امنیت همواره یکی از چالشهای اصلی در استقرار اینترنت اشیاء بوده است. نمونههای متعددی از نقضهای امنیتی وجود دارد و چشمانداز تهدیدات به طور مداوم پیچیدهتر میشود. در این بخش از مقاله، برخی از دینامیکهای متغیر امنیت اینترنت اشیاء و رویکردهای تأمین امنیت دستگاههای متصل را بررسی خواهیم کرد.
امنیت اینترنت اشیاء: جزر و مد فزاینده
استقرار گسترده اینترنت اشیاء در برنامههای کاربردی مختلف مصرفکننده و سازمانی، فرصتهای هک بیشتری را ایجاد میکند و مردم از اینترنت اشیا در سیستمهای فزایندهای حیاتی استفاده میکنند. در عین حال، مقیاس استقرارها همچنان در حال افزایش است، به طوری که تعداد اتصالات اینترنت اشیا از 16 میلیارد دستگاه در سال 2023 به 40 میلیارد در سال 2033 خواهد رسید.
دستگاههای اینترنت اشیاء همیشه تا حدودی در برابر هک آسیبپذیرتر بودهاند زیرا در محیطهای بدون نظارت مستقر میشوند و اغلب در ترکیبات پیچیدهای از فناوریها و ذینفعان مستقر میشوند که همگی نقطه ضعف بالقوهای در زنجیره امنیتی هستند. تنوع اینترنت اشیاء نیز یک چالش است و متخصصان امنیت سازمانی را ملزم میکند تا خطرات امنیتی طیف وسیعتری از دستگاهها را درک کنند، نه صرفاً تلفنها، رایانههای شخصی و سایر زیرساختهای فناوری اطلاعات. بنابراین، کمبود مهارت نیز یک مسئله است. با این حال، چالشها در سالهای اخیر افزایش یافته است. به عنوان مثال، یک روند مداوم برای دستگاههای اینترنت اشیا وجود دارد که به طور فزایندهای در پردازش، حافظه و توان محدود میشوند و توانایی آنها را برای پشتیبانی از ویژگیها و بهروزرسانیهای امنیتی قوی کاهش میدهند. از نظر تاریخی، مقررات امنیتی ضعیف اینترنت اشیا به سازندگان اجازه میداد تا راه میانبر را انتخاب کنند، که نمونهای از آن، باتنت میرای است که از ضعفهای امنیتی اساسی سوء استفاده میکند. با این حال، همانطور که در بخش بعدی توضیح داده شده است، این موضوع به طور فزایندهای مورد توجه قرار گرفته است.
الزامات جدید انطباق با مقررات امنیتی اینترنت اشیاء
در چند سال گذشته، گسترش قابل توجهی در قوانین مربوط به امنیت سایبری به طور کلی و به ویژه امنیت دستگاههای اینترنت اشیا ایجاد شده است. نمونههای فزایندهای از کدهای عملی یا دستورالعملها برای حداقل سطوح امنیت در دستگاههای مصرفکننده اینترنت اشیا وجود دارد، از جمله به عنوان مثال استفاده نکردن از رمزهای عبور پیشفرض یا ضعیف و نیاز به بهروزرسانیهای منظم میانافزار. در برخی کشورها، این دستورالعملهای اختیاری با الزامات اجباری جایگزین شدهاند و این روند احتمالاً ادامه خواهد داشت. عناصر دیگر شامل برنامههای برچسبگذاری است. این مقررات و بسیاری از مقررات دیگر در گزارش اخیر «چشمانداز نظارتی برای اینترنت اشیا» از Transforma Insights و پایگاه داده نظارتی مرتبط توضیح داده شده است.
پیش بینی های اینترنت اشیا (IoT) در سال 2024
مقررات اتحادیه اروپا
اتحادیه اروپا چندین مقررات مرتبط با امنیت سایبری دارد. در سال 2020، ENISA دستورالعملهای امنیتی زنجیره تامین اینترنت اشیا را منتشر کرد که کل چرخه عمر، از طراحی تا دفع را پوشش میدهد.
