اینکه بتوانید به سیستم صوتی خود بگویید یک آهنگ خاص را انتخاب و پخش کند، یا فقط با استفاده از صدای خود چیزی را بهصورت آنلاین سفارش دهید یا یخچال در هنگام اتمام مواد غذایی به شما بگوید کدامیک در حال تمام شدن است خوب است.
ویژگیهایی ازایندست مربوط به دفاتر هوشمند، خانههای هوشمند، وسایل هوشمند، ساختمانهای هوشمند و شهرهای هوشمند و … هستند که همگی از طریق اینترنت اشیا (IoT) به هم متصل میشوند. طبق نظر شرکت تحقیقاتی تحول دیجیتالTransforma Insights ، تا پایان سال ۲۰۱۹، ۷.۶ میلیارد دستگاه فعال IoT در سراسر جهان وجود داشته که این مقدار تا سال ۲۰۳۰ به ۲۴.۱ میلیارد دستگاه خواهد رسید.
آنچه در این مقاله می خوانید:
همه آنچه درباره اینترنت اشیا باید بدانید آسیبهای هک اشیای متصل به اینترنتمسئولیت تأمین امنیت اینترنت اشیا با کیست؟نگه داشتن پای مدیرعامل شرکت در معرکهآیا رویکرد مبتنی بر ریسک عملی است؟مشکل اینترنت اشیا دقیقاً کجاست؟متهم کردن دیگران کار سادهای نیستچگونه شبکههای اینترنت اشیا را ایمن تر کنیم
اما امینت این حجم از دستگاههای سایبری که حاوی اطلاعات عظیمی در بخشهای مختلف هستند چگونه تأمین میشود؟ آیا ما باید نگران انتقال دادههای خصوصی توسط این بخش از فناوری باشیم؟ و اگر این یک موضوع نگران کننده است چه کسی مسئولیت حفظ اطلاعات منتقل شده توسط دستگاههای هوشمند را بر عهده میگیرد؟ اگر نتوان این امنیت را در بخش سایبری دستگاههای هوشمند فراهم ساخت چه مشکلاتی پیش خواهد آمد؟
همه آنچه درباره اینترنت اشیا باید بدانید
آسیبهای هک اشیای متصل به اینترنت
مطمئناً با توجه به ضرورت مشاغل از راه دور و خانگی از سال ۲۰۲۰، افراد بسیاری دستگاههای غیر تجاری را به شبکههای شرکتی خود متصل کردهاند.. برای مثال بر اساس گزارش شرکت امنیت سایبری جهانیPalo Alto Networks ، خرسهای عروسکی و سایر اسباببازیها، تجهیزات ورزشی مانند ماشینهای ورزشی، دستگاههای بازی و اتومبیلهای متصل، از این قبیل دستگاهها هستند. افزایش تعداد و تنوع دستگاههای متصل به شبکههای اینترنت اشیا ، پیادهسازی امنیت سایبری را بهتدریج دشوار میکند، زیرا هر دستگاه یک نقطهضعف بالقوه است.
بهعنوانمثال، میتوان تعداد زیادی از اتومبیلهای متصل را هک کرد تا با قفل کردن خیابانها و ایجاد ترافیک، شهر را به تشنج کشید. همچنین میتوان ساختمانهای هوشمند و حتی شهرها را هک کرد تا با سیستمهای خودکاری که سیستمهای HVAC یا تهویه، سیستمهای دزدگیر و هشدار حریق و سایر زیرساختهای مهم را کنترل میکنند، فضا را خطرناک کرد.
مهاجمین دیجیتال از طریق ترموستاتهای هوشمند به خانهها دسترسی پیدا میکنند تا با افزایش حرارت از راه دور باعث وحشت خانوادهها شوند و سپس از طریق دوربینهای متصل به اینترنت با ساکنان صحبت میکنند. اثرات هک در صنعت مراقبتهای بهداشتی یا هواپیماربایی که در آن خرابی تجهیزات زندگی افراد را به خطر میاندازد، شدیدترین حالت خواهد بود.
مسئولیت تأمین امنیت اینترنت اشیا با کیست؟
پس چه کسی مسئول امنیت سایبری در یک شبکه اینترنت اشیا است؟ تولیدکنندگان تجهیزات؟ کسانی که مالک شبکه هستند یا آن را اداره میکنند؟ شرکت یا سازمانی که از شبکه IoT استفاده میکند؟ شرکت تحقیقاتی و مشاورهای جهانی گارتنر پیشبینی کرده است که تا سال ۲۰۲۴، ۷۵ درصد از مدیران اجرایی، مسئول حملات به سیستمهای فیزیکی سایبری (CPS) هستند. گارتنر CPS ها را چنین تعریف میکند: سیستمهایی که برای تنظیم روابط حسگری، محاسبه، کنترل، شبکهبندی و تجزیهوتحلیل طراحی شدهاند تا با دنیای فیزیکی، از جمله انسان تعامل داشته باشند.
این سیستمها تمام فعالیتهای فناوری اطلاعات، فناوری عملیاتی (OT) و IoT را در بر میگیرد که در آن ملاحظات امنیتی، هم از جنبه سایبری و هم جهان فیزیکی دارای اهمیت است. OT یا همان فناوری عملیاتی، شامل سختافزار و نرمافزاری است که از طریق نظارت و کنترل مستقیم، تجهیزات، داراییها، فرآیندها و رویدادها را شناسایی یا ایجاد میکند. بهعبارتدیگر، ۷۵ درصد از مدیران اجرایی میتوانند تا سال ۲۰۲۴ مسئول نقص امنیت در IoT باشند.
نگه داشتن پای مدیرعامل شرکت در معرکه
چرا مدیران اجرایی؟ در حال حاضر، ناظران و دولتها، قوانین و مقررات حاکم بر CPS را در پاسخ به افزایش اتفاقات جدی ناشی از عدم امنیت در تجهیزات اینترنت اشیا به شدت افزایش میدهند. به گفته کاتل تیلمان محقق شرکت گارتنر، به زودی شرایطی به وجود میآید که مدیران اجرایی دیگر نتوانند اظهار بیاطلاعی کنند یا در پشت سیاستهای بیمهنامهای پنهان شوند. اینکه مدیران اجرایی را مسئول بدانیم یک احتمال قطعی است.
پری کارپنتر، مدیر استراتژی و رئیس شرکت آموزش آگاهی بیان میکند: انجمن ملی مدیران شرکتی (NACD) معتقد است که امنیت سایبری باید موضوعی باشد که حتی تا سطح هیئتمدیره نیز کشیده شود. این انجمن برای نحوه انجام این کار راهنمایی تدوین کرده است. همچنین کارپنتر اظهار میکند: شرکتها میتوانند بیمه سایبری خریداری کنند، اما به دلیل اینکه سیاستهای بیمهنامههای سایبری به گونهای است که در صورتی که شرکتهای مسئول IoT نتواند سطح امنیتی مناسب را برقرار کند بیمه سایبری پرداخت نمیشود، چندان خوش آوازه نیستند. بعلاوه، نهادهای نظارتی برای شرکتها و مدیران اجرایی که ممکن است خود را مسامحهکار نشان دهند کاری نمیکند.
آیا رویکرد مبتنی بر ریسک عملی است؟
به گفته شرکت مشاور مدیریت جهانی McKinsey & Co در میان شرکتها اقداماتی در مسیر اتخاذ رویکرد مبتنی بر ریسک جهت ایجاد ایمنی در بخش امنیت سایبری در اینترنت اشیا وجود دارد، اما این کار، مدیران اجرایی را مبرا نمیکند. طبق نظر CDW که ارائهدهنده راهحلهای فناوری برای مشتریان تجاری، دولتی، آموزشی و بهداشتی در ایالاتمتحده، انگلستان و کانادا است، رویکردهای مبتنی بر ریسک در امنیت اطلاعات به سازمانها اجازه میدهد تا استراتژیهای متناسب با محیط عملیاتی منحصربهفرد، چشمانداز تهدید و اهداف تجاری اتخاذ شود. همچنین این رویکردها چشماندازی از درک تأثیر کاهش ریسک ایجاد میکنند و یک دید جامع نسبت به ریسک فراهم میآورند، از طرفی، خلأهایی را پر میکنند که ممکن است در سایر رویکردهای امنیتی برطرف نشوند.
مشکل اینترنت اشیا دقیقاً کجاست؟
در حقیقت، استفاده از یک رویکرد مبتنی بر ریسک در اینترنت اشیا، کاملاً منطبق با استراتژیهای مدیریت ریسک سازمانی (ERM) است که توسط بسیاری از سازمانها اتخاذ میشود. از طرفی، خطر همیشه بخشی از معادله است، اما این مشکل زمانی به وجود میآید که سازمانها یا مدیران اجرایی صبر بیش از حدی در برابر خطر را داشته باشند یا به سادگی سر خود را در برف فرو کنند و اظهار بی اطلاعی نمایند.
هرچند، این مسئله به طور گسترده اذعان شده است که چیزی به نام سیستم کاملاً ایمن وجود ندارد، و البته که هدف این نیست که محافظت ۱۰۰ درصد ایجاد کنیم، اما به هر حال باید تضمین شود که در نحوه معماری سیستمها دقت لازم به کار گرفته میشود. مدیران اجرایی نمیتوانند بهانه بیاورند و باید حفظ ایمنی در ذهن خود مد نظر داشته باشند.
متهم کردن دیگران کار سادهای نیست
علیرغم مسائلی که مطرح شده است، مسئله اتهام زدن به سادگی قابل حل نیست. به گفته ساریو نایار، مدیر اجرایی شرکت جهانی امنیت سایبری گوروکل، یک مدیر اجرایی، مسئول عملکرد سازمان است، اما واقعیت پیچیدهتری از چیزی است که فکر میکنیم. حملات سایبری پیچیده و اغلب شامل قطعات متعدد زیادی است. مسئول دانستن مدیر اجرایی صرفاً به دلیل مدیر اجرایی بودن ممکن است درست نباشد.
همانطور که گفته شد، مدیران اجرایی باید زمانی مسئول دانسته شوند که نتوانسته باشند استاندارد بالایی را برای تیمهای امنیتی فراهم کنند. سالواتوره استولفو، بنیانگذار و مدیر ارشد فناوری Allure Security، معتقد است که مشخص نیست چه کسی مسئول خواهد بود. آیا مسئول مدیران اجرایی شرکتهایی هستند که دستگاههای اینترنت اشیا ناامن تولید کردهاند یا مدیران اجرایی شرکتهایی مقصرند که آنها را خریداری و مستقر کردهاند؟
در حال حاضر، هیچ قانونی وجود ندارد که مشخص کند چه کسی از نظر تئوری مسئولیت را بر عهده دارد. یک گزینه جایگزین برای مسئول دانستن مدیران اجرایی، تصویب پیشنهاد کمیسیون اتاق فضای سایبری (CSC) است که مبتنی بر این است که تولیدکنندگان دستگاههای IoT مسئول فروش محصولات معیوب یا عدم ویژگیهای امنیتی اساسی از جمله توانایی به روزرسانی نرمافزار دستگاه در هنگام مشخص شدن آسیبپذیریهای امنیتی باشند.
چگونه شبکههای اینترنت اشیا را ایمن تر کنیم
شرکت پالو آلتو این مراحل را برای ایمن سازی شبکههای اینترنت اشیا توصیه میکند:
برای بدست آوردن اطلاعات دقیق و به روز از تعداد و انواع دستگاههای متصل به شبکه IoT، از مشخصات ریسک و رفتارهای قابل اعتماد آنها استفاده کنید. شبکه خود را به گونه ای تقسیم کنید که شامل دستگاههای IoT در مناطق امنیتی کنترل شده باشد و آنها را از تجهیزات IT جدا نگه دارد.با استفاده از روشهای تعیین رمز عبور ایمن، گذرواژههای پیشفرض دستگاههایIoT را که به تازگی به آن متصل شدهاید جایگزین کنید و موارد امنیتی را که به برنامه رمز عبور سازمانی اضافه شدهاند، در نظر بگیرید.
بهروزرسانی مدام سیستمعاملنظارت همیشگی بر دستگاههای اینترنت اشیا به صورت فعال
آندره کارکانو، بنیانگذار فناوری عملیاتی (OT) و شرکت امنیتی اینترنت اشیا N Nozomi Networks، معتقد است تأمین امنیت شبکههای اینترنت اشیا به ترکیبی از خرید محصولاتی نیاز دارد که از نظر طراحی ایمن هستند و با نگرشی جامع به امنیت میپردازند. متخصصان فناوری اطلاعات دیگر نمیتوانند فقط نگران امنیت و اتصال به شبکههای IT باشند، بلکه آنها باید در مورد امنیت سیستمهای سایبری و فیزیکی خود نیز فکر کنند.