnsfunksjoner (for eksempel helsetjenster, nødetater og trafikkstyring) er avhengige av 5G-nettet, kan det få ekstra store konsekvenser hvis nettet går ned eller utsettes for sikkerhetshendelser. Hvis angrep eller feil i ett system fører til at mange andre systemer slutter å fungere, kan vi kalle det systemet et "single point of failure". Dette beskrev vi nærmere i forrige kapittel.

 

3. Hvem er behandlingsansvarlig?

Mulighetene som kommer med skiveldeling og edge-computing, fører til at flere aktører kan tilby tjenester direkte i eller gjennom mobilnettet. Vi kan for eksempel se for oss at et strømmeselskap leier en skive for å sikre at de har nok kapasitet til å formidle TV-serier og filmer til mobilbrukerne sine. Alternativt kan de distribuere det mest brukte innholdet sitt fra edge-servere som er nærme store brukergrupper.

 

For tjenester hvor det behandles personopplysninger, kan det oppstå usikkerhet, både for brukerne og de involverte aktørene, om hvem som er behandlingsansvarlig og hvem som er databehandlere. Dette gjelder særlig hvis det er mange aktører involvert. Hvis ansvarsforholdene ikke er identifisert av de ulike aktørene på forhånd, kan det bli utfordrende for brukerne å vite hvem de skal utøve rettighetene sine overfor. Resultatet kan bli at de som benytter tjenestene begrenses i mulighetene de har til å ivareta sitt eget personvern.

 


Om behandligsansvar

Hovedansvaret for at behandlingen av personopplysninger er lovlig, ligger hos den som er behandlingsansvarlg i(personvernforordningen artikkel 24, lovdata.no).

Den behandlingsansvarlige har plikt til å gi de registrerte klar og tydelig informasjon om behandlingen av personopplysninger, hvilke rettigheter de har og hvordan de kan utøve disse rettighetene. Informasjonen skal gis på en kortfattet, åpen, forståelig og lett tilgjengelig måte.
Les mer om de registrertes rettigheter.

 


5G aksellererer bruk av tingenes internett

Vi har videre identifisert noen personvernproblemstillinger som vi tror blir aktualisert av 5G-nettet, ikke på grunn av teknologien i seg selv, men fordi 5G legger til rette for en eksplosiv økning i tilkoblede enheter. Vi trekker frem de viktigste personvernutfordringene her.

 

Ansvarspulverisering

Ofte er mange aktører involvert i å levere software og hardware i tingenes internett. Ta en smart-bil for eksempel: de er utstyrt med kameraer, sensorer, apper og mikrofoner som hjelper med å navigere, optimalisere kjøringen, oppdage feil i maskineriet og varsle ved ulykker. Aktørene er ofte basert i forskjellige land og over flere sektorer. Da kan det være krevende å vite hvilket regelverk som gjelder og hvem som er ansvarlig for å ivareta personvernet og informasjonssikkerheten. Ulike aktører kan også ha ulike interesser, standarder og rutiner knyttet til personvern og behandling av personopplysninger.

 

I tilfeller der mange aktører er involvert, kan det også ekstra utfordrende å vite hvilken aktør som er behandlingsansvarlig for hvilke behandlingsaktiviteter. Det vil i mange tilfeller innebære et samarbeid både mellom ulike behandlingsansvarlige og mellom behandlingsansvarlige og et større antall leverdandører/databehandlere. I noen tilfeller kan også maktbalansen mellom de ulike aktørene være skjev. For eksempel kan det være utfordrende for små aktører å sette krav til behandling av personopplysninger hvis leverandøren er et stort multinasjonalt selskap.

 

Alt dette vil kunne bidra til å skape en mer uoversiktlig situasjon, og vi mener at det i den sammenhengen er sannsynlig at vi i økende grad vil se situasjoner der det fremstår uklart både for den registrerte (altså sluttbrukeren) og de involverte markedsaktørene hvem som egentlig er ansvarlig for behandlingen av personopplysninger. En slik ansvarspulversiering fører til økt risiko for at regelverket ikke følges, slik som kravet om å gi brukeren informasjon, gjennomføring av nødvendige sikkerhetstiltak og at det er et gyldig behandlingsgrunnlag (for eksempel samtykke).

 

Tap av kontroll hos bruker

Økningen i antall tilkoblede enheter og det at data samles inn fra så mange ulike kilder (som den enkelte ikke nødvendigvis er klar over), gjør at det vil være ekstra utfordrende å ha oversikt over hvilke data som samles inn, hvem som samler inn data og hva dataene brukes til. Allerede i dag oppleves personvernerklæringer fra tjenestene vi bruker som overveldende og vanskelig tilgjengelige. Dette har blant annet Forbrukerrådet fremhevet og problematisert (forbrukerradet.no).

 

Et av hovedmålene med personvernregelverket er at hver enkelt av oss skal ha en viss kontroll og oversikt over bruken av våre opplysninger. Derfor er informasjonskravet i regelverket grunnleggende for at hver enkelt skal kunne ivareta rettighetene sine. For å kunne utøve en rettighet må du først og fremst vite at opplysningene dine blir behandlet. Regelverket gir den enkelte rett til innsyn i egne opplysninger, korrigering av uriktige opplysninger eller å be om sletting av opplysninger – for å nevne noe.

 

Tilkoblede enheter tilbyr i noen tilfeller persontilpassede tjenester som har reelle konsekvenser for den enkelte. Eksempler kan være pris på forsikring, medisindose og hvilke annonser du får se. I slike tilfeller er det ekstra viktig at brukeren vet at  opplysningene brukes, og hvordan, for å kunne oppdage feil og uønsket forskjellsbehandling, og ikke minst ivareta rettighetene sine.

Det store antallet aktører som er involvert i tingenes interentt, og risikoen for ansvarspulverisering, utgjør en tilleggsutfordring for brukernes personvern dersom de involverte aktørene ikke er enige eller bevisste på hvem som har ansvar for for eksempel sikkerhets- og informasjonstiltak.

 

Sikkerhetsutfordringer i tingenes internett

Personvernregelverket krever robusthet i løsninger for å sikre personopplysningenes integritetkonfidensialitet og tilgjengelighet. Det betyr at det ikke bare er at opplysningene ikke skal komme i uvedkommendes hender som er et krav (konfidensialitet), men også at opplysningene ikke utilsiktet endres eller blir utilgjengelige for den eller de som skal ha tilgang.

Når det kommer til tingenes internett er det en rekke personvernrelaterte sikkerhetsutfordringer. De viktigste er:

  • Tilbydere av ting som tradisjonelt ikke har vært tilkoblet internett, for eksempel joggesko og varmeovner, har ikke alltid tilstrekkelig kompetanse til å sørge for at informasjonssikkerheten i tilkoblede produkter er god nok.
  • Sikkerheten er avhengig av regelmessige oppdateringer for å reparere sårbarheter – noe som avhenger av at produsenten tilgjengeliggjør oppdateringer, og at brukere faktisk oppdaterer enheten.
  • Antallet tilkoblede enheter og de mange kanalene slik som mobiltelefoner, insulinmålere, trygghetsalarmer, velferdsteknologi-dingser, vaskemaskiner eller industrielle sensorer, gjør at angrepsflaten for hacking blir større.

 

 

 

 

 

 

https://www.datatilsynet.no/regelverk-og-verktoy/rapporter-og-utredninger/5g-og-personvern/anbefalinger-for-a-fa-til-godt-personvern-med-5g/


Anbefalinger for å få til godt personvern med 5G


Med 5G vil vi oppleve en akselerasjon av bruk av personopplysninger og mer presis sporing av hvor enheter og eierne deres er til en hver tid. Med mer intensiv bruk av data blir enda viktigere å ivareta personvernet til brukerne.

 


Godt personvern i 5G-nettet er helt avgjørende – ikke bare for å kunne møte kravene i personvernforordningen, men også for å bygge ansvarlige løsninger der brukerne har tillit til at dataene deres blir ivaretatt på en god måte.

 

Personvernregelverket krever at personvern skal bygges inn i alle løsninger og i all teknologi der personopplysninger blir behandlet (innebygd personvern). Dette kravet er relevant både der 5G-nettet blir benyttet av virksomheter (for eksempel private nettverk muliggjort av skivedeling) og for enheter som brukes i nettverket (for eksempel autonome biler og smartklokker).

Vi har formulert noen anbefalinger vi mener er viktige for å ivareta personvernet i en 5G-sammenheng.

 

 

Anbefalinger til myndigheter og nettleverandører

  1. Bygg et robust 5G-nett.Sørg for tilstrekkelig kompetanse. Overgangen til programvaredefinerte nettverk og mer skytjenestelignende infrastruktur, medfører endringer i kompetansebehovet til myndighetene og mobilnettleverandørene. For å beskytte 5G-nettet mot misbruk og angrep, og for å kunne regulere og drifte nettet på en sikker måte, må myndighetene og operatørene til enhver tid passe på å ha egnet kompetanse.

Anbefalinger til aktører som leverer tjenester over 5G

  1. Bygg personvernet inn i løsningen. Sett deg inn i kravene i regelverket. Du må for eksempel ha rettslig grunnlag for å behandle personopplysninger og kun samle data som er strengt nødvendig. Se veiledningen vår om innebygd personvern og innebygd personvern i programvareutvikling.
  2. Minimer bruk av posisjonsdata. 5G muliggjør presis sporing av mennesker. Praktiser dataminimeringsprinsippet, gi tydelig informasjon om hvordan posisjonsdata brukes og gjør det lett å skru av sporing dersom det ikke er nødvendig for å levere tjenesten.
  3. Ivareta informasjonssikkerheten. For å beskytte personopplysninger, må de som produserer enheter til 5G-nettet utvikle produktene sine sikre fra starten av, som en integrert del av utviklingsprosessen ("security by design"), og sørge for at standardkonfigurasjonen er så sikker som mulig ("security by default"). Les mer om grunnprinsippene for IKT-sikkerhet hos Nasjonal sikkerhetsmyndighet.
    I tillegg må produsentene støtte produktene under hele livstiden til produktene, slik at sårbarheter blir reparert og oppdateringer distribueres på en effektiv måte. Videre må produsentene gjøre det så lett som mulig for brukerne å ivareta sikkerheten i enhetene.
  4. Ha en tydelig ansvarsfordeling. For å unngå sikkerhetshendelser i bruk av 5G-skiver blir det svært viktig for leverandører og brukere av 5G-skiver å være tydelige på og avtale seg imellom hvem som har ansvar for hva, slik at alle parter evner å sørge for «sin» del av sikkerheten. I tilkoblede enheter kan det være mange aktører involvert i behandlingen av data. Sørg for at det er tydelig hvilke roller og ansvar de ulike aktørene har for behandling av personopplysningene. Dette inkluderer å infomere brukeren om bruk av personopplysninger.

 

Anbefaling til sluttbrukere av tjenester i 5G-nettet

  1. Begrens deling av posisjonsdata. 5G-nettet muliggjør mer presis posisjonering av individer enn tidligere nettverk. Noen tjenester gir brukerne mulighet til å endre innstillinger for bruk av posisjonstjenester og hvilke applikasjoner eller enheter som har tilgang til posisjonsdata. Brukerne kan også vurdere å skru av posisjonen når de ikke bruker tjenester som er avhengig av denne typen informasjon for å fungere hvis tjenesten gir mulighet for det.
  2. Gjør deg kjent med mulighetene for å sikre dataene dine. De fleste tilkoblede enheter lar brukeren justere innstilliger for sikkerhet og bruk av data. Bruk innstillingene til å konfigurere enheten slik at den behandler dataene dine på en måte du er komfortabel med, og husk å gjennomføre sikkerhetsoppdateringer jevnlig. Vurder å la være å kjøpe eller bruke tjenester som ikke gir god nok informasjon eller valgmuligheter for bruk av dine data.
  3. Bruk rettighetene dine. Du har rettigheter etter personvernregelverket, inkludert rett til informasjon, retting og sletting av opplysninger. Hvis du opplever at opplysningene dine misbrukes bør du klage til virksomheten det gjelder. Du kan også klage til Datatilsynet.

Fordi vi her kommer med anbefalinger rettet mot sluttbrukerne av tjenester, vil vi presisere at ansvaret for å overholde regelverket alltid ligger hos den behandlingsansvarlige (virksomheten som er ansvarlig for behandling av personopplysningene).

 

Allmänt · ‽IT · · interrobangit · § · §IT
Dela · Kommentera  
Ovido - Quiz & Flashcards