راهکارهایی برای ارتقا و بهبود امنیت تجهیزات اینترنت اشیا
اینترنت اشیا فرصتهای جدیدی را برای شرکتها و سازمانها به وجود آورده است. برای مثال آنها میتوانند از طریق این فناوری، دادهها را از حسگرهای مختلف متصل به انواع ماشینها جمعآوری کرده و نظارت بهتری بر روی عملیات و محصولات تولیدیشان داشته باشند. البته از طرف دیگر پیادهسازی و تعبیه حسگرها و تجهیزات ارتباطی بیسیم در محصولات و سیستمهای کنترل صنعتی سازمانها میتواند منجر به دسترسی هکرها به سیستمها و در نتیجه افشای دادهها یا ایجاد اختلال در عملیاتهای کسبوکاری شود و امنیت تجهیزات اینترنت اشیا را به خطر اندازد.
بر اساس گزارشهای وزارت امنیت داخلی آمریکا (DHS) تعداد حوادث اینترنت اشیا در این کشور روند صعودی داشته و در بین سالهای 2013 تا 2018 میلادی حدوداً 7 برابر شده است. محققان مؤسسه IDC پیشبینی میکنند تا پایان سال 2021 حدود دو سوم از شبکههای رایانهای شاهد حداقل یک نفوذ امنیتی مرتبط با اینترنت اشیا خواهند بود و تا پایان سال 2023 نیز حدود ده درصد از کل حملات سایبری، سیستمهای اینترنت اشیا را مورد هدف قرار خواهند داد. تحلیلگران مؤسسه گارتنر هم اعلام کردهاند که تا پایان سال 2025 میلادی هزینههای مربوط به تأمین امنیت اینترنت اشیا حدود 20 درصد از بودجه امنیت اطلاعات سالیانه سازمانها را به خود اختصاص خواهند داد، در حالی که این رقم در سال 2015 حداکثر یک درصد از بودجه آنها را شامل میشده است.
چند مثال زیر، نمونهای از حملات سایبری است که میتواند بر ضد امنیت تجهیزات اینترنت اشیا انجام شود:
- هک سیستمهای پرداخت تحت وب و فناوری عملیاتی (OT) سازمانها و دستکاری آنها
- سوءاستفاده از آسیبپذیریهای امنیتی موجود در پروتکلهای ارتباطی مورد استفاده در تجهیزات پزشکی مثل الکتروشوکهای قابل تنظیم از راه دور
- امکان تحت اختیار گرفتن کنترل خودروهای متصل به اینترنت، با استفاده از آدرس آیپی آنها
حملات اینترنت اشیا برای کاربرانی که با این شبکهها در تعامل هستند هم میتواند مشکلآفرین باشد. برای مثال در سال 2016 بدافزار Mirai کنترل تجهیزات اینترنت اشیا مثل دوربینهای مداربسته و دستگاههای ضبط ویدیویی که از تنظیمات پیشفرض کارخانه استفاده میکردند را در اختیار گرفت. سپس هر کدام از این تجهیزات به یک شرکت ارایهکننده خدمات زیرساخت اینترنت به نام “Dyn” (که میزبان وبسایتهای مهمی مانند آمازون، توئیتر، ردیت و نتفلیکس است) حمله نموده و مشکلات متعددی را برای کاربران این وبسایتها ایجاد کردند.
با توجه به حوادث امنیتی و خسارات ناشی از آنها شرکتها باید از سیستمها و شبکههای به هم پیوستهشان (به ویژه سیستمهایی که برای طراحی و تولید محصول مورد استفاده قرار میگیرند) حفاظت کافی را به عمل آورند. از این رو مدیران امنیتی سازمانها به منظور حفظ و بهبود راهکارهای دفاعیشان ابتدا باید آسیبپذیریهای موجود در هر کدام از این سیستمها و تجهیزات را شناسایی نموده و سپس برای برطرفسازی سریع آنها و افزایش امنیت تجهیزات اینترنت اشیا در کوتاهترین زمان ممکن اقدامات لازم را انجام دهند.
