على الرغم من كل مزاياها ، لم يتم تصميم أجهزة إنترنت الأشياء مع مراعاة الأمان. هذا يمكن أن يؤدي إلى مشاكل كبيرة.
جلبت إنترنت الأشياء (IoT) العديد من الفوائد. كما أنها غيرت طريقة إدارة الأعمال ومخاطر تكنولوجيا المعلومات. على مدى السنوات القليلة الماضية ، ظهرت تقارير حول اختطاف الكاميرات والأجهزة الطبية المخترقة وأنظمة التحكم الصناعية المخترقة. ستزداد المشكلة سوءًا عندما تصبح شبكة 5G سائدة وتصبح أجهزة إنترنت الأشياء المدمجة أكثر شيوعًا.
يضيف إنترنت الأشياء طبقة أخرى من الأمان إلى وسائل الحماية الحالية. هذا ما يجعل الأمر صعبًا للغاية. نظرًا لأن إنترنت الأشياء من المحتمل أن يلامس كل شيء داخل المؤسسة - وخارجها للشركاء وسلاسل التوريد - فهو يتضمن البرامج الثابتة وأنظمة التشغيل ومكدسات TCP / IP وتصميم الشبكة وأدوات أمان البيانات وغير ذلك الكثير.
ميريت مكسيم هو نائب الرئيس ومدير الأبحاث في شركة Forrester. يقول: "من السهل التغاضي عن نقاط الضعف في هذا النظام البيئي الواسع".
هذه مشكلة خطيرة. قد يكون من الصعب للغاية تحديد جميع أجهزة إنترنت الأشياء في الشبكة. هذه ليست النهاية.
لم يتم تصميم العديد من أجهزة إنترنت الأشياء مع مراعاة الأمان. "لا يتمتع الأشخاص الذين ينشرون أنظمة إنترنت الأشياء وينشئوها دائمًا بفهم ممتاز للأمان. تؤدي إضافة أجهزة متعددة من جهات تصنيع مختلفة إلى زيادة التعقيد" ، هذا ما قاله جو نوسيرا ، رئيس معهد الابتكار الإلكتروني والخصوصية في برايس ووترهاوس كوبرز.
خارج نطاق الضوابط
تبدأ كل مناقشة حول أمان إنترنت الأشياء بحقيقة بسيطة: تختلف إنترنت الأشياء اختلافًا جوهريًا عن تقنية المعلومات التقليدية من حيث الأمان. لا تحتوي العديد من أجهزة إنترنت الأشياء على واجهة مستخدم ، لذلك غالبًا ما يتم تنفيذ الهجمات مباشرة على الجهاز أو عبر الجهاز للوصول إلى شبكة مؤسسة. يشير مكسيم أيضًا إلى أن الهجمات يمكن أن يكون لها ديناميكية مختلفة عن هجمات برامج الفدية أو الهجمات الأخرى.
يقول: "الدافع غالبًا هو نطاق أكبر من الاضطراب".
في الواقع ، يمكن أن يتسبب الهجوم في أجهزة غير قابلة للإصلاح أو اضطرابات في العمل يمكن أن تكون ذات دوافع مالية أو سياسية. على سبيل المثال ، في فبراير ، اخترق أحد المتسللين محطة لمعالجة المياه في فلوريدا من خلال نظام تحكم صناعي وحاول العبث بجودة المياه. في عام 2018 ، اخترق لصوص الإنترنت كازينو قمار في المملكة المتحدة من خلال مقياس حرارة متصل بالإنترنت في حوض مائي يقع في الردهة. تمت سرقة بيانات عملاء الكازينو من قبل اللصوص.
غالبًا ما ينشئ المصنعون البرامج الثابتة والبروتوكولات ومعايير التصميم الخاصة بهم. لا يقومون دائمًا بعمل رائع في صيانة الأنظمة وتصحيحها. تعتمد العديد من أجهزة إنترنت الأشياء على الإصدارات القديمة من نظامي التشغيل Windows و Linux. تجلب إنترنت الأشياء المزيد من الصداع إلى الطاولة: أنظمة وآلات التحكم الصناعية التي لم يكن من المفترض أن تكون متصلة بالعالم هي الآن جزء منها.
تحمي نفسك
ومن اللافت للنظر أن 74٪ من الشركات التي شملها استطلاع معهد بونيمون في يونيو الماضي قالت إن برامجها لإدارة مخاطر إنترنت الأشياء تفشل في مواكبة المخاطر التي يشكلها الاستخدام الواسع النطاق لأجهزة إنترنت الأشياء.
تنص Nocera من PwC على أن معرفة أجهزة إنترنت الأشياء التي تعمل على الشبكة والبيانات الموجودة بها هي الخطوة الأولى في بناء حماية قوية.
