Leserinnlegg: Sikkerhet og personvern innenfor sporingstjenester

Hva er viktig å tenke på innenfor sikkerhet når det kommer til sporingsapplikasjoner og ulike GPS-produkter, både til for gjenstander og til barn?

Leserinnlegg av Martin Hagen, Tail It Technologies

Martin Hagen er markedsføringssjef i det relativt nye teknologiselskapet Tail It Technologies AS. Selskapet driver med salg av sporingsbrikker og andre typer GPS-enheter – blant annet GPS-klokker for barn.

Dette innlegget er skrevet av en av våre lesere. Artikkelen gjenspeiler ikke nødvendigvis redaksjonens meninger eller redaksjonelle krav til publisering.

Bakgrunn

Som mange av dere sikkert har fått med dere, har sikkerhet innen sporingsapplikasjoner og GPS-enheter vært mye fokusert på i media de siste årene. Det har vært store nyhetsoppslag hvor blant annet Datatilsynet, Forbrukertilsynet og mange flere autoritære virksomheter har uttalt seg.

Denne “stormen” handlet mye om hvordan persondata og opplysninger blir behandlet, og var spesielt rettet inn mot GPS-klokker for barn.

Avslørte alvorlige sikkerhetsfeil

Forbrukerrådet avslørte høsten 2018 alvorlige sikkerhetsfeil i GPS-klokker rettet mot barn, som i verste fall kunne sette liv i fare.

 – Fremmede kan enkelt ta kontroll over klokken og bruke den til å spore og avlytte barnet, konkluderte Forbrukerrådet med.

Forbrukerrådet fikk hjelp av sikkerhetsselskapet Mnemonic til å teste de mest populære smartklokkene for barn, og mange av de fikk strykkarakter på nesten alle punktene som omhandlet personvern.

Vi i Tail It var jo dessverre midt inne i denne stormen sammen med flere andre aktører, og fikk en skikkelig lærepenge av opplevelsen. Men vi er takknemlige for at disse aktørene fulgte opp dette problemet, fordi uten denne “stormen” hadde vi ikke vært hvor vi er i dag.

Store tiltak ble gjort fra vår ende, både i utvikling av en helt ny, norsk applikasjon driftet på norske servere, og utvikling av krypterte firmware til både GPS-klokker og trackere. Til slutt ble vi godkjent igjen av nevnte tilsyn, og har siden den tid fortsatt å bygge på denne plattformen.

Poenget med disse krypteringene er at selv om du hacker deg igjennom systemet for å få tak i informasjonen, vil du ikke kunne gjøre noe med den, siden den er kryptert.

Les også på ITpro.no: Dette må du vite om den nye personvernforordningen, GDPR

Den nye personvernforordningen

Tidligere i 2018 trådte EU’s GDPR-regelverk i effekt, og vi har sett flere firmaer og aktører innenfor markedet som har gått på noen blemmer her. Derfor har vi laget en liste over ting å passe på innenfor sikkerhet når det kommer til sporingsapplikasjoner og GPS-produkter.

Applikasjoner

Her er den vanligste fellen vi finner i diverse GPS-produkter og tjenester du finner i Norge i dag. Mange av produktene kommer importert fra Kina, og det må vi nesten forvente ettersom kostnadene for utvikling i Norge er så høy.

Sammen med disse produktene kommer vanligvis en applikasjon inkludert, og denne er sjelden opp til standard når det kommer til sikkerhet, og spesielt i henhold til de nye EU-reglene. Om du sjekker personvernerklæringene i disse applikasjonene, vil man se at mye av dataene sendes til Asia.

Veldig sjelden vil disse applikasjonene følge GDPR-reglene i henhold til personvernet, og vi har ingen kontroll eller anelse om hvem som har tilgang til persondata og informasjon som ligger lagret på deres servere.

Hvordan verner man seg mot slikt? Vi anbefaler å ha oversikt på hvordan reglene fungerer, og passe på at appen du benytter opplyser tydelig om hvordan de behandler persondata. Dette finner du vanligvis i vilkårene eller lignende dokumenter. En annen metode er rett og slett å ta kontakt med folkene som driver produktet eller tjenesten, for å se om du får et klart og direkte svar.

Sporingslogger

Vi opplever også at flere av aktørene på markedet har en sporingslogg liggende tilgjengelig for tjenestene de tilbyr. En GPS-tracker til f.eks en bil, har gjerne en logg som viser hvor du har kjørt.

Man tenker ikke så mye over det, men dette kan også være sensitiv informasjon dersom det havner i feil hender. Dette knytter også inn i at man ikke alltid kan være sikker på hvem som har tilgang til denne informasjonen, og om du faktisk er sikret fra å bli overvåket av uvedkommende.

På personlige eiendeler er dette en ganske universal tankegang. Du vil jo så klart være sikker på at persondataene din kun er tilgjengelig for de du har kontroll på.

Da kommer vi til et nytt punkt som gjelder GPS-tracking for kjæledyr eller eiendeler. For er persondataene til katten din eller nøklene dine er vel ikke så viktige, eller?

Nei – men ja. Både katten din og nøklene dine holder seg som oftest i nærheten av din posisjon, og dermed blir det jo igjen snakk om din personlig posisjon, som bør være sikret så godt som mulig.

Dette betyr ikke at sporingslogger bør fjernes. De har fremdeles et veldig bra bruksområde, men man må være svært forsiktig med hva man velger å bruke, og å forsikre seg på forhånd at persondataene dine er sikret skikkelig.

RELATERT ARTIKKEL
Norske bedrifter lagrer mye ulovlig persondata

Ny EU-regel kan få store konsekvenser for økonomi og omdømme dersom ikke bedriftene rydder opp, advarer ekspert. [Les artikkel]

Sikkerhet er alfa-omega

Et siste poeng jeg ønsker å ta opp, er at det ikke kun trenger å være på sporingstjenester dette problemet kan oppstå. I dagens teknologialder gjelder det enten å være oppmerksom på det meste du foretar deg, eller å snu hodet vekk ettersom du sikkert ikke har noe å skjule.

Som et eksempel på dette, så var det en internett-trend som gikk viralt i slutten av 2018, som omhandlet en av verdens største YouTube-stjerner, PewDiePie.

Fangruppen til “PewDiePie”, eller Felix Kjellberg som han egentlig heter, er svært teknologisk anlagt, og satte igang et stunt for å spre budskapet om å abonnere på PewDiePie’s YouTube-kanal. Dette skulle utføres ved å hacke seg inn i hundrevis av printere over hele verden, og printe ut en beskjed.

Det var ikke svenske Kjellberg selv som satte igang dette, og selv om dette ble sett på som en uskyldig spør, finnes det mye verre ting som kunne ha skjedd – og det meste av det du eier av teknologi og IoT-gjenstander er sårbare og kan hackes. Sikkerhet i printeren din er kanskje ikke noe du har tenkt på før, men det viser hvor raskt teknologien endrer seg.

Vi kan også hente frem historien om en jente som brukte datingappen Tinder, og ba selskapet om å få oversendt all persondata de hadde om henne. Resultatet var 800 sider med sine mørkeste hemmeligheter, som f.eks hva hun hadde likt på Facebook, lokasjon på slettede Instagram-bilder, utdannelse og aldersgruppe på menn hun var interessert i.

Det er skremmende hvor mye informasjon som faktisk var tatt vare på, men ingen stor overraskelse. Mange applikasjoner vet sannsynligvis mer om deg selv enn hva du gjør selv. Det er ikke lenger noen forskjell på ditt liv på sosiale medier og ditt liv i virkeligheten.

Konklusjon

Sikkerhet og personvern innenfor sporingstjenester er et ganske omstridt emne om dagen, og man er ofte ikke klar over selv at du kan ha persondata eller detaljer liggende som uvedkommende kan ha tilgang til.

Vårt tips til deg, fra oss som har vært gjennom denne stormen, enten som bedriftseier eller forbruker, er å orientere deg. Lær deg reglene, hva slags data samles inn, hvor lagres det – og hvem har tilgang.


Hva mener du om saken?
Bruk kommentarfeltet under – eller send oss ditt leserinnlegg til red@itpro.no

Kommentarer