مخاطرات تعبیه شده در اینترنت اشیا
فناوری اینترنت اشیا با خودکارسازی قابلیتهایی که انجام دستی آنها بسیار پرهزینه است و همچنین نصب حسگرهای کمهزینه (که در صورت بروز مشکل، هشدارهای لازم را صادر میکنند) میتواند به صورت شبانهروزی و با صرف هزینه ناچیز، بر روی تمام تجهیزات تولیدی نظارت داشته باشد. همچنین با استفاده از اینترنت اشیا میتوانید وضعیت سلامت موتورهای پیشرفته را به صورت مستمر و پیوسته کنترل کنید. با این وجود اگرچه اینترنت اشیا شما را از تشکیل تیمهای بزرگ عملیاتی و انجام کارهای دستی پرهزینه بینیاز میکند ولی از سوی دیگر مخاطرات امنیتی بسیار زیادی را نیز با خود به همراه خواهد داشت.
طراحان تجهیزات اینترنت اشیا معمولاً تلاش میکنند بیشترین قابلیت و بالاترین سطح عملکرد را در تجهیزات خود پیادهسازی کنند و عموماً توجه چندانی به میزان سطح امنیت آنها ندارند. همچنین امکان نظارت متمرکز بر روی این تجهیزات جهت شناسایی حملات سایبری وجود نداشته و بسیاری از آنها نیز به ندرت بهروزرسانی میشوند. به همین خاطر حملاتی مثل باتنتهای اینترنت اشیا با سرعت چشمگیری گسترش و توسعه مییابند.
بعضی از مهمترین دلایلی که تجهیزات اینترنت اشیا را در مقایسه با سایر فناوریها بیشتر در معرض حملات سایبری قرار میدهند، به شرح زیر هستند:
- نظارت بر روی تمام تجهیزات اینترنت اشیا تقریباً غیرممکن است (برای مثال تعداد این تجهیزات در شرکتهای خودروساز که سیستمهای تحت ابر یا خودروهای هوشمند را طراحی میکنند، میلیونها عدد است).
- توزیع گسترده حسگرهای اینترنت اشیا در محصولات و ماشینهای مختلف که در سطح جهان مستقر شده یا در حال جابهجایی هستند منجر به گستردگی موقعیت جغرافیایی این چالش امنیتی شده است.
- ماهیت نسبتاً جدید این فناوری موجب شکلگیری پلتفرمهای ناهمگونی شده که باید مدیریت شوند. همچنین تجهیزات اینترنت اشیا شامل سختافزارها و نرمافزارهای تولید شده توسط شرکتهای مختلف هستند. بنابراین ارزیابی آسیبپذیری، بهروزرسانی نرمافزاری و مدیریت مستمر مخاطرات این تجهیزات، یک چالش چندوجهی به شمار میرود که نیازمند مشارکت جدی تمام دستاندرکاران این حوزه است.
شناسایی تهدیدات نوین
در گام اول، مدیران سازمانها و کسبوکارها باید تیمهایی متشکل از متخصصان امنیتی را جهت رسیدگی به مشکلات کنونی و مدیریت مخاطرات آتی ناشی از تجهیزات متصل به اینترنت تشکیل دهند. سپس این تیمها برای ارزیابی چالشهای امنیتی اینترنت اشیا باید ابتدا به یک درک جامع از چشمانداز این فناوری رسیده و پس از تحلیل کافی تجهیزات متصل به اینترنت، نقاط آسیبپذیر آنها را شناسایی کنند.
یک طرح مناسب جهت بررسی و بازنگری تجهیزات متصل به اینترنت، شامل مراحل زیر است:
- انتساب یک تیم مرکزی که مسئولیت رسیدگی به امنیت تجهیزات اینترنت اشیا را بر عهده دارد.
پیش از تشکیل این تیم، در گام نخست باید سطح رشد و تکامل فناوری اطلاعات و فناوری عملیاتی سازمان (از نظر اصول و مهارتهای درونسازمانی) ارزیابی شود. در سازمانها کارشناسان امنیت، دارای تجربه بیشتری برای مدیریت امنیت اطلاعات هستند ولی از سوی دیگر ممکن است تیمهای فناوری اطلاعات و فناوری عملیاتی به دلیل عدم وجود ارتباط مناسب با یکدیگر و همچنین شناخت ناکافی آنها از محیطهای کاری همدیگر، نسبت به هم بیاعتماد باشند. بنابراین ممکن است یکسری تضاد برای انجام چنین کاری در سازمانها ایجاد شود.