در سال 2022، کمیسیون اروپا پیشنهادی برای مقرراتی در مورد الزامات امنیت سایبری برای محصولات دارای عناصر دیجیتال ارائه کرد که به عنوان قانون انعطافپذیری سایبری شناخته میشود. این قانون قصد دارد قوانین امنیت سایبری را برای اطمینان از محصولات سختافزاری و نرمافزاری ایمنتر تقویت کند.
این مقررات پیشنهادی مستلزم آن است که محصولات دیجیتال امنیت سایبری متناسب با خطرات موجود در طراحی، توسعه و تولید خود را تضمین کنند.
دستورالعمل NIS اولین قانون در سطح اتحادیه اروپا بود که به دنبال سطح بالایی از امنیت سایبری در تمام کشورهای عضو بود. گسترش پیشنهادی توسط NIS2 پوشش داده شده است که نهادها و بخشهای بیشتری را ملزم به اتخاذ تدابیر مربوط به امنیت سایبری میکند.
مقررات انگلستان
در اکتبر 2018، DCMS انگلستان به همراه NCSC، کد عملی برای امنیت اینترنت اشیای مصرفکننده را منتشر کرد. این کد مراحل عملی برای سازندگان اینترنت اشیا و ذینفعان صنعت برای بهبود امنیت محصولات و خدمات اینترنت اشیای مصرفکننده را تشریح کرد. قانون سختگیرانهتر امنیت محصول و زیرساخت مخابراتی سال 2022 در آوریل 2024 به اجرا درآمد. این قانون به وزیر مربوطه انگلستان اجازه میدهد تا الزامات امنیتی را برای محصولات قابل اتصال به اینترنت و زیرساختهای ارتباطی در دسترس مصرفکنندگان در انگلستان مشخص کند. این مقررات برای سازندگان، واردکنندگان و توزیعکنندگان محصولات متصل به اینترنت در انگلستان اعمال خواهد شد. این مقررات امروزه الزامات رمز عبور، حداقل بهروزرسانیهای امنیتی و بیانیههای انطباق را مشخص میکنند.
نمونه قانونگذاری (رگولاتوری) در آمریکا
در ایالات متحده، قانون بهبود امنیت سایبری اینترنت اشیا سال 2020 از موسسه ملی استانداردها و فناوری (NIST) و دفتر مدیریت و بودجه (OMB) میخواهد گامهای مشخصی برای افزایش امنیت سایبری برای دستگاههای اینترنت اشیاء بردارند. این قانون به NIST نظارت بر خطرات امنیت سایبری اینترنت اشیا را میدهد و از آن میخواهد که دستورالعملها و استانداردها، از جمله گزارش بیش از حد در مورد مسائل امنیتی و استانداردهای حداقل امنیت را تعیین کند. چارچوب امنیت سایبری NIST (CSF) 2.0 که در اوایل سال 2024 منتشر شد، بازنگری چارچوب اصلی NIST را نشان میدهد. در سپتامبر 2022، NIST NISTIR 8425 را منتشر کرد که مشخصات مصرفکننده خط پایه اصلی اینترنت اشیا را تشریح میکند. این سند قابلیتهای امنیت سایبری مورد نیاز برای بخش اینترنت اشیای مصرفکننده، از جمله محصولات برای استفاده خانگی یا شخصی را شناسایی میکند. در جولای 2023، دولت بایدن-هاریس برنامه برچسبگذاری امنیت سایبری را برای کمک به آمریکاییها در انتخاب دستگاههای هوشمند ایمنتر راهاندازی کرد. در چارچوب برنامه جدید پیشنهادی، مصرفکنندگان یک «نشان اعتماد سایبری ایالات متحده» جدید به شکل یک لوگوی سپر متمایز را روی محصولاتی که معیارهای امنیت سایبری تعیین شده را برآورده میکنند، مشاهده خواهند کرد. مقررات ارائه شده در بالا تنها بخشی از قوانین و دستورالعملهای امنیت سایبری مرتبط با اینترنت اشیاء را نشان میدهد. بسیاری از کشورهای دیگر قوانین مشابهی خواهند داشت.
رویکرد ارائه دهندگان خدمات ارتباطی
در جولای 2024، Transforma Insights نسخه 2024 گزارش «مقایسه همتا به همتای اینترنت اشیای ارائه دهندگان خدمات ارتباطی (CSP)» را منتشر کرد که هم مضامین کلیدی تعریفکننده بازار اتصال اینترنت اشیا و هم اپراتورهای شبکه موبایل پیشرو و MVNOها را برای اینترنت اشیا شناسایی میکند. این گزارش از گفتگو با 25 ارائه دهنده برتر جهانی اتصال سلولی و تجزیه و تحلیل دقیق قابلیتهای آنها ناشی میشود. همانطور که انتظار میرود، موضوع امنیت اینترنت اشیا یکی از موضوعات مطرح شده بود. همه CSPها دارای پیشنهادات بسیار امن بودند و در بسیاری از موارد امنیت را به عنوان یک سرویس با ارزش افزوده لایه بندی میکردند. با این حال، در بسیاری از موارد هنوز هم کمبود ارائه گستردهتر مرتبط با امنیت و انطباق وجود داشت. بیشتر آنها به نیاز به بهبود پشتیبانی پیش از فروش اذعان داشتند، اما تعداد کمی اولویت انطباق به عنوان یک سرویس را در سفرهای پذیرش مشتری داشتند.
این یک مثال خوب از جامعه فروشندگان در یک ریز جهان است. عنصر فردی ایمن است. و حتی پذیرفته شده است که مشتریان ممکن است برای امنیت اضافی بیشتر پرداخت کنند. با این حال، یافتن فروشندهای که بخواهد مسئولیت امنیت و انطباق کلی انتها به انتها با مقررات مرتبط با امنیت را بر عهده بگیرد، نسبتاً نادر است. بنابراین، فروشندهای پیدا کنید که مطمئناً بر آن تأکید خواهد کرد.
لایههای متعدد امنیت اینترنت اشیاء
امنیت اینترنت اشیاء شامل اقدامات محافظتی برای دستگاهها، شبکهها، پلتفرمها، برنامههای کاربردی و سیستمهای سازمانی است که ارتباطات پیچیده آنها را منعکس میکند. پنج لایه امنیتی اصلی وجود دارد.
لایه ۱: نقطه پایانی (End Point)
تمرکز اصلی بر روی تأمین امنیت خود دستگاه است. سختسازی دستگاه برای جلوگیری از دستکاری بسیار مهم است، از جمله استفاده از سیمکارتهای تعبید شده (eSIM) که قابل حذف نیستند. دستگاهها همچنین باید از بهروزرسانیهای میانافزار از راه دور (FOTA) پشتیبانی کنند که نیازمند فناوریهای شبکه، ذخیرهسازی و پردازش کافی است. تشخیص بدافزار در این لایه ضروری است.
لایه ۲: شبکه
امنیت شبکه به طور کلی قوی است، به ویژه در شبکههای موبایل، اما همچنان آسیبپذیریهایی وجود دارد. برنامههای کاربردی اینترنت اشیا اغلب در چندین شبکه، از جمله اینترنت عمومی، گسترش مییابند که خطر بهرهبرداری را افزایش میدهد. اقدامات امنیتی کلیدی شامل احراز هویت دستگاه و سیمکارت، رمزگذاری شبکه، APNهای خصوصی، تشخیص شبکه، قفل کردن IMEI، قرنطینه دستگاهها، لیست سفید DNS و استقرار سیستمهای تشخیص و جلوگیری از نفوذ (IDS/IPS) است.
لایه ۳: انتقال
امنیت لایه شبکه ممکن است به تنهایی کافی نباشد. امنیت لایه انتقال (TLS) اغلب مورد نیاز است، به ویژه توسط ارائه دهندگان ابری، برای تأمین امنیت تحویل دادهها. اقدامات معمول شامل VPN است. IoT SAFE، یک ابتکار اتحادیه GSM، از سیمکارت برای ارتباط امن انتها به انتها استفاده میکند و احراز هویت متقابل و TLS را تضمین میکند.
لایه ۴: ابر/داده
اقدامات امنیتی صرف نظر از اینکه دادهها در ابر یا در محل ذخیره میشوند، ضروری هستند. این شامل جلوگیری از دسترسی غیرمجاز، رمزگذاری، کنترل دسترسی و پشتیبانگیری/بازیابی دادهها میشود. امنیت ابری برای اینترنت اشیاء همچنین شامل مدیریت اعتبارنامهها، کنترل دسترسی و SDKهای دستگاه و همچنین رسیدگی به آسیبپذیریها در رابطها، APIها و نقضهای دادههای بالقوه است.
لایه ۵: کاربرد
امنیت کاربردی بسیار مهم است زیرا بسیاری از آسیبپذیریها از برنامههای ضعیف ایجاد شده ناشی میشوند. توسعهدهندگان باید امنیت را در اولویت قرار دهند و اطمینان حاصل کنند که احراز هویت و حریم خصوصی دادهها در طراحی برنامه گنجانده شده است. علاوه بر این، ما جنبه ششم را شناسایی میکنیم: امنیت انتها به انتها. این کل سیستم را در نظر میگیرد و تمام لایهها را برای بهینهسازی محافظت ادغام میکند.
این شامل طراحی امن برنامه، تشخیص ناهنجاری در لایهها، انطباق فروشنده شخص ثالث و قابلیتهای پاسخگویی قوی به حادثه برای مدیریت موثر تهدیدات سایبری است. این لایههای امنیت اینترنت اشیاء در نمودار زیر نشان داده شدهاند.
یک محیط پیچیده و در حال تغییر مداوم
آنچه باید از نظرات فوق مشخص باشد این است که چشمانداز امنیت اینترنت اشیا به سرعت در حال تغییر است. ماهیت و مقیاس تهدیدات در حال تغییر است، همانطور که مقررات برای مقابله با آن معرفی میشود. رویکردهای فروشندگان نیز در حال تکامل است و در حالت ایدهآل باید مدل چند سطحی ارائه شده در بخش قبلی را در بر گیرد، از جمله در نظر گرفتن امنیت انتها به انتها.
بعد دوم مربوط به ابزارها و ویژگیهای خاص مورد نیاز برای رسیدگی به امنیت اینترنت اشیا است که ممکن است برابر با سختسازی دستگاه، بهروزرسانیهای FOTA، ویژگیهایی مانند APNهای خصوصی، IoT SAFE یا VPN، تشخیص ناهنجاری، پاسخ خودکار به تهدید و اصلاح باشد. هدف مشترک در زمینههای چارچوب و عملکرد کاهش ریسک، پاسخ به نقضها و اجرای اقدامات اصلاحی است.
موضوعات اصلی شامل تجزیه و تحلیل آخرین تهدیدات امنیتی اینترنت اشیاء و الزامات نظارتی، رویکردهای امنیت انتها به انتهای اینترنت اشیاء سلولی، شامل سختافزار متصل، سیمکارتها، شبکههای موبایل و زیرساخت ابری، و راهنمایی عملی و تخصصی برای محافظت از سازمان شما در برابر تهدیدات سایبری خاص اینترنت اشیاء خواهد بود. برای ثبت نام اینجا کلیک کنید: استراتژیهای امنیتی اینترنت اشیاء: اجرای راهکارهای متصل امن.