Internet-of-Things, טכנולוגיית סיכון מערכתית. כאן כי

02/08/21

עבור האינטרנט של הדברים (IoT) פירושו כל אותן טכנולוגיות המאפשרות שימוש באובייקטים חכמים, כלומר חיישנים ומפעילים אותם ניתן לתכנת או להשתמש בהם מרחוק באמצעות, למשל, אפליקציה מטלפון נייד או תוכנית מהמחשב של מרכז מבצעים. זהו מקרה של חיישנים המשמשים, למשל, את המצלמות שאיתן מפקחים על חיות מחמד כשאתה רחוק מהבית, או את מצלמת המהירות העירונית המעבירה אוטומטית תמונות של צלחות לרכב למשטרה המקומית, ולא את מד הלחץ של. כור גרעיני ששולח אזעקה למרכז הבקרה; וזה, ברור, הממסר החכם שמפעיל את מערכת ההשקיה של גינת הבית, או אמצעי הסרוו לפתיחת דלתות תת קרקעיות אוטומטיות, או מערכת הבקרה של שסתום הצפת הסכר. צופה על כפר הררי.

אובייקטים חכמים אלה ישפרו יותר ויותר את איכות חייהם של אנשים, את האפקטיביות והרווחיות של תהליכים תעשייתיים, את בטיחות האומות. אך עובדה היא שהיום הם מציגים סיכונים חדשים, שהסיכוי שלהם להתרחש גבוה בדרך כלל מסיכוני האבטחה המקבילים אליהם נתונים מחשבים, טאבלטים וסמארטפונים.

והסיבה לכך פשוטה: בעוד שלממשלות, לאקדמיה ולתעשיית המחשבים והתוכנות עומדים מאחוריהם עשרות שנים של מחקר ופיתוח אבטחת סייבר בתחום טכנולוגיות המידע, יצרני החפצים החכמים ומפתחי מערכות הבקרה התעשייתיות - בין אם מדובר במכשירים שפותחו לאחרונה מאשר גרסאות מותאמות של דגמים מסורתיים - אין להם ניסיון בעושר הידע של הגנת הסייבר שנרכש ופותח בעולם ה- IT.

יתר על כן, הדחיפה להכניס "אינטליגנציה" בעלות נמוכה, וכתוצאה מכך שימוש במערכות עם יכולת חישוב מופחתת וצריכת אנרגיה מוגבלת כדי להימנע משימוש בסוללות בעלות קיבולת גבוהה, הופכת פתרונות שפותחו עבור שרתים לבלתי שמיש במקרים רבים. וסמארטפונים, חפצים שאין להם מחסום עלויות.

התוצאה היא שהיום מכשירי IoT - בניגוד למה שקורה באופן שיטתי עבור שרשרת אספקה של מכשירי IT ותוכנות - בדרך כלל הם אינם מיוצרים תוך שילוב של תכונות אבטחת הרשת הדרושות כדי לסייע בהפחתת הסיכונים הקשורים לכך, ואף אין יכולות דומות באופן כללי המסוגלות לתמוך במשתמשים בשלב ההתקנה וההפעלה.

וכגורם סיכון מובהק, קחו בחשבון גם כי חיישנים ומפעילים אלה, אשר נוצרו מוכן לאינטרנט, לעתים קרובות יש להם גם פונקציונליות plug & playכלומר, הם מתחברים לרשת ומתחילים לעבוד ללא צורך בפעולות התקנה ותצורה מקדימות, ואף מטבעם אין להם את הפונקציונאליות - האופיינית בעולם ה- IT - של חסימת הפגישה לאחר תקופה של חוסר פעילות. מחקר שנערך לאחרונה הראה כיצד במהלך נעילה, בדממת המשרדים הסגורים לציבור, המשיכו IoTs לפעול ללא שליטה, וחשפו רשתות ארגוניות מתקנים.

יש לגשר על פער זה בהקדם האפשרי והעולם המדעי מתפתח, יחד עם התעשייה ועם גורמי הפיקוח והרגולציה, שורה של דרישות והמלצות - בעקבות הדוגמה של מה שקיים כבר בתחום ה- IT - לדחוף לשקול הנחות סיכון ספציפיות ולכוון לפקח על תחומי הפחתה שונים.

