، تهران , (اخبار رسمی): یکی از بزرگترین چالشهای اینترنت اشیا (IoT) مسائل امنیتی مربوط به آن است. در اینجا، به ذکر 10 روش برتر برای نهادهای تجاری، مدارس، کارخانهها و دیگر سازمانهایی میپردازیم که به دنبال بهبود امنیت IoT خود هستند.
اینترنت اشیا آسیبپذیریهای جدیدی را نیز برای سازمان به وجود میآورد بنابراین مسائل امنیتی مربوط به کاربرد اینترنت اشیا در سازمان بسیار مهم است.
برای پیادهسازی موفق اینترنت اشیا در هر سازمان، باید از همان ابتدا به امنیت سایبری توجه کرد. در اینجا به ذکر نکاتی درمورد امنیت اینترنت اشیا میپردازیم تا به شما کمک کنیم اولین قدمها را در این راه بردارید.
یکی از بزرگترین چالشهای اینترنت اشیا (IoT) مسائل امنیتی مربوط به آن است. در نهادهای تجاری که معمولاً در آنها وسایل متصل [به اینترنت] دستگاههای بزرگ و خطرناک را کنترل یا دادههای حساس را ارسال و دریافت میکنند، مسئلۀ امنیت از اهمیت بیشتری برخوردار است.
اینترنت اشیا در عین حال که میتواند دادههایی جدید و اطلاعاتی مفید را دراختیار قرار دهد، آسیبپذیریهای جدیدی را نیز برای سازمان به وجود میآورد. بنابراین، بسیار ضرورت دارد که نهادهای تجاری پیش از انجام هرگونه اقدامی، به مسائل امنیتی مربوط به کاربرد اینترنت اشیا در سازمان خود توجه کنند.
در اینجا، به ذکر ده روش برتر برای نهادهای تجاری، مدارس، کارخانهها و دیگر سازمانهایی میپردازیم که به دنبال بهبود امنیت IoT خود هستند.
۱. از نقاط انتهایی شبکه اینترنت اشیا خود آگاه باشید هر نقطه ای که به شبکه اینترنت اشیا افزوده میشود یک ورودی احتمالی را برای مجرمان سایبری ایجاد میکند؛ نقطۀ ورودی که حتماً باید مورد توجه قرار گیرد.
«معمولاً دستگاههای IoT توسط تولیدکنندگان متعدد و بر روی سیستمهای عامل متن باز و انحصاری مختلف ساخته میشوند و دارای سطوح متفاوتی از توان رایانش، ذخیرهسازی و توان عملیاتی شبکه هستند. میبایست تکتک نقاط پایانی IoT را شناسایی، ثبت و به فهرست داراییها اضافه کرد و بر وضع سلامت و امنیت آن نظارت داشت».
۲. دستگاههای اینترنت اشیا خود را ردیابی و مدیریت کنید به گفتۀ اِرل پرکینز، نایب رئیس شرکت تحقیقاتی Gartner research: «گرچه ممکن است ساده بهنظر برسد، داشتن درکی دقیق از دستگاههای متصل در سازمان و عملکرد آنها نقطۀ شروعی مناسب برای یک پروژۀ اینترنت اشیا است». بااینحال، ازآنجاییکه ممکن است بررسی تکتک دستگاهها به صورت دستی کاری دشوار باشد، پرکینز توصیه میکند در آغاز پروژۀ IoT راهکاری برای کشف، ردیابی و مدیریت داراییها ایجاد شود.
۳. مواردی را که امنیت IT قادر به حلشان نیست، شناسایی کنید به گفتۀ پرکینز، در سطح بنیادین، استقرار اینترنت اشیا شامل دو بخش مجزاست: جنبه فیزیکی که به خود دستگاه اینترنت اشیا و عملکرد آن مربوط میشود و جنبهای سایبری که مربوط به جمعآوری و استفاده از دادههاست. روشهای برتر امنیت IT میتوانند مسائل مربوط به بخش سایبری را حلوفصل کنند اما شاید درمورد بخش فیزیکی کاری از پیش نبرند چراکه این بخش اغلب از قوانین مشابه [بخش دیگر] پیروی نمیکند.
به گفتۀ پرکینز: «آگاهی از زمان و چگونگی برقراری امنیت عنصر فیزیکی درحال تبدیل شدن به یکی از نقاط تمرکز اصلی برای بسیاری از سازمانهای IT دادهمحور است و معمولاً نیاز به کمک مهندسان دارد».
۴٫ به فکر اصلاح (پچ کردن) و ترمیم باشید به گفتۀ مریت ماکسیم، تحلیلگر ارشد شرکت تحقیقاتی Forrester Research، نهادهای تجاری باید قابلیت پچ و ترمیم (رفع مشکلات) دستگاههای اینترنت اشیا که میخواهند بهکار ببرند را نیز درنظر بگیرند. او میگوید: «این مسئله نهتنها برای اهداف امنیتی اهمیت دارد، بلکه ممکن است الزامات تجاری دیگری هم نیازمند تغییر کد در گذر زمان باشند. همچنین ممکن است برخی دستگاهها عملاً توانایی ایجاد پچ کمتری داشته باشند و یا پچ کردن مستلزم انجام اقدامات مختلف ازسوی کاربر و پیچیدهتر از آن چیزی باشد که کاربر میتواند از عهدۀ انجام موفقیتآمیز آن برآید».
۵. یک استراتژی بحران داشته باشید همانند پیادهسازی سایر پروژههای فناوری، پروژۀ اینترنت اشیا هم در هنگام پرداختن به جرایم سایبری مستلزم انجام ارزیابی و اولویتبندی خواهد بود. پرکینز از شرکت Gartner توصیه میکند نهادهای تجاری اتخاذ یک استراتژی بحران را در دستور کار قرار دهند که داراییهای حیاتی موجود در زیرساخت اینترنت اشیا را اولویتبندی میکند. پرکینز معتقد است که در برخورد با مجموعۀ خاصی از داراییها، مدیران بخش IT باید به دنبال اختصاصدادن بیشترین ارزش و ریسک به داراییهای موردنظر باشند و آنها را بر همین اساس ایمن کنند.
۶. آزمون و ارزیابی کنید ماکسیم از شرکت Forrester توصیه میکند پیش از بهکارگیری دستگاههای IoT، نوعی آزمون نفوذ یا ارزیابی دستگاه در سطح سختافزاری یا نرمافزاری صورت گیرد. او اضافه میکند، بسته به کاربرد موردنظر، این آزمون و ارزیابی میتواند شامل نوعی مهندسی معکوس نیز باشد.
ماکسیم میگوید: «این دستگاهها ممکن است آسیبپذیریهایی داشته باشند و لازم است پیش از دادن آنها به دست عموم مردم یا کاربران خود، از این آسیبپذیریها آگاه شوید. از این رو، اطمینان از انجام نوعی آزمون اهمیت پیدا میکند».
۷. رمزهای عبور و ابزارهای احراز هویت پیشفرض را تغییر دهید هرچند ممکن است این توصیه برای بسیاری از متخصصان IT بدیهی به نظر برسد، مهم است بدانید که برخی از دستگاههای اینترنت اشیا دارای رمز عبور پیشفرض تعیینشده ازسوی فروشنده (برای پیکربندی اولیۀ دستگاهها) هستند که تغییر آنها دشوار یا حتی غیرممکن است.
به گفتۀ ماکسیم: «ممکن است هکرها این رمز عبور را بدانند و درنتیجه، از آن برای به دست گرفتن کنترل دستگاه استفاده کنند. رمز عبور دستگاهها همچنان یکی از نقاط ضعف هستند و این مسئله در حوزۀ اینترنت اشیا هم تفاوت چندانی ندارد».
۸. به دادهها توجه داشته باشید درک چگونگی تعامل دستگاه IoT با دادهها در ایمنسازی آن نقشی حیاتی دارد. به گفتۀ ماکسیم، نهادهای تجاری باید به دادههای تولیدشده توسط دستگاههای اینترنت اشیا را نظارت کنند تا تشخیص دهند که آیا این دادهها دارای فرمتی استاندارد یا ساختاری هستند که سازمان بتواند به راحتی از آنها برای شناسایی فعالیتهای نابهنجار و انجام اقدامات مناسب استفاده کند یا خیر.
پایرُنتی از شرکت IP Architects در گزارش خود به این نکته اشاره کرد که نهادهای تجاری باید مراقب استفادۀ دستگاه IoT از اطلاعات شخصی غیرعمومی (NPPI) یا اطلاعات شخصی قابلشناسایی (PII) نیز باشند. او نوشت: «چنین اطلاعاتی علاوه بر آسیبپذیربودن در برابر سوءاستفاده، قابلیت این را دارند که توسط دشمنان برای جاسوسی از فرد یا سازمان بهکار برده شوند».
۹. از پروتکلهای رمزنگاری بهروز استفاده کنید نهادهای تجاری باید با استفاده از قویترین روشهای رمزنگاری موجود و راهبردی که به دنبال ایمنسازی سازمان دربرابر تغییرات آینده است، دادههای ورودی و خروجی دستگاههای اینترنت اشیا خود را کدگذاری کنند. ماکسیم میگوید: «بهکارگیری رمز به شکلی ضعیف و با استفاده از پروتکلهای قدیمیتری که همه میدانند آسیبپذیر هستند یا در آینده آسیبپذیر خواهند بود برای امنیت مسئلهساز است».
۱۰. از کنترل در سطح دستگاه به سمت کنترل در سطح هویت بروید به گفتۀ ماکسیم، همچنانکه دستگاههای اینترنت اشیا بیشتری قابلیت اتصال چندین کاربر به دستگاهی واحد را ارائه میدهند، تمرکز امنیت باید به سمت کنترل در سطح هویت برده شود. تأیید اعتبار به سازمان کمک میکند درک بهتری از چگونگی دسترسی کاربر به دستگاه داشته باشد و این امر هم میتواند به صاحبان مشاغل کمک کند الگوی استفادۀ خود را بهتر درک کنند تا بتوانند دادههایی متانسب با زمینه به دست آورند. این فرایند میتواند در محافظت بهتر آنها دربرابر آسیبها و استفادۀ نادرست نیز مفید باشد.
منبع: iott.ir مرجع اینترنت اشیا در ایران
### پایان خبر رسمی