تشکیل یک تیم مشترک، شامل مدیر ارشد امنیت اطلاعات، مسئول امنسازی تجهیزات اینترنت اشیای سازمان، کارشناسان سیستمهای کنترل عملیاتی (مثل سیستمهای کنترل ادغام شده) و امنیت فناوری اطلاعات است. همچنین استانداردهای تعریف شده برای فناوری اطلاعات و فناوری عملیاتی مثل استاندارد ISO 27001 و استاندارد ISA/IEC-62443 برای طراحی و پیادهسازی سیستم مدیریت امنیت اطلاعات و پیشگیری از وقوع حملات سایبری بر ضد شبکه صنعتی میتوانند نقش یک منبع جامع را داشته باشند. به این ترتیب تیم متشکل نیز از اصولی واحد و مشترک برای حفاظت از تجهیزات فناوری عملیاتی استفاده خواهد کرد.
اقداماتی که توسط این تیم باید انجام شود، عبارتند از:
- نظارت بر روی سازگاری سیستمهای کنترل، از طریق سیاستهای مدیریت تجهیزات اینترنت اشیا در سازمان
- اطمینان از بهروز بودن وصلههای امنیتی نرمافزاری برای تجهیزات تولیدی، زیرساختها و تجهیزات اینترنت اشیا
- نظارت مستمر جهت پیروی از اصول و الزامات امنیتی
- نظارت مداوم بر روی محیط شبکه
همچنین این تیم نباید از بهروشهای جدیدی که برای امنیت دستگاههای اینترنت اشیا ارایه میشوند، غافل گردد. طراحان و تولیدکنندگان تجهیزات هم میتوانند خدمات نگهداری و پشتیبانی از محصولاتشان را از راه دور ارایه کنند. البته اگرچه این خدمات برای شرکتهایی که از تجهیزات اینترنت اشیا استفاده میکنند مفید هستند اما این دسترسیهای راه دور باید کنترل شده و امن باشند.
- مشخص کردن مکان استقرار تجهیزات حیاتی اینترنت اشیا در سازمان
اولویت اصلی، شناسایی همه تجهیزات و حسگرهای متصل به اینترنت و همچنین دستگاههایی است که ممکن است مخاطرات امنیتی مهمی را ایجاد کنند. سازمانها معمولاً در این مرحله، تجهیزاتی را پیدا میکنند که پیش از این از وجودشان اطلاعی نداشتند! تیمهای امنیتی باید تجهیزاتی که دارای آسیبپذیریهای جدی و حیاتی هستند را از سایر تجهیزات تفکیک و جداسازی کنند. همچنین ممکن است مخاطرات امنیتی یک دستگاه، کمتر از منابع و بودجهای باشد که برای نظارت بر روی آن لازم است. در این صورت صرف بودجه و زمان برای کنترل چنین تجهیزاتی دیگر چندان ضرورت ندارد.
تجهیزات متصل به اینترنت معمولاً در سیستمهای فناوری اطلاعات و سیستمهای فناوری عملیاتی شامل شبکهها و مکانهای جغرافیایی مختلف، توزیع شده یا در شبکههای مجزای درون کارخانجات صنعتی یافت میشوند. موارد زیر مثالهایی از تجهیزات اینترنت اشیا هستند:
- نقاط انتهایی شبکه مثل کامپیوترها، لپتاپها، گوشیهای تلفن همراه هوشمند و سایر تجهیزات رایانشی قابل حمل
- تجهیزاتی که توسط کامیونها، کشتیها و کانتینرهای حملونقل جابهجا میشوند.
- سیستمهای کنترل صنعتی تحت مدیریت سامانه سرپرستی و گردآوری داده (SCADA[1]) در کارخانجات و سایر تشکیلات
- زیرساختهای سنتی مثل کنترلگرهایی که برای مدیریت جریان برق، آب و گاز طبیعی استفاده میشوند.
- شناسایی نرمافزارهای آسیبپذیر در تجهیزات اینترنت اشیا
بزرگترین خطری که تجهیزات اینترنت اشیا را تهدید میکند، آسیبپذیریهای نرمافزاری است. هر سازمان باید یک فهرست کامل از تمام نرمافزارهایش تهیه نموده و آنها را ارزیابی و آسیبپذیریهایشان را شناسایی کند.
همچنین شرکتهای مختلف از پروتکلهای نرمافزاری گوناگونی استفاده میکنند که آسیبپذیریهای هر کدام از آنها باید مورد ارزیابی قرار گیرد. برای مثال تیمهای امنیتی باید بررسی کنند که آیا امکان استفاده از یک محصول خاص از راه دور توسط هکرها وجود دارد یا خیر؟ در این صورت چگونه میتوان این نقطه ضعف را برطرف کرد. در بعضی از تجهیزات، تغییر تنظیمات امنیتی ارایه شده همراه محصول جهت مقابله با مخاطرات کافی است اما در سایر دستگاهها (از جمله نسلهای مختلف تجهیزات ویندوزی) ممکن است جهت رفع آسیبپذیریهای شبکه، وصلههای امنیتی مخصوصی طراحی و منتشر شده باشد.
عدم توجه کافی به بهروزرسانی نرمافزارها میتواند سیستمها را در معرض حملات سایبری مختلف قرار دهد. برای مثال میتوان به حملهای اشاره کرد که در سال 2017 میلادی رخ داد و منجر به آلودگی دهها هزار کامپیوتر که وصلههای امنیتی بر روی آنها نصب نشده بود، در سطح جهان گردید.
- شناسایی تجهیزاتی که میتوانند نقش یک نقطه ورودی به شبکه را داشته باشند.
شرکتها علاوه بر ارزیابی سختافزارها و نرمافزارهای فعلیشان باید تجهیزات جدیدی که به شبکه متصل میشوند و ممکن است متعلق به خود سازمان، مشتریان، شرکای تجاری یا پیمانکاران باشند را نیز زیرنظر داشته باشند. میتوانید در صورت امکان از فناوریهای خودکار برای شناسایی تجهیزات جدید استفاده کنید.
همچنین باید دستگاههای مجزایی که از تجهیزات اینترنت اشیای شما پشتیبانی میکنند را شناسایی نمایید. سپس آسیبپذیریهای این دستگاهها را ارزیابی نموده و وصلههای امنیتی را بر روی آنها نصب کنید. اگر این دستگاهها متعلق به افرادی در خارج از سازمان هستند، آنها را هم ملزم به انجام این کار نمایید.
- توجه به تهدیدات نوظهور
همواره تمام تجهیزات متصل به شبکه را زیرنظر داشته تا کوچکترین نشانهای را که میتواند منجر به وقوع یک تهدید امنیتی شود، به سرعت شناسایی نمایید. چنین نشانههایی معمولاً یا ناشی از اشتباه توسعهدهنده نرمافزار هستند یا به دلیل متنباز بودن آنها رخ میدهند؛ زیرا هکرها همیشه به دنبال سوءاستفاده از آسیبپذیریهای ناشناخته در کدهای نرمافزاری هستند. بهتر است تجهیزاتی را که مورد هدف هکرها هستند از شبکه تفکیک کرده و وصلههای امنیتی را بر روی آنها نصب نمایید.
- بررسی تجهیزات جدید، قبل از اتصال آنها به شبکه
قبل از اتصال تجهیزات جدید به شبکه مطمئن شوید که وصلهها و قابلیتهای امنیتی لازم بر روی آنها نصب/ فعال شده و بهروزرسانیهای لازم بر روی هر یک از آنها انجام شده است.
- از شرکای تجاری خود بخواهید که اصول امنیتی را رعایت کنند.
شرکای تجاری که به شبکههای شما دسترسی دارند نیز باید اصول امنیتی را رعایت کرده و همسو با سیاستهای سازمانیتان اقدام به پیادهسازی الزامات امنیتی کنند. برای مثال یک پیمانکار تعمیرات که به سیستمها و تجهیزات متصل به شبکه شما دسترسی دارد باید اصول امنیتی مثل بهروزرسانیهای نرمافزاری را به طور کامل رعایت کرده و برای دسترسی به شبکه شما از سیاستهای سازمانیتان پیروی کند.
- همواره باید به نسخههای پشتیبان دسترسی داشته باشید.
طرح امنیت سایبری برای حفظ امنیت تجهیزات اینترنت اشیای شرکت باید با طرح مدیریت مخاطرات کلی شما همسو بوده و شامل فرایندهایی برای تداوم کسبوکار و بازیابی پس از وقوع فاجعه باشد. همچنین امنیت اینترنت اشیای شرکت را نیز در هنگام وقوع یک حادثه در نظر بگیرید.
مثالهایی از ایجاد امنیت تجهیزات اینترنت اشیا
مثال شماره یک
شرح وضعیت: مدیران یک شرکت تولیدی در جریان بودند که در محیط کارخانه آنها یکسری ارتباطات وایفای و نرمافزاری به صورت ترکیبی از تجهیزات سنتی و مدرن وجود دارد. این تجهیزات شامل کنترلگرهای منطقی برنامهپذیر (PLC)، سیستمهای SCADA و رابطهای انسان – ماشین جهت کنترل فرایندهای صنعتی بودند. در این شرکت، تجهیزات متصل به شبکه دیگری نیز از جمله تجهیزات مورد استفاده کارمندان برای اجرای فرایندهای کاری، تداوم کسبوکار و مدیریت حادثه هم وجود داشت.
