Нарушает ли конфиденциальность использование фитнес-трекера?

Что такое носимые устройства?

Носимые устройства – это такие устройства, как фитнес-трекеры и умные часы, которые можно носить в течение дня. Их носят в качестве аксессуаров, прикрепляют к одежде и даже вживляют в тело. Носимые устройства оснащены датчиками для отслеживания и мониторинга действий пользователей. Они помогают в достижении таких целей, как поддержание активности, снижение веса, контроль физического и психического здоровья и просто повышение организованности. В английском варианте термин «носимые устройства» иногда сокращают до «wearables».

В последнее время популярность носимых устройств, являющихся частью интернета вещей, значительно возросла. На сегодняшний день мировой рынок носимых устройств оценивается более чем в 20 миллиардов долларов в год. Это вызвано расширением мобильных сетей, доступностью высокоскоростной передачи данных и появлением миниатюрных микропроцессоров. Однако растущая популярность носимых устройств вызывает вопросы об их безопасности: безопасны ли фитнес-трекеры?

Злоумышленников не волнует, что сегодня утром вы улучшили свой личный рекорд в беге на дистанцию 5 км. Им интересны другие данные, которые могут хранить фитнес-трекеры: информация о местоположении, медицинские документы и банковская информация. Попадание этих данных в руки злоумышленников может создать серьезные проблемы. 

Безопасны ли фитнес-трекеры?

Использование фитнес-трекеров представляет потенциальную угрозу вашей конфиденциальности. Это связано с тем, что большинство трекеров синхронизируются с другими устройствами, такими как ноутбуки или смартфоны. При пробежке или езде на велосипеде трекер отслеживает ваше местоположение, а в процессе передачи через облако эти данные потенциально могут быть взломаны. Таким образом, при использовании фитнес-трекеров возникают следующие проблемы с конфиденциальностью:

Фитнес-трекер собирает очень личные данные

Данные, собираемые фитнес-трекерами, являются очень личными. Это может быть ваш вес, артериальное давление, дальность пробежки или прогулки, данные о состоянии сердца и легких, менструальный цикл, режим сна. Фактически, эту информацию обычно доверяют лечащему врачу, чтобы он мог диагностировать проблемы со здоровьем. Многим пользователям не нравится, что эти данные передаются без разрешения. Мониторинг, осуществляемый носимыми устройствами, также может включать домашний адрес, местоположение в реальном времени и подробные карты маршрутов тренировок, и эти данные могут быть легко доступны другим пользователям.

Данные могут быть переданы или проданы третьим лицам

Политика конфиденциальности некоторых популярных фитнес-трекеров может быть по-разному интерпретирована или изменена. Она затрагивает вопросы хранения, шифрования и передачи данных, а также контроля и проверки доступа к ним. Например, фитнес-трекеры Fitbit собирают обезличенную информацию для продажи третьим лицам. Информация о здоровье пользователей представляет ценность для рекламодателей и страховых компаний – они готовы за нее платить. Компании, занимающиеся фитнес-трекерами, также могут быть вынуждены раскрывать информацию о здоровье пользователей, если на это есть юридические причины, например, в рамках уголовного расследования. Кроме того, закон США о конфиденциальности в области здравоохранения HIPAA (Закон о преемственности и подотчетности медицинского страхования) не распространяется на информацию, которую клиенты собирают для собственного использования, таким образом, фитнес-трекеры не попадают под его действие.

Насколько защищены данные?

Компании-производители носимых устройств могут подвергнуться утечке данных. Известным примером является взлом приложения MyFitnessPal компании Under Armour в 2018 году, в результате которого были обнародованы имена, пароли и адреса электронной почты более 150 миллионов пользователей. Другой пример: в 2018 году студент австралийского колледжа на летних каникулах обнаружил уязвимость безопасности в фитнес-приложении Strava. Эта уязвимость позволяла раскрыть большой объем пользовательских данных, в том числе расположение военных баз США в зонах боевых действий по всему миру.

Большинство фитнес-трекеров подключается к телефону по Bluetooth. Это означает, что потенциальные уязвимости безопасности позволяют злоумышленникам получить доступ к вашей информации. Даже не взламывая устройство, злоумышленники могут перехватить ответный сигнал Bluetooth, отправляемый на смартфон, чтобы выяснить PIN-код. Как только они получат PIN-код, они смогут получить доступ к информации о вашем здоровье.

Если злоумышленникам удастся взломать серверы компании-производителя фитнес-трекеров, они могут либо продать украденную информацию, либо попытаться потребовать за нее выкуп у этой компании. Если ваши медицинские данные станут общедоступными, компания по медицинскому страхованию может на законных основаниях использовать эту информацию для корректировки суммы ваших страховых взносов. Например, если данные фитнес-трекера показывают, что ваш образ жизни является более малоподвижным, чем вы описали своему лечащему врачу, страховая компания может увеличить ваши страховые взносы соответствующим образом.

Данные, получаемые от носимых устройств, могут являться общедоступными по умолчанию

Часто фитнес-трекеры связаны с социальными сетями, и пользователи могут по желанию публиковать свои данные. При этом нередко для профиля пользователя по умолчанию устанавливается уровень конфиденциальности «публичный», что позволяет находить профили с помощью поиска. Чтобы ваши личные фитнес-данные не были доступны в результатах поиска, установите параметры конфиденциальности так, чтобы вас удовлетворял объем передаваемой информации.

Кому принадлежат данные, генерируемые при использовании носимого устройства?

Важно понять, кому принадлежат персональные данные, генерируемые при использовании носимого устройства: вам или компании-производителю фитнес-трекера? Это зависит от бренда, однако часто данные от носимых устройств не принадлежат пользователю. Ознакомьтесь с политикой конфиденциальности и пользовательским соглашением соответствующего устройства.

Компания-производитель фитнес-трекера может быть продана

Даже если вам подходят условия политики конфиденциальности и пользовательского соглашения вашего фитнес-трекера, компания-производитель может быть продана. Например, в 2019 году Google приобрел Fitbit, что привело к дискуссии в СМИ о том, как отразится на конфиденциальности получение компанией Google доступа к данным миллионов пользователей. При продаже компании одним из ее самых ценных активов являются данные о клиентах. У нового владельца может быть другая политика в отношении данных: он может продать информацию о здоровье пользователей рекламодателям, страховым компаниям и другим заинтересованным лицам.

Рекомендации по обеспечению конфиденциальности данных фитнес-трекеров

Общий регламент по защите данных для Европы (GDPR) и Закон Калифорнии о защите конфиденциальности потребителей (CCPA) обеспечивают определенный уровень защиты пользователей носимых устройств. Тем не менее, не существует единой правовой базы, регулирующей безопасность данных носимых устройств и фитнес-трекеров, что подчеркивает важность самостоятельных мер предосторожности для увеличения уровня конфиденциальности. Рекомендуется предпринять следующие меры:

Ознакомьтесь с политикой конфиденциальности вашего фитнес-трекера

Политика конфиденциальности позволит понять, насколько серьезно компания ценит вашу конфиденциальность и какие меры принимаются для ее защиты. Прочитав политику конфиденциальности, вы узнаете, как используются и хранятся ваши данные и как регулируется доступ к ним. Недостаточно ясно описанные условия политики конфиденциальности могут свидетельствовать о том, что данные передаются третьим лицам без ограничений. Если в политике конфиденциальности есть не подходящие вам условия, рассмотрите использование другого провайдера.

Выясните, какие данные собирает носимое устройство, и ограничьте их при необходимости

Носимые устройства различаются по сложности: от простого подсчета шагов и измерения основной активности до анализа более сложных данных, таких как потребление кислорода и время, в течение которого частота пульса находилась в определенной зоне. Чем больше датчиков у носимого устройства, тем больше данных оно генерирует, а значит, требуется защищать больше конфиденциальной информации. Например, устройство, отслеживающее беговые или велосипедные маршруты, может стать источником информации для потенциальных преследователей, а утечка данных о менструальном цикле может являться серьезным нарушением конфиденциальности.

Часто приложения и устройства могут собирать больше данных, чем необходимо. По возможности следует разрешать приложениям собирать и хранить только те данные фитнес-трекера, которые необходимы вам для получения желаемой информации о состоянии здоровья. Например, если вы хотите, чтобы фитнес-трекер только подсчитывал ваши шаги, вам не нужно собирать данные о частоте сердцебиения. Оцените различные категории данных и настройте параметры устройства в соответствии с вашими потребностями.

Выясните, где хранятся данные

В более старых простых устройствах, таких как счетчики шагов и пульсометры, данные хранятся на самом носимом устройстве, поэтому для обеспечения безопасности данных достаточно знать, где находится фитнес-трекер, и не терять его. Однако современные фитнес-трекеры и умные часы обычно подключаются к внешним приложениям, чтобы отслеживать, публиковать и анализировать активность. Если данные хранятся не на вашем устройстве, вопрос доверия становится более актуальным.

Настройте двухфакторную аутентификацию

Двухфакторная аутентификация – хороший способ защитить все учетные записи, включая фитнес-трекеры. Она предполагает генерацию и отправку кода на доверенное устройство, например на телефон. Затем необходимо ввести этот код для доступа к фитнес-трекеру.

Отключите определение местоположения

Данные о местоположении могут сообщить о вас такую информацию, как место жительства, место работы, любимые места для покупок и прочее. Для повышения конфиденциальности можно отключить определение местоположения в параметрах вашего устройства и приложения. Кроме того, подумайте, когда и где вы носите фитнес-трекер. Многолюдные помещения предоставляют злоумышленникам больше возможностей для похищения данных.

Обновляйте устройство каждый раз, когда предлагается

Как и с любым устройством, обновления программного обеспечения фитнес-трекеров часто содержат критические исправления безопасности. Регулярное обновление фитнес-трекера гарантирует наличие последних функций безопасности и исправление ошибок.

Избегайте использования незащищенных сетей

Учитывая личный характер данных, собираемых фитнес-трекерами, рекомендуется избегать использования публичных сетей Wi-Fi, в которых эти данные могут подвергнуться риску.

Сохраняйте анонимность с помощью VPN

Один из способов сохранения анонимности на всех устройствах – использование VPN. VPN защищает конфиденциальность, перенаправляя ваши данные через свои серверы после шифрования. Например, VPN создает зашифрованный канал между вашими устройствами и интернет-серверами «Лаборатории Касперского», чтобы никто не мог прочитать ваши данные.

Носимые устройства, такие как фитнес-трекеры, имеют множество преимуществ. В будущем они могут помочь в спасении жизней, обнаруживая и замедляя распространение серьезных инфекций, таких как Covid-19. Но наряду с преимуществами технологических достижений необходимо осознавать риски, связанные с конфиденциальностью данных фитнес-трекеров, и понимать, какие действия можно предпринять для их снижения.

Статьи по теме:

• Безопасность приложений для обмена сообщениями: какие приложения лучше всего подходят для сохранения конфиденциальности?
• Интернет-безопасность: чек-лист для семей
• Как сохранить конфиденциальность в сети при совпадении деловых и личных целей
• Что такое VPN? Как работает VPN и типы VPN
• Риски безопасности и конфиденциальности в виртуальной и дополненной реальности