NESNELERİN İNTERNETİ (IoT) ve NESNELERİN ENDÜSTRİYEL İNTERNETİ (IIoT) NİN YARATTIĞI HUKUKİ ETKİLER

Abone Ol

Temel düzeyde, “Nesnelerin İnterneti” (IoT), nesnelerin içine yerleştirilmiş bilgi işlem cihazlarının interneti üzerinden bu tür nesnelerin veri alıp gönderebilmesini sağlayan ara bağlantı olarak tanımlanabilir. Bu teknoloji, modern zamanların en yıkıcı teknolojilerinden birini temsil etmekle beraber günlük hayatlarımızda da birbiriyle bağlantılı teknolojiler açısından birçok vaat ve avantaj sağlamaktadır.

2016 yılı itibarıyla Dünya genelinde tahmin edilen 6,4 milyar bağlı “nesne” vardı ve bu rakamın 2020'ye kadar 20 milyara ulaşması beklenmektedir. “Nesnelerin İnterneti- IoT” nin bir alt kümesi olan “Nesnelerin Endüstriyel İnterneti” ( IIoT- Industrial Internet of Things) de iş dünyası ve üretim alanlarında kullanılan bağlı ve akıllı cihazları ifade etmektedir. IIoT, büyük oranda tüketicilere hitap eden IoT'den makine ve endüstriyel sistemlere hizmet etmesi özelliği ile ayrılmakla beraber bu özelliği ile de farklılığını ortaya koymaktadır.  

Dünya’nın pek çok yerinde, örneğin,  petrol sahalarında, gaz boru hatlarında, su sistemlerinde, barajlarda ve ağır sanayide IIoT'ye bağlı cihazlar bulunmaktadır ve IIoT, elektrik şebekesini, tren sistemlerini, otoyolları ve limanları desteklemektedir. IIoT'nin bu gelişimi ve dağıtımıyla, bağlı endüstriyel cihazlarda ortaya çıkan önemli yasal sorunlar vardır.

Gizlilik ve Veri Güvenliği

IoT cihazlarının gizlilik ve veri güvenliği hususunda, savunmasız olmadığına ancak aynı zamanda düzenli olarak saldırıya uğradığına dair kanıtlar her geçen gün artmaktadır. Mart 2017 yılında Wikileaks’in ortaya çıkardığı bilgilere göre, CIA, 2016 yılındaki Mirai saldırıları sırasında, web kameraların internetin çevrimdışı kısımlarını vurmaya yarayan ve verilen görevleri yerine getiren programa sahip ( bot ) ağ ordusuna dahil ettiği bağlı cihazları günbegün istihbarat toplamak için kullanmıştır. IIoT bu duruma direnç gösteremediğinden sorun her geçen gün artarak büyümüştür.

IoT ve IIoT'nin muazzam sayılarına ve her zaman hazır olmasına rağmen, Wikileaks’ın açıklamaları karşısında da görüldüğü üzere siber güvenlik testleri hala erken aşamalarındadır. Satıcıların, kendi ürünlerini bir endüstri standardına karşı test etmek veya potansiyel müşterileri bir ürünün “siber hususta güvenli” olduğu konusunda bilgilendirmek için kullanabilecekleri birkaç kılavuz bulunmaktadır.

Dünyanın en tanınmış ürün test cihazlarından biri olan Underwriters Laboratories (UL), Siber Güvenlik Güvence Programı (CAP) aracılığıyla IoT cihazları için siber güvenlik doğrulaması sağlayarak bu boşluğu doldurmaya çalışmaktadır.

Organizasyon, UL 2900 adında bir siber güvenlik standardı geliştirdi ve bu standart endüstriyel kontrol sistemleri, tıbbi cihazlar, otomotiv, aydınlatma, akıllı ev, ev aletleri, alarm sistemleri, yangın sistemleri, bina otomasyonu, akıllı ölçüm cihazları, ağ ekipmanı ve tüketici elektroniği gibi geniş bir ürün yelpazesini kapsamaktadır. Böylelikle, UL programı üreticilerin sunduğu ürünleri test etmekte ve ürün test organizasyonu da bu program modelinin satıcılara cihazlarının ve yazılımlarının güvenliğini kanıtlama yeteneği verdiği için iyi bir seçenek olduğuna inanmaktadır.

Veri Sahipliği

IoT'de veri sahipliği ile ilgili sorular genellikle verileri fabrikaya bağlı cihazlardan toplanan verilere (IoT cihazları ile gömülü ve bir tüketiciye satılan) odaklanmaktadır. Bu cihazlarda, bireyle doğrudan veya dolaylı olarak ilişkilendirilen veri üreticiye geri yüklenmektedir. Bağlı kartlar ve akıllı ev cihazları ile gerçekleşen ve üreticinin de yer aldığı bu süreç, çok sayıda tüketici gizliliği sorununu da tetiklemektedir.

