فناوری شهرهای هوشمند: آیا امکان هک شدن این شهرها وجود دارد؟

امنیت در شهرهای دیجیتال

دستگاه‌های متصل مختلف، زندگی را برای ما انسان‌ها ساده‌تر می‌کنند و راحتی‌ای که تکنولوژی اتصال دستگاه‌ها به دنیای فیزیکی اطرافمان برای ما فراهم کرده وقتی که امکان دسترسی به این دستگاه‌ها برای افراد بیشتری فراهم شود – یعنی کل یک شهر – بیشتر می‌شود.

هرچند دهه‌هاست که شهرها از تکنولوژی‌های جدیدی برای اتصال دنیای فیزیکی به دنیای دیجیتال استفاده می‌کنند، اما در حال حاضر نرخ انجام این کار رو به افزایش است و خود این تکنولوژی‌ها هم بشدت پیشرفته شده‌اند. این تکنولوژی‌ها و حجم اتصال بسیار زیادی که توسط آن‌ها ایجاد شده، باعث ایجاد نتایج مثبت و منفی زیادی شده‌اند.

پتانسیل‌ها و امیدهای ایجاد شده توسط فناوری شهر هوشمند

اینترنت اشیا، منجر به پیشرفت‌های تکنولوژیکی‌ای می‌شود که مزایای بسیار زیادی برای شهرهایی که از آن استفاده می‌کنند، دارد. در شهرهای هوشمند (Smart Cities یا Intelligent Cities) همان‌طور که از نام‌شان پیداست دستگاه‌های مختلف با زیرساخت‌های فیزیکی ادغام می‌شوند و این امر باعث می‌شود امکان ارتباطات بی‌وقفه، کم کردن هزینه‌ها، ارائه سرویس‌های بهتر برای شهروندان از طریق اتوماسیون و جمع‌آوری و تحلیل دقیق‌تر داده‌ها فراهم شود و این شهرها بتوانند برای آینده‌ای بهتر برنامه‌ریزی کنند.

برای مثال تکنولوژی‌های مربوط به چراغ راهنمایی و حسگرهای پارک باعث بهبود الگوهای ترافیک و کاهش مسائل و مشکلات مربوط به پارک خودرو و دی اکسید کربن ناشی از آن می‌شوند. سطل زباله‌های هوشمند، پر شدن‌شان را اطلاع می‌دهند، لوله‌های آب هوشمند، قابلیت ارزیابی کیفیت آب، نشت آب و غیره را دارند و زمان دقیق توقف اتوبوس و قطار به صورت بلادرنگ به مسافرین اطلاع‌رسانی می‌شود. شهرهای مختلف دنیا از جمله بارسلونا، واشنگتن، شیکاگو، لندن و سئول در راستای تحول به سمت هوشمند شدن، تکنولوژی‌های ذکر شده و یکسری تکنولوژی‌های دیگر را بکار بسته‌اند.

فقدان یک فاکتور مهم …

با این که دولت‌های مختلف در سراسر دنیا از اینترنت اشیا برای ایجاد شهرهای هوشمند استفاده می‌کنند، اما هنوز یک مسئله بزرگ یعنی امنیت اینترنت اشیاء وجود دارد که تا همین چند سال اخیر توجه چندانی به آن نشده بود.

مقیاس بسیار عظیم اتصالات در سطح شهرهای هوشمند باعث شده که یک آسیب‌پذیری واحد بتواند اثرات مخرب شدیدی برای شهروندان و دولت‌هایی ایجاد کند که از این تکنولوژی‌ها استفاده می‌کنند. آن طور که استراتژیست امنیت Cesar Garlati به مجله SCMagazine اعلام کرده “هر چند تراشه‌ها و حسگرهایی که در اکثر این دستگاه‌ها وجود دارند آن‌قدر کوچک هستند که ممکن است امنیت آن‌ها به عنوان یک “مسئله” حس نشود، اما تعداد زیاد این دستگاه‌ها بخصوص حجم زیاد تجهیزات هوشمندی که برای حفظ یک شهر هوشمند مورد نیاز است، به این معناست که این مسئله می‌تواند تبدیل به یک مشکل واقعی شود.” با استفاده روز‌افزون از تکنولوژی‌های لازم برای هوشمند سازی شهرها و جایگزینی کامل یا ارتقای زیرساخت‌های کنونی با این تکنولوژی‌ها، خطرات همراه با این تکنولوژی‌ها هم روزبه‌روز بزرگ‌تر و پیچیده‌تر می‌شوند.

پیش از این هم همه ما شاهد بوده‌ایم که چطور هک اینترنت اشیاء حتی در مقیاس کوچک می‌تواند منجر به مسائل و مشکلات بزرگی شود از جمله هک خودروی جیپ که سروصدای زیادی به پا کرد، یا وقتی محققین از راه دور یک خودرو را در بزرگراه از کار انداختند، یا وقتی هکرها توانستند برقی به ارزش صدها میلیون دلار را از طریق کنتورهای هوشمند به سرقت ببرند و وقتی مشخص شد که ممکن است اطلاعات حساب جی‌میل صاحبان یخچال‌های هوشمند افشا شود. همچنین سه سال پیش محققین امنیتی دانشگاه میشیگان توانستند چراغ راهنمایی حدود 100 تقاطع را که متوجه شده بودند هیچ کنترل امنیتی ندارند، هک کنند. چندی پیش هکرها به سیستم هشدار دولتی شهر دالاس حمله کردند و با روشن کردن تمام 156 آژیر اضطراری شهر در نیمه‌شب، باعث ایجاد وحشت زیادی در سطح شهر شدند.

تقریبا 11 سال پیش نیز چند نفر از مهندسان ترافیک که برای شهر لس آنجلس کار می‌کردند متهم به دست‌کاری سیستم‌های کنترل ترافیک چهار تقاطع اصلی شهر شدند که این کار باعث شد قبل از این که متخصصین، سیستم را تعمیر کنند، چندین روز ترافیک شدید در شهر ایجاد شود. این حملات، جدید نیستند پس چرا مدیران و مسئولان وقتی تکنولوژی‌های هوشمند را در مقیاس عظیم پیاده‌سازی می‌کنند اقدامات لازم جهت محافظت از شهرها و شهروندان را انجام نمی‌دهند؟ قطعاً اگر به جای یخچال‌های هوشمند، زیرساخت‌های مهم شهر هک شوند پیامدهای مخرب زیادی برای این شهرهای هوشمند ایجاد خواهد شد. پس اکنون زمان توجه بیشتر به امنیت شهرهای هوشمند فرا رسیده است.

نگرانی فعلی درباره شهرهای هوشمند:

برای کاهش نگرانی‌ها و خطراتی که شهرهای هوشمند را تهدید می‌کنند، اول از همه باید مشکلات و خطراتی که این شهرها را تهدید می‌کنند، شناسایی کنیم. در ادامه مهم‌ترین نگرانی‌ها درباره شهرهای هوشمند را بررسی می‌کنیم:

عدم وجود تست امنیتی مناسب

متاسفانه اکثر اوقات، امنیت، یک هدف کاری محسوب نمی‌شود، اما وقتی قرار است محصولی سرویس‌ها و خدماتی را در سطح یک شهر ارائه کند که شامل زیرساخت‌های حیاتی شهر هم هستند، باید توجه ویژه‌ای به امنیت داشت. فقدان تست‌های امنیتی هم از طرف فروشنده‌ها و هم دولت‌هایی که از تکنولوژی‌های شهر هوشمند استفاده می‌کنند از مشکلات عمده‌ای است که در آینده گریبان گیر هر دوی این گروه‌ها خواهد شد. آن طور که یکی از محققین امنیتی متوجه شده “در [شهرهای هوشمند] تست‌های زیادی برای بررسی عملکرد سیستم و دستگاه‌ها انجام می‌شود اما هیچ تست امنیتی صورت نمی‌گیرد… بنابراین مدیران این شهرها به فروشنده‌ها اعتماد می‌کنند.”

عدم وجود تیم‌های امنیتی و تیم پاسخگویی به حوادث رایانه‌ای در شهرهای هوشمند

بعد از نگرانی اول که فقدان تست‌های امنیتی لازم بود، نگرانی دوم عدم وجود تیم‌های پاسخگویی به حوادث رایانه‌ای یا به اختصار CERT در شهرهای هوشمند است. با رشد وابستگی دولت‌ها به اینترنت اشیاء باید تعداد متخصصین امنیت که وظیفه تست و ایمن‌سازی این تکنولوژی‌ها را دارند هم افزایش پیدا کند. بعلاوه هر شهری یکسری پروتکل اورژانسی برای حوادثی مثل طوفان، زلزله و حملات تروریستی دارد اما پروتکل‌های پاسخگویی اضطراری برای حملات سایبری هنوز ایجاد نشده‌اند.

پیچیدگی پیاده‌سازی patchها و آپدیت سیستم‌ها

در زمینه تضمین امنیت دستگاه‌ها لازم است یک حس مسئولیت‌پذیری مشترک بین نهادهای حکومتی و فروشندگان تکنولوژی‌های مربوط به شهرهای هوشمند وجود داشته باشد. تا همین اواخر هر دو طرف از این مسئولیت‌ها شانه خالی می‌کردند که همین منجر به ایجاد یک اکوسیستم ناامن شده بود. در حال حاضر به دلیل لایه‌های پیچیده زیرساخت شهرهای هوشمند، ارائه patchها و آپدیت‌های امنیتی، سخت یا غیرممکن است.

امنیت ضعیف تکنولوژی شهر هوشمند

Cesar Cerrudo، مدیر ارشد فناوری یک شرکت تحقیقات امنیتی، تحقیقات گسترده‌ای در زمینه امنیت تکنولوژی‌های شهر هوشمند انجام داده و متوجه شده است که “خیلی از شرکت‌هایی که سیستم‌های هوشمند را می‌فروشند، در فراهم آوردن امنیتی کارآمد و مؤثر مثل رمزنگاری، ناموفق هستند. این مسئله وقتی قرار است تعداد بی‌شماری دستگاه مختلف، داده‌ها را به صورت بی‌سیم ارسال کنند، بسیار چشمگیر و مهم می‌شود.” حتی خیلی از فروشنده‌ها از فروش محصولاتشان به شرکت‌های امنیتی – از جمله کمپانی خود Cerrudo – امتناع می‌کنند. که این کار جدا از تست امنیت (که همان‌طور که اشاره شد به ندرت انجام می‌شود) بهترین روش برای پیدا کردن و رفع آسیب‌پذیری‌های موجود در این محصولات است و ارائه محصولاتی ایمن را تضمین می‌کند. ایجاد امنیت با ابهام و گمنامی، کار بسیار خطرناکی است و ممکن است در آینده منجر به ایجاد مشکلات پیچیده‌تری شود. آن طور که Cerrudo در تحقیقاتش متوجه شده، 200 هزار حسگر کنترل ترافیک آسیب‌پذیر در شهرهایی مثل لندن، واشنگتن و ملبورن استفاده می‌شوند و وی به وب‌سایت Register اعلام کرده است که “ما مدام در حال مشاهده استفاده از تکنولوژی‌های بشدت آسیب‌پذیر … برای زیرساخت‌های شهری هستیم که هیچ آزمون امنیتی روی آن‌ها انجام نمی‌شود.”

عدم وجود مقررات لازم در رابطه با تکنولوژی شهر هوشمند

با توجه به نو بودن و تازگی مفهوم شهر هوشمند و تکنولوژی‌هایی که برای هوشمند سازی این شهرها استفاده می‌شوند، هیچ تلاش جدی در راستای امنیت این شهرها انجام نگرفته است. با توجه به این که دولت‌ها و فروشندگان تکنولوژی‌های هوشمند از این مسئولیت، شانه خالی می‌کنند فقدان یک نهاد مسئول برای تضمین امنیت زیرساخت شهرهای هوشمند حس می‌شود.

ملاحظاتی برای ایمن نگه داشتن شهرهای هوشمند

1. فروشندگان تکنولوژی شهر هوشمند باید حین توسعه محصولات، تست‌های امنیتی قوی‌ای را پیاده‌سازی کنند و شهرهایی که این تکنولوژی‌ها را مستقر و استفاده می‌کنند باید تست‌های امنیتی را بر روی این محصولات انجام دهند تا این اطمینان ایجاد شود که تجهیزات مختلف به صورت ایمن با هم ارتباط برقرار می‌کنند. لازم است که مسئولیت امنیت بین هر دو طرف تقسیم شود. همچنین باید تست SAST (تست ایستای امنیت اپلیکیشن) در پروتکل‌های تست فروشنده‌ها و دولت‌ها وجود داشته باشد. بعلاوه تست IAST (تست تعاملی امنیت اپلیکیشن) هم یک ابزار مفید دیگر است که به شناسایی آسیب‌پذیری‌هایی که می‌توانند به شهرهای هوشمند آسیب برسانند، کمک می‌کند.

2. هر شهری که از تکنولوژی‌های هوشمند استفاده می‌کند باید یک تیم پاسخگویی به حوادث رایانه‌ای داشته باشد تا بتواند به سرعت با آسیب‌پذیری‌ها مقابله کرده، حملات را خنثی کرده و با فروشندگان تجهیزات اینترنت اشیا برای تولید محصولاتی امن‌تر و رفع هر چه سریع‌تر مشکلات امنیتی همکاری کند. همچنین تیم‌های امنیت شهری می‌توانند بررسی کنند که برای پیشگیری از این مشکلات امنیتی از پروتکل‌های رمزنگاری و احراز هویت قوی و کارآمدی استفاده شود.

3. در حال حاضر دستورالعمل‌هایی توسط طرح ایمن‌سازی شهرهای هوشمند ارائه شده که گام بزرگی رو به جلو محسوب می‌شود، هر چند این گام، کافی به نظر نمی‌رسد. لازم است نهادهای مقرراتی مثل PCI-DSS و HIPAA نظارت و الزامات قانونی را بر تولیدکنندگان تکنولوژی‌های شهر هوشمند بیشتر کنند تا این اطمینان ایجاد شود که محصولاتی که این شرکت‌ها به دولت‌ها و افراد می‌فروشند به‌خوبی ایمن‌سازی شده باشند. تا به امروز جریمه‌های سنگین و مجازات‌هایی که PCI و HIPAA برای صنایع پزشکی و تجارت الکترونیک مقرر کرده‌اند پاسخگویی خوبی داشته‌اند و این روش می‌تواند برای ایمن‌سازی صنعت اینترنت اشیاء هم مؤثر واقع شود.

تخمین زده شده که تا سال 1400 تعداد دستگاه‌های متصل در جهان به 50 میلیارد عدد برسد. هر چه زیرساخت‌های فیزیکی دنیا بیشتر به دنیای دیجیتال متصل می‌شوند، لازم است آگاهی فروشندگان و دولت‌ها هم نسبت به خطرات امنیتی که در کنار راحتی و خدمت رسانی بیشتر توسط تکنولوژی شهر هوشمند ایجاد می‌شوند، افزایش پیدا کند.