En undersökning av förändringar som behöver införas för att överensstämma med GDPR - I utveckling och drift av smarta kameror

Lukacs, Andrea, Szczurek, Malgorzata

January 2018

Konceptet av sakernas internet handlar om att datorer ska kunna agera utan mänsklig interaktion. Detta gör att smarta larm med kameror själva kan avgöra när ett larm ska utlösas och kan då ta åtgärder som att ta bilder på hemmet som kameror är installerade i samt på individer. Detta skapar vissa etiska frågor kopplade till dataintegriteten. För att kunna kontrollera företagens användning av mängder data som kan genereras idag och för att ge individer rättigheter över hur deras data behandlas har EU tagit fram en förordning kallad General Data Protection Regulation (GDPR). Denna kommer att förändra utveckling och drift av smarta kameror, eftersom bilder är personuppgifter som omfattas av förordningen. Därför är tydliga strategier kring vilka förändringar företag som utvecklar eller driftar kameror behöver införa för att uppfylla GDPR kraven nödvändiga för att upprätthålla användarnas dataintegritet. Projektets syfte är därför att redogöra för huvudsakliga förändringar som behöver införas hos företag identiska till studieobjekten samtidigt som inställningen till förändringen beaktas, vilket är en nyckelfaktor till en lyckad implementering. Detta uppnås genom datainsamling via intervjuer som utfördes hos företag ledande inom utveckling och drift av smarta kameror. Resultatet bekräftar hypotesen om att kamera och säkerhetsföretag är sakkunniga inom säkerhet och integritet, samt visar att företag handskas med fem, följande, huvudsakliga förändringar: finna lösningar på insamling av informerade samtycken, dokumentation som måste bli mer utförlig, kontraktskrivning med leverantörer måste ges mer uppmärksamhet, att möjliggöra framförallt i backenden när en kund begär ut all data, samt privacy by design och ett helhetsperspektiv som behöver implementeras mer under utvecklingsprocessen. Vidare kan arbetet användas som beslutsunderlag i liknande organisationer som studieobjekten, eftersom det ger även förslag på förbättringsområden vilka har för avsikt att förstärka möjligheten till en lyckad tillfredsställelse av GDPR kraven. / The concept of the Internet of Things is about computers being able to act without human interaction. This allows smart alarms with cameras to determine themselves when an alarm is triggered and can take action like taking pictures at home that cameras are installed in as well as on individuals. This creates some ethical issues related to data privacy. In order to control companies' use of amounts of data that can be generated today and to give individuals rights over how their data is processed, the EU has developed a regulation called the General Data Protection Regulation (GDPR). This will change the development and operation of smart cameras, as images are personal data that are covered by the regulation. Therefore, clear strategies about the changes that needs to be implemented to meet the GDPR requirements is necessary to maintain users' data privacy. The purpose of the project is therefore to account for major changes that need to be introduced to companies identical to the study objects while taking into account the attitude towards the change, which is a key factor for successful implementation. This is achieved through data acquisition through interviews conducted by companies leading in the development and operation of smart cameras. The result confirms the hypothesis that camera and security companies are experts in security and integrity, as well as demonstrating that companies are dealing with five, the following major changes: finding solutions for collecting informed consent, documentation that needs to be more detailed, contracting with suppliers must be paid more attention to, make it technically possible for a customer to request and get all data, as well as Privacy by Design and an overall perspective that needs to be implemented during the development process. In addition, the work can be used as a basis for decision making in similar organizations as the study objects who develop IoT products, as it also provides suggestions for improvement areas that intend to enhance the possibility of a successful satisfaction of the GDPR requirements.

Internet of things

General Data Protection Regulation

smarta larm

smarta kameror

förändring

säkerhet

integritet

Engineering and Technology

Teknik och teknologier

Are modern smart cameras vulnerable to yesterday’s vulnerabilities? : A security evaluation of a smart home camera / Undviker dagens smarta kameror gårdagens sårbaraheter? : Utvärdering av säkerheten hos en smart hem kamera

Larsson, Jesper

January 2021

IoT cameras can allow users to monitor their space remotely, but consumers are worried about the security implications. Their worries are neither unfounded as vulnerabilities repeatedly have been found in internet connected cameras. Have modern cameras learned from the mistakes of their predecessors? This thesis has performed a case study of a consumer smart camera popular on the Swedish market. The camera was evaluated through a pentest. The evaluation found that the camera’s cloud centric design allowed it to side step issues present in earlier models. However, it was demonstrated that it is possible to detect potentially sensitive events, e.g. when the camera notice motion, by just inspecting the amount of traffic it sends. Other tests were not able to demonstrate vulnerabilities though. Based on these findings it was concluded that the camera were more secure than it’s predecessors, which supports that the market has improved. / Konsumenter kan med IoT kameror på distans överse sin egendom. De är dock oroliga över hur säkra kamerorna är. Denna oro existerar inte utan god anledning. Sårbarheter har upprepade gånger påvisat finnas i internetuppkopplade kameror. Har dagens kameror lärt sig av deras föregångares misstag? Detta examensarbete har testat en smart kamera som är populär på den svenska marknaden. För att fastställa hur säker kameran är genomfördes ett penetrationstest. Undersökning fann att kameran lyckats kringgå tidigare vanliga sårbarheter genom att förlita sig på molnet. Undersökning kunde dock konstatera att en motståndare kan läcka potentiellt känslig information, t.ex. när kameran upptäcker rörelse, bara genom att mäta hur mycket nätverkstrafik kameran sänder. Undersökningen kunde dock inte påvisa andra sårbarheter. Baserat på dessa resultat fann studien att denna kamera är säkrare än sina föregångare, och att detta stödjer tesen att marknaden som helhet förbättrats.

Security

Penetration testing

Threat modelling

Internet of things

Smart cameras

Säkerhet

penetrationstestning

hotmodellering

Sakernas internet

Smarta kameror

Computer Sciences

Datavetenskap (datalogi)