تهدیدات متوجه اینترنت اشیا را میتوان به سه دسته تقسیم بندی کرد: محرمانگی، امنیت و ایمنی. به گفته متخصصان این حوزه، تهدیدات اینترنت اشیا وسیع بوده و بهصورت بالقوه میتوانند سیستم را از کار بیندازند. اینترنت اشیا میتواند بهدلیل دارا بودن زیرساخت های حیاتی، هدف خوبی برای جاسوسی ملی و صنعتی و نیز از کار انداختن خدمات و دیگر انواع حملات باشد. موضوع نگرانکننده دیگر میتواند محرمانگی اطلاعات شخصی ذخیرهشده در شبکه باشد که خود آن برای مجرمان سایبری جذاب است.
چیزی که باید در ارزش یابی مربوط به نیازهای امنیتی در نظر گرفت این است که اینترنت اشیا هنوز کاری ناتمام و در حال رشد است. در حال حاضر تجهیزات بسیاری به اینترنت متصل هستند که همواره بر تعدادشان افزوده میشود و در آینده نزدیک اشتراکگذاری زمینهای داده و رفتارهای خودمختار ماشینی برحسب این اطلاعات نیز حضور خود را بیشتر نشان خواهند داد. اینترنت اشیا اختصاص حضور مجازی به یک شی فیزیکی بوده و با توسعه هر چه بیشتر آن، این حضور مجازی با این اطلاعات زمینهای تعامل برقرار کرده و این تجهیزات میتوانند بر اساس آنها تصمیم سازی کنند. این امر موجب به وجود آمدن تهدیدات فیزیکی برای زیرساختهای ملی، املاک و دارایی ها (خانه و خودرو)، محیط اطراف، انرژی برق، تأمین غذا و آب و غیره خواهد شد.
ما باید این حالت را در نظر بگیریم که همزمان با اتصال اشیای متنوعی به یک محیط متصل به هم، این تجهیزات ممکن است امنیت فیزیکی خود را از دست بدهند و در یک محیط نهچندان دوستانه میتواند به دست افرادی بیفتد که به صورت ناجوانمردانه کنترل ها را بهدست بگیرند؛ حملهکنندگان میتوانند دادهها را خوانده و تغییر دهند و بتوانند عملکرد سیستم را تغییر دهند و به ریسک موجود بیفزایند.
تهدیدات اینترنت اشیا جدی است
در میان مثال های پیش آمده، موردی وجود داشت که محققان توانسته بودند به داخل دو خودرو نفوذ کنند و از طریق وایرلس توانستند ترمزها را از کار بیندازند، چراغها را خاموش کنند و ترمزها را در حالت خارج از کنترل راننده قرار دادند. در موردی دیگر با هک شدن سیستم ناوبری GPS توسط محققان، یک قایق تفریحی لوکس از مسیر اصلی خود به جای دیگری هدایت شد.
پال هنری، مدیر امنیتی در شرکت امنیتی VNet در بوینتون بیچ فلوریدا و مدرس ارشد در موسسه آموزشی و تحقیقاتی SANS در بتسدای مریلند، میگوید: ما قبلاً نیز هک شدن دستگاه های تلویزیون و دوربین های مداربسته برای نظارت کودکان را دیده بودیم که سؤالات بسیاری در مورد محرمانگی ایجاد کرده بود و نیز هک شدن کنتورهای برق برای سرقت انرژی نیز به کَرّات اتفاق افتاده بود. او ادامه میدهد: «مقالهای اخیراً در مورد هک شدن یک لامپ خواندم. میتوانم تصور کنم که یک کرم به تعداد زیادی دستگاه متصل به رایانه نفوذ کرده و آنها را به نوعی بات نت وارد میکنند. به یاد داشته باشید که آدم بدها تنها قدرت کنترل گرفتن یک دستگاه را نمیخواهند، بلکه برای آنها دسترسی به یک پهنای باند و استفاده از آن برای حملات DDoS (حمله محرومسازی از سرویس) است که اهمیت بیشتری دارد.»
از نظر هنری بزرگترین نگرانی این است که کاربران، امنیت تجهیزات متصل را پراهمیت ندانند. «موضوع این است که پهنای باند اشغال شده از طریق دستگاه میتواند برای حمله به شخص ثالثی مورد استفاده قرار گیرد. بات نتی با حدود 100 میلیون دستگاه متصل اینترنت اشیا را تصور کنید که همگی با هم درخواست مشروعی به وب سایت دیگر از طریق دامنه وب شرکت شما ارسال کنند.»
متخصصان اینترنت اشیا میگویند که این فناوری میتواند چالش های امنیتی پیچیده ای را برای سازمان ها به وجود آورد. با خودمختار شدن ماشین ها آنها میتوانند با دیگر ماشین ها ارتباط برقرار کنند و تصمیماتی را بگیرند که میتواند روی دنیای فیزیکی تاثیرگذار باشد. ما قبلاً مشکل نرم افزارهای خرید و فروش را دیدهایم که این نوع نرم افزارها میتوانند به تله بازار حلقه ای گرفتار شوند. سیستم ها میتوانند سیستم برگشت از خطای داخلی خود را داشته باشند، اما کدهای نوشته شده توسط انسان ها، بی عیب و نقص نیست، بهخصوص اینکه آنها کدها را به سرعتی که کامپیوترها کار میکنند مینویسند.
اگر که سیستم برق رسانی منطقهای از شهر هک شده و سیستم روشنایی آن خاموش شود شاید برای بسیاری امری مهم به نظر نرسد، اما برای هزاران نفر که در ایستگاه های مترو قرار دارند و ده ها متر در قعر تاریکی هستند، تفاوت چشمگیر است. اینترنت اشیا اجازه میدهد که دنیای مجازی با دنیای فیزیکی در ارتباط باشد که این خود مشکلات امنیتی بزرگی ایجاد میکند.
چه کار می توانیم انجام دهیم؟
حال آن که همانند دیگر فناوری ها، تهدیدات برای اینترنت اشیا نیز وجود خواهد داشت، اما می توان محیط اینترنت اشیا را با ابزارهای امنیتی نظیر رمزنگاری داده، تصدیق قویتر کاربر، کدنویسی بهتر و API های تست شده و استاندارد که به حالات قابل پیشبینی میتوانند واکنش نشان دهند، ایمنتر کرد.
برخی از ابزارهای امنیتی را میتوان مستقیماً به تجهیزات متصل اعمال کرد. رندی مارچانی، مدیر ارشد اجرایی در دانشگاه ویرجینا تک و مدیر آزمایشگاه امنیت IT این دانشگاه، میگوید: «اینترنت اشیا و برادرزاده آن یعنی BYOD همان مسائل امنیتی را دارند که کامپیوترهای سنتی با آنها درگیرند. تجهیزات اینترنت اشیا توانایی محافظت از خود را ندارند و باید از سیستم های دیواره آتش یا شناسایی ورود غیرمجاز استفاده کنند. ساختن یک بخش شبکه مجزا آپشن دیگری است.»
به نظر مارچانی، نبود ابزارهای امنیتی روی خود تجهیزات یا نبود به روزسانی مداوم، ایمن سازی اینترنت اشیا را نسبت به دیگر انواع موضوعات امنیتی IT مشکلتر کرده است: «امنیت فیزیکی مسئلهای است که اهمیت بیشتری دارد، زیرا معمولاً تجهیزات در محیطهای دور از دسترس قرار دارند و هرکسی میتواند به آنها دسترسی پیدا کند. در صورت دسترسی فیزیکی فردی به یک دستگاه، مشکلات امنیتی به طور فزایندهای بیشتر میشود.»
ارائه تجهیزات اینترنت اشیا بدون امنیت کافی درونی نیز مزید بر علت است. مارچانی میگوید: «در طولانیمدت، مدیران IT باید از تولیدکنندگان بخواهند که اثبات کنند تجهیزات آنها در برابر تهدیداتی که در لیست OWASP (پروژه امنیت اپلیکیشنهای وب باز) جزو ده خطر اصلی قرار دارند، مقاوم بسازند.» مدیران امنیت IT باید از سازندگان بخواهند در راهنمای محصولاتشان نقاط ضعفی را که در تجهیزاتشان موجود است اطلاعرسانی کنند.
نیازهای امنیتی باید به عنوان بنیان سیستم های اینترنت اشیا قرار داده شود و کنترل های سختگیرانه تصدیقی، اعتماد، تأیید داده و رمزنگاری تمامی داده ها باید گنجانده شود. در سطح اپلیکیشن، سازمان های توسعه نرم افزار باید کدهای باثبات تر و قابلاعتمادتری بنویسند. با تعامل سیستم ها با یکدیگر، ضرورت وجود استانداردهای سازگاری که امن و مورد اعتماد هستند، بیشازپیش بااهمیت به نظر میرسد. بدون ساختار مستحکم از پایین به بالا ما تهدیدات بیشتری را با افزودن هر دستگاه به اینترنت اشیا، ایجاد خواهیم کرد. آنچه میخواهیم اینترنت اشیایی امن و ایمن است؛ کاری دشوار ولی شدنی.
منبع: dfe
