مفهوم اینترنت اشیاء و اهمیت آن در دنیای امروز
اینترنت اشیاء یا IoT، سیستمی بههمپیوسته از تجهیزات رایانهای، ماشینهای مکانیکی و دیجیتال، اشیاء، حیوانات یا افرادی است که با شناسههای منحصربهفرد (UID) هویت یافتهاند و از قابلیت انتقال دادهها روی یک شبکه بدون نیاز به تعامل انسان-با-انسان یا انسان-با-رایانه برخوردار هستند.
یک شیء در اینترنت اشیاء میتواند انسانی باشد که یک دستگاه پایش قلب در بدنش نصب شده است؛ یا دامی با یک ترانسپنتر بیولوژیک، یا خودرویی که با حسگرهای تعبیهشده در آن، راننده را از فشار کم لاستیکها آگاه میکند یا هر شیء طبیعی یا انسانساخت دیگر که میتواند با اختصاص یک آدرس IP دادهها را روی یک شبکه انتقال دهد.
امروزه، سازمانها در صنایع و کسبوکارهای گوناگون، بهشکلی فزاینده از قابلیتهای اینترنت اشیاء بهره میگیرند تا کارآمدتر و اثربخشتر عمل کنند؛ آنها با بهرهمندی از دستاوردهای اینترنت اشیاء، به درکی بهتر و شایستهتر از مشتریانشان دست مییابند و میتوانند خدماتی بهینهتر به آنها ارائه کنند. اینترنت اشیاء فرایند تصمیمسازی و تصمیمگیری را در سازمان بهبود میبخشد و ارزش کسبوکار را بهشکلی چشمگیر افزایش میدهد.
امنیت اینترنت اشیا
این فناوری نوپا با توجه به گسترش کاربری آن، دارای آسیبپذیریها و چالشهایی در ارتباط با امنیت است، بهطوریکه میتوان از امنیت، تحت عنوان «پاشنه آشیل اینترنت اشیا» یاد کرد. این آسیبپذیریها باعث ایجاد نگرانیهای جدی از توسعه این فناوری شده است. نگرانیهای مربوط به امنیت اینترنت اشیا و آسیبپذیریهای آن شامل این موارد است:
-افزایش کاربردها و خدمات مبتنی بر اینترنت اشیا در صنایع مختلف.
-فراهم آوردن امنیت و حریم خصوصی، دسترسی راحت و گسترده به اینترنت معضلات امنیتی فضای سایبری را گریبانگیر این فناوری کرده است.
-افزایش انگیزهها برای انجام فعالیتهای مخرب امنیتی در حوزه اینترنت اشیا.
-نقش کارکردی و انکارناپذیر آسیبپذیریهای امنیتی در بروز و ظهور فعالیتهای مخرب در حوزه اینترنت اشیا.
-توسعه تکنیکها و مفاهیم برای بهینهسازی امنیت و کاهش آسیبپذیریها.
-تعریف قوانین جدید در زمینه گسترش کاربری و توسعه کسبوکارها با ممانعت از ایجاد آسیبپذیریها و حفظ حریم خصوصی.
با توجه به موارد فوق و همچنین محدود بودن منابع مالی و انسانی، هزینه و زمانی که باید برای جبران خسارت ناشی از حفرههای امنیتی موجود در فناوری اینترنت اشیا صرف کرد و حتی صدمات جانیای که ممکن است عدم توجه و شناخت موضوعات امنیتی در این حوزه به بار آورد، ضرورت شناسایی و پرداختن به مسائل و چالشهای امنیتی آن احساس میشود.
حریم خصوصی
مسئله حریم خصوصی در بین ابعاد امنیتی اینترنت اشیا دارای اهميت فراوانی است، چرا که عدم حفظ حريم خصوصی موجب عدم پذيرش سيستم و سرویسهای اینترنت اشیا توسط مردم و سازمانهای مختلف میشود که در نتيجه هدف نهايی از ميان میرود. مقوله حريم خصوصی در اينترنت اشيا بسيار حياتیتر است. برخلاف اينترنت معمولی، حجم اطلاعات اندازه گيري شده در اینترنت اشیا (از افراد يا توسط افراد) بسيار بیشتر است و بنابراين خطر افشاي اطلاعات شخصی افراد به مراتب بيشتر خواهد بود.
بهطور کلی نيازمنديهاي حريم خصوصی در اينترنت اشيا را میتوان به این صورت دسته بندي کرد:
-حفاظت از اطلاعات شخصی (اطلاعات اکتسابی و ذاتی) و جلوگيري از نشت آنها.
-تنظیم رضايتنامه براي استفاده از اطلاعات شخصی افراد (صدور مجوز حريم خصوصی: چونکه شخص بايد روي نحوه افشاي اطلاعات خود کنترل کامل داشته باشد).
-اطمينان از پاک شدن اطلاعات خصوصی افراد پس از استفاده (فراموشی ديجيتالی).
-حفظ حريم خصوصی و گمنامی (اجازه استفاده از نام مستعار در شرايط خاص) براي مجموعههاي ناهمگون از دستگاهها (که توسط مديريت هويت ديجيتال مهيا میشود).
-ارائه سياستها و چارچوب لازم براي حفظ حريم خصوصی و ثبت قوانين مربوط به آن
-بررسی شرايط استفاده از Bridge (در صورت نياز براي حفظ حريم خصوصی).
-سازگاري حريم خصوصی سيستمهاي مختلف.
-حفظ حريم خصوصی هنگام جستجو يا کشف سرويسها و دستگاههاي اینترنت اشیا.
-بررسی اثر استفاده از هويت يکتا در سطح جهانی در حريم خصوصی و راهکارهاي مقابله با خطرات احتمالی آن (استفاده از مشتقات هويتها).
– اطمينان از عدم افشاي مالکيت داده، دستگاه و اشيا براي افراد غيرمجاز.
– تنها شخص مجاز براي خواندن تگهاي مرتبط با حريم خصوصی، مالک آن باشد.
-عدم امکان رديابی فعاليتهاي يک شئ توسط شئ ديگر.
-اطلاعات انتقال مرتبط با حريم خصوصی، تنها بايد براي طرفين ارتباط قابل فهم باشد.
-ايجاد پروتکلها و الگوريتمهاي مخفیکننده اطلاعات خصوصی افراد، مثل چهره يا مکان (بهطوريکه تنها اشخاص مجاز قابليت باز کردن آن را داشته باشند).
-پيشنهاد پروتکل برای توافق روي سطح حريم خصوصی لازم براي اطلاعات منتشر شده.
ده نگرانی امنیتی در رابطه با اینترنت اشیا
خیلی دور نبود ، زمانی که اینترنت اشیا ، هوس و مدی بیش نبود و تصور میلیارد ها دستگاه متصل ، بسیار دور از ذهن .اما امروزه فن آوری در حوزه های تجارتی و صنعتی ، فراگیر شده است . تلویزیون های هوشمند ، HVAC ها متصل به اینترنت ، دوربین های امنیتی و سیستم های روشنایی هوشمند ، همه و همه به کالا های عمده تبدیل شده اند .
با اینکه طلوع اینترنت اشیا در کارگاه های مدرن اتفاقی تازه است ، برخی از متعارف ترین ضعف های امنیتی دستگاه های IoT ، کاملا جدید نیستند . اما آدرس دهی نگرانی های امنیتی اینترنت اشیا کاملا مشابه با امنیت IT سنتی نیست ؛ این آدرس دهی نیازمند پیگیری و تحت نظر داشتن آرایه ای از مسائل است که ده مورد زیر شامل آنهاست .
امنیت موبایل ضعیف
درال هیلند ،که یک تستر نفوذ حرفه ای ، که رهبر قسمت امنیت Rapid7/IoT است میگوید: نقطه ضعف های متعارفی که در حوزه ی اینترنت اشیا مشاهده میکنم ، اکثرا در رابطه با امنیت ضعیف برنامه های موبایل است . یکی از بزرگترین شکوه های من ، ذخیره شدن دیتا در برنامه های موبایلی است . در حالی که ذخیره ی دیتا روی iOS از اندروید خطرناک تر است ، ذخیره سازی هرگونه اطلاعات حساس روی هر موبایل سرویسی ، بسیار از خطرناک است . چه رخ خواهد داد اگر کارمندی تلفن همراه خود را که حاوی داده های آسیب پذیر است گم کند و هیچ نسخه پشتیبانی از داده ها وجود نداشته باشد .
ابر های طوفانی در افق
“ابر” معمولا یکی دیگر از ضعف های مرتبط با نصب اینترنت اشیاست . هیلند توضیح میدهد : “در رابطه با امنیت ، API های دستگاه های IoT احتمالا بسیار بدتر از API های وب های معمولی هستند . من فکر میکنم اکثر توسعه دهندگان به ارتباطات میان دستگاه های IoT و APIهای ابر ، به شکل ارتباطات ماشین به ماشین نگاه میکنند .
خطر اعتبار نامه های پیش فرض
و سپس خطر دستگاه های IoT با درهای پشتی نه چندان محرمانه وجود دارد که میتوان با استفاده از نام کاربری و پسوورد های پیش فرض به آنها دسترسی پیدا کرد . شرکت ها باید بپرسند : آیا ما فرایند های تصدیق اعتبار و رمزنگاری مناسبی برای ارتباطاتمان داریم ؟ ، هیلند توصیه میکند : باید شخصی را مجاب کنید که روی یک پورت غیر استاندارد تلنت کرده و از پسوورد پیشفرض استفاده کند .
دستگاه های استاندارد مسلح شده
یکی از نگرانی های امنیتی IoT اینست که دستگاه های متعارفی همچون تلویزیون های هوشمند و پرینتر ها میتوانند به حامل های تهدید شوند . هیلند میگوید : مشکلات بلقوه ی امنیتی بزرگی در رابطه با پرینتر های چندکاره وجود دارد . هیلند توضیح میدهد : من پرینتر های فعلی را متصل به اینترنت اشیا تصور میکنم ، ما طی دوره ی ارزیابی از پرینتر ها برای دسترسی یافتن به سازمان هاو شبکه ها و همچنین خارج کردن دیتا استفاده کردیم .
دشواری بارگذاری عامل ها روی دستگاه های IoT
یوجن دیبروو ، مدیر عامل شرکت ایمنی آرمیس ، یک استارت آپ امنیتی متمرکز بر اینترنت اشیا میگوید : یکی از بزرگترین چالش هایی که با آن مواجه میشویم این است که امکان بارگذاری عامل ها (مثل نرمافزار های آنتی ویروس ) روی بسیاری از دستگاه ههای IoT وجود ندارد . پس بسیاری از شرکت ها از مزیت امنیت نقطه ی پایانی برای همه ی دستگاه های متصلشان برخوردار نیستند ، خواه این دستگاه ها ، پرینتر باشند یا دوربین های امنیتی یا چیز دیگر . چگونه مطمئن خواهید بود یکی از این دستگاه ها کاری که نباید انجام بدهد را انجام نمیدهد ؟
خطر دستگاه های IoT چموش
یکی دیگر از نگرانی های امنیتی اینترنت اشیا ، رواج دستگاه های متصل چموش مخفی شده داخل شرکت ها و نظارت محرمانه ی شبکه است . دیبروو میگوید : ما این را بیشتر و بیشتر میبینیم ، ما شاهد دستگاه های ioT چموشی مثل Rasberry pi یا Wi-Fi Pineapple هستیم . این یک حامل حمله ی محبوب است چرا که بسیار ساده است . یه مهاجم میتواند یکی از این دستگاه ها برداشته ، به منهتن برود و صد ها دستگاه را به یک دستگاه چموش متصل کند ، مثل دستگاه هایی که متعلق به سازمان های مالی و دیگر انواع شرکت ها هستند .
نقص /نبود آگاهی شبکه
یک مشکل مرتبط این است که بسیاری از سازمان ها از آنچه که داخل شبکه شان وجود دارد آگاهی کامل ندارند و بدین خاطر نمیتوانند بدانند که آیا شبکه شان حاوی دستگاه های IoT تعریف نشده یا دستگاه های چموش هست یا خیر . دیبروو توضیح میدهد : تا آنجایی که ما تجربه داریم ، بسیاری از سازمان ها میتوانند تنها تا شصت درصد دستگاه های متصل را در محیطشان ببینند . ما این مشکل را در انواع سازمان ها میبینیم ، خواه در بخش سلامت باشند یا تولید یا فن آوری یا مالی .
نگرانی های بسامد رادیو
حوزه ی امنیت اینترنت اشیا ، محیطی چند فاکتوری و با دامنه ای بسیار گسترده است ، هیلند بررسی تمام اکوسیستم را پیشنهاد میکند که شامل تمام فاکتور های بالا به علاوه ی دیگر مسائلی همچون آسیب پذیری های نشات گرفته از ارتباطات بسامد رادیویی میشود . برای مثال ، بلوتوث 5 ، از نتوورکینگ غربالی پشتبانی میکند ، که به یک مهاجم امکان هدف گیری یک دستگاه بلوتوث منفرد ، و سپس پخش بدافزار در کل شبکه ی غربالی را میدهد .
آرمیس اخیرا یک نقطه ضعف مربوط به بلوتوث با نام بلوبورن کشف کرده که میتواند بسیاری از دستگاه های IoT را تحت تاثیر قرار دهد .
نگرانی های IP
تولیدکنندگان دستگاه های IoT ای که از دارایی های اطلاعاتی محافظت میکنند ممکن است بخواهند حفاظت از firmware محصولاتشان را در نظر بگیرند . هیلند میگوید :شرکت هایی که IP برایشان مهم است نمیخواهد کسی به راحتی Firmware را از دستگاه خارج کند . این چیزی است که ما معمولا آزمایش میکنیم .
بسیاری از تولید کنندگان دستگاه های IoT برای حفاظت از دارایی های اطلاعاتی از روش های بی اشتیاق استفاده میکنندو از محافظت بر پایه ی رمز نگاری ، که در سخت افزاری که استفاده میکنند موجود است استفاده نمیکنند . “عموما میبینیم که سازمان ها از حفاظت درون ساخته ی موجود روی برخی از چیپست هایشان استفاده نمیکنند ” .