امنیت همواره یکی از بزرگترین چالشها در استقرار اینترنت اشیا (IoT) بوده است. نمونههای متعددی از نقضهای امنیتی وجود دارد و چشمانداز تهدیدات روز به روز پیچیدهتر میشود. در این مقاله، به بررسی برخی از پویاییهای در حال تغییر امنیت IoT و رویکردهای ایمنسازی دستگاههای متصل میپردازیم.
فهرست مطالب
- 1 امنیت IoT: موجی رو به افزایش
- 2 الزامات جدید انطباق با مقررات امنیتی IoT
- 3 مقررات اتحادیه اروپا
- 4 مقررات بریتانیا
- 5 مقررات ایالات متحده
- 6 رویکرد ارائهدهندگان خدمات ارتباطی
- 7 لایههای متعدد امنیت IoT
- 8 #1: نقطه پایانی (End Point)
- 9 #2: شبکه (Network)
- 10 #3: انتقال (Transport)
- 11 #4: ابر/داده (Cloud/Data)
- 12 #5: برنامه (Application)
- 13 محیطی پیچیده و در حال تغییر
- 14 اطلاعات بیشتر
امنیت IoT: موجی رو به افزایش
گسترش روزافزون اینترنت اشیا در کاربردهای مختلف مصرفی و سازمانی، فرصتهای بیشتری برای هک ایجاد کرده است و افراد از IoT در سیستمهای حیاتیتر استفاده میکنند. در عین حال، مقیاس استقرارها همچنان در حال افزایش است، به طوری که تعداد اتصالات IoT از ۱۶ میلیارد دستگاه در سال ۲۰۲۳ به ۴۰ میلیارد دستگاه تا سال ۲۰۳۳ خواهد رسید.
دستگاههای IoT همیشه به دلیل استقرار در محیطهای بدون نظارت و اغلب در ترکیبهای پیچیده از فناوریها و ذینفعان، تا حدی در برابر هک آسیبپذیر بودهاند. این موارد همگی نقاط ضعف احتمالی در زنجیره امنیتی هستند.
تنوع IoT نیز چالشی ایجاد میکند و متخصصان امنیت سازمانی را ملزم میکند تا ریسکهای امنیتی طیف گستردهتری از دستگاهها را، فراتر از تلفنها، رایانههای شخصی و سایر زیرساختهای IT، درک کنند. کمبود مهارت نیز از دیگر مسائل است.
با این حال، چالشها در سالهای اخیر افزایش یافتهاند. برای مثال، روند رو به رشدی وجود دارد که دستگاههای IoT از نظر پردازش، حافظه و توان مصرفی محدودتر میشوند و این امر توانایی آنها برای پشتیبانی از ویژگیهای امنیتی قوی و بهروزرسانیها را کاهش میدهد.
در گذشته، مقررات ضعیف امنیت IoT به تولیدکنندگان اجازه میداد تا در این زمینه سهلانگاری کنند، مانند مورد باتنت Mirai که از نقصهای امنیتی ابتدایی سوءاستفاده کرد. با این حال، همانطور که در بخش بعدی توضیح داده شده، این موضوع به طور فزایندهای مورد توجه قرار گرفته است.
الزامات جدید انطباق با مقررات امنیتی IoT
در چند سال اخیر، شاهد گسترش چشمگیر قوانین مربوط به امنیت سایبری به طور کلی و امنیت دستگاههای IoT به طور خاص بودهایم. نمونههای متعددی از کدهای عملی یا دستورالعملهایی برای حداقل سطح امنیت در دستگاههای IoT مصرفی وجود دارد، از جمله عدم استفاده از رمزهای عبور پیشفرض یا ضعیف و الزام به بهروزرسانیهای منظم فریمور.
در برخی کشورها، این دستورالعملهای داوطلبانه با الزامات اجباری جایگزین شدهاند و این روند احتمالاً ادامه خواهد یافت. سایر موارد شامل برنامههای برچسبگذاری هستند. این مقررات و بسیاری دیگر در گزارش اخیر “چشمانداز نظارتی اینترنت اشیا” از Transforma Insights و پایگاه داده نظارتی مرتبط شرح داده شدهاند.
مقررات اتحادیه اروپا
اتحادیه اروپا چندین مقررات مرتبط با امنیت سایبری دارد. در سال ۲۰۲۰، آژانس امنیت سایبری اتحادیه اروپا (ENISA) دستورالعملهای امنیتی زنجیره تأمین IoT را منتشر کرد که کل چرخه عمر، از طراحی تا دفع را پوشش میدهد.
در سال ۲۰۲۲، کمیسیون اروپا پیشنهادی برای مقررات مربوط به الزامات امنیت سایبری برای محصولات با عناصر دیجیتال، معروف به قانون تابآوری سایبری (Cyber Resilience Act)، ارائه داد. این قانون قصد دارد قوانین امنیت سایبری را تقویت کند تا محصولات سختافزاری و نرمافزاری ایمنتری ارائه شوند.
این مقررات پیشنهادی، محصولات دیجیتال را ملزم میکند تا امنیت سایبری متناسب با ریسکهای موجود در طراحی، توسعه و تولید خود داشته باشند.
دستورالعمل NIS اولین قانون اتحادیه اروپا بود که هدف آن دستیابی به سطح بالای امنیت سایبری در میان کشورهای عضو بود. پیشنهاد گسترش این دستورالعمل با NIS2 ارائه شده است که نهادها و بخشهای بیشتری را ملزم به اتخاذ اقدامات مرتبط با امنیت سایبری میکند.
مقررات بریتانیا
در اکتبر ۲۰۱۸، وزارت دیجیتال، فرهنگ، رسانه و ورزش بریتانیا (DCMS) به همراه مرکز ملی امنیت سایبری (NCSC) کد عملی برای امنیت IoT مصرفی را منتشر کردند. این کد، گامهای عملی برای تولیدکنندگان IoT و ذینفعان صنعت برای بهبود امنیت محصولات و خدمات IoT مصرفی را شرح میدهد.
قانون امنیت محصول و زیرساخت مخابراتی ۲۰۲۲ که در آوریل ۲۰۲۴ اجرایی شد، سختگیرانهتر است. این قانون به وزیر مربوطه بریتانیا اجازه میدهد تا الزامات امنیتی برای محصولات متصل به اینترنت و زیرساختهای مخابراتی که برای مصرفکنندگان در بریتانیا در دسترس هستند، مشخص کند.
این مقررات برای تولیدکنندگان، واردکنندگان و توزیعکنندگان محصولات متصل در بریتانیا اعمال میشود. مقررات کنونی الزاماتی برای رمزهای عبور، حداقل بهروزرسانیهای امنیتی و بیانیههای انطباق تعیین میکنند.
مقررات ایالات متحده
در ایالات متحده، قانون بهبود امنیت سایبری IoT ۲۰۲۰، موسسه ملی استاندارد و فناوری (NIST) و دفتر مدیریت و بودجه (OMB) را ملزم میکند تا گامهای مشخصی برای افزایش امنیت سایبری دستگاههای IoT بردارند.
این قانون به NIST نظارت بر ریسکهای امنیت سایبری IoT را میدهد و آن را ملزم به تنظیم دستورالعملها و استانداردها، از جمله گزارشدهی درباره مسائل امنیتی و استانداردهای حداقل امنیت میکند. چارچوب امنیت سایبری NIST (CSF) 2.0 که در اوایل سال ۲۰۲۴ منتشر شد، نسخه بهروزشده چارچوب اولیه NIST است.
در سپتامبر ۲۰۲۲، NIST گزارش NISTIR 8425 را منتشر کرد که نمایه مصرفی پایه IoT را مشخص میکند. این گزارش قابلیتهای امنیتی مورد نیاز برای بخش IoT مصرفی، از جمله محصولات خانگی یا شخصی را شناسایی میکند.
