İki ABD senatörü, ABD Federal Ticaret Komisyonu’nu (FTC), sürücü verilerini rızaları olmadan paylaşan otomobil üreticilerinden hesap sormaya çağırdı ve modern akıllı otomobillerle ilişkili artan veri gizliliği zorluklarına ve hizmet şartlarındaki yanıltıcı ifadelere dikkat çekti.
İçinde FTC’ye mektup (PDF) Geçtiğimiz hafta, Senatörler Ron Wyden (Demokrat-Oregon) ve Edward Markey (Demokrat-Mass.), General Motors, Honda ve Hyundai’nin veri paylaşım uygulamalarını, derhal araştırılması gereken sektör çapında bir sorunun belirtisi olarak kullandılar.
İzinsiz Veri Paylaşımı
Üç satıcı da hızlanma ve frenleme verileri gibi sürücü bilgilerini toplayıp, sürücü davranış raporlarını hazırlamak ve daha sonra sigorta şirketlerine satmak için kullanan bir veri analitiği şirketi olan Verisk’e sattı. Kendi hesaplarına göre, otomobil üreticilerinin hiçbiri bilgilerini paylaşmadan önce müşterilerden bilgilendirilmiş onay almadı. Bunun yerine, Verisk ile olan veri paylaşım ilişkilerini uzun açıklamalarla kasıtlı olarak gizlediler ve sürücü verilerini nasıl kullanacakları konusunda aldatıcı iddialarda bulundular, senatörler suçladı.
Mektupta, “FTC, müşterilerinin verilerini bilgilendirilmiş onay almadan veri komisyoncularıyla paylaşan otomobil üreticilerini ve yasal bir şekilde elde edilmemiş verileri yeniden satan veri komisyoncularını sorumlu tutmalıdır,” denildi. “Etkilenen çok sayıda tüketici ve karanlık kalıplar kullanılarak tüketicilerin aşırı manipülasyonu göz önüne alındığında, FTC ayrıca üst düzey şirket yetkililerini müşterilerinin gizliliğini açıkça kötüye kullanmalarından sorumlu tutmalıdır.”
Mektup, birçok kişinin hızla büyüyen bir dizi sorundan yalnızca birini vurguluyor güvenlik ve gizlilik sorunları modern, yüksek bağlantılı yazılım tanımlı araçlarBu tür araçlar artırılmış otomasyon, otonom yetenekler ve son derece özelleştirilebilir kullanıcı deneyimleri sunarken, aynı zamanda anlaşılması zor olabilecek muazzam miktarda veri de toplarlar. korumak ve güvence altına almak.
“Aracınız adınızı, ev adresinizi, banka/kredi kartı bilgilerinizi, ne kadar hızlı sürdüğünüzü, ne kadar sert fren yaptığınızı, sesli asistanına ne sorduğunuzu, hangi yerlerde ve hangi saatlerde sık sık bulunduğunuzu biliyor,” diyor otomotiv araştırma ve danışmanlık firması SBD Automotive’un baş düzenleyici ve hükümet işleri danışmanı Riley Keehn. “Belirli yolcu algılama ve otomatik sürüş kameraları ve sensörleri sizi ve çevrenizi bile görebilir.”
Bu kadar büyük miktarda kişisel ve tanımlayıcı bilgi (PII) ve hassas veri türlerinin araçta depolanması, sürücüleri ve araçlarını siber saldırıların doğrudan hedefleri haline getiriyor. Keehn, bu saldırıların OBD-II portu veya hatta farlar gibi sabit kablolu sistemler, paylaşılan ve güvenli olmayan Wi-Fi ağları üzerinden araca bağlantılar, elektrikli araç şarj istasyonları, tehlikeye atılmış satış sonrası bileşenler ve diğer yollarla gerçekleşebileceğini söylüyor.
Bu risklerden bazılarının, güvenlik-tasarım yaklaşımları ve Siber Güvenlik Yönetim Sistemleri (CSMS) ile ilgili UN R155 ve Yazılım Güncelleme Yönetim Sistemleri (SUMS) ile ilgili UN R156, Karayolu Taşıtları için Siber Güvenlik Mühendisliği ile ilgili ISO/SAE 21434:2021 ve diğer uluslararası ve bölgesel gereklilikler gibi sektörün en iyi uygulamaları ve düzenlemelerinin uygulanması yoluyla ele alınabileceğini belirtiyor.
Tüketici Gizliliği Koruma Tedbirleri Tamamen Eksik mi?
Ancak işlerin karışabileceği nokta, bir araç kişisel verileri topladıktan sonra onlara ne olacağıdır. Keehn, “ABD’de hala AB’nin GDPR’sine, Çin’in PIPL/DSL/CSL çerçevesine ve GDPR’nin modelini ve sıkılığını benimseyen diğer küresel düzenlemelere benzer kapsamlı, genel bir veri gizliliği düzenlemesi bulunmuyor” diyor.
ABD, benzersiz veri gizliliği ve güvenlik gereksinimlerini ele almak için büyük ölçüde sağlık hizmetlerinde HIPAA gibi sektöre özgü düzenlemelere güvenmektedir. Ayrı eyaletler, bu boşluğu kendi veri gizliliği yasalarıyla doldurmuş ve tutarsız kurallardan oluşan bir karmaşa yaratmış, genellikle belirli sektörleri ve teknolojileri muaf tutmuştur. Bazı eyaletlerde orijinal ekipman üreticisinin (OEM) verilerin depolanması, toplanması, paylaşılması ve satışı konusunda nasıl davranması gerektiği konusunda net gereksinimler olabilirken, diğer eyaletlerde farklı gereksinimler olabilir veya hiç olmayabilir, diyor.
Keehn, “ABD’deki bu tutarsızlık ve ulusal rehberliğin eksikliği, iş düzeyinde bir dizi risk yaratıyor ve güvenliğin araçla sınırlı olduğu bir OEM kültürünün oluşmasına yol açabiliyor” diye ekliyor.
FTC Gerçekten Değişimi Tetikleyebilir mi?
Yazılım güvenliği firması ForAllSecure’un CEO’su David Brumley, otomobil şirketlerinin, reklam veya belirli bir özelliği sunmak dışındaki herhangi bir amaç için sürücülerden bilgi paylaşımında bulunmak için bilgilendirilmiş onay alma zorunluluğu getirilmesi gerektiğini söylüyor.
“Kablosuz yazılım güncellemeleri? Muhtemelen Amazon veya Google’dan sunuluyor. Haritalar? Muhtemelen üçüncü bir taraftan. Doğru konum? Sadece GPS değil; genellikle doğruluğu artırmak için Swift Navigation gibi diğer meta verilerle destekleniyor,” diyor Brumley.
Bir araba satıcısı, yol yardımı, trafik uyarıları ve otonom sürüş gibi hizmetler sağlamak için konum bilgisi gibi bazı verilere ihtiyaç duyabilir. Bu nedenle, bu tür verilerin paylaşılması ve salt kar amaçlı verilerin paylaşılması için ayrı bir onay gerekliliği olması gerektiğini söylüyor. “İkincisi, şirketlerin birisi vazgeçtiğinde işlevselliği sınırlamaması gerektiğini söyleyen bir yasaya ihtiyacımız var,” diye ekliyor. “Birisi sizin onayınızı zorla alamamalı ki siz işe gitmeye devam edebilesiniz.”
Brumley, FTC’nin çok fazla değişiklik yapmasını beklemenin gerçekçi olmadığını söylüyor. “Diğer alanlarda düzenleyici yetkilerini kullanmıyorlar ve bunun yerine serbest piyasa dinamiklerine güveniyorlar, ki bu da burada işe yaramayacak,” diyor. “Bir sıçrama yaşayabileceğimiz yer, daha katı olma eğiliminde olan AB düzenlemeleri olabilir. Ayrıca tüketicilerin bunun satın alma kararlarını etkilediğini söylemeleri gerekiyor.”