يقول ، "العديد من الشركات لا تعرف."
وقد أصبح هذا الأمر أكثر صعوبة بسبب حقيقة أن بعض الشركات المصنعة تستخدم أسماء أو أكوادًا غامضة لا تحدد أجهزتها بوضوح. تقترح Nocera أن تقوم بإسناد المسؤولية إلى مجموعة وإجراء جرد لتحديد نقاط الفشل المحتملة والمخاطر. في بعض الأحيان ، قد تحتاج المؤسسة إلى حلول متخصصة في إدارة الأصول أو الاكتشاف.
من الأهمية بمكان تحديد الرؤية والتحكم في مشهد إنترنت الأشياء بأكمله.
يقول Nocera ، "يجب أن تكون المؤسسة قادرة على تشغيل وإيقاف الأجهزة المختلفة وتهيئتها وفقًا لذلك."
من الممكن باستخدام الأدوات الصحيحة ضمان تشغيل الخدمات الضرورية فقط على الجهاز وإيقاف تشغيل جميع الأجهزة الأخرى. هناك مشكلة أخرى تتناولها إدارة التكوين وهي التأكد من أن الأجهزة لا تستخدم كلمات المرور الافتراضية أو إعدادات المصنع.
يقول Ulf Mattsson (كبير استراتيجيي الأمن في Protegrity) ، إنه يجب تغيير كلمات المرور بانتظام. ويوصي باستخدام الرموز المميزة وإخفاء هوية البيانات والمصادقة متعددة العوامل (MFA) بالإضافة إلى المصادقة البيومترية. تشفير البيانات أثناء الحركة والراحة ، وجدران الحماية من الجيل التالي ، وأنظمة منع التطفل (IPS) كلها ضرورية. يقول إنه من الأهمية بمكان الحفاظ على هذه الأنظمة محدثة ومُصححة.
يلاحظ Nocera أيضًا أن تقسيم الشبكة هو أداة مفيدة أخرى. من المهم عزل الأنظمة الرئيسية مثل الضوابط الصناعية وتطبيقات المؤسسات وغيرها من المعلومات الهامة حتى لا يتمكن المتسللون من اختراق الشبكات من خلال أجهزة إنترنت الأشياء.
يقول ، على سبيل المثال ، "إذا كنت شركة شحن وشركة لوجستية ، فربما لا تحتاج أجهزة إنترنت الأشياء المستخدمة لإدارة أسطولك إلى التحدث إلى جهاز إنترنت الأشياء والأنظمة الأخرى المستخدمة في المستودعات ،" بهذه الطريقة ، إن وجدت تم اختراق الأجهزة ، ستفقد مستودعًا واحدًا فقط وليس كل مستودعاتك.
من الآمن لعب تكنولوجيا المعلومات
هناك العديد من الاستراتيجيات الأخرى التي يمكن استخدامها لبناء بنية تحتية أكثر مرونة لإنترنت الأشياء. تتضمن هذه الاستراتيجيات تأمين بيانات اعتماد السحابة التي يمكن استخدامها بعد ذلك لإعادة تكوين الأجهزة. تعطيل الميزات التي لا يتم استخدامها. تدقيق بانتظام البنية التحتية لإنترنت الأشياء وتقاعد الأجهزة غير الضرورية. تحديث الحماية من البرامج الضارة واستبدال الأجهزة الأقل أمانًا. يجب أن تكون على دراية أيضًا بكيفية تأثير 5G على إطار عمل إنترنت الأشياء.
يقول مكسيم إنه من الحكمة أيضًا البحث عن أجهزة إنترنت الأشياء الأحدث التي تستخدم تقنيات السيليكون الآمنة وجذر الثقة (RoT). يقلل هذا من احتمالية تغيير BIOS أو مستوى نظام التشغيل. هناك مجال آخر جدير بالملاحظة وهو الاستخدام المتزايد للموصلات وواجهات برمجة التطبيقات (APIs) التي تمد مصادر البيانات والأجهزة وأحيانًا تخفيها.
يعتبر النهج الشامل الذي يستخدم مجموعة من الأدوات والاستراتيجيات لتأمين الأجهزة والبيانات هو أفضل دفاع. ينص مكسيم على أن أي جهاز أو نظام إنترنت الأشياء يجب أن يخضع لنفس المراجعة الصارمة مثل تطبيقات المؤسسة ويجب أن يخضع لمعايير أمان صارمة بعد نشره.
ويضيف أن إنترنت الأشياء تشكل مخاطر جديدة وأحيانًا أكثر خطورة ، والتي يمكن أن تعطل الأعمال التجارية أو تسبب الوفاة.