امنیت همواره یکی از بزرگ‌ترین چالش‌ها در استقرار اینترنت اشیا (IoT) بوده است. نمونه‌های متعددی از نقض‌های امنیتی وجود دارد و چشم‌انداز تهدیدات روز به روز پیچیده‌تر می‌شود. در این مقاله، به بررسی برخی از پویایی‌های در حال تغییر امنیت IoT و رویکردهای ایمن‌سازی دستگاه‌های متصل می‌پردازیم.

امنیت IoT: موجی رو به افزایش

گسترش روزافزون اینترنت اشیا در کاربردهای مختلف مصرفی و سازمانی، فرصت‌های بیشتری برای هک ایجاد کرده است و افراد از IoT در سیستم‌های حیاتی‌تر استفاده می‌کنند. در عین حال، مقیاس استقرارها همچنان در حال افزایش است، به طوری که تعداد اتصالات IoT از ۱۶ میلیارد دستگاه در سال ۲۰۲۳ به ۴۰ میلیارد دستگاه تا سال ۲۰۳۳ خواهد رسید.

دستگاه‌های IoT همیشه به دلیل استقرار در محیط‌های بدون نظارت و اغلب در ترکیب‌های پیچیده از فناوری‌ها و ذینفعان، تا حدی در برابر هک آسیب‌پذیر بوده‌اند. این موارد همگی نقاط ضعف احتمالی در زنجیره امنیتی هستند.

تنوع IoT نیز چالشی ایجاد می‌کند و متخصصان امنیت سازمانی را ملزم می‌کند تا ریسک‌های امنیتی طیف گسترده‌تری از دستگاه‌ها را، فراتر از تلفن‌ها، رایانه‌های شخصی و سایر زیرساخت‌های IT، درک کنند. کمبود مهارت نیز از دیگر مسائل است.

با این حال، چالش‌ها در سال‌های اخیر افزایش یافته‌اند. برای مثال، روند رو به رشدی وجود دارد که دستگاه‌های IoT از نظر پردازش، حافظه و توان مصرفی محدودتر می‌شوند و این امر توانایی آن‌ها برای پشتیبانی از ویژگی‌های امنیتی قوی و به‌روزرسانی‌ها را کاهش می‌دهد.

در گذشته، مقررات ضعیف امنیت IoT به تولیدکنندگان اجازه می‌داد تا در این زمینه سهل‌انگاری کنند، مانند مورد بات‌نت Mirai که از نقص‌های امنیتی ابتدایی سوءاستفاده کرد. با این حال، همان‌طور که در بخش بعدی توضیح داده شده، این موضوع به طور فزاینده‌ای مورد توجه قرار گرفته است.

الزامات جدید انطباق با مقررات امنیتی IoT

در چند سال اخیر، شاهد گسترش چشمگیر قوانین مربوط به امنیت سایبری به طور کلی و امنیت دستگاه‌های IoT به طور خاص بوده‌ایم. نمونه‌های متعددی از کدهای عملی یا دستورالعمل‌هایی برای حداقل سطح امنیت در دستگاه‌های IoT مصرفی وجود دارد، از جمله عدم استفاده از رمزهای عبور پیش‌فرض یا ضعیف و الزام به به‌روزرسانی‌های منظم فریمور.

در برخی کشورها، این دستورالعمل‌های داوطلبانه با الزامات اجباری جایگزین شده‌اند و این روند احتمالاً ادامه خواهد یافت. سایر موارد شامل برنامه‌های برچسب‌گذاری هستند. این مقررات و بسیاری دیگر در گزارش اخیر “چشم‌انداز نظارتی اینترنت اشیا” از Transforma Insights و پایگاه داده نظارتی مرتبط شرح داده شده‌اند.

مقررات اتحادیه اروپا

اتحادیه اروپا چندین مقررات مرتبط با امنیت سایبری دارد. در سال ۲۰۲۰، آژانس امنیت سایبری اتحادیه اروپا (ENISA) دستورالعمل‌های امنیتی زنجیره تأمین IoT را منتشر کرد که کل چرخه عمر، از طراحی تا دفع را پوشش می‌دهد.