יש בעצם שלוש הנחות סיכון שיש לקחת בחשבון. קודם כל שאובייקטים חכמים ינצלו יותר ויותר לביצוע התקפות מתואמות עם השפעות מוחשיות, כמו גם השתתפות בהתקפות DDoS (מניעת שירות מבוזרת: עבור הדיוט, מדובר בהתקפה על שרת שמטרתו "להציף אותו" כדי למנוע זה ממתן השירות) כנגד ארגונים אחרים, יירוט של תעבורת רשת או פשרה של מכשירים אחרים באותו פלח רשת. אירוע ה- 21 באוקטובר 2016 חל כדוגמה לכולם, לאחר יצירת אחד הגדולים botnet נוצר על ידי IoT, כלומר רשת חשאית של אובייקטים חכמים הנשלטים בחשאי ללא ידיעת בעליהם הלגיטימיים, DDoS נוצרו בשירות DNS (מערכת שמות תחומים: עבור מתחילים זה קצת דומה לספריית הטלפונים או לספריית הרחובות שהאינטרנט משתמש בהם לשייך את הכתובת המספרית לשמות אתרים או דומיינים של דואר אלקטרוני). הפיגוע מנע ממשתמשים לגשת למשאבי האינטרנט הגדולים ביותר בארצות הברית, כולל טוויטר, ספוטיפיי ופייפאל.

שתי ההערכות הנוספות נוגעות לעובדה ש: מכשירי IoT המכילים נתונים יותקפו על ידי התקפות CIA (סודיות, יושרה, זמינות) כדי לגנוב, להתפשר או לא להפוך את המידע המאוחסן שם או מועבר עבורם; וכי ניתן לבצע התקפות על האינטרנט של הדברים כדי לפגוע בפרטיותם של אנשים.

מכאן הצורך להבטיח את ההגנה הפיזית של המכשירים, את האבטחה ההגיונית של הנתונים ובמקרים בהם מעובדים נתונים אישיים, את ההגנה על הזכות לפרטיות.

מנקודת מבט זו, היצרנים יצטרכו להבטיח שליטה טכנולוגית בחמישה תחומי הפחתה הכוללים: שמירה על מלאי מעודכן ובזמן של כל מכשירי ה- IoT והמאפיינים הרלוונטיים שלהם (ניהול נכסים); זיהוי והפחתת נקודות תורפה ידועות בתוכנות התקנים, למשל על ידי התקנת תיקונים ושינוי והגדרות תצורה (ניהול פגיעות); הימנע מגישה פיזית והגיונית בלתי מורשית ובלתי הולמת (ניהול גישה); למנוע גישה והתעסקות עם נתונים השמורים במכשיר או במעבר שעלולים לחשוף מידע רגיש או לאפשר מניפולציה או הפרעה של פעולות המכשיר (הגנת נתונים); ולבסוף את פעילויות זיהוי התקריות באמצעותן ניתן לעקוב ולנתח את פעילות מכשיר ה- IoT כדי להדגיש אינדיקטורים של פשרה של המכשירים והנתונים. 

השאלה רצינית מאוד ולא משנית. עד כדי כך שנשיא ארצות הברית חתם לפני כמה ימים על "תזכיר לשיפור אבטחת הסייבר למערכות בקרת תשתיות קריטיות" איתו הוא משיק אתיוזמה נשיאותית לאבטחת סייבר של מערכות בקרה תעשייתיות (OT). ומשקיע באופן מערכתי את כל שרשרת אספקה של טכנולוגיות IoT: יצרנים ומתקינים יצטרכו להתמודד איתה לאורך כל מחזור החיים של הטכנולוגיה, החל משלב המחקר, הפיתוח והייצור לפני המכירה, עם הפעולות הטכניות הנכונות שמטרתן להבטיח את המאפיינים והפונקציות של אבטחת הסייבר. כמו כן, יהיה עליהם להמשיך בפעילות המידע והתמיכה לאחר המכירה על מנת להבטיח את הסיוע הטכני הדרוש למשתמשי הקצה, גם בהתייחס לשימוש בפלטפורמות ענן שכבר הוצעו היום על ידי שרשרת אספקה IT להצפנת תקשורת בין אובייקטים חכמים.

לבסוף, אין להתעלם מכך שכל אלה יגרמו בהכרח לעלייה הן בעלויות הייצור והן במשאבים הדרושים להבטחת תפעול, תחזוקה ואיכות השירות: עלויות חוזרות אלו עלולות להפוך את מכשירי ה- IoT לא אטרקטיביים יותר בהקשרים רבים.

אורציו דנילו רוסו, ג'ורג'יו ג'סינטו, אלסנדרו רוגולו

מידע נוסף:

https://blog.osservatori.net/it_it/iot-sicurezza-privacy

https://www.akamai.com/it/it/multimedia/documents/white-paper/akamai-mirai-botnet-and-attacks-against-dns-servers-white-paper.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259B-draft.pdf

https://www.securityweek.com/life-lockdown-offices-are-empty-people-full-risky-iot-devices

https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/28/national-security-memorandum-on-improving-cybersecurity-for-critical-infrastructure-control-systems/