چه کسی مسئول امنیت شبکه‌های اینترنت اشیا است؟

اینکه بتوانید به سیستم صوتی خود بگویید یک آهنگ خاص را انتخاب و پخش کند، یا فقط با استفاده از صدای خود چیزی را به‌صورت آنلاین سفارش دهید یا یخچال در هنگام اتمام مواد غذایی به شما بگوید کدام‌یک در حال تمام شدن است خوب است. ویژگی‌هایی ازاین‌دست مربوط به دفاتر هوشمند، خانه‌های هوشمند، وسایل هوشمند، ساختمان‌های هوشمند و شهرهای هوشمند و … هستند که همگی از طریق اینترنت اشیا (IoT) به هم متصل می‌شوند. طبق نظر شرکت تحقیقاتی تحول دیجیتالTransforma Insights ، تا پایان سال ۲۰۱۹، ۷.۶ میلیارد دستگاه فعال IoT در سراسر جهان وجود داشته که این مقدار تا سال ۲۰۳۰ به ۲۴.۱ میلیارد دستگاه خواهد رسید.

اما امینت این حجم از دستگاه‌های سایبری که حاوی اطلاعات عظیمی در بخش‌های مختلف هستند چگونه تأمین می‌شود؟ آیا ما باید نگران انتقال داده‌های خصوصی توسط این بخش از فناوری باشیم؟ و اگر این‌ یک موضوع نگران کننده است چه کسی مسئولیت حفظ اطلاعات منتقل شده توسط دستگاه‌های هوشمند را بر عهده می‌گیرد؟ اگر نتوان این امنیت را در بخش سایبری دستگاه­های هوشمند فراهم ساخت چه مشکلاتی پیش خواهد آمد؟

آسیب‌های هک اشیای متصل به اینترنت

مطمئناً با توجه به ضرورت مشاغل از راه دور و خانگی از سال ۲۰۲۰، افراد بسیاری دستگاه‌های غیر تجاری را به شبکه‌های شرکتی خود متصل کرده‌اند.. برای مثال بر اساس گزارش شرکت امنیت سایبری جهانیPalo Alto Networks ، خرس‌های عروسکی و سایر اسباب‌بازی‌ها، تجهیزات ورزشی مانند ماشین‌های ورزشی، دستگاه‌های بازی و اتومبیل‌های متصل، از این قبیل دستگاه‌ها هستند. افزایش تعداد و تنوع دستگاه‌های متصل به شبکه‌های اینترنت اشیا ، پیاده‌سازی امنیت سایبری را به‌تدریج دشوار می‌کند، زیرا هر دستگاه یک نقطه‌ضعف بالقوه است.

به‌عنوان‌مثال، می‌توان تعداد زیادی از اتومبیل‌های متصل را هک کرد تا با قفل‌ کردن خیابان‌ها و ایجاد ترافیک، شهر را به تشنج کشید. همچنین می‌توان ساختمان‌های هوشمند و حتی شهرها را هک کرد تا با سیستم‌های خودکاری که سیستم‌های HVAC یا تهویه، سیستم‌های دزدگیر و هشدار حریق و سایر زیرساخت‌های مهم را کنترل می‌کنند، فضا را خطرناک کرد. مهاجمین دیجیتال از طریق ترموستات­های هوشمند به خانه‌ها دسترسی پیدا می‌کنند تا با افزایش حرارت از راه دور باعث وحشت خانواده‌ها شوند و سپس از طریق دوربین‌های متصل به اینترنت با ساکنان صحبت می‌کنند. اثرات هک در صنعت مراقبت‌های بهداشتی یا هواپیماربایی که در آن خرابی تجهیزات زندگی افراد را به خطر می‌اندازد، شدیدترین حالت خواهد بود.

مسئولیت تأمین امنیت اینترنت اشیا با کیست؟

پس چه کسی مسئول امنیت سایبری در یک شبکه اینترنت اشیا است؟ تولیدکنندگان تجهیزات؟ کسانی که مالک شبکه هستند یا آن را اداره می‌کنند؟ شرکت یا سازمانی که از شبکه IoT استفاده می‌کند؟ شرکت تحقیقاتی و مشاوره‌ای جهانی گارتنر پیش‌بینی کرده است که تا سال ۲۰۲۴، ۷۵ درصد از مدیران اجرایی، مسئول حملات به سیستم‌های فیزیکی سایبری (CPS) هستند. گارتنر CPS ها را چنین تعریف می‌کند: سیستم‌هایی که برای تنظیم روابط حسگری، محاسبه، کنترل، شبکه‌بندی و تجزیه‌وتحلیل طراحی‌ شده‌اند تا با دنیای فیزیکی، از جمله انسان تعامل داشته باشند.

این سیستم‌ها تمام فعالیت‌های فناوری اطلاعات، فناوری عملیاتی (OT) و IoT را در بر می‌گیرد که در آن ملاحظات امنیتی، هم از جنبه سایبری و هم جهان فیزیکی دارای اهمیت است. OT یا همان فناوری عملیاتی، شامل سخت‌افزار و نرم‌افزاری است که از طریق نظارت و کنترل مستقیم، تجهیزات، دارایی‌ها، فرآیندها و رویدادها را شناسایی یا ایجاد می‌کند. به‌عبارت‌دیگر، ۷۵ درصد از مدیران اجرایی می‌توانند تا سال ۲۰۲۴ مسئول نقص امنیت در IoT باشند.

نگه داشتن پای مدیرعامل شرکت در معرکه

چرا مدیران اجرایی؟ در حال حاضر، ناظران و دولت‌ها، قوانین و مقررات حاکم بر CPS را در پاسخ به افزایش اتفاقات جدی ناشی از عدم امنیت در تجهیزات اینترنت اشیا به شدت افزایش می‌دهند. به گفته کاتل تیلمان محقق شرکت گارتنر، به زودی شرایطی به وجود می‌آید که مدیران اجرایی دیگر نتوانند اظهار بی‌اطلاعی کنند یا در پشت سیاست‌های بیمه‌نامه‌ای پنهان شوند. اینکه مدیران اجرایی را مسئول بدانیم یک احتمال قطعی است.

پری کارپنتر، مدیر استراتژی و رئیس شرکت آموزش آگاهی بیان می‌کند: انجمن ملی مدیران شرکتی (NACD) معتقد است که امنیت سایبری باید موضوعی باشد که حتی تا سطح هیئت‌مدیره نیز کشیده شود. این انجمن برای نحوه انجام این کار راهنمایی تدوین کرده است. همچنین کارپنتر اظهار می‌کند: شرکت‌ها می‌توانند بیمه سایبری خریداری کنند، اما به دلیل اینکه سیاست‌های بیمه‌نامه‌های سایبری به گونه‌ای است که در صورتی که شرکت‌های مسئول IoT نتواند سطح امنیتی مناسب را برقرار کند بیمه سایبری پرداخت نمی‌شود، چندان خوش آوازه نیستند. بعلاوه، نهادهای نظارتی برای شرکت‌ها و مدیران اجرایی که ممکن است خود را مسامحه‌کار نشان دهند کاری نمی‌کند.

آیا رویکرد مبتنی بر ریسک عملی است؟

به گفته شرکت مشاور مدیریت جهانی McKinsey & Co در میان شرکت‌ها اقداماتی در مسیر اتخاذ رویکرد مبتنی بر ریسک جهت ایجاد ایمنی در بخش امنیت سایبری در اینترنت اشیا وجود دارد، اما این کار، مدیران اجرایی را مبرا نمی‌کند. طبق نظر CDW که ارائه‌دهنده راه‌حل‌های فناوری برای مشتریان تجاری، دولتی، آموزشی و بهداشتی در ایالات‌متحده، انگلستان و کانادا است، رویکردهای مبتنی بر ریسک در امنیت اطلاعات به سازمان‌ها اجازه می‌دهد تا استراتژی‌های متناسب با محیط عملیاتی منحصربه‌فرد، چشم‌انداز تهدید و اهداف تجاری اتخاذ شود. همچنین این رویکردها چشم‌اندازی از درک تأثیر کاهش ریسک ایجاد می‌کنند و یک دید جامع نسبت به ریسک فراهم می‌آورند، از طرفی، خلأهایی را پر می‌کنند که ممکن است در سایر رویکردهای امنیتی برطرف نشوند.

مشکل اینترنت اشیا دقیقاً کجاست؟

در حقیقت، استفاده از یک رویکرد مبتنی بر ریسک در اینترنت اشیا، کاملاً منطبق با استراتژی‌های مدیریت ریسک سازمانی (ERM) است که توسط بسیاری از سازمان‌ها اتخاذ می‌شود. از طرفی، خطر همیشه بخشی از معادله است، اما این مشکل زمانی به وجود می‌آید که سازمان‌ها یا مدیران اجرایی صبر بیش از حدی در برابر خطر را داشته باشند یا به سادگی سر خود را در برف فرو کنند و اظهار بی اطلاعی نمایند.