در جولای ۲۰۲۳، دولت بایدن-هریس برنامه برچسبگذاری امنیت سایبری را راهاندازی کرد تا به آمریکاییها کمک کند دستگاههای هوشمند ایمنتری انتخاب کنند. بر اساس این برنامه پیشنهادی، مصرفکنندگان لوگوی جدید “U.S. Cyber Trust Mark” را به شکل یک سپر متمایز روی محصولاتی که معیارهای امنیتی تعیینشده را برآورده میکنند، مشاهده خواهند کرد.
مقررات ذکرشده تنها بخشی از قوانین و دستورالعملهای امنیت سایبری مرتبط با IoT هستند. بسیاری از کشورهای دیگر نیز قوانین مشابهی دارند.
رویکرد ارائهدهندگان خدمات ارتباطی
در جولای ۲۰۲۴، Transforma Insights نسخه ۲۰۲۴ گزارش “بنچمارکینگ همتایان IoT ارائهدهندگان خدمات ارتباطی (CSP)” را منتشر کرد که موضوعات کلیدی بازار اتصال IoT و اپراتورهای شبکه موبایل (MNOs) و اپراتورهای شبکه مجازی موبایل (MVNOs) پیشرو در IoT را شناسایی میکند. این گزارش از بحث با ۲۵ ارائهدهنده برتر اتصال سلولی جهانی و تحلیل جامع قابلیتهای آنها به دست آمده است.
همانطور که انتظار میرفت، موضوع امنیت IoT یکی از موضوعات مطرحشده بود. همه CSPها پیشنهادات بسیار ایمن داشتند و در بسیاری موارد، امنیت را به عنوان یک سرویس با ارزش افزوده ارائه میکردند. با این حال، در بسیاری از موارد، همچنان کمبود پیشنهادات گستردهتر در زمینه امنیت و انطباق وجود داشت.
بیشتر آنها نیاز به پشتیبانی بهتر قبل از فروش را تشخیص دادند، اما تعداد کمی انطباق به عنوان یک سرویس را در مسیر پذیرش مشتری اولویتبندی کردند.
این نمونه خوبی از جامعه فروشندگان در مقیاس کوچک است. عنصر فردی ایمن است و حتی این شناخت وجود دارد که مشتریان ممکن است برای امنیت اضافی هزینه بیشتری بپردازند.
با این حال، یافتن فروشندهای که مسئولیت امنیت و انطباق کلی از ابتدا تا انتها را بر عهده بگیرد، نسبتاً نادر است. بنابراین، فروشندهای پیدا کنید که بر این موضوع تأکید کند.
لایههای متعدد امنیت IoT
امنیت IoT شامل اقدامات حفاظتی برای دستگاهها، شبکهها، پلتفرمها، برنامهها و سیستمهای سازمانی است که پیچیدگی ارتباطات آنها را منعکس میکند. پنج لایه اصلی امنیتی وجود دارد:
#1: نقطه پایانی (End Point)
تمرکز اصلی بر ایمنسازی خود دستگاه است. سختسازی دستگاه برای جلوگیری از دستکاری حیاتی است، از جمله استفاده از کارتهای SIM تعبیهشده (eSIMs) که قابل جدا شدن نیستند. دستگاهها همچنین باید از بهروزرسانیهای فریمور از راه دور (FOTA) پشتیبانی کنند که نیاز به فناوریهای شبکه، ذخیرهسازی و قابلیتهای پردازشی مناسب دارد. تشخیص بدافزار در این لایه ضروری است.
#2: شبکه (Network)
امنیت شبکه به طور کلی، به ویژه در شبکههای موبایل، قوی است، اما آسیبپذیریها همچنان وجود دارند. برنامههای IoT اغلب چندین شبکه، از جمله اینترنت عمومی، را در بر میگیرند که خطر سوءاستفاده را افزایش میدهد.
اقدامات امنیتی کلیدی شامل احراز هویت دستگاه و SIM، رمزنگاری شبکه، APNهای خصوصی، تشخیص شبکه، قفل IMEI، قرنطینه دستگاهها، لیست سفید DNS و استقرار سیستمهای تشخیص و پیشگیری از نفوذ (IDS/IPS) است.