اقدامات انجام شده: این شرکت از ابزارهای نرمافزاری غیرتهاجمی طراحی شده برای سیستمهای فناوری اطلاعات استفاده نموده و آنها را جهت کار با پروتکلهای شبکه عملیاتی به گونهای تنظیم کرد تا همه دستگاهها را اسکن و آسیبپذیریهایشان را شناسایی کند. تیمهای امنیتی نیز تمام آسیبپذیریهای شناسایی شده را برطرف کردند. این شرکت، فرایند اسکن دستگاهها را در تمام دفاتر خود یکی پس از دیگری انجام داد.
نکته: این شرکت تولیدی با استفاده از اصول امنیتی طراحی شده برای سیستمهای فناوری اطلاعات توانست مخاطرات امنیتی را در تشکیلات خودش شناسایی و آنها را مرتفع نماید. این شرکت همچنین امکان نظارت بر روی تجهیزات و نرمافزارها و همچنین بهروزرسانی آنها و روشهای خاص خود برای مقابله با آسیبپذیریهای آتی را نیز فراهم کرد.
مثال شماره دو
شرح وضعیت: مدیران یک شرکت آب و برقی به دنبال روشی برای شناسایی مشکلات امنیتی و برطرفسازی آنها بودند.
اقدامات انجام شده: این شرکت با اجرا و پیروی از الزامات استاندارد ISO 27001 که متناسب با امنیت فناوری عملیاتی طراحی شدند، یک ارزیابی 12 تا 18 ماهه از تواناییهای امنیتی و همچنین اصول و کنترلهای امنیتیاش را انجام داد. داراییهای ارزیابی شده شامل کنترلگرها، رابطهای انسان – ماشین، سیستمهای مدیریت دارایی و همچنین تجهیزات سازماندهی خدمات میدانی بودند. لازم به ذکر است که در این ارزیابیها به طرحهای مدیریت حوادث و همچنین تداوم کسبوکار امنیت فناوری عملیاتی نیز توجه جدی شد.
این ارزیابیها به شناسایی داراییهایی که دارای مخاطرات زیادی هستند و نیز سایر مواردی که نیازمند توجه فوری بوده و شرکت باید در طرح مدیریت امنیت فناوری عملیاتی خود به آنها توجه لازم را داشته باشد، کمک کردند.
نکته: این شرکت با رعایت و پیروی از اصول امنیت اینترنت اشیا توانست وضعیت مدیریت مخاطرات امنیتی خود را بهبود ببخشد.
نتیجهگیری
سازمانهایی که خواهان استفاده از قابلیتها و توانمندیهای اینترنت اشیا هستند باید مخاطرات نفوذ امنیتی یا از دست دادن توانایی کنترل سیستمهای عملیاتی مهم را ارزیابی نموده و یک پایه و اساس قوی را جهت مدیریت مستمر مخاطرات و تامین امنیت تجهیزات اینترنت اشیا ایجاد کنند. سازمانها با پیادهسازی برنامههای طراحی شده و انجام اقدامات لازم جهت پیشگیری از مشکلات امنیتی مثل نصب وصلههای امنیتی بر روی سیستمها و ایجاد رویههای رسیدگی به اختلالات امنیتی میتوانند با حملات سایبری و تهدیدات امنیتی به صورت اثربخش مقابله کنند.
مدیران اجرایی با انجام این اقدامات میتوانند مطمئن شوند که زمان و منابع بخشهای فناوری عملیاتی و فناوری اطلاعات وقف همکاری با یکدیگر میشود. مدیران فناوری اطلاعات و فناوری عملیاتی هم باید بر روی وضعیت فعلی، نظارت کافی داشته و از اصول امنیتی برای مقابله با مخاطرات موجود استفاده کرده و به حوادث به سرعت پاسخ دهند. یک راهکار امنیتی قوی، مستلزم ارزیابی مداوم و توجه به برطرفسازی سریع آسیبپذیریهای تجهیزات اینترنت اشیا است.
[1] Supervisory Control And Data Acquisition
منبع: tcs