هرچند، این مسئله به طور گسترده اذعان شده است که چیزی به نام سیستم کاملاً ایمن وجود ندارد، و البته که هدف این نیست که محافظت ۱۰۰ درصد ایجاد کنیم، اما به هر حال باید تضمین شود که در نحوه معماری سیستم‌ها دقت لازم به کار گرفته می­شود. مدیران اجرایی نمی‌توانند بهانه بیاورند و باید حفظ ایمنی در ذهن خود مد نظر داشته باشند.  

متهم کردن دیگران کار ساده‌ای نیست

علی‌رغم مسائلی که مطرح شده است، مسئله اتهام زدن به سادگی قابل‌ حل نیست. به گفته ساریو نایار، مدیر اجرایی شرکت جهانی امنیت سایبری گوروکل، یک مدیر اجرایی، مسئول عملکرد سازمان است، اما واقعیت پیچیده‌تری از چیزی است که فکر می‌کنیم. حملات سایبری پیچیده و اغلب شامل قطعات متعدد زیادی است. مسئول دانستن مدیر اجرایی صرفاً به دلیل مدیر اجرایی بودن ممکن است درست نباشد.

همان‌طور که گفته شد، مدیران اجرایی باید زمانی مسئول دانسته شوند که نتوانسته باشند استاندارد بالایی را برای تیم‌های امنیتی فراهم کنند. سالواتوره استولفو، بنیان‌گذار و مدیر ارشد فناوری Allure Security، معتقد است که مشخص نیست چه کسی مسئول خواهد بود. آیا مسئول مدیران اجرایی شرکت‌هایی هستند که دستگاه‌های اینترنت اشیا ناامن تولید کرده‌اند یا مدیران اجرایی شرکت‌هایی مقصرند که آن‌ها را خریداری و مستقر کرده‌اند؟

در حال حاضر، هیچ قانونی وجود ندارد که مشخص کند چه کسی از نظر تئوری مسئولیت را بر عهده دارد. یک گزینه جایگزین برای مسئول دانستن مدیران اجرایی، تصویب پیشنهاد کمیسیون اتاق فضای سایبری (CSC) است که مبتنی بر این است که تولیدکنندگان دستگاه‌های IoT مسئول فروش محصولات معیوب یا عدم ویژگی‌های امنیتی اساسی از جمله توانایی به روزرسانی نرم‌افزار دستگاه در هنگام مشخص شدن آسیب­پذیری­های امنیتی باشند.

چگونه شبکه‌های اینترنت اشیا را ایمن تر کنیم

شرکت پالو آلتو این مراحل را برای ایمن سازی شبکه‌های اینترنت اشیا توصیه می‌کند:

•  برای بدست آوردن اطلاعات دقیق و به روز از تعداد و انواع دستگاه‎های متصل به شبکه IoT، از مشخصات ریسک و رفتارهای قابل اعتماد آن‌ها استفاده کنید.
•  شبکه خود را به گونه ای تقسیم کنید که شامل دستگاه‌های IoT در مناطق امنیتی کنترل شده باشد و آن‌ها را از تجهیزات IT جدا نگه دارد.
• با استفاده از روش‌های تعیین رمز عبور ایمن، گذرواژه‌های پیش‌فرض دستگاه‌هایIoT  را که به تازگی به آن متصل شده‌اید جایگزین کنید و موارد امنیتی را که به برنامه رمز عبور سازمانی اضافه شده‌اند، در نظر بگیرید.
•  به‌روزرسانی مدام سیستم‌عامل
• نظارت همیشگی بر دستگاه‌های اینترنت اشیا به صورت فعال

آندره کارکانو، بنیانگذار فناوری عملیاتی (OT) و شرکت امنیتی اینترنت اشیا N Nozomi Networks، معتقد است تأمین امنیت شبکه‌های اینترنت اشیا به ترکیبی از خرید محصولاتی نیاز دارد که از نظر طراحی ایمن هستند و با نگرشی جامع به امنیت می‌پردازند. متخصصان فناوری اطلاعات دیگر نمی‌توانند فقط نگران امنیت و اتصال به شبکه‌های IT باشند، بلکه آن‌ها باید در مورد امنیت سیستم‌های سایبری و فیزیکی خود نیز فکر کنند.

مقالات آموزشی سانترال پاناسونیک

ویدیوهای آموزشی رایگان

ما را در اینستاگرام دنبال کنید…