#3: انتقال (Transport)
امنیت لایه شبکه به تنهایی ممکن است کافی نباشد. امنیت لایه انتقال (TLS) اغلب، به ویژه توسط ارائهدهندگان ابری، برای ایمنسازی تحویل دادهها مورد نیاز است.
اقدامات معمول شامل VPNهای IPsec و ستون فقرات جهانی خصوصی است. IoT SAFE، ابتکار انجمن GSM، از کارت SIM برای ارتباط امن از ابتدا تا انتها استفاده میکند و احراز هویت دوطرفه و TLS را تضمین میکند.
#4: ابر/داده (Cloud/Data)
اقدامات امنیتی، چه دادهها در ابر ذخیره شوند و چه در محل، ضروری هستند. این شامل جلوگیری از دسترسی غیرمجاز، رمزنگاری، کنترلهای دسترسی و پشتیبانگیری/بازیابی دادهها است.
امنیت ابری برای IoT همچنین شامل مدیریت اعتبارنامهها، کنترل دسترسی و SDKهای دستگاه و همچنین رفع آسیبپذیریها در رابطها، APIها و نقضهای احتمالی دادهها است.
#5: برنامه (Application)
امنیت برنامه حیاتی است، زیرا بسیاری از آسیبپذیریها از برنامههای ضعیف طراحیشده ناشی میشوند. توسعهدهندگان باید امنیت را در اولویت قرار دهند و احراز هویت و حریم خصوصی دادهها را در طراحی برنامه ادغام کنند.
علاوه بر این، ما یک جنبه ششم را شناسایی میکنیم: امنیت از ابتدا تا انتها. این شامل کل سیستم است و همه لایهها را برای بهینهسازی حفاظت ادغام میکند.
این شامل طراحی امن برنامه، تشخیص ناهنجاری در لایهها، انطباق فروشندگان شخص ثالث و قابلیتهای پاسخ به حوادث قوی برای مدیریت مؤثر تهدیدات سایبری است.

محیطی پیچیده و در حال تغییر
آنچه از توضیحات بالا باید مشخص باشد این است که چشمانداز امنیت IoT به سرعت در حال تحول است. ماهیت و مقیاس تهدیدات در حال تغییر است، همانطور که مقرراتی که برای مقابله با آن معرفی میشوند.
رویکردهای فروشندگان نیز در حال تحول است و در حالت ایدهآل باید مدل چندلایهای که در بخش قبلی ارائه شد را در بر بگیرد، از جمله توجه به امنیت از ابتدا تا انتها.
Transforma Insights توصیه میکند امنیت را در دو بعد در نظر بگیرید. اول، چارچوبی که برای بهینهسازی امنیت لازم است، شامل اندازهگیری مشکل، درک ظرفیت ریسک، ایجاد سیاستها و فرآیندها و مدیریت شرکا، از جمله موارد دیگر.
بعد دوم به ابزارها و ویژگیهای خاص مورد نیاز برای امنیت IoT مربوط میشود، که ممکن است شامل سختسازی دستگاه، بهروزرسانیهای FOTA، ویژگیهایی مانند APNهای خصوصی، IoT SAFE یا VPNهای IPsec، تشخیص ناهنجاری، پاسخ خودکار به تهدیدات و اقدامات اصلاحی باشد. هدف مشترک در هر دو حوزه چارچوب و عملکردها، کاهش ریسکها، پاسخ به نقضها و اجرای اقدامات اصلاحی است.
اطلاعات بیشتر
اگر موضوع امنیت IoT در اولویت شما قرار دارد، و باید باشد، به وبینار Transforma Insights، Semtech و Kigen در تاریخ ۲۴ جولای ۲۰۲۴ بپیوندید، جایی که ما چالشهای کلیدی امنیتی و بهترین راههای مقابله با آنها را بحث خواهیم کرد.
این وبینار برای رهبران فناوری اطلاعات، فنی و مدیریت محصول از سازمانهایی که دستگاههای IoT و روترها را در شبکههای سلولی ملی یا جهانی مستقر میکنند، طراحی شده است. شرکتکنندگان همچنین میتوانند در جلسه پرسش و پاسخ زنده با اعضای پنل تعامل کنند.
منبع: iotforall
