چرا شرکت‌های IOT فکری به حال مسائل امنیتی نمی‌کنند؟

اوایل امسال بود که انتشار یک خبر، زنگ هشداری برای اینترنت اشیا شد: هکرها به سیستم الکترونیک یک هتل لوکس در اتریش حمله کردند و درب اتاق‌ها را تا گرفتن باج از هتل به روی مهمان‌ها بستند.

شاید این اتفاق برای صاحبان هتل و مهمان‌ها عجیب و دور از انتظار بود، اما متخصصان امنیتی و فعالان حوزه اینترنت اشیا با این دست ماجراها غریبه نیستند و می‌دانند چطور دستگاه‌های روزمره متصل به اینترنت ما می‌توانند طعمه هکرها شوند.
باید گفت که متأسفانه نتیجه این اتفاق این شد که هتل، قفل‌های هوشمند خود را تعویض و به‌جای آن از همان قفل‌های قدیمی استفاده کرد.

با این مثال، تصور اینکه هکرها چطور می‌توانند آرامش و امنیت ما را از طریق وسایل زندگی‌مان مختل کنند، دور از ذهن نیست. ابزارهای کاری و لوازم خانه ما یکی پس از دیگری به اینترنت متصل می‌شوند. امروزه سنسور دود، ترموستات، دوربین کودک و حتی اسباب‌بازی بچه‌ها اطلاعات جمع‌آوری کرده و در فضای ابری ذخیره می‌کنند. به این فکر کنید که بسیاری از گجت ها مستقیماً با جان و سلامت افراد در ارتباط هستند؛ مانند گجت هایی که دوز و زمان مصرف دارو را یادآوری می‌کنند و یا آن‌هایی که علائم حیاتی فرد را برداشت می‌کنند.

مشکل اما اینجا است که در بسیاری از این دستگاه‌های تحت شبکه، مسئله امنیت در اولویت‌های طراحی گنجانده نشده است. طبق مطالعات اخیری که توسط بخش امنیت IBM و موسسه Ponemon انجام گرفت؛ ۸۰% از سازمان‌ها امنیت اپلیکیشن های IOT خود را به‌طور مستمر آزمایش نمی‌کنند. این باعث می‌شود که تجهیزات اینترنت اشیا سازمان‌ها در برابر جاسوسی، گرو گرفته شدن، سرقت و حتی صدمات فیزیکی آسیب‌پذیرتر شوند.

اعتقاد برخی بر این است که دولت‌ها و سازمان رگلاتوری باید با وضع قوانین، امنیت دستگاه‌های واردشده به بازار را تضمین کنند. مسئله اینجا است که وضع قوانین و تهیه یک چک‌لیست، فرآیندی زمان‌بر است و نمی‌تواند پا به پای تحولات تکنولوژی و شیوه‌های جدید هک پیش برود. این قبیل اقدامات فقط یک آسودگی خیال کاذب ایجاد می‌کنند.
دولت اوباما در ابتدای کار خود به دنبال ارائه پروپوزال‌های رگلاتوری برای زیرساخت‌های امنیتی بود، اما پس از مدتی به این نتیجه رسید که رویکرد مؤثرتری را در مدیریت ریسک به کار بندد. نتیجه آن، یک فریم ورک امنیت سایبری بود در همکاری با سازمان‌ها، که موارد آسیب‌رسان و راه‌کارهای امنیتی که می‌توان در سازمان‌های مختلف به کار بست را ارائه می‌کند. شواهد حاکی از آن است که دولت ترامپ نیز رویکرد مشابهی دارد و این برنامه ادامه پیدا خواهد کرد.

قدم بعدی این است که نتایج اثربخش حاصل شده را در توسعه یک فریم ورک برای اینترنت اشیا هم به کار بندیم. با این کار به‌جای اینکه اقدامات مشخصی را برای این طیف وسیع از تکنولوژی‌های نوظهور دیکته کنیم، چارچوبی را تعریف می‌کنیم که در آن مؤثرترین اقدامات بین‌المللی اینترنت اشیا همگون شده و می‌تواند به شرکت‌ها کمک کند تا به مهم‌ترین استراتژی‌های امنیتی در سازمان خود اولویت دهند.

اشتباه بزرگی است اگر صنعت اینترنت اشیا برای تأمین امنیت خود، منتظر دولت و رگلاتوری بماند! مسئله امنیت IOT، بحرانی است و با رشد روزافزون این تکنولوژی، اوضاع بحرانی‌تر نیز می‌شود.

فعالان حوزه اینترنت اشیا می‌توانند با چند گام ساده، عزم خود را برای برقراری امنیت نشان دهند:

امنیت و حریم شخصی باید در دل طراحی و توسعه گنجانده شود. اغلب تست‌های امنیتی در فاز تولید انجام می‌گیرد، زمانی که دیگر برای اعمال تغییرات چشمگیر بسیار دیر شده است. به‌عنوان‌مثال یکی از نقاط ضعف رایج در طراحی محصولات این است که با یک رمز عبور پیش‌فرض که به‌راحتی با یک جستجو در گوگل پیدا می‌شود، طراحی‌شده‌اند. این درست است که در صورت نفوذ به دستگاه‌ها از طریق رمز پیش‌فرض، قصور از جانب کاربر بوده که رمز را تغییر نداده است؛ اما سازندگان نیز می‌توانند با اعمال تغییراتی در طراحی دستگاه‌ها مانع از تکرار این اشتباهات شوند. به‌طور مثال می‌توان هر دستگاه را با یک رمز پیش‌فرض منحصربه‌فرد عرضه کرد. یا در طراحی دستگاه تغییر رمز را لازمه کارکرد محصول در نظر گرفت. به‌این‌ترتیب جلو یکی از رایج‌ترین شیوه‌های هک گرفته خواهد شد. همه شاهد بودیم که پاییز گذشته هکرها با استفاده از همین شیوه و به‌وسیله بدافزار Mirai هزاران وب کم و DVR را مورد هجوم قرار دادند.
دستگاه‌های IOT باید تا پایان عمر خود؛ به‌روزرسانی نرم‌افزاری دریافت کنند. بسیاری از نقاط ضعف نرم‌افزاری پس از عرضه محصول مشخص می‌شوند. این نقاط ضعف را می‌توان در به‌روزرسانی‌ها رفع کرد. چنانچه از یک تاریخ به بعد امکان به‌روزرسانی وجود ندارد باید این مورد در مشخصات محصول درج‌شده و به‌نوعی تاریخ انقضایی برای آن تعریف شود.
باید دیوار میان دستگاه‌های IOT و مصرف‌کننده برداشته شود. برخلاف گوشی‌های موبایل و کامپیوترها، بسیاری از دستگاه‌های IOT فاقد نمایشگری برای انتقال پیام هستند. این دستگاه‌ها باید بتوانند به طریقی پیام خود را به‌خصوص در موارد نقض امنیت به گوش کاربر برسانند. علاوه بر این باید امکان FACTORY RESET نیز در این دستگاه‌ها تعریف شود تا چنانچه از مالکی به مالک دیگر دست‌به‌دست شد، اطلاعاتی در آن باقی نمانده باشد. به‌طور مثال فکر کنید یک ماشین هوشمند دست دوم خریداری کرده‌اید! اگر ماشین به تنظیمات کارخانه برنگردد، شما به اطلاعات فروشنده دسترسی دارید و فروشنده ممکن است ردیابی موقعیت مکانی شما را در دست داشته باشد.

درست است که در ابتدای راه IOT قرار داریم؛ اما باید گفت شتاب این تکنولوژی باورنکردنی است. دیدیم که مسئله امنیت چطور باعث شد که یک هتل، عطای داشتن قفل هوشمند را به لقایش ببخشد! این یک زنگ خطر است و معنای آن برای کسب‌وکارها این است که یا همین حالا فکری به حال امنیت کرده و جای پای خود را در دنیای اینترنت اشیا مستحکم می‌کنید؛ یا باید منتظر باشید که محصولاتتان یکی پس از دیگری طعمه هکرها شده و از بازار رقابت طرد شوند.

http://ciot.ir/?p=3628

منبع:iott