la fiducia come driver dell'internet of things - data driven innovation 20 maggio 2016
TRANSCRIPT
LA FIDUCIA
COME DRIVER
DELL’INTERNET OF THINGS
PAOLA LIBERACE
DATA DRIVEN INNOVATION
ROMA, 20 MAGGIO 2016
SOMMARIO
Il ruolo della fiducia nell’Internet of Things
La fiducia nell’IoT: case histories
Il caso Nest
Il caso Hello Barbie
Il caso Google Car
Alcune risposte:
IoT Trust Framework
Trust Feedback Toolkit
What’s next?
Trasparenza
Co-creazione
Delega
E se domani…
IL RUOLO DELLA
FIDUCIA NELL’IOT
IoT come sistema
basato su dati
attraversato da
relazioni
che richiede
decisioni
Fonte: Yan, Zhang, Vasilakos (2014)
IL RUOLO DELLA
FIDUCIA NELL’IOT
10 obiettivi per un efficace sistema di Trust Management:
Trust relationship and decision
Data perception trust
Privacy preservation
Data fusion and mining trust
Data transmission and communication trust
Quality of IoT Services
System security and robustness
Generality
Human-computer trust interaction
Identity trust
Fonte: Yan, Zhang, Vasilakos (2014)
IL CASO NEST
All’inizio del 2016 il Center for
Information Technology Policy
(Princeton) diffonde i risultati di una
ricerca su vari dispositivi IoT, tra cui
un termostato Nest
Il termostato rivelava in chiaro
informazioni relative all’ubicazione
del dispositivo e della stazione
meteo, compreso il codice di
avviamento postale
Il criptaggio dei dati è necessario –
ma secondo gli analisti può non
essere sufficiente
Fonte: Freedom To Thinker, Mashable
IL CASO NEST
Criticità:
Privacy preservation
Data transmission and communication trust
Identity trust
System security and robustness
…
IL CASO HELLO
BARBIE
- La bambola interattiva di Mattel è in grado di intrattenere una conversazione verosimile con umani; Hello Barbie può connettersi a Internet tramite Wi-Fi e raccogliere informazioni inviandole a terze parti.
- Secondo l’esperto di sicurezza Matt Jakubowski, intervistato da NBC, se Hello Barbie viene connessa al Wi-Fi diventa vulnerabile:
- la bambola consente facilmente agli hacker di avere accesso alle informazioni di sistema, all’account registrato, ai files audio registrati e al microfono, tanto da poterle far dire qualsiasi cosa…
Fonte: NBC
IL CASO HELLO
BARBIE
- Per elaborare le risposte, la bambola invia i suoni registrati ai server dell’azienda di AI ToyTalk, che li trasforma in testo, li analizza ed elabora la risposta corretta scegliendola tra ottomila frasi preimpostate.
- L’associazione USA Campaign for a Commercial-Free Childhood (CCFC) ha lanciato una petizione online contro la bambola, identificata come uno strumento indebito di marketing che traccia interessi, abitudini e preferenze del bambino e della sua famiglia, conservandole, analizzandole e profilandole
Fonte: Corriere della Sera
IL CASO HELLO BARBIE
Criticità:
Privacy preservation
Data fusion and mining trust
Data transmission and communication trust
System security and robustness
Human-computer trust interaction
Identity trust
IL CASO GOOGLE CAR
Il 14 febbraio 2016, a Mountain
View, una Lexus RX450 self-
driving si scontra con un
autobus;
L’auto, che era ferma, è ripartita
dando per scontato che il bus in
arrivo da dietro le avrebbe dato la
precedenza, ma così non è stato
La situazione-limite ha evidenziato
l’incapacità della Google Car di
misurare e adattare il proprio
comportamento a quello di un
altro guidatore
Fonte: Reuters, Wired
IL CASO GOOGLE CAR
Criticità:
Trust relationship and decision
Quality of IoT Services
Human-computer trust interaction
…
IOT TRUST
FRAMEWORK
Online Trust Alliance «IoT Trust Framework»
• “Security and privacy by design” come priorità sin dalle fasi
iniziali dello sviluppo del prodotto, da indirizzare olisticamente.
• Dispositivi e applicazioni devono essere progettati e costruiti con
dotazioni e protezioni di sicurezza commisurate al rischio
effettivamente corso dall’utente finale.
• Il framework si focalizza su privacy, security e sostenibilità,:
quest’ultimo punto è cruciale perché riguarda il ciclo di vita
correlato alla possibilità di supporto a lungo termine e al
trasferimento di proprietà dei dispositivi e dei relativi dati raccolti.
Perimetro iniziale:
- Home automation and connected home products
- Wearable technologies (health and fitness)
Fonte: OTA Alliance
IOT TRUST
FRAMEWORK
Responsibility
Information
Control
Establish and maintain processes and systems to receive, track and promptly
respond to external vulnerabilities reports from third parties including the
research community. Remediate post product release design vulnerabilities and
threats in a publically responsible manner either through remote updates and/or
through actionable consumer notifications, or other effective mechanism(s).
Ensure privacy, security and support policies are easily discoverable, clear and
readily available for review prior to purchase, activation, download or enrollment
[…]
Conspicuously disclose what personally identifiable and sensitive data types
and attributes are collected and how they are used, limiting collection to data
which is reasonably useful for the functionality and purpose for which it is being
collected. Disclose and provide consumer opt-in for any other purposes.
Provide controls and/or documentation enabling the consumer to review and
edit privacy preferences of the IoT device including the ability to reset to the
“factory default.
Fonte: OTA Alliance
TRUST FEEDBACK
TOOLKIT
«Our overall goal is […] to
provide the users with a
possibility to control their
personal information».
Hochleitner et. Al (2012)
DELEGA
«How do you determine when you allow IoT devices to make decisions on your behalf and when you want to make the decision for yourself?
So far, all of these objects have explicitly asked you ‘do you want me to do that for you?’ Now, more and more, you start to see people saying we shouldn’t even question devices taking decisions on our behalf”.
(Olivier Ribet, vice president of Dassault Systèmes High Tech Industry)
DELEGA
Fonte: Davenport, Kirby (2016)
TRASPARENZA
«The human consumer in general cannot be 100% certain with
which device he/she is interacting and furthermore that she/he
does not know the identity and/or address of the device.»
«An inherent part of the problem is that humans have no way of
ascertaining the true intent of the device. Furthermore, humans
lack methods for determining the ability of the device to
behave as expected.»
Køien (2011)
CO-CREAZIONE
«Il vero è il fatto stesso [….] la scienza è la conoscenza della
genesi, cioè del modo con cui la cosa è fatta, e per la quale,
mentre la mente ne conosce il modo, perché compone gli
elementi, fa la cosa»
G.B. Vico (1710)
«The moral is obvious. You can’t trust code that you did not
totally create yourself. (Especially code from companies that
employ people like me.) No amount of source-level verification or
scrutiny will protect you from using untrusted code.”
Thompson (1984)
E SE DOMANI…
«Is the era of IoT bringing an end to the concept of ownership?
Are we just buying intentionally temporary hardware? It feels like
it. I own a Commodore 64 that still works.»
(A. Gilbert, blog on Medium.com, 2016)
«This stuff isn’t going to last forever and we don’t know what upgrade
and support cycles will look like. That’s markedly different than the
way we used to buy gadgets […] the risk of a product just not
working anymore was significantly less.
In this new era, it’s important to think about the potential that your
entire home could just stop working – and planning for those
scenarios».
(C. Warren, Mashable, 2016)
“As of May 15, 2016, your Revolv hub and app will no longer work”. (Revolv, corporate website, 2016)
BACKUP
BIBLIOGRAFIA
- Z. Yan, P. Zhang, V.A. Vasilakos, “A survey on trust management for Internet of Things”, Journal of Network and Computer Applications, 2014 (http://dx.doi.org/10.1016/j.jnca.2014.01.014)
- N. Feamster, “Who Will Secure the Internet of Things?”, Freedom to Thinker, 19/1/2016 (https://freedom-to-tinker.com/blog/feamster/who-will-secure-the-internet-of-things/)
- S. Murphy Kelly,“Nest confirms its smart thermostat quietly leaked user data”, Mashable, 20/1/2016 (http://mashable.com/2016/01/20/nest-smart-thermostat-leak/)
- C. Warren, “What Nest’s product shutdown says about the Internet of Things”, Mashable, 5/4/2016 (http://mashable.com/2016/04/04/revolv-smart-home-shutdown)
- K.Hill, “When 'Smart Homes' Get Hacked: I Haunted A Complete Stranger's House Via The Internet”, Forbes, 26/7/2013 (http://www.forbes.com/sites/kashmirhill/2013/07/26/smart-homes-hack)
- T. Leitner, “New Wi-Fi-Enabled Barbie Can Be Hacked, Researchers Say”, NBC (video) (http://www.nbcchicago.com/video/#!/investigations/New-Wi-Fi-Enabled-Barbie-Can-Be-Hacked,-Researchers-Say/353434911)
- A. Lana, “Hello Barbie, la bambola spia che spaventa gli Stati Uniti”, Corriere della Sera, 24/11/2015 (http://www.corriere.it/tecnologia/social/15_novembre_24/hello-barbie-bambola-spia-mattel-toy-talk-9609c2ba-9291-11e5-a671-3ca8afea8e44.shtml)
- D. Shepardson, “ U.S. auto safety agency seeks details of Google self-driving crash”, Reuters, 10/3/2016 (http://www.reuters.com/article/us-google-selfdrivingcar-idUSKCN0WC1YS)
- L. Longhitano, “Il primo incidente provocato (davvero) da una Google Car”, Wired, 1/3/2016 (http://www.wired.it/gadget/motori/2016/03/01/incidente-provocato-google-car/)
- Online Trust Alliance, OTA IoT Trust Framework, released 3/2/2016 (https://otalliance.org/IoT)
- C. Hochleitner, C. Graf, D. Unger, M. Tscheligi, “Making Devices Trustworthy: Security and Trust Feedback in the Internet of Things”, Proceedings of the Fourth International Workshop on Security and Privacy in Spontaneous Interaction and Mobile Phone Use (IWSSI/SPMU), June 18, 2012, Newcastle, UK
- G. M. Køien, “Reflections on Trust in Devices: An Informal Surveyof Human Trust in an Internet-of-Things Context”, Wireless Personal Communication, 2011 (http://link.springer.com/article/10.1007/s11277-011-0386-4)
- T. H. Davenport, J. Kirby, “Just How Smart Are Smart Machines?”, MIT Sloan Management Review, Spring 2016 (http://sloanreview.mit.edu/x/57306)
- K. Thompson, “Reflections on trusting trust. Turing award lecture”, Communications of the ACM, 27(8), 761–763.
- G.B. Vico, De Antiquissima Italorum Sapientia, Edizioni di Storia e Letteratura, Roma 2005
IOT TRUST
FRAMEWORK
IOT TRUST
FRAMEWORK
IOT TRUST
FRAMEWORK
IOT TRUST
FRAMEWORK
IOT TRUST
FRAMEWORK