در سال ۲۰۲۲، کمیسیون اروپا پیشنهادی برای مقررات مربوط به الزامات امنیت سایبری برای محصولات با عناصر دیجیتال، معروف به قانون تاب‌آوری سایبری (Cyber Resilience Act)، ارائه داد. این قانون قصد دارد قوانین امنیت سایبری را تقویت کند تا محصولات سخت‌افزاری و نرم‌افزاری ایمن‌تری ارائه شوند.

این مقررات پیشنهادی، محصولات دیجیتال را ملزم می‌کند تا امنیت سایبری متناسب با ریسک‌های موجود در طراحی، توسعه و تولید خود داشته باشند.

دستورالعمل NIS اولین قانون اتحادیه اروپا بود که هدف آن دستیابی به سطح بالای امنیت سایبری در میان کشورهای عضو بود. پیشنهاد گسترش این دستورالعمل با NIS2 ارائه شده است که نهادها و بخش‌های بیشتری را ملزم به اتخاذ اقدامات مرتبط با امنیت سایبری می‌کند.

مقررات بریتانیا

در اکتبر ۲۰۱۸، وزارت دیجیتال، فرهنگ، رسانه و ورزش بریتانیا (DCMS) به همراه مرکز ملی امنیت سایبری (NCSC) کد عملی برای امنیت IoT مصرفی را منتشر کردند. این کد، گام‌های عملی برای تولیدکنندگان IoT و ذینفعان صنعت برای بهبود امنیت محصولات و خدمات IoT مصرفی را شرح می‌دهد.

قانون امنیت محصول و زیرساخت مخابراتی ۲۰۲۲ که در آوریل ۲۰۲۴ اجرایی شد، سخت‌گیرانه‌تر است. این قانون به وزیر مربوطه بریتانیا اجازه می‌دهد تا الزامات امنیتی برای محصولات متصل به اینترنت و زیرساخت‌های مخابراتی که برای مصرف‌کنندگان در بریتانیا در دسترس هستند، مشخص کند.

این مقررات برای تولیدکنندگان، واردکنندگان و توزیع‌کنندگان محصولات متصل در بریتانیا اعمال می‌شود. مقررات کنونی الزاماتی برای رمزهای عبور، حداقل به‌روزرسانی‌های امنیتی و بیانیه‌های انطباق تعیین می‌کنند.

مقررات ایالات متحده

در ایالات متحده، قانون بهبود امنیت سایبری IoT ۲۰۲۰، موسسه ملی استاندارد و فناوری (NIST) و دفتر مدیریت و بودجه (OMB) را ملزم می‌کند تا گام‌های مشخصی برای افزایش امنیت سایبری دستگاه‌های IoT بردارند.

این قانون به NIST نظارت بر ریسک‌های امنیت سایبری IoT را می‌دهد و آن را ملزم به تنظیم دستورالعمل‌ها و استانداردها، از جمله گزارش‌دهی درباره مسائل امنیتی و استانداردهای حداقل امنیت می‌کند. چارچوب امنیت سایبری NIST (CSF) 2.0 که در اوایل سال ۲۰۲۴ منتشر شد، نسخه به‌روزشده چارچوب اولیه NIST است.

در سپتامبر ۲۰۲۲، NIST گزارش NISTIR 8425 را منتشر کرد که نمایه مصرفی پایه IoT را مشخص می‌کند. این گزارش قابلیت‌های امنیتی مورد نیاز برای بخش IoT مصرفی، از جمله محصولات خانگی یا شخصی را شناسایی می‌کند.

در جولای ۲۰۲۳، دولت بایدن-هریس برنامه برچسب‌گذاری امنیت سایبری را راه‌اندازی کرد تا به آمریکایی‌ها کمک کند دستگاه‌های هوشمند ایمن‌تری انتخاب کنند. بر اساس این برنامه پیشنهادی، مصرف‌کنندگان لوگوی جدید “U.S. Cyber Trust Mark” را به شکل یک سپر متمایز روی محصولاتی که معیارهای امنیتی تعیین‌شده را برآورده می‌کنند، مشاهده خواهند کرد.

مقررات ذکرشده تنها بخشی از قوانین و دستورالعمل‌های امنیت سایبری مرتبط با IoT هستند. بسیاری از کشورهای دیگر نیز قوانین مشابهی دارند.

