Онлайн-платформы Интернет-вещей (IoT) не только способствуют цифровой трансформации бизнеса, но и позволяют компаниям систематизировать огромные объемы данных в режиме реального времени. Речь идет о сети связанных между собой виртуальных объектов, способных систематизировать и обмениваться информацией с любых встроенных сервисов. При этом, устройства, входящие в состав такой сети, могут управляться в дистанционном режиме. В сочетании со сложными инструментами анализа информации, такими как искусственный интеллект (AI), фирмы могут использовать собранные данные для получения представления о природе текущих бизнес-операций. Указанные альтернативы создают, наравне с возможностями увеличения прибыли, дополнительные риски.

Рационализация проблем

Мировые расходы на сферу IoT в 2019 году достигли отметки в 745 млрд. дол. Более того, консалтинговая компания Gartner прогнозирует, что к 2021 году ожидается использование более 25 млрд. устройств IoT, по сравнению с 14,2 млрд. в нынешнем году (Пресс-релиз «Top 10 Strategic IoT Technologies and Trends» для Gartner, 2018). Но внедрение систем IoT сопряжено с проблемами и рисками.

Так, IoT-устройства работают в сетях с высоким уровнем подключения. Чем выше взаимосвязь решений, тем больше возможностей для точек сбоя в работе. Кроме того, уязвимость в одном узле сети может иметь масштабные последствия для всей системы в целом. Компании, использующие несовершенные меры безопасности в IoT, способны нанести значительные ущерб, включая простои в бизнесе, нарушение конфиденциальности данных, а также репутационные издержки.

Другая проблема, представленная в IoT, заключается в эффективном использовании данных. Как утверждает Т. Стек, даже когда они представлены в структурированном формате, компании используют менее 50% собранной информации при принятии решений (Статья «IoT Data Continues to Explode Exponentially» для Cisco, 2018). В случае неструктурированной презентации сведений, отметка падает ниже 1%. Исходя из указанных тенденций, неудивительно, что только 26% фирм считают, что их инициативы в области IoT были успешными.

Компании, внедряющие стратегии цифрового управления данными, могут снизить риски и оптимизировать возможности IoT. Наличие стратегии цифрового управления, учитывающей вопросы конфиденциальности и безопасности, позволит предприятиям управлять рисками посредством превращения собранной информации в интеллектуальную собственность компании. При этом, многие фирмы понимают, что их стратегия цифрового управления не может быть статичной в свете изменяющихся бизнес-требований, растущих угроз, нестабильных нормативных ландшафтов и расширения базы поставщиков с различными подходами к заключению контрактов и допустимыми рисками.

Исследование правового фундамента

Многие судебные иски в области IoT были в основном связаны с недостаточной безопасностью продукции либо некорректным использованием данных потребителя. Так, истцы утверждали, что слабые места в обеспечении безопасности платформ IoT и взломы данных подвергли их риску утечки персональных сведений. Федеральная торговая комиссия (FTC) также продемонстрировала свою готовность инициировать санкции против производителей платформ IoT, которые совершают неправомерные или вводящие в заблуждение действия, затрагивающие сферу торговли.

В 2017 году был введен Закон о совершенствовании кибер-безопасности онлайн-платформ предпринимательской деятельности. Согласно ему, поставщики, продающие устройства IoT, должны вступать в определенные договорные положения, связанные с обеспечением их безопасности. Аналогично Европейский парламент недавно утвердил Закон о кибер-безопасности в странах ЕС, направленный на создание схем сертификации продуктов, услуг и процессов информационно-коммуникационных технологий, реализуемых на территории Европейского союза. Такие схемы сертификации, применяемые к устройствам IoT, ориентированы на внедрение подхода разумной безопасности.

Даже при отсутствии специального законодательства для IoT, наличие схем регулирования в различных отраслях может повлиять на процедуры использования устройств IoT компаниями. Например, Управление США по продовольствию и медикаментам занимается регулированием использования медицинских гаджетов, которые могут включать устройства IoT, в зависимости от области применения продукта.

Или, Министерство транспорта США (DOT) недавно выпустило обновленную инструкцию для поддержки непрерывного развития автономных транспортных средств, включая использование сбора данных посредством IoT для расширения собственных возможностей. Конечно, есть несколько отраслей без вариантов использования IoT и соответствующих схем регулирования. Кроме того, независимо от отраслевой ниши, компании, собирающие данные с помощью приложений IoT, подпадают под действие законов о конфиденциальности данных, таких как GDPR.

Оценка рисков

Для понимания рисков, связанных с системой IoT, прежде всего, следует идентифицировать типы данных будущей систематизации и юридические обязательства, связанные с ними. Например, малый бизнес, прибегающий к IoT для сбора данных инвентаризации, может не иметь юридических обязательств по отношению к собранной информации. Но компания, занимающаяся производством домашних гаджетов в IoT, вероятнее всего, связана с огромными объемами личных данных (такие как имена, данные медицинской карты и пр.), следовательно, подчиняется различным законам о конфиденциальности. Последние могут оказаться весьма обременительными, а в случае их нарушения повлечь за собой большие штрафы.

Кроме того, компании должны знать о любых договорных обязательствах, которые могут классифицировать данные как «конфиденциальную информацию» или иным образом ограничивать использование данных платформами IoT. Понимание типа данных и обязательств, связанных с ними, облегчает разработку стратегии цифрового управления и прописывание договорных обязательств.

Каждая стратегия цифрового управления должна учитывать проблемы безопасности онлайн-платформ. Устройства IoT известны своими уязвимостями, поскольку в 2017 году почти половина всех компаний, использующих сеть IoT, стала жертвой хакерских атак. Кроме того, по оценкам М. Найта, к 2022 году половина всех бюджетов безопасности IoT пойдет на устранение обнаруженных неисправностей (Статья «Data Management and the IoT» для Dataversity, 2018).

Стоит также отметить, что датчики IoT не всегда обеспечивают точные показания ввиду неправильной калибровки или неисправности устройства. Использование недостоверных сведений чревато ошибочными выводами и негативными последствиями, особенно в свете применения инструментов AI.

Советы по заключению контрактов

Разработка полного IoT-решения является сложной задачей, требующей от нескольких поставщиков предоставления разнообразной продукции и услуг, таких как датчики, хранилище данных, сети передачи, прием, очистка и агрегирование данных, а также анализ информации. Маловероятно, что различные продукты рассчитаны на совместную работу. К тому же, каждый из поставщиков предпочитает нести как можно меньше риска общего решения, располагая широким доступом к данным. Сложившаяся ситуация приводит к возникновению потенциальных точек сбоя во всей системе IoT и создает сложную схему заключения контрактов. Тем не менее, существуют подходы для снижения рисков:

  • Проведение скрупулезной проверки потенциальных поставщиков IoT. Процедура должна включать в себя юридические вопросы и запросы безопасности в дополнение к техническим, эксплуатационным и другим формам проверки. Таким способом компании могут обеспечить интеграцию продуктов или услуг каждого поставщика в более широкое решение IoT, а также определить уязвимости поставщика и исключить его из схемы сотрудничества (например, ввиду плохого финансового состояния или некачественных мер безопасности).
  • Детализация положений о безопасности и аудите в контрактах с поставщиками. Рекомендуемые условия контракта будут различаться в зависимости от каждого решения в IoT, но могут включать такие требования, как соблюдение законов о конфиденциальности и отраслевых стандартов, права аудиторов, тестирование на проникновение в систему, сканирование уязвимостей, ограничения на доступ к системе и уведомление о нарушении данных.
  • Предоставление прав на данные IoT. В частности, компаниям следует тщательно подумать о целесообразности ограничения прав поставщиков, имеющих доступ к данным фирмы, ведь многие из них не оказывают негативного влияния на предприятие. Например, поставщики используют данные IoT компании для создания отраслевых отчетов и анализа собственной деятельности, что может быть приемлемо в случае, если поставщик объединяет и анонимизирует сведения. Но даже при таком сценарии, собранная информация может раскрыть конфиденциальные сведения компании или предоставить конкурентные преимущества другим фирмам.
  • Валютный расчет и обслуживание устройств IoT. Продавцы часто обновляют свои устройства и сервисные предложения, что может вызвать проблемы в работе IoT-решения, использующих услуги нескольких разных поставщиков. Например, если поставщик обновляет свои датчики IoT, программное обеспечение интегрированного анализа данных может потребовать соответствующих обновлений для обеспечения надлежащей работы всей системы, что оказывается весьма дорогостоящим мероприятием. Для устранения риска, контракты с поставщиками должны четко определять требования к обслуживанию и обеспечивать поддержку систем IoT с течением времени.

В завершении стоит отметить, что выше приведенный список вопросов к контрактам в области  IoT не является исчерпывающим. Компаниям следует учитывать сложности IoT-решений при разработке стратегии цифрового управления. В таком случае у них появляется шанс повысить вероятность успешных инициатив в сфере IoT.

 

Источник:

https://www.corporatecomplianceinsights.com/risks-iot-smart-business/

Читайте также: