ה-FTC מפרסמת המלצות פרטיות ואבטחה לתעשיית ה-IoT

חברות המפתחות טכנולוגיה בתחום ה"אינטרנט של הדברים" (Internet of Things - IoT) צריכות לאמץ את עקרון העיצוב לאבטחה (Security by Design) במוצריהם - כך ממליצה נציבות הסחר הפדרלית בארצות-הברית (ה-FTC) בדו"ח שפרסמה בימים האחרונים.

הדו"ח מדגיש כי לצד היתרונות הרבים, טכנולוגית ה-IoT - בה רכבים, מכשירים ואביזרים מתחברים לרשת ומעבדים מידע אישי - טומנת סיכונים רבים בהיבטי פרטיות ואבטחת מידע. לכן, הנציבות ממליצה לחברות העוסקות בפיתוח בתחום זה לנקוט שורה של צעדים, בהם:
  • ישום תפיסת אבטחה רב שכבתית (Defese in Depth) שנותנת מענה מרובה לסיכוני אבטחה;
  • ליווי מוצרי ה-IoT במהלך כל מחזור חייהם, ובמידת האפשר - הפצת עדכוני אבטחה;
  • הטמעת אמצעים השולטים ומגבילים את הגישה לאביזר הטכנולוגי ולמידע ונתונים שהוא אוסף או מעבד;
  • הכשרת עובדים על חשיבות אבטחת מידע והפקדת האחריות הארגונית לאבטחת מידע בידי עובד בדרגה מתאימה;
  • ווידוא שספקי שירותים וקבלני משנה של החברה מסוגלים לשמור על מידה נאותה של אבטחת מידע, ופיקוח שהם אכן עושים זאת.
הנציבות גם ממליצה לחברות לשקול לצמצם את היקף המידע שהן אוספות ממשתמשים ואת משך הזמן שהמידע נשמר בידיהן. לדברי הנציבות, צמצום כזה מועיל הן בהיבטי אבטחת מידע והן בהיבטי הגנה על פרטיות המשתמשים. אחת החלופות שהנציבות מציעה לחברות בעניין זה היא ביצוע אנונימיזציה למידע האישי שנאסף.

עקרונות נוספים שהדו"ח ממליץ לחברות לאמץ הוא מתן גילוי נאות למשתמשים על איסוף מידע אישי מהם, והענקת אפשרויות בחירה כאשר המידע נועד לשמש מטרות שחורגות מהציפייה הסבירה של המשתמש.

הדו"ח מדגיש שנציבות תמשיך במגמת האכיפה נגד חברות שמפרות את הוראות החקיקה הפדרלית שעוסקת בפרטיות מידע והטעיית צרכנים ומזכירה את הליכי האכיפה שהיא נקטה בעבר בתעשיית ה-IoT. מקור: הודעה לעיתונות של נציבות הסחר הפדרלית.