رویکرد ارائه‌دهندگان خدمات ارتباطی

در جولای ۲۰۲۴، Transforma Insights نسخه ۲۰۲۴ گزارش “بنچمارکینگ همتایان IoT ارائه‌دهندگان خدمات ارتباطی (CSP)” را منتشر کرد که موضوعات کلیدی بازار اتصال IoT و اپراتورهای شبکه موبایل (MNOs) و اپراتورهای شبکه مجازی موبایل (MVNOs) پیشرو در IoT را شناسایی می‌کند. این گزارش از بحث با ۲۵ ارائه‌دهنده برتر اتصال سلولی جهانی و تحلیل جامع قابلیت‌های آن‌ها به دست آمده است.

همان‌طور که انتظار می‌رفت، موضوع امنیت IoT یکی از موضوعات مطرح‌شده بود. همه CSPها پیشنهادات بسیار ایمن داشتند و در بسیاری موارد، امنیت را به عنوان یک سرویس با ارزش افزوده ارائه می‌کردند. با این حال، در بسیاری از موارد، همچنان کمبود پیشنهادات گسترده‌تر در زمینه امنیت و انطباق وجود داشت.

بیشتر آن‌ها نیاز به پشتیبانی بهتر قبل از فروش را تشخیص دادند، اما تعداد کمی انطباق به عنوان یک سرویس را در مسیر پذیرش مشتری اولویت‌بندی کردند.

این نمونه خوبی از جامعه فروشندگان در مقیاس کوچک است. عنصر فردی ایمن است و حتی این شناخت وجود دارد که مشتریان ممکن است برای امنیت اضافی هزینه بیشتری بپردازند.

با این حال، یافتن فروشنده‌ای که مسئولیت امنیت و انطباق کلی از ابتدا تا انتها را بر عهده بگیرد، نسبتاً نادر است. بنابراین، فروشنده‌ای پیدا کنید که بر این موضوع تأکید کند.

لایه‌های متعدد امنیت IoT

امنیت IoT شامل اقدامات حفاظتی برای دستگاه‌ها، شبکه‌ها، پلتفرم‌ها، برنامه‌ها و سیستم‌های سازمانی است که پیچیدگی ارتباطات آن‌ها را منعکس می‌کند. پنج لایه اصلی امنیتی وجود دارد:

#1: نقطه پایانی (End Point)

تمرکز اصلی بر ایمن‌سازی خود دستگاه است. سخت‌سازی دستگاه برای جلوگیری از دستکاری حیاتی است، از جمله استفاده از کارت‌های SIM تعبیه‌شده (eSIMs) که قابل جدا شدن نیستند. دستگاه‌ها همچنین باید از به‌روزرسانی‌های فریمور از راه دور (FOTA) پشتیبانی کنند که نیاز به فناوری‌های شبکه، ذخیره‌سازی و قابلیت‌های پردازشی مناسب دارد. تشخیص بدافزار در این لایه ضروری است.

#2: شبکه (Network)

امنیت شبکه به طور کلی، به ویژه در شبکه‌های موبایل، قوی است، اما آسیب‌پذیری‌ها همچنان وجود دارند. برنامه‌های IoT اغلب چندین شبکه، از جمله اینترنت عمومی، را در بر می‌گیرند که خطر سوءاستفاده را افزایش می‌دهد.

اقدامات امنیتی کلیدی شامل احراز هویت دستگاه و SIM، رمزنگاری شبکه، APNهای خصوصی، تشخیص شبکه، قفل IMEI، قرنطینه دستگاه‌ها، لیست سفید DNS و استقرار سیستم‌های تشخیص و پیشگیری از نفوذ (IDS/IPS) است.

#3: انتقال (Transport)

امنیت لایه شبکه به تنهایی ممکن است کافی نباشد. امنیت لایه انتقال (TLS) اغلب، به ویژه توسط ارائه‌دهندگان ابری، برای ایمن‌سازی تحویل داده‌ها مورد نیاز است.

