האינטרנט של הדברים (IoT) נתפס לעתים קרובות כמערכת אקולוגית מתקדמת מבחינה טכנולוגית של מכשירים ומערכות צד-קצה מהדור הבא. למעשה, המונח נטבע לראשונה בסוף שנות ה-1990, ומוצרים ארגוניים רבים הם יותר שגרתיים מאשר בולטים לעין: חשבו על מדפסות ואחסון מחובר לרשת (NAS). הם גם לעתים קרובות רצופים בבעיות אבטחה.

זו הסיבה שהממשלה מקיימת את הבטחתה לקדם אבטחה מעוצבת בכל הטכנולוגיות - במיוחד אלו החשובות כל כך לפרודוקטיביות וליעילות התאגידית. עם זאת, זה... קול קורא לחוות דעת בנושא אבטחת סייבר של מכשירים מחוברים לארגונים זהו רק הצעד הראשון במסע פוטנציאלי ארוך לשיפור אבטחת ה-IoT הבסיסית של הארגונים. המפתח יהיה מה יקרה בהמשך.

כמה גרועה אבטחת האינטרנט של הדברים?

כדי להמחיש את הצורך בהתערבות מדיניות, הממשלה הזמינה את קבוצת NCC לערוך מחקר הערכת פגיעות של כמה מכשירים נפוצים המחוברים לארגונים. זה לא יוצר קריאה יפה במיוחד.

בסך הכל, מומחה אבטחת הסייבר העריך שמונה מוצרים: מצלמת IP מתקדמת ונמוכה, מכשיר NAS, פאנל לחדר ישיבות ומכשיר VoIP. בין 50 הבעיות שהתגלו, דורגה אחת בדרגת חומרה קריטית, תשע בסיכון גבוה ו-24 בסיכון בינוני. הבעיה הקריטית הייתה מכשיר NAS ברמה נמוכה שלא דרש מהמשתמשים לשנות את סיסמת ברירת המחדל בעת ההפעלה. עם זאת, קבוצת NCC מצאה בעיות רבות אחרות, כולל:

  • מספר פגיעויות "חמורות" בביצוע קוד מרחוק שעלולות להוביל להשתלטות של מכשיר שלם על ידי תוקף לא מאומת.
  • תוכנה מיושנת במספר מכשירים, כולל טוען אתחול מתקדם של מצלמת IP שגילה למעלה מ-15 שנה
  • אין הגנה מפני תוקף עם גישה פיזית למכשיר, שרוצה להתפשר ולהתקין עליו דלת אחורית מתמשכת.
  • רוב המכשירים מפעילים את כל התהליכים כמשתמש "root", מה שיכול לתת לתוקף שליטה בלתי מוגבלת על המכשיר
  • תצורה לא מאובטחת של שירותים, יישומים ותכונות
  • היצמדות לא אחידה ל- עקרונות אבטחת מכשירי NCSC ותקן ETSI EN 303 645

"התקני IoT רבים מפעילים תהליכים שיכולים להגביר את הסיכון לפגיעה מלאה במערכת. מצאנו שפערי אבטחה אלו הם לעתים קרובות תוצאה של פיתוח מהיר, צעדי קיצוץ עלויות או מאמצים להפחית את מורכבות הניטור", אומר ג'ון רנשו, מנהל שירותי מחקר אבטחה בקבוצת NCC, ל-ISMS.online.

"התוצאות של קיצורי דרך הן לעתים קרובות מרחיקות לכת, ומשפיעות על מספר הארגונים שפורסים את פתרונות ה-IoT שלהם."

שלוש אפשרויות על השולחן

על פי מסמך הקריאה של הממשלה להגשת דעות, ישנם שני אתגרים עיקריים בשוק האינטרנט של הדברים הארגוניים. הראשון הוא היצרנים עצמם. נטען כי "המודעות והקליטה" של מדריך "11 עקרונות" לשיטות עבודה מומלצות שהופק בשנת 2022 על ידי משרד המדע, החדשנות והטכנולוגיה (DSIT) והמרכז הלאומי לאבטחת סייבר (NCSC) "נותרו נמוכים".

הנושא השני הוא קונים בתחום ה-IT. ציטוט נתונים הממשלה טוענת כי משנת 2021, 58% מהעסקים בבריטניה אינם דורשים "בדיקות אבטחה או רכש" כאשר הם משקיעים במכשירים מחוברים חדשים. דבר זה משאיר אותם מפעילים מכשירים עם תצורות לא מאובטחות, תוכנה מיושנת ותכונות אבטחה לא מספקות, כך נכתב.

זו הסיבה שהממשלה מציעה תוכנית בת שני שלבים. הראשון יכלול הפקת קוד נוהג לאבטחת מכשירים מחוברים בארגונים, המבוסס על מסמך 11 העקרונות. זה יעזור ליצרנים לתכנן ולבנות מוצרים מאובטחים יותר ולעזור לקונים פוטנציאליים לקבל החלטות רכישה מושכלות יותר.

השלב השני הוא שבו הממשלה מבקשת את מירב התשומות מהתעשייה. שלוש הצעותיה ל"התערבויות מדיניות" הן:

  1. התחייבות מרצון שיצרני מכשירי IoT ארגוניים יחתמו עליו כדי להוכיח לשוק שהם רציניים לגבי אבטחה. למרות שההסכם אינו מחייב מבחינה משפטית, הוא ידרוש מהחותמים להתחייב בפומבי "להראות התקדמות מדידה" כנגד העקרונות בקוד הנוהג "בתוך מסגרת זמן מוגדרת".
  2. סטנדרט עולמי חדש נועד לבנות על סמך וליישר קו עם הצעות קיימות כמו ETSI EN 303 645 וטיוטת ISO 27402. תקן זה יתבסס גם על קוד הנוהג ויפעל "ליצירת קונצנזוס בינלאומי סביב איך נראית שיטות עבודה מומלצות". עם זאת, זה נופל במידה רבה תחת גישת ה"גזר" ולא ה"מקל", שכן, תיאורטית, גם הציות יהיה וולונטרי.
  3. חקיקה חדשה נועד לעגן את 11 העקרונות/קוד הנוהג בחוק. זה יכול ללבוש צורה של הרחבה ל- חוק אבטחת מוצרים ותשתיות טלקומוניקציה (PSTI) 2022 או חוק עצמאי. הממשלה מודה כי, בהתחשב באופיין הגלובלי של שרשראות האספקה ​​של האינטרנט של הדברים, חקיקה היא לעתים קרובות הדרך היחידה להבטיח שיצרנים יפעלו לפי שיטות עבודה מומלצות.

"בניגוד לצרכנים, לעסקים יש יכולת גדולה יותר להבטיח כי קיימים אמצעי הפחתת אבטחה חשובים, כגון צוות ייעודי שיבטיח פריסה מיידית של עדכוני אבטחה כדי לתקן בעיות ולהבין טוב יותר את הרשת שלהם", מציינת הממשלה. "לכן נשקול להטיל התחייבויות ספציפיות על עסקים ומשתמשי קצה אחרים לנקוט בפעולות ספציפיות."

ג'ון מור, המנהל הכללי של קרן אבטחת האינטרנט של הדברים (IoTSF), מברך על עניינה של הממשלה בהעלאת המודעות לאבטחת מכשירים ופונה לתעשייה כדי לברר "האם עידוד התנהגויות או חובתן הן המתאימות ביותר לחובת הזהירות".

הוא אומר ל-ISMS.online שבעוד שהקוד הוולונטרי נראה כמו רעיון "הגיוני", יצירת תקן נוסף הקשור לאבטחה עשויה לא להיות הדרך הנכונה, שכן הוא צפוי להוסיף מורכבות. לכן, מור מעדיף להרחיב תקן קיים כחלופה. הוא גם סקפטי לגבי רגולציה חדשה.

"החלק הקשה הוא כיצד לחולל שינוי הכרחי - לשמור על איזון בין אמצעי הגנה לבין אי חנוק של חדשנות או עידוד התנהגויות ריאקטיביות שפועלות נגד הכוונה", טוען מור.

"מה שלמדתי ב-10 השנים האחרונות הוא שרגולציה מסוג זה היא כמעט בלתי אפשרית ליישום נכון - אפילו חוק ה-PSTI עם שלוש דרישות פשוטות אינו פשוט, ואנחנו מודעים למספר חששות מוצדקים מצד התעשייה."

מור טוען כי "סיבוכים מתעוררים והעלויות עולות במהירות עם מנגנון רגולטורי חדש", ולכן יש לראות חקיקה חדשה כמוצא אחרון רק לאחר שמוצו כל האפשרויות האחרות.

רנשו מקבוצת NCC חיובית יותר לגבי רגולציה, וטוענת שהיא יכולה להניע שינויים התנהגותיים בקרב יצרני IoT.

"החקיקה צריכה לדרוש מיצרנים: לבצע הערכות צד שלישי עצמאיות של מוצריהם לפני שחרורם; להפגין בדיקת נאותות בשרשראות האספקה ​​שלהם; להתחשב בפגיעויות אבטחה המשפיעות על מוצריהם; ולהבהיר את התפקידים והאחריות של היצרנים ומשתמשי הקצה/לקוחות", הוא ממשיך.

"כאשר החקיקה תתיישר סביב נקודות אלה, היא תגן על נתונים במערכות אקולוגיות עסקיות, ותבטיח שיצרנים ייקחו אחריות על אבטחת מוצריהם."

בינתיים

אף אחת משלוש האפשרויות הנ"ל אינה סותרת זו את זו, והממשלה שאלה את התעשייה אם יש לשקול צעדים נוספים. אך זה ייקח זמן. הקריאה להגשת דעות נסגרת ב-7 ביולי, אך לוח הזמנים מעבר לכך אינו ברור. בינתיים, מנהלי מערכות מידע ארגוניות חייבים לוודא שמה שהם קונים ומפעילים מאובטח.

"קוני האינטרנט של הדברים חייבים להבין טוב יותר את צרכיהם תחילה ולאחר מכן להתאים אותם להיצע השוק. ברגע שהם מבינים את דרישותיהם - שחייבות לכלול תחזוקה שוטפת לאורך אורך החיים המוצהר - זה הופך להיות עניין של בחירת הספקים הטובים ביותר שיתאימו לצרכים אלה", אומר מור.

"יש לבחון את גישת ה'מאובטחת מעצמה' ותמיכת התחזוקה של היצרנים. וקונים צריכים לבקש פתרונות 'מאובטחים כברירת מחדל' כמינימום."

רנשו מקבוצת NCC ממליץ לקוני IoT לבחור ספקים "עם רקורד חזק באבטחה ומחויבות לתקני התעשייה". הוא מוסיף כי תמיכה מתמשכת ועדכוני קושחה שוטפים גם הם חשובים. הוא טוען כי מגיני רשת צריכים לשלב "ניהול פגיעויות חזק", פילוח רשת וניטור רשת בנוסף לכך כדי להפחית סיכונים.

ה-IoTSF מתחזק מסגרת אבטחת אבטחה שימושית של IoT אשר ממפה את כל התקנים והתקנות הקיימים והמתפתחים, כולל הצעה זו וחוק חוסן הסייבר של האיחוד האירופי (CRA). יצרנים וקונים כאחד יכולים להשתמש בו כדי להבין נוף רגולטורי מורכב יותר ויותר.