فرق امنیت اینترنت اشیاء با امنیت متعارف فناوری اطلاعات چیست؟

عدم انطباق چرخه‌ی حیات

بسیاری از اشیاء فیزیکی مثل ساختمان‌ها، اتومبیل‌ها، یخچال‌ها، کلیدهای برق و… مدت زیادی دوام می‌آورند. آن‌ها به طور معمول نیاز به نگهداری دارند، اما اغلب تا زمانی که صورتحساب تعمیرات آن‌ها خیلی بالا نرود و یا کلا کار نکنند، جایگزین نمی‌شوند. ما قطعا انتظار نداریم به دلیل اینکه تولید‌کننده‌ای تصمیم می‌گیرد که پس از گذشت پنج سال پشتیبانی خود را از محصولش قطع کند، آنها را عوض کنیم.

با این حال، بسیاری از نرم‌افزارهایی که در اینترنت اشیاء استفاده می‌شوند به صورتی در نظر گرفته شده‌اند که پس از مدتی از کار بیفتند. ممکن است پشتیبانی‌ای برای ارتقاء دستگاه‌های مشتریان وجود نداشته باشد. حتی پشتیبانی نرم‌افزاری دستگاه‌های نسبتا گران معمولا فقط چند سال است.

از دیدگاه امنیتی، این بدان معناست که در این صورت دستگاه‌های عملکردی هر چه قدیمی‌تر می‌شوند احتمالا به صورت ناخواسته، بیشتر هم آسیب‌پذیر‌ می‌شوند.

 

 دستگاه‌های عمومی توسعه‌پذیر

اگر سیستم‌های متصل به شبکه‌، از سخت‌افزار و نرم‌افزار تخصصی برای عملکرد و برقراری ارتباط استفاده کنند، به احتمال زیاد مجبور کردن دستگاه‌های قدیمی به اقداماتی که از قبل برای آن طراحی نشده‌اند، دشوار خواهد شد.
با این حال معمولا در عمل دستگاه‌های اینترنت اشیاء، رایانه‌های چندمنظوره‌ای با سیستم‌عامل‌های منبع باز و پشته‌های شبکه هستند. دلیل اینگونه بودن این دستگاه‌ها می‌تواند ساده‌تر کردن آن‌ها برای به‌روزرسانی و اضافه‌کردن آسان قابلیت‌های جدید در طول زمان باشد.با این حال، این بدان معنیست که هکری که کنترل دستگاه را به دست می‌گیرد، گزینه‌های بیشتری برای ایجاد اختلال دارد.

 

انگیزه‌های اقتصادی نامناسب

ما معمولاً از تجهیزات صنعتی برای مدتی طولانی استفاده می‌کنیم. ارائه‌دهندگان خدمات نرم‌افزاری، گزینه‌های گوناگونی برای مدت پشتیبانی از محصولات ارائه می‌دهند. این مدل کارساز است زیرا که مشتریان حاضر به پرداخت هزینه برای نگهداری و پشتیبانی مداوم هستند، در سطوحی که عرضه‌ی خدمات برای ارائه‌دهندگان آن سودمند باشد.

این انگیزه‌ها در هنگام خرید یک کلید برق یا حتی یک وسیله‌ی نقلیه وجود ندارد.  به احتمال زیاد هیچ یک از مصرف‌کنندگان نمی‌خواهند برای قرارداد پشتبیانی کلید برق هزینه کنند.  برخی ممکن است این کار را برای اتومبیل انجام دهند، اما این قراداد‌ها بعد از دوره‌ی ضمانت اولیه، معمول نیست. در نتیجه، اکثر تولیدکنندگان دستگاه بعد از گذشت مدت نسبتاً کوتاهی از تولید محصول، هیچ انگیزه‌ای برای ادامه‌ی حمایت ندارند.

اتصال به صورت پیش‌فرض

برای هکرهایی که به یک دستگاه یا درگاه اطلاعاتی اینترنت اشیاء متصل می‌شوند، اگر اتصال به آن دشوار یا غیرممکن باشد، آسیب‌پذیری مهم نیست. اما اینطور نیست. فرض بر اتصال به شبکه‌ها، معمولا شبکه‌های بی‌سیم، و اغلب شبکه‌های عمومی است. حتی زمانی که دلیل قانع‌کننده‌ای برای انجام این کار وجود ندارد.

حفاظت از سیستم‌های کامپیوتری در برابر نفوذگرانی که دسترسی فیزیکی به دست آورده‌اند می‌تواند بسیار چالش برانگیز باشد. با این حال، دسترسی فراگیر و معمول به شبکه باعث ایجاد تهدید می‌شود و بدیهی است که  شرایط حمله بسیار بیشتر از سیستم‌‌های ایزوله‌شده‌ی فیزیکی ایجاد خواهد شد.

 

اثرات اکوسیستم

هنگامی که کسی به رایانه‌های چند منظوره‌ی متصل به شبکه نفوذ می‌کند، تنها هدف حمله نیست که تحت تاثیر قرار می‌گیرد.

نفوذ در داده‌ها وقتی که اطلاعات حساس به سرقت رفته باشد می‌تواند میلیون‌ها مشتری را تحت تأثیر قرار دهد. این امر چه در رابطه با اینترنت اشیاء و چه سیستم‌های رایج فناوری اطلاعات صادق است. اهمیت این موضوع در زمینه‌ی اینترنت اشیاء بیشتر است، چون در آن داده‌های محیطی بیشتری جمع‌آوری می‌شود، که حتی ممکن است مردم از جمع‌آوری آن آگاه نباشند. آسیب اکوسیستمی می‌تواند فراتر از داده‌ها برود، مثلاً حمله‌ی DDoS بات نت‌های Mirai موجب اختلال در اینترنت شد.

 حالت‌های نقص گسترده و رایج

در اوایل سال جاری، بروس اسنییر کارشناس امنیت در رویداد Open Source Leadership Summit، اشاره کرد که کامپیوترها و شبکه‌ها به شیوه‌ای متفاوت از سیستم‌های غیر‌کامپیوتری دچار نقص می‌شوند. به گفته‌ی او: «شما در مورد تصادف با تمام اتومبیل‌ها نگران هستید. شما در مورد اتفاقی با احتمال وقوع بسیار کم نگران هستید اما به میانگین واقعی توجه ندارید. این امر به طریق مشابه با یک سرقت اتفاق نمی‌افتد،» چرا که یک سارق هرچقدر هم که مهارت داشته باشد، در یک زمان مشخص فقط می‌تواند وارد یک ساختمان فیزیکی شود.
قبلاً به بات نت‌های Mirai اشاره کردم. این ماهیت سیستم‌های اینترنت اشیاء و سیستم‌های متصل در مقیاس گسترده است که آسیب‌پذیری‌ها و حملات، معمولاً بر روی سیستم‌های بسیاری تاثیر می‌گذارند. البته حملات فردی همچنان می‌توانند به نفوذ در داده‌ها یا خاموش شدن یک سیستم حساس منجر شود. اما حتی نفوذهایی که به تنهایی نسبتاً بی‌ضرر باشند، اگر چند هزار یا چند میلیون برابر شوند، می‌توانند نقص سنگینی به سیستم‌هایی مانند شبکه‌ی برق وارد کنند.

 عملگرها می‌توانند محیط را تحت تاثیر قرار دهند

دیدیم که چگونه اینترنت اشیاء می‌تواند از لحاظ مقیاس، وابستگی و پشتیبانی ارائه‌دهندگان خدمات با سیستم‌های رایج فناوری اطلاعات متفاوت باشد. اما اگر من مجبور شوم یکی از جنبه‌های اینترنت اشیاء را انتخاب کنم که اساساً متفاوت است، این یکی را انتخاب می‌کنم: اینترنت اشیاء فقط خواندنی نیست.
اسنییر (متخصص رمزنگاری، امنیت رایانه و حریم خصوصی، و نویسنده) آن را «اینترنتی که جهان را تحت تاثیر قرار می‌دهد» می‌نامد.

در حال حاضر نرم‌افزارها، بسیاری از سیستم‌های حیاتی را کنترل می‌کنند و یا به طور مستقیم به انسان می‌گویند که چه کاری باید انجام دهد. اما درجه‌ای که اینترنت اشیاء جایگزین کنترل دستی می‌شود قابل توجه است. اینترنت اشیاء در این سطح می‌تواند اقدامات فیزیکی انجام دهد، ممکن است که با این کار مدل امنیت تغییر نکند، اما مطمئناً بر مشکلات می‌افزاید.

ما دستگاه‌ها را بر اساس ویژگی‌ها اولویت‌بندی می‌کنیم. قیمت‌های پایین‌تر را در اولویت قرار می‌دهیم. اما امنیت را برای محصولی که چرخه‌ی عمر طولانی دارد اولویت‌بندی نمی‌کنیم، دستگاه‌هایی که توانایی تأثیرگذاری در جهان فیزیکی را دارند.