اقدامات معمول شامل VPNهای IPsec و ستون فقرات جهانی خصوصی است. IoT SAFE، ابتکار انجمن GSM، از کارت SIM برای ارتباط امن از ابتدا تا انتها استفاده می‌کند و احراز هویت دوطرفه و TLS را تضمین می‌کند.

#4: ابر/داده (Cloud/Data)

اقدامات امنیتی، چه داده‌ها در ابر ذخیره شوند و چه در محل، ضروری هستند. این شامل جلوگیری از دسترسی غیرمجاز، رمزنگاری، کنترل‌های دسترسی و پشتیبان‌گیری/بازیابی داده‌ها است.

امنیت ابری برای IoT همچنین شامل مدیریت اعتبارنامه‌ها، کنترل دسترسی و SDKهای دستگاه و همچنین رفع آسیب‌پذیری‌ها در رابط‌ها، APIها و نقض‌های احتمالی داده‌ها است.

#5: برنامه (Application)

امنیت برنامه حیاتی است، زیرا بسیاری از آسیب‌پذیری‌ها از برنامه‌های ضعیف طراحی‌شده ناشی می‌شوند. توسعه‌دهندگان باید امنیت را در اولویت قرار دهند و احراز هویت و حریم خصوصی داده‌ها را در طراحی برنامه ادغام کنند.

علاوه بر این، ما یک جنبه ششم را شناسایی می‌کنیم: امنیت از ابتدا تا انتها. این شامل کل سیستم است و همه لایه‌ها را برای بهینه‌سازی حفاظت ادغام می‌کند.

این شامل طراحی امن برنامه، تشخیص ناهنجاری در لایه‌ها، انطباق فروشندگان شخص ثالث و قابلیت‌های پاسخ به حوادث قوی برای مدیریت مؤثر تهدیدات سایبری است.

6 لایه امنیتی اینترنت اشیا
6 لایه امنیتی اینترنت اشیا

محیطی پیچیده و در حال تغییر

آنچه از توضیحات بالا باید مشخص باشد این است که چشم‌انداز امنیت IoT به سرعت در حال تحول است. ماهیت و مقیاس تهدیدات در حال تغییر است، همان‌طور که مقرراتی که برای مقابله با آن معرفی می‌شوند.

رویکردهای فروشندگان نیز در حال تحول است و در حالت ایده‌آل باید مدل چندلایه‌ای که در بخش قبلی ارائه شد را در بر بگیرد، از جمله توجه به امنیت از ابتدا تا انتها.

Transforma Insights توصیه می‌کند امنیت را در دو بعد در نظر بگیرید. اول، چارچوبی که برای بهینه‌سازی امنیت لازم است، شامل اندازه‌گیری مشکل، درک ظرفیت ریسک، ایجاد سیاست‌ها و فرآیندها و مدیریت شرکا، از جمله موارد دیگر.

بعد دوم به ابزارها و ویژگی‌های خاص مورد نیاز برای امنیت IoT مربوط می‌شود، که ممکن است شامل سخت‌سازی دستگاه، به‌روزرسانی‌های FOTA، ویژگی‌هایی مانند APNهای خصوصی، IoT SAFE یا VPNهای IPsec، تشخیص ناهنجاری، پاسخ خودکار به تهدیدات و اقدامات اصلاحی باشد. هدف مشترک در هر دو حوزه چارچوب و عملکردها، کاهش ریسک‌ها، پاسخ به نقض‌ها و اجرای اقدامات اصلاحی است.

اطلاعات بیشتر

اگر موضوع امنیت IoT در اولویت شما قرار دارد، و باید باشد، به وبینار Transforma Insights، Semtech و Kigen در تاریخ ۲۴ جولای ۲۰۲۴ بپیوندید، جایی که ما چالش‌های کلیدی امنیتی و بهترین راه‌های مقابله با آن‌ها را بحث خواهیم کرد.

این وبینار برای رهبران فناوری اطلاعات، فنی و مدیریت محصول از سازمان‌هایی که دستگاه‌های IoT و روترها را در شبکه‌های سلولی ملی یا جهانی مستقر می‌کنند، طراحی شده است. شرکت‌کنندگان همچنین می‌توانند در جلسه پرسش و پاسخ زنده با اعضای پنل تعامل کنند.

 

منبع: iotforall

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *