Моја паметна маска за спавање емитује мождане таласе корисника отвореном МКТТ брокеру

<п>Паметне маске за спавање које прате активност можданих таласа излажу осетљиве неуролошке податке свима на интернету тако што преносе ЕЕГ сигнале неауторизованим, јавно доступним МКТТ брокерима. Ово није теоретски ризик – то је документовани образац на потрошачким ИоТ веллнесс уређајима који представља једно од најинтимнијих цурења података у историји носиве технологије. <х2>Шта се тачно дешава када ваша маска за спавање емитује мождане таласе? <п>МКТТ (Мессаге Куеуинг Телеметри Транспорт) је лагани протокол за размену порука дизајниран за окружења интернета ствари са малим пропусним опсегом. Ради на моделу објављивања/претплате: уређај објављује податке у „теми“ на брокеру, а сваки претплатник може да чита ту тему у реалном времену. Архитектура је ефикасна и елегантна — али катастрофално опасна када брокер не захтева аутентификацију. <п>Неколико паметних маски за спавање за потрошаче, укључујући уређаје који се продају за медитацију, луцидно сањање и оптимизацију сна, користе уграђене ЕЕГ сензоре за снимање фреквенција можданих таласа у делта, тета, алфа, бета и гама опсегу. Ови подаци се непрекидно преносе брокерима у облаку. Када ови брокери остану отворени — без корисничког имена, без лозинке, без ТЛС-а — свако ко зна или погоди адресу брокера може да се претплати на тему и добије уживо пренос неуролошког стања друге особе. Алати као што су Сходан и МКТТ Екплорер чине откривање ових отворених брокера тривијалним. <п>Подаци који се излажу нису апстрактна телеметрија. Обрасци можданих таласа могу открити поремећаје спавања, нивое анксиозности, когнитивно оптерећење, ау неким истраживачким контекстима и емоционална стања. То је међу најличнијим биометријским подацима које људско биће генерише. <х2>Зашто је ова рањивост толико распрострањена у потрошачким ИоТ уређајима? <п>Основни узрок је комбинација компримованих временских рокова развоја, ограничења трошкова и недостатка регулаторног притиска на произвођаче хардвера за добробит потрошача. Многе од ових компанија дају приоритет развоју карактеристика и времену до пуштања на тржиште у односу на безбедносну архитектуру. МКТТ брокери су јефтини и лако се отварају, а омогућавање отвореног приступа током развоја је уобичајена пречица која често опстаје у продукцијским верзијама. <ул> <ли><стронг>Подразумевано нема аутентификације: Многе конфигурације МКТТ брокера се испоручују са омогућеним анонимним приступом, што захтева од програмера да га намерно онемогуће – корак који се рутински прескаче. <ли><стронг>Без шифровања транспорта: Подаци се често преносе преко порта 1883 (нешифровани) уместо порта 8883 (ТЛС), што значи да ток података може да чита сваки посматрач мреже, а не само претплатници посредника. <ли><стронг>Хијерархије равни тема: Уређаји често објављују према предвидљивим структурама тема, што чини једноставним набрајање и претплату на податке више корисника истовремено. <ли><стронг>Без аутентификације уређаја: Без међусобног ТЛС-а или идентитета уређаја заснованог на токенима, лажни уређаји могу да убаце лажне податке у ток или да се у потпуности лажно представљају као легитимни уређаји. <ли><стронг>Без евидентирања ревизије: Отворени брокери обично немају механизам за откривање или упозорење о неовлашћеним активностима претплате, тако да је изложеност невидљива и произвођачу и кориснику. <блоцккуоте> <п>„Интимност података чини ову категорију кршења јединствено озбиљном. Финансијски подаци се могу променити. Неуролошки подаци не могу. Процурели профил можданих таласа је трајно, неопозиво излагање унутрашњег когнитивног пејзажа особе.“ <х2>Које су импликације у стварном свету за предузећа и њихове запослене? <п>Ово није само питање приватности потрошача. Запослени све више користе веллнесс уређаје — укључујући носиве уређаје за оптимизацију спавања — као део корпоративних здравствених програма, а неки руководиоци користе алатке за фокусирање засноване на ЕЕГ-у током радног времена. Ако су мождани подаци са ових уређаја доступни на отвореним брокерима, то ствара изложеност на нивоу предузећа.<п>Конкурентска интелигенција изведена из неуролошких података данас је спекулативна, али није неуверљива сутра како алати за анализу сазревају. Пре свега, изложеност правној одговорности је значајна. Према ГДПР, ЦЦПА и новим законима о биометријским подацима у државама као што су Илиноис и Тексас, неуролошки подаци се квалификују као осетљиве биометријске информације. Предузеће које препоручује или субвенционише уређај са овом рањивошћу могло би да се суочи са регулаторном контролом ако се ексфилтрирају подаци о запосленима — чак и ако предузеће није директно учествовало у дизајну уређаја. <п>За компаније које граде програме за добробит, људске ресурсе или програме ангажовања запослених, разумевање положаја безбедности података сваке тачке додира технологије је сада основни захтев, а не разликовање. <х2>Како организације могу да се заштите од ризика излагања ИоТ података? <п>Заштита од ове класе рањивости захтева и техничке контроле и организациони процес. Са техничке стране, сваки ИоТ уређај који рукује осетљивим биометријским подацима треба да буде процењен пре усвајања у организацији: проверите да ли брокерске везе захтевају аутентификацију, потврдите да је ТЛС примењен и проверите да ли продавац објављује политику обелодањивања безбедности. <п>На страни процеса, организацијама је потребна централизована видљивост алата и платформи које запослени користе — посебно оних које додирују личне податке. Ово је место где оперативна сложеност вођења модерног пословања повећава ризик. Без обједињеног система за праћење односа са добављачима, уговора о руковању подацима и безбедносних процена, изложеност се тихо акумулира у десетинама неповезаних скупова алата. <п>Управљање овом сложеношћу захтева платформу која консолидује оперативну видљивост без додавања административних трошкова – управо проблем за који су модерни пословни оперативни системи дизајнирани да реше. <х2>Шта произвођачи уређаја треба да ураде да поправе рањивости Опен МКТТ брокера? <п>Пут санације је добро схваћен, чак и ако је усвајање споро. Произвођачи би требало да спроведу аутентификацију на свим МКТТ брокерским везама, имплементирају ТЛС на све канале података, редовно ротирају акредитиве специфичне за уређај и обезбеде корисницима јасну, приступачну документацију о томе који подаци се прикупљају, где иду и ко им може приступити. Програми одговорног откривања података и безбедносне ревизије трећих страна треба да буду стандардна пракса за сваки уређај који рукује биометријским подацима. <п>Регулаторни оквири почињу да сустижу корак. Закон ЕУ о сајбер отпорности и амерички програм Цибер Труст Марк за ИоТ уређаје стварају структуралне подстицаје за произвођаче да се позабаве управо овим рањивостима. Али притисак на тржиште информисаних потрошача и предузећа је бржа полуга. <х2>Честа питања <х3>Могу ли да знам да ли моја паметна маска за спавање емитује отвореног МКТТ брокера? <п>Можете да користите алатке за надгледање мреже као што је Виресхарк да бисте проверили саобраћај са вашег уређаја на вашој локалној мрежи. Потражите везе са портом 1883 (нешифровани МКТТ) уместо 8883 (ТЛС МКТТ). Ако се ваш уређај повеже на спољну ИП адресу на порту 1883, ваш ток података је вероватно нешифрован. Такође можете директно да контактирате произвођача и затражите његову конфигурацију МКТТ брокера и документацију за аутентификацију — квалитет њиховог одговора је сам по себи информативан. <х3>Да ли су подаци о можданим таласима законски заштићени као биометријски подаци? <п>У све већем броју јурисдикција, да. Закон о приватности биометријских података Илиноиса (БИПА), на пример, експлицитно покрива „неуралне“ податке. Тексас и Вашингтон имају упоредиве статуте. На савезном нивоу у САД још увек не постоји свеобухватан закон о приватности у биометрији, али ФТЦ је предузела мере против компанија због обмањујућих података који укључују биометрију. У ЕУ, ЕЕГ подаци се сматрају здравственим подацима према ГДПР-у и подлежу најстрожијим захтевима обраде. <х3>Како вођење предузећа на обједињеној платформи смањује ризик од ИоТ-а и безбедности података?<п>Фрагментирани пословни алати креирају управљање фрагментираним подацима. Када се операције, људски ресурси, управљање добављачима и комуникације одвијају на десетинама неповезаних платформи, безбедносне процене су недоследне и празнине у одговорности су неизбежне. Консолидовани пословни оперативни систем ствара јединствену површину за спровођење политике, процену добављача и оперативни надзор — смањујући површину напада и чинећи усклађеност видљиво лакшим за одржавање и ревизију. <п>Вођење ефикаснијег, сигурнијег и интегрисанијег пословања почиње са правим основама. <а хреф="хттпс://апп.меваиз.цом">Меваиз — пословни ОС са 207 модула који користи преко 138.000 корисника — даје вам оперативну јасноћу да управљате свим димензијама вашег пословања на једном месту, од тимских токова посла до односа са добављачима, почевши од 19 УСД месечно. Престаните да допуштате да комплексност ствара изложеност. <а хреф="хттпс://апп.меваиз.цом">Покрените свој Меваиз радни простор већ данас. <сцрипт типе="апплицатион/лд+јсон">{"@цонтект":"хттпс:\/\/сцхема.орг","@типе":"ФАКПаге","маинЕнтити":[{"@типе":"Куестион","наме":"Могу ли да кажем да ли моја паметна маска за спавање емитује на отворени МКТТ брокер?","аццептедАнсвер":{"@типе":"Ансвер","тект":"Можете да користите алате за надгледање мреже као што је Виресхарк да бисте проверили да ли имате везе са портом 1883 (нешифровани МКТТ), а не са 8883 (ТЛС МКТТ). произвођача директно и затражите њихову МКТТ конфигурацију и аутентификацију д"}},{"@типе":"Куестион","наме":"Да ли су мождани таласи законски заштићени као биометријски подаци?","аццептедАнсвер":{"@типе":"Ансвер","тект":"У све већем броју јурисдикција, ИПА је, пример, покривање биометријских података „Неурални“ подаци изричито имају упоредиве статуте На савезном нивоу у САД-у још увек не постоји свеобухватан закон о приватности, али ФТЦ је предузела мере против компанија за обмањивање података које укључују биометрију. ризик?","аццептедАнсвер":{"@типе":"Ансвер","тект":"Фрагментирани пословни алати стварају фрагментисано управљање подацима Када се операције, људски ресурси, управљање добављачима и комуникације одвијају на десетинама неповезаних платформи, процене безбедности су недоследне, а недостаци у одговорности су неизбежни, и креирају јединствену пословну политику. надзор \у2014 смањење напада"}}]}