Tüketici gizliliğinin nasıl korunabileceğine dair sorunun yanı sıra, bir başka konu da, IIoT'ye bağlı cihazlardan üretilen verileri korumak için en uygun yolun ne olduğunun belirlenebilmesi ile ilgilidir. Bu tür veriler, şirket veya kurum gizli bilgileri veya ticari sırlar olarak sınıflandırılabilmektedir. Cevap bulması gerekli bir diğer soru da, aynı zamanda, bu veriler üzerinde bir telif hakkı veya en azından sui generis bir hak mevcut olacak mı ve ne şekilde korunabilecektir?

IIoT teknolojisi, ayrıca bir şirket ile şirketin satıcıları ve tedarikçileri arasındaki veri sahipliğinin kime ait olacağı hakkında da benzersiz sorular sorulmasına neden olmaktadır. Üçüncü kişi konumundaki bir satıcı, örneğin bir fabrikanın bağlı cihazları tarafından sağlanan zengin verileri nasıl izleyecek ve koruyabilecektir? Bu verilerde, bir şirketin satıcı ile olan sözleşmesinde ele alınması ve düzenlenmesi gerekli veri sahipliği, gizlilik ve sorumluluk hususlarını da içeren fikri mülkiyete dair hususlar bulunmaktadır. Dahası, üçüncü kişi konumundaki satıcı iflas ederse veya ekonomik sıkıntılar baş gösterirse ne olacak? Herhangi bir ilk sözleşme veya çerçeve sözleşme olayların bu olası dönüşümünü nasıl ele alacak ve çözecektir?

Sözleşme Zorlukları

IIoT teknolojisi, büyük ölçekli sanayi işletmelerinin organizasyonunda temel değişiklikler yaratmakla beraber bu değişim süreci neticesinde işin devamını sağlayabilmek adına hukuki mekanizmaların da yeniden düzenlenmesi kaçınılmaz hale gelmektedir. Söz konusu bu teknoloji endüstriyel bileşenlerin “sahiplik” kavramını da değiştirebilecek güçte ve sahiplik kavramının revize edilmesi gerekliliğini de uygulayıcılara empoze edecek gibi görünmektedir. Aynı zamanda, hem sıradan olaylara hem de ağır sonuçları olan siber saldırı risklerine dair sözleşme içerisinde düzenleme yapılmasını da zorunlu kılmaktadır. IIoT teknolojisi ayrıca, bir işletmenin “varlıkları” olarak düşündüğü şeylerin neler olduğunun yeniden belirlenmesi ve finansman, satın almalar, birleşme ve sigorta kapsamı içinde ortaya çıkan sorunların yeniden incelenmesini de gerektirecektir.

Petrol ve gazda kullanılan bağlı “akıllı vana” örneğini ele aldığımızda artık bu vananın satın alınması için iki taraf arasında geleneksel bir alım/satım sözleşmesi imzalanması olası çıkacak ihtilafların çözümü için yeterli olmayacaktır. Artık, bu vananın çalışması ve tüm sistemle iletişim kuran yazılımı sürdürmesi için veri sağlayan ayrıca taraflar olacaktır. Şirket bu vanayı yazılımıyla birlikte donanım üreticisinden ayrı olan bir satıcıdan mı satın aldı, yoksa bu husus tamamen ayrı bir sözleşmeye mi konu olmalıdır? Veriler gerçekten satın alınmış mı yoksa kiralanmış mı ( yani veri sahipliği sorunları)? Bu verilerin bakımını kim sağlayacak ve veri sağlayıcısı işten çıkar/işi bırakırsa/iflas ederse ne olur? Tüm bu hususların çözümü için geleneksel alım/satım sözleşmesini yazılımın tüm parça/ taraflarını ve bu hususlara dayalı ihtilaflarını çözebilecek ayrıntılarla ele almak gerekecektir.

Sorumluluk Meseleleri

Fikri mülkiyet, sigorta ve tazminat, ticari sözleşme ve antitröst / düzenleyici uyum gibi çeşitli yasal disiplinler, IIoT ile olan ilişkilerinde henüz derinlemesine düşünülmemiştir. Bununla birlikte, tüm bu pratikler gelecekte IIoT ile etkileşime girecektir.

Yukarıda da örneğini verdiğimiz“Akıllı vana” ya geri dönersek,. daha önce bir “sıradan” vana, sistemin basit bir parçası olacaktı ve vanayı satın aldıktan sonra, şirket vanadan malzeme akışını (petrol, gaz, kimyasallar,) manuel şekilde kontrol edecekti. Bu şekilde yasal kaygılar da nispeten daha az olacaktır.

Ancak vana “akıllı” bir vana ise, kontrol sistemi vasıtasıyla boruların içinden geçenlerin akışını ve hatta kalitesini dahi belirleyen bilgileri alır ve bu akıllı vana için ilk olarak düşünülen hukuki endişe siber güvenliktir. Vana, dahili yazılım tarafından kontrol edilir ve insanlardan ziyade verilerle çalıştırılırsa, felaketle sonuçlanan teknik arızalara ve potansiyel saldırılara maruz kalacaktır. Bununla birlikte, bu ilk kaygının ötesinde de belli hukuki çıkarımlar akıllarda yer edecektir.

Bağlantılı IIoT teknolojilerinde, bir şeyler ters gittiğinde, genel şirket sisteminin içerisinde her bir tedarikçisinin sorumluluk alanının çerçevesinin belirlenmesi zor olacaktır. Ayrıca, bu durum çok miktarda toplanan verilere dayalı olarak çalışan yapay zeka-güdümlü sistemler için daha karmaşık bir hal alacaktır. Bir makinenin belirli bir zamanda belirli bir eylemi gerçekleştirmesinin nedenini belirlemek yapay zeka güdümlü bir makine için daha da zor ve karmaşık bir hal alacaktır.

IIoT gelişmeye ve değişmeye devam ederken, bu hukuki meselelerin bir şirketin IIoT teknolojisini nasıl elde ettiği, tasarladığı ve dağıttığına yönelik hukuki meselelerin ele alınması gerekliliğini daha da önemli hale getirecektir.

Yargı Kararlarından Örnekler

VIZIO - Gizlilik İhlali: Akıllı TV üreticisi, cinsiyet, yaş, gelir, medeni durum ve benzeri hususlara dair tüketiciler hakkında veri toplamak için yazılımını kullanarak elde ettiği verileri üçüncü kişilerle paylaşmış ve tüketicilere hedeflenen reklam verilerine dair bilgileri satarak gelir etmeye başlamıştır. Akıllı TV üreticisi, Bilgi ve veri toplamanın amacının, program tekliflerini ve önerilerini tüketicilere vermek olduğunu iddia etmişse de, söz konusu veri ve bilgiler tüketicilerin onayı alınmadan reklam amaçlı üretici tarafından kullanılarak satılmış ve pazarlanmıştır. Üreticinin tüketicinin onayı olmadan yapmış olduğu bu işlemler Federal Ticaret Komisyonu davasının sebebi olmuştur. 6 Şubat 2017’de Vizio, ihtilafı, verileri takip etmeden önce tüketicilerin açık onaylarının alınması gerektiği yönünde bir kararla 2.2 Milyon dolar ödemek zorunda kalmıştır. 

CAHEN- TOYOTA MOTOR CORPORATION Davası : 2015 yılında görülen davada, motor üreticileri Toyota, Ford ve General Motors, bir tüketici tarafından bir sınıf aracında bu araçlardaki işlevlerin çoğunun küçük bir bilgisayar ağı tarafından kontrol edildiği için kolay hacklenmeye eğilimli olduğu iddiası ile dava edilmiştir. Üreticilerin araçlardaki bu güvenlik riskinden faydalandıkları ve bu sistemin dolandırıcılığa neden olduğu belirtilmiştir. Mahkeme, somut bir hackleme olayı olmadığı ve gelecekteki bir hackleme olayı varsayımı ile karar kurulamayacağı ve gerçek bir yaralanma olmadığını belirterek davayı reddetmiştir.

Rose - St. JUDE MEDICAL INC. Davası : 2016 yılında görülen bu dava ile davacı, uzaktan izlenmesine izin veren radyo frekans kablosuz teknolojisini kullanarak bu sayede hastanın izlenmesi için doktora gidilmesine gerek duyulmadığı kalp pili, kalp resenkronizatörleri ve benzeri çeşitli tıbbi implantların bu sistem vasıtasıyla söz konusu bu implantları üreten şirketin şirket içi iletim aygıtlarının güvenli olmadığını ve cihazların bilgisayar korsanları tarafından potansiyel saldırılara maruz kaldığını iddia etmiş ve bu iddiasını da bir rapora dayandırmıştır. Şirket yaptığı savunmada belirtilen güvenlik riskini reddederek iftira iddiasıyla raporun yayıncılarına karşı bir dava açmıştır.

BAKER - ADT CORP. : 2014 yılında görülen davada, davacı, ADT tarafından üretilen kablosuz ev güvenlik cihazlarının popüler teknolojiyi kullanarak üçüncü kişinin kontrolü altında kapatılabildiği için ADT Şirketi dava edilmiştir. Davacı iddiası sistemin yanlış bir şekilde üçüncü kişiler tarafından tetiklenmesiydi, ancak dava, yanlış beyan edilen alarmlara dayanan gerçek hasardan daha çok pazarlama açıklamalarında ADT tarafından verilen 'güvenlik' garantilerine daha fazla dayanmaktaydı. Mahkeme güvenli iletişim bağlantıları  konusundaki iddialara göre tüketici sahtekarlığına ilişkin bölümleri kabul ederek davayı kısmen reddetmiştir. 

Yukarıda belirtilen hususlar ve verilen örnek yargı kararları davaların ortaya çıkabileceği potansiyel konulardan bazılarıdır. IoT ve IIoT teknolojileri, ev güvenliği, giyilebilir cihazlar, sağlık ve tıbbi hizmetler ve birçok yeni ürün ve hizmet alanlarında kullanılır hale geldikçe hukuken düzenleme ihtiyacı daha da artar hale gelip ihtilafların da çeşitliliği artacaktır. 

KAYNAK :

https://texasceomagazine.com/departments/top-4-legal-issues-industrial-internet-things/

http://internetthingslaw.blogspot.com/