Forskare: ”Som att ha en osynlig spion i sitt hem”
Smarta hem är en risk för intregriteten
Smarta, uppkopplade prylar samlar kontinuerligt in, behandlar och sänder data som blir åtkomlig för tredje part, enligt Joseph Bugejas forskning vid Malmö universitet. Foto: Stephan Bechert


Uppkopplade prylar i hemmet samlar personlig data som tredje part kan komma åt och utnyttja. En ny avhandling visar på sårbarheten hos smarta hem och behovet av bättre skydd för den personliga integriteten.

År 2025 kan det finnas över 75 miljarder uppkopplade prylar i användning i världen och 482,8 miljoner smarta hem, enligt statistikföretaget Statista. Smarta prylar kan underlätta livet för människor, men genom att de kontinuerligt samlar in, behandlar och sänder data om de boende och deras aktiviteter över internet kan de samtidigt bli ett hot mot integriteten, enligt avhandlingen ”On privacy and security in smart connected homes” från Malmö universitet.

Andra kan enkelt komma åt personliga uppgifter och det behövs verktyg för att analysera risken för den personliga integriteten, menar Joseph Bugeja, som disputerade i februari. Allmänheten behöver också bli mer medveten. Han säger att vi behöver förstå att en del prylar kan samla in våra intima data utan att vi vet om det.

– Det är som att ha en osynlig spion i sitt hem.

Det finns ett brett spektrum av smarta prylar som används i hemmet; bland annat energibesparande apparater, som smarta kylskåp och termostater, och hälsoprylar, som personvågar och pulsklockor. De flesta kan nås via en smartphone och nyare använder röststyrning, berättar han.

Personlig data når utanför hemmet

Smarta prylar samlar information via mikrofoner, kameror och lägessensorer. Bugeja säger att det ibland är svårt att veta att de finns där eftersom de brukar vara inbyggda. Informationen sänds över internet och sparas i datamolnet. 

Enligt avhandlingen har antalet attacker mot uppkopplade prylar i hemmet ökat.

– Människor borde vara medvetna när de köper de här sakerna att datan kommer ut utanför hemmet.

Joseph Bugeja har studerat vilka som är intresserade av vår privata information.

– Det vanligaste är hackare. Ibland använder de den för skojs skull och nyfikenhet, och ibland för att skrämmas.

Han tar ett exempel där hackare kopplat upp sig på en smart babyvakt med kamera och skrämt barnet.

Bugeja berättar att en hackare en gång visade hur han kunde installera skadlig programvara i en smart termostat och sedan ändra husets inomhustemperatur till 37 grader. Därefter krävde han pengar för att ägarna skulle återfå kontrollen.

Joseph Bugeja är forskare i datavetenskap vid Malmö universitet. Foto: Magnus Jando/Malmö universitet

Han säger att det även finns de som fångar upp data och säljer den via Darknet.

– Det finns ett antal bad guys som kan komma åt den här datan.

Det är även möjligt att nationer spionerar på folk i stor skala via statligt finansierade operationer.

Personlig dataprofil

Förutom ensamma hackare finns det hackaktivister och tjuvar. De kan till exempel se via en kamera att du inte är hemma och då göra inbrott. Information från en smart robotdammsugare är också användbar. Han förklarar att den skapar en binär karta av ens hem med hjälp av kameror och eftersom den är uppkopplad kan informationen läcka ut till enheter över internet.

Aktivister kan rikta in sig på personer med en viss social status eller partitillhörighet. Bugeja säger att de kan stänga av alla smarta prylar och när man kommer hem kan det smarta låset vara utslaget och man blir utestängd.

Tänk på vilken information de här enheterna kan ha om oss. 

Joseph Bugeja

Han säger att den samlade informationen från flera smarta prylar kan ge en personlig profil av dig och ditt hushåll. Till exempel kan data från en smart pulsklocka läggas ihop med data från en smart tv och ge bilden av hur jag påverkas av olika program. Informationen beror på vilka sensorer som finns och om prylarna är integrerade med varandra.

– Tänk på vilken information de här enheterna kan ha om oss. De spårar en inte bara när vi är online. De är oftast på, lyssnar alltid, väntar på att vi ska interagera med dem.

Joseph Bugeja berättar att vissa röststyrda enheter har skickat data till tredje part som gör röstanalys. En del av de här prylarna har därför inskrivet i sina policys att de kan skicka till exempel röstdata till andra företag över hela världen. Han säger att tredje part då kan använda datan i andra syften.

På det här området finns mycket forskning och nya regler är på väg för att hantera vart datan tar vägen, sparas och behandlas, berättar han. Till exempel kommer snart EU:s e-integritetsförordning.

Dataskyddsförordningen

För att skydda vår integritet finns regelverk som dataskyddsförordningen, GDPR. Bugeja säger dock att den har begränsningar och att det finns få modeller till hjälp, särskilt för det smarta hemmet.

– När det kommer till de här regelverken, så är det mycket bra på pappret, men särskilt GDPR säger inte exakt vad man ska göra.

Han säger att även om apparaterna har blivit säkrare är det ett problem att designa dem med skydd för den personliga integriteten utan att tappa i ”smarthet”.

Bugeja har tagit fram modeller för att identifiera vilka integritetshot som finns när man använder ett smart hem. Modellerna kan hjälpa systemutvecklare att skapa säkrare smarta prylar.

Han ger även rekommendationer till konsumenten för att göra hemmet säkrare mot angrepp.

– Om du inte behöver koppla prylar med varandra, gör inte det, särskilt inte via osäkra, potentiellt olämpliga onlinetjänster. Du skulle kunna skicka data utan att vara medveten om det.

Minska risken att känslig information når hackare

Han säger att säkerhet alltid handlar om den svagaste länken. En hackare kan komma åt data kopplad till din ekonomi utan att direkt gå in på datorn där uppgifterna finns. Personen kan istället gå via en svag länk, utan känslig data, till exempel din smarta termostat.

– Det är mycket svårt att upptäcka sådana attacker.

Därför bör det finnas ett eget nätverk för de smarta prylarna, menar han.

En robotdammsugare skapar en binär karta över hemmet med hjälp av kameror. Foto: Kowon Vn

Stärker enskildas rättigheter

Integritetsskyddsmyndigheten, IMY, är tillsynsmyndighet för GDPR i Sverige, vilket innebär att de granskar hur förordningen efterföljs. Enligt Per Lövgren, pressansvarig för IMY, är det GDPR vi har att luta oss mot när det gäller smarta prylar som samlar personlig information.

– GDPR har stärkt enskildas rättigheter, och man har bland annat rätt att få information om hur ens personuppgifter samlas in och används.

Den är också en hjälp att få insyn.

– Enligt GDPR har man även rätt att begära att få se vilka uppgifter som ett företag hanterar om en själv, säger han.

För att få veta vilken information som sparas och vad som händer med den rekommenderar han att läsa användarvillkoren och eventuella policys för den smarta prylen.

I sin nya Integritetsskyddsrapport 2020 till regeringen pekar IMY ut Internet of Things, IoT, som ett särskilt riskområde ur ett integritetsperspektiv. De skriver att ”En stor andel IoT-enheter har visat sig ha bristande säkerhet. Forskare har till exempel visat hur man kan ta kontroll över en modern bil via ett trådlöst nät, eller via fjärrstyrning manipulera en pacemaker eller insulinpump.”

Utveckling och risker

Myndigheten efterlyser en tydligare integritetsskyddspolitik för Sverige för att säkerställa människors rätt till privatliv och rätten att själva bestämma i samband med personuppgiftsbehandling.

– En stor förändring som har påverkat intregritetsskyddet under de gångna åren är att det samlas in allt mer data om oss och den datan delas med allt fler aktörer, säger Karin Lönnheden, stabschef vid IMY i en webbpresentation.

Hon säger att dataskyddsregelverket är teknikneutralt och att det inte finns någon som helt säkert vet hur regelverket ska tillämpas på ny teknik. Här har IMY en uppgift i att samverka med innovationsaktörer.

Lönnheden säger att många menar att 5G kan sätta verklig fart på IoT-utvecklingen. Samtidigt som det ger möjligheter ger det även risker. Hon säger att datainsamlingen på nätet nu har bristande transparens och säkerhet, och ofta en oproportionerlig datainsamling.

– Med Internet of Things riskerar bristerna som finns i dagens datainsamling och -behandling på internet att följa med ut i det fysiska rummet. Skillnaden är att där kommer det att vara ännu svårare för oss som medborgare att upptäcka.

Därför är det viktigt att vidta åtgärder för att minska riskerna, menar Karin Lönnheden.

Joseph Bugeja säger att det finns många bra produkter och som konsument ska man inte vara rädd för att köpa smarta prylar.

– Man borde inte vara rädd, man borde vara medveten. Medveten om att varje gång du köper något elektroniskt som är kopplat till internet, då finns det alltid en risk och då är det upp till dig att använda prylen på ett säkert sätt.

Tror du också på den klassiska journalistikens ursprungliga roll att rapportera – utan någon agenda? Prova då Sveriges nya nyhetstidning i en månad för endast 99 kr, avslutas automatiskt – klicka på bilden nedan för mer info:

 

Fakta

Dataskyddsförordningen, GDPR

GDPR trädde i kraft 2018 och ställer krav på den som samlar in och hanterar personliga uppgifter. Den gäller i hela EU.

Den ger rätt att få information om hur ens personuppgifter samlas in och används.

Man får bara samla in personuppgifter för särskilt angivna och berättigade ändamål. Man får inte behandla fler personuppgifter än vad som behövs. Uppgifterna ska skyddas, till exempel från obehöriga, och ska raderas när de inte längre behövs.

Personuppgiftsbehandling ska vara laglig, korrekt och präglas av öppenhet. Det innebär att det måste finnas en rättslig grund för informationshanteringen och den ska stå i rimlig proportion till nyttan. Den får inte heller ske på dolda eller manipulerande sätt.

Källa: Integritetsskyddsmyndigheten