ریسک‌های ناشی از اینترنت اشیا (IoT) و فضای کلاود

ریسک‌های ناشی از اینترنت اشیا (IoT) و فضای کلاود

هجدهمین نمایشگاه بزرگ‌ترین آوردگاه تجهیزات الکترونیکی مصرفی مردم یا CES از روز 16 الی 19 دی‌ماه 1394 (6-9 January 2016) در شهر لاس‌وگاس آمریکا برگزار شد. نتیجه‌گیری کلی از این نمایشگاه این بود که اینترنت اشیا (Internet of Things یا IoT) یک استراتژی جامع و منسجم امنیتی ندارد. متصل بودن تمامی وسایل ما به هم منطقی ندارد و از آن یکپارچه محافظت نمی‌شود.
نتیجه‌گیری‌ها و ریسک‌های ناشی از اینترنت اشیا و فضای کلاود به شرح ذیل است.
1.    مصرف‌کننده تمامی وسایل جدید و نوآور را بدون اینکه توجه کند که “تمامی داده‌های از وسایل پوشیدنی (wearables)، راندنی (drivables) و محصولات متصل با وای فای یا کابلی بر اساس موقعیت مکانی در حال ورود به یک پایگاه داده‌های اطلاعاتی در محلی است” را خریداری می‌کند. این داده‌ها را می‌توان برای تحلیل رفتار مشتری در زمان فروش یا به حراج گذاشتن محصولات استفاده نمود.
2.    یکی از وسایل عرضه‌شده در این نمایشگاه “کتری چای اینترنتی” بود که نشان می‌دهد که یک لیست ملزومات امنیتی برای وسایل وجود ندارد. ازلحاظ سیستم‌های امنیتی یک وسیله (داخل پارامترهای امنیتی شما یا در حال ارسال گزارش به کلاود) یک شیء ناشناخته به‌حساب خواهد آمد. بیشتر وسایل پوشیدنی در داخل پارامتر امنیتی فیزیکی شما (منزل، اداره، دفتر کار، خودرو و غیره) در حال ارسال گزارش داده‌های دریافتی به کاربر و هم‌زمان به پایگاه داده‌ای جداگانه‌ای هستند.
3.    هر یک از وسایل به‌اندازه یک گوشی هوشمند خطرناک و مستقل هستند و برای این وسایل یک‌روند و نظام امنیتی در صنعت مربوط وجود ندارد. این یعنی ما قانونی برای استفاده، نگهداری، انتقال و حجم داده‌ها توسط این وسایل نداریم. سؤالاتی که در این حالت پیش می‌آید موارد ذیل است:
•    آیا در محیط‌های کاری و سازمانی باید در زمان ورود هر فرد برای ترافیک اینترنت اشیا خود اسکن شود؟
•    آیا این وسایل باعث بسته شدن پهنای باند و ایجاد تراکم حجمی می‌گردد؟
•    آیا منابع کلاود شما با ورود داده‌های وسایل پوشیدنی (به‌جای اپ های مخصوص کسب‌وکار)  مسدود می‌گردند؟
4.    اینترنت اشیا توانایی “مدیریت اطلاعات ثانوی” را ندارد که یعنی سازمان نمی‌تواند استانداردهای خود را بر اینترنت اشیا اعمال کند و فقط این مدیریت به منابع ثابت و موبایلی اعمال خواهد شد.
5.    برای اینترنت اشیا کلاود محل ذخیره ایده ال داده‌ها است و اکثر محصولات دارای یک استخراج‌کننده داده (Leech) است که این داده‌ها را در مکانی ذخیره می‌کند. این روند به‌هیچ‌وجه در حال حاضر مانیتور نمی‌شود و مشخص نیست که وضعیت امنیتی آن‌ها چه هست. روش تائید (certify) برای این ذخیره‌سازی وجود ندارد.
6.    سازنده‌های پهپادها (drone) از سازنده‌های تبلت بالا زده است و آنها بیشمار هستند. مجوز FAA برای این وسایل وجود دارد اما این مجوز امنیت صنعت یا کاربر را تحت نظر ندارد. برنامه بازرسی و امنیتی برای پهپادها وجود ندارد. یک پهپاد فقط یک وسیله در حال پرواز است که دارای یک دوربین است.
7.    برای Bluetooth نیز هیچ مکانیزم کنترلی، راه‌کار امنیتی و روش به وجود آوردن یک پارامتر امنیتی پایه وجود ندارد. اما این امکان در آینده نزدیک وجود دارد که استانداری برای Bluetooth به وجود آید.
8.    بسیاری از ارائه‌دهندگان IT سنتی خود را با منطق وجود ecosystem در کسب‌وکار خود و راه یافتن این سیستم به محصولات مصرفی (از طریق محصولات مایکروسافت و اپل) تطبیق می‌دهند اما اکثر منابع هنوز open-source است. اکثر محصولات اینترنت اشیا قادر به‌روزرسانی نمی‌باشند و فقط سازندگان از قطعات و اجزا محصولات مصرفی خبردارند.
وسایل الکترونیکی و مصرفی امروزه هوشمند هستند و همه دارای میکروپروسسور، FPGA و CPU های خاص می‌باشند. برای اینکه این موارد به شما ضرر نرسانند باید امنیت را به حداکثر برسانید و به‌صورت مستمر، در امنیت محلی و منابع کلاود، هوشیار باشید.