5 Analys
5.3 Molnet
Genom svaren på enkäten ser vi att molntjänster används som lagringsplats till större delen i ett smart hem, vilket går att avläsa i figur 1, där tre utav fyra företag använder molnet. På molnet lagras personlig data och likaså en del känslig data. All kommunikation mellan enheterna och servrar sker krypterat men dekrypteras sedan och lagras på molnet.
Enligt intervjun så skapar molnet ett unikt värde för produkten och innebär en inriktad marknad där kunderna vill ha kontroll över huset när de inte är hemma genom exempelvis mobilen. Molnet möjliggör läsning av data i realtid och underlättar kommunikationen mellan enheterna.
24
Molntjänster kommer i många olika former [6] men för att minimera sekretessrisken och optimera/anpassa molnet för IoT så ska publika moln undvikas [5] och istället ska privata, community eller hybrid (en kombination av dessa två) väljas. Genom att använda en sådan modell så går det att undvika oseriösa aktörer och skapa bättre villkor för användaren.
En fördel med molnet är att det är snabb tid-till-tjänst då molnet alltid finns tillgängligt och erbjuder ett så kallat on-demand tjänst [6]. Nackdelen är att det blir lättare för t.ex. statliga företag och privata parter att komma åt data från molnet än från skaparen själv [4]. Data kan också överlämnas från molnleverantören till andra tredjeparter eller missanvändas för oavsiktliga ändamål. Med andra ord sker en avsevärd nedsättning av rättigheter för användaren.
Alla företag som ställde upp på enkäten krypterar sina data och företaget som blev intervjuat använder sig utav TLS/SSL som är en asymmetrisk kryptering. Deras enhet samlar in data i ett lokalt minne och som var timme kopplar upp sig till molnet och skickar data klumpvis. Alla data lagras på molnet och byggs sedan på efter första dagen (skapar big data). All data lagras på samma sätt förutom loggdata som skickas till en annan kanal så utvecklarna kan förbättra produkten. Det ska inte vara möjligt att läsa något dekrypterat i kommunikationen mellan enheterna och servrarna.
5.4 Smarta hem
Ett smart hem består mestadels av sensorer och data som kommer ifrån sensorer innehåller ofta känslig information som kan vara utav intresse för andra [18]. Användaren lämnar mer eller mindre frivilligt ifrån sig digitala spår som kan ge metadata om boendets vanor och med denna information går det att bygga omfattande individuella och gemensamma profiler av de i hemmet [24].
I intervjun nämns det något som inte tagits upp i litteraturen och det är att intrång kan ske från andra håll än i hemmet. Alla dessa data från alla olika användare genererar mängder med data som sparas hos molnleverantörer, attacker kan därför även riktas mot både molntjänsten och företaget som är administratörer över enheterna då det finns mängder med data att komma åt. Dessa attacker är troligtvis inte riktade mot en specifik användare utan i sådana fall företaget av produkten.
Det finns givetvis en risk med enheter i hemmet som kommunicerar trådlöst då det öppnar upp möjligheten att tjuvlyssna utifrån [30]. I detta fall är det möjligt att se vilka enheter som är aktiva, när de är aktiva och på så vis kan tjuvlyssnaren skapa sig en uppfattning av vad som försiggår i hemmet [30] ex. ifall personen ser på tv, duschar, sover etc. Företagens syn på säkerhet är olika vilket speglas i kap 2.3 och tabell 7 där vissa anser att all data i ett smart hem bör skyddas medan andra ser det som slöseri med tid och hellre skyddar det som är uppenbart att skydda (exempelvis dörrlås).
Företaget som blivit intervjuat har en produkt som har hand om säkerheten och hanterar och samlar in flertalet olika data i hemmet. Data som enheten hanterar är husets luft (såsom fuktighet och rök), temperatur, rörelser och ljud. Dessa data samlas in och analyseras på enheten som sedan periodvis skickar dessa
25
data till molnet (krypterat) där dessa lagras (dekrypterat). Användaren kan med hjälp av mobilen ta reda på ex. när någon är hemma, klimat, ifall något går sönder etc. Data som ljud sparas inte som ljudfiler utan bara ljudnivån (och enheten kan höra ljud som vi människor inte kan höra med bara örat). De data som enheten samlar in anses inte vara känslig då den inte berättat något om individen men genom att korrelera data med annan data så är det möjligt att skapa känslig data ex. beteendemönster, vem som är hemma med mera. Det är möjligt för företag att använda den data som samlas in i det smarta hemmet för att skapa riktad marknadsföring. Enligt intervjun finns det information i hemmet för att identifiera användarens vanor, få folk att köpa mer, skräddarsy reklam, försäkringsbolag kan använda informationen till att ge exempel en högre eller lägre försäkringspremie etc.
6 Diskussion
Personlig data är information som refererar till identifikationen av en individ såsom namn, adress, telefon och personnummer men känslig data är svårt att definiera då denna kan variera beroende på personen tillfråga. Utifrån läst litteratur så valdes känslig data att definieras som: information om individen som mycket sällan delas eller inte alls delas med vänner och andra. Förlusten av dessa data kan skapa situationer som stör individen och skapa emotionella skador. Vilket är en väldigt bred och utspridd definition då detta kan variera från person till person och likaså går det att skapa sådan information genom att korrelera olika data. För att begränsa definitionen så hade man kunnat göra en enkätstudie där man ber personerna kryssa i förbestämda alternativ på vad de anser vara känslig data som man då helst undviker att dela med sig.
Inom smarta hem styr större företag vilken riktning utvecklingen sker mot. Detta kan leda till att vi använder deras produkter mer än andras, då det är de som kommer styra utvecklingen. Det innebär också att de i så fall får tillgång till mer insamlad data och ifall denna används så kan de rikta sin reklam till individen, vilket både kan vara positivt eller negativt beroende på vad individen vill ha. Här kan det då vara bra med en valmöjlighet, ifall man vill ha skräddarsydd reklam eller inte och då låta företaget använda vald data.
En stor mängd data lagras på molnet, vad händer med denna data i framtiden? Det kommer att bidra till utvecklingen av big data vilket i sig kan användas till många saker t.ex. att göra nischad marknadsföring eller möjliggöra för enheter att bli självlärda och lära sig om sina användare då historikdata finns.
Något som inte framgick i litteraturen eller resultatet är ifall man t.ex. har en enhet som hanterar känslig data i hemmet och som hela tiden samlar på sig information om omgivningen. Vi vet att användaren som installerat produkten i sitt hem har accepterat villkoren och gett enheten åtkomst att använda hens data, men tänk om någon kommer på besök eller ifall hen bor med sin familj – har företaget rättigheten att använda allas data eller bara användarens data som godkänt villkoren? Det som låter rimligt i det här fallet är att företaget vars enhet är i hemmet har rätten till all data som finns i boendet dvs. rätten till alla olika individers data som genereras i hemmet.
Det finns olika typer av användare och för vissa är integritet och privatliv viktigt för andra inte lika mycket. Det finns så kallade early birds som endast köper en
26
produkt för att vara tidiga med den nya tekniken och bryr sig mindre om integritet, andra är villiga att utbyta funktioner eller annat mot ett högre integritetsskydd. Företag kan inte skräddarsy sina produkter för användaren då dessa är olika. Men ett förslag är att man bygger en produkt som är anpassningsbar och som låter användaren göra val baserat på vad denne vill ha, likaså att man kanske erbjuder alternativ till lagring på egen server (ex. som företagets privata moln eller en som kunden placerar i hemmet förslagsvis SACS). För ett högre integritetsskydd så behöver man göra avvägningar, men detta kanske uppskattas mer när användaren har valmöjligheten (förslagsvis i installationsfasen).
6.1 Lösningsförslag
Om man i dagsläget vill ha en produkt med ett högt integritetsskydd så begränsar man också produktens funktioner dvs. det kan bli en helt annan produkt för en annan marknad. För företaget som blev intervjuat så är det ingen möjlighet att skräddarsy produkten efter de olika sorters användare som har olika sekretesskrav då det är tidskrävande och kräver en budget som inte finns. Det vill säga att integritetskrav inte kan hårdkodas in i produkten då det finns en hel grupp människor med olika krav. Däremot är integriteten också ett värde hos kunden i och med detta så börprodukter utvecklas som låter användaren själv välja sina sekretessinställningar och utifrån det lagra dessa data på olika sätt. På så vis lämnas integritetsval till slutanvändaren så att hen får välja vilken data som produkten får samla in (förslagsvis i installationsfasen). För att förhindra tjuvlyssnare att få tag på känslig information via det trådlösa nätet så är en lösning att införa noisy dataflöde mellan enheterna [30], på så vis kan man påverka vad tjuvlyssnaren hör/ser och inte hör/ser. Något som inte har nämnts i litteraturen som författaren har som en tanke är att ha alternativet till att använda Ethernetkabel dvs. utesluta trådlös kommunikation. Lösningen som Sanchez m.fl. tog upp har dock ingen påverkan när det kommer till integritetsrisken med molntjänsten och skyddar inte de data som delas till molnet. Som vi ser i enkätens svar (kap 4.1.4) så skickas alla data krypterat mellan enheterna men sen dekrypteras alla dessa data och lagras i molnet enligt intervjun.
SACS [5] är ett annat alternativ för att skydda sin integritet då man har lagringsenheten (som har liknande egenskaper som molnet) på plats i sitt eget hem. Det som är positivt här är att man har full kontroll över all data och plats. Frågan i det här fallet är ifall SACS verkligen räknas som en molntjänst som nämns i artikeln? Som vi kan läsa i kapitel 2.5 så saknas snabb tid-till-tjänst och då tillkommer det förmodligen en högre avgift. Enligt definitionen på en molntjänst så står det att information delas på avlägsna servrar som är styrda eller ägda av andra [4] varav SACS är i närheten men produkten styrs av företaget på så vis att den kommer få löpande uppdateringar av systemet och applikationerna som kommer med.
UPECSI [18] är det enda lösningsförslag som har en direkt koppling till enheter i hemmet med molnet som lagringsplats och som skyddar användarens integritet. Lösningen är en tjänst som kontrollerar den data som lämnar husets väggar mot vad användaren har specificerat och tjänsten ger även användaren underlag och rekommendationer från en integritets-expert. Enligt artikeln så är lösningen endast i ett tidigt stadie och är inte tillgänglig just nu. Däremot
27
möjliggör den här lösningen att integritetsval lämnas åt slutanvändaren och förhindrar viss data att hamna på molnet.
Utifrån litteraturen så är det viktigt att skapa ett så kallat community molntjänst kring IoT i smarta hem så att utvecklare med mera har möjlighet att hjälpa varandra genom att dela med sig av kunskap, algoritmer, moduler etc. (på så vis skapa gemensamma regler, integritetsanpassade villkor, påskynda utveckling, få högre integritetsskydd, säkerhet med mera).
6.2 Övrigt
Att få tag i företag till att ställa upp på enkät och intervju med integritetsfrågor är svårare än vad en kan tro. Eftersom smarta hem är ett ganska nytt område så gäller det för företag att få in foten från start vilket gör det väldigt känsligt att ställa upp på sådana här arbeten. Som det nämndes i metoden så kontaktades tio företag inom Sverige den första veckan via telefon för att få tag på någon inom företaget som är insatt i datahanteringen hos produkten. Det visade sig att de flesta var större företag som inte hade koll på hanteringen eller så var de återförsäljare av andras produkter. Veckan därpå utvidgades arbetet och trettio internationella företag kontaktades via mail, för att försöka generera mer svar så letades mindre företag upp via kickstarter. Likaså här var det svårt att få svar många skrev att de inte hade tid, var på semester etc. Efter fyra dagar så skickades ett nytt mail ut som var påminnelser till alla de som inte hade svarat men detta genererade inga nya svar. Detta innebär att fyrtio företag kontaktades totalt varav bara fem svarade vilket är väldigt lite och för att få ett bättre resultat så hade författaren önskat fler svar. En vild tanke kan vara att dessa företag egentligen inte bryr sig så mycket om integritet utan är på det spåret som Thierer tar upp i sin artikel [25]. Slutligen dök ett företag upp med en enhet som har molnet som lagringsplats och som ställde upp på intervjun. Personen som blev intervjuad har varit i branschen länge, varit med och drivit IoT (forsknings) projekt, har bra koll på all datahantering hos deras produkt, har varit med företaget sen start och är en utvecklare hos företaget. Här hade författaren också gärna sett att intervjua ett företag som inte använder en molntjänst för att få deras synpunkter om integritet och andra lösningar. Likaså hade det varit intressant med att höra vad användare eller potentiella kunder tycker om smarta hem och privatliv.
Någon liten bagatell var att fråga fyra i enkäten verkade vara svår att förstå för företagen som läste den svenska versionen men lättare för de som läste den engelska versionen.
28
7 Slutsats
Genom litteraturen och resultatet kom vi fram till att IoT enheter i hemmet samlar på sig mängder av data från sina sensorer, dessa data lagras sedan på molnet förutom dörrlåset som lagrade nycklar på mobil och enhet (då enkäten inte genererade tillräckligt med svar så går det inte att göra någon generalisering). De data som samlas in kan vara till nytta för företagen och individen genom att skräddarsy erbjudanden (riktad marknadsföring) till denne. En allmän beskrivning av hur data hanteras i ett smart hem utifrån resultatet är att: kunden hittar vilken data som kommer att användas i produktens villkor (ex. privacy statements, privacy policy, terms of service/use och andra dokument), därefter kan det tillkomma alternativ i installationsfasen (ex. ifall personen vill dela med sig av enhetens plats data). När enheten börjar samla in data så sker det på olika vis antingen skickas det direkt till molnet där det analyseras eller så samlas det klumpvis på enheten, analyseras där och sen skickas upp till molnet. Data som lagras på molnet lagras dekrypterat och skrivs inte över utan sparas där från dag ett och på så sätt bidrar det till big data. Första gången enheten kopplas upp till molnet så utbyts nycklar som sedan används för att kryptera och dekryptera data med. All kommunikation mellan enheterna (dvs. IoT enheten, molnet och mobilen) sker krypterat (end2end kryptering använder dörrlåset och TLS/SSL använder företaget som blev intervjuat) och det ska inte vara möjligt att läsa något dekrypterat däremellan. För en användare som vill skydda sin integritet så rekommenderas inte produkter som använder sig utav molnet (beroende på konfigurationen av molnet) eftersom:
Det är lättare för andra att komma åt data ifrån molnet än från skaparen själv [4].
Villkor kan ändras utan att slutanvändaren vet om det.
Smarta hem är i ett tidigt stadie (vilket innebär att vad man får göra och inte göra är något som kommer komma med tiden dessutom vill vissa företag utveckla sina produkter utan begränsningar).
Däremot går det att hindra vilken data som delas med molnet inom snar framtid med en tjänst såsom UPECSI där användaren i sig får välja vilken data som ska användas. Vi lever i en uppkopplad värld och det kan vara så att man idag är mer villig att ge ut lite personlig eller känslig information om sig själv gentemot en produkt eller tjänst som underlättar vardagen. De senaste decennierna har vi tagit stora steg och lärt oss acceptera den personliga datorn (som har ex. cookies och metadata som samlar in information om en) samt anpassat oss till andra teknologier så som smarttelefonen med alla dessa olika applikationer som behöver åtkomst till en hel del data. Det vill säga att vi har anpassat oss gentemot teknologin tidigare och kommer att fortsätta att anpassa oss till den.
29
8 Vidare forskning
För vidare forskning så kan utforska företagens villkor noggrant och jämföra ungefär vilken data vissa produkter behöver och vilken de egentligen samlar in. Likaså kan man då också undersöka ifall företag inom smarta hem har tillgång till andras data i hemmet även om det bara egentligen är en individ som godkänner villkoren (som nämndes i kap 6).
Användarnas syn på vad de anser vara känslig data och ifall de ser sig kunna dela denna data till molnet gentemot att leva i ett smart hem. Likaså hur andra företag vars produkter inte använder sig utav molnet ser på det hela med att lagra kundens data där.
Det kan också vara av intresse att kontakta molnleverantörer i fråga om hur de hanterar kundernas kund data och jämföra olika moln med varandra (publik, privat, hybrid etc.).
30
9 Referenslista
(1) Arabo A. Privacy-aware IoT cloud survivability for future connected home ecosystem. Computer Systems and Applications (AICCSA), 2014 IEEE/ACS 11th International Conference on 2014:803-809.
(2) Rickebourg V., Menga D. The Smart Home Concept: Our Immediate Future. 2006;1:23-28.
(3) Aldrich F. K. Smart homes: Past, present and future. Ingår i: Harper R., red. Inside the Smart HomeLondon, UK: Springer; 2003. s. 17-39.
(4) Gellman R. Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing. Technical.report. Feb. 2009.
(5) A QOS-aware secure personal cloud storage with ubiquitous access and smart home extension. Computer, Communication and Control (IC4), 2015 International Conference on; 2015.
(6) Mell P., Grance T. The NIST Definition of Cloud Computing. 2011;1:6-7. (7) Pritzker P., May W. NIST Big Data Interoperability Framework: Volume 1, Definitions. 2015;1:4-7.
(8) Ghani N. A., Sidek Z. M. Controlling Your Personal Information Disclosure. 2008:23-27.
(9) Gunasekera S. Android Apps Security. 1 red. : Apress; 2012.
(10) Pearson S. Taking Account of Privacy when Designing Cloud Computing Services. 2009:44-52.
(11) Privacy-Preserving Mechanism for Monitoring Sensitive Data. Information Technology - New Generations (ITNG), 2015 12th International Conference on; 2015.
(12) Rose K., Eldridge S., Chapin L. The internet of things: An overview. The Internet Society (ISOC) 2015.
(13) Evans D. The Internet of Things How the Next Evolution of the Internet Is Changing Everything. 2011:22 Feb 2016.
(14) Samsung. Samsung Family Hub Refrigerator CES 2016. 2016; Tillgänglig:
http://www.samsung.com/global/ces2016/familyhub/. Läst 22 Feb, 2016. (15) Samsung. Samsung SMART Door Lock. 2016; Tillgänglig:
31
(16) GIRA. Data protection and data security in the Smart Home. Tillgänglig:
http://www.gira.com/en/service/bauherren/datenschutz.html. Läst 22 Feb, 2016.
(17) Cisco. Cisco Global Cloud Index: Forecast and Methodology, 2014–2019 White Paper. 2016:18 Maj 2016.
(18) Henze L., Hermerschmidt L., Kerpen D., Rumpe B., Wehrle K. User-driven Privacy Enforcement for Cloud-based Services in the Internet of Things. 2014 International Conference on Future Internet of Things and Cloud 2014:191- 196.
(19) Blount S., Zanella R. Cloud Security and Governance : Who's on Your Cloud? 1 red. eBook Collection (EBSCOhost): Ely: IT Governance Publishing; 2010.
(20) A survey based on Smart Homes system using Internet-of-Things. Computation of Power, Energy Information and Commuincation (ICCPEIC), 2015 International Conference on; 2015.
(21) Roman R., Zhou J., Lopez J. On the features and challenges of security and privacy in distributed internet of things. Comput. Netw 2013;57:2266- 2279.
(22) Gudymenko I., Borcea-Pfitzmann K., Tietze K. Privacy Implications of the Internet of Things. 2011.
(23) Kirkham T., Armstrong D., Djemame K., Jiang M. Risk Driven Smart Home Resource Management Using Cloud Services. Future Generation Computer Systems 2014;38:13-22.
(24) Jacobsson A., Davidsson P. Towards a Model of Privacy and Security for Smart Homes. 2015:727-732.
(25) Thierer A. Comments to the FTC on the Privacy and Security Implications of the Internet of Things. SSRN Electronical Journal 2013.
(26) Körner S., Wahlgren L. Vad är statistik? Praktisk Statistik. 5 red. Lund: Studentlitteratur; 2015. s. 22.
(27) Stair R. M., Reynolds G. W. Principles of information Systems. 10 red. Boston, USA: Cengage Learning; 2009.
(28) Fischer-Hübner S. IT-Security and Privacy: Design and Use of Privacy- Enhancing Security Mechanisms. 1 red. Berlin: Springer-Verlag Berlin Heidelberg; 2001.
(29) Srinivasan V., Stankovic J., Whitehouse K. Protecting your daily in-home