يثير نشر إنترنت الأشياء عددًا من مشكلات أمان إنترنت الأشياء المتعلقة بميزات أجهزة إنترنت الأشياء, مثل الحاجة إلى خوارزميات تشفير خفيفة الوزن من حيث إمكانيات المعالجة والتخزين, واستخدام البروتوكولات القياسية.أجهزة إنترنت الأشياء تعد أجهزة الكمبيوتر أكثر عرضة للتهديدات الأمنية من أجهزة الكمبيوتر التقليدية المستندة إلى الإنترنت بسبب قوة المعالجة الأقل وموارد الذاكرة المحدودة, - تفاقم إنفاذ الحماية. إن انتقال بروتوكول شبكة الإنترنت الحالي من IPv4 إلى IPv6 يعني أن المزيد والمزيد من أجهزة إنترنت الأشياء لديها عناوين IP عالمية, والتي يمكن أن تساعد في تحديد هذه الأجهزة كأهداف للهجمات الأمنية. كما أن التشغيل والاتصال المستقلين لأجهزة إنترنت الأشياء يسهلان أيضًا الهجمات الأمنية. لذلك, هناك حاجة ماسة إلى حلول أمنية جديدة وأكثر قوة لأنظمة إنترنت الأشياء. ستأخذك هذه المقالة عبر إنترنت الأشياء من الشبكة إلى الأجهزة, برمجة, وغيرها من القضايا الأمنية على جميع مستويات المناقشة.
1. ما هي مشكلات أمان إنترنت الأشياء?
هناك الكثير من القواسم المشتركة بين المخاوف الأمنية المتعلقة بإنترنت الأشياء وأمن تكنولوجيا المعلومات. لكن, تتطلب أنظمة إنترنت الأشياء المزيد من الحساسية والسرية حيث تدخل هذه الأنظمة إلى الحياة الخاصة للفرد ورقمنتها. تنبع حساسية تكنولوجيا إنترنت الأشياء من المتطلبات العالية للأمان, بسرية عالية للغاية, أصالة, خصوصية, والنزاهة. هناك مشكلات مادية ومنطقية تتعلق بأمان إنترنت الأشياء. من ناحية, المشكلة المادية هي طاقة الجهاز. يتم تشغيل معظم أجهزة إنترنت الأشياء بواسطة البطاريات, وبالتالي فإن الطاقة غير كافية نسبيا. على الجانب الآخر, تتمتع أجهزة إنترنت الأشياء بقدرة معالجة منخفضة نسبيًا وموارد ذاكرة محدودة. توجد مشكلات منطقية في المصادقة, حماية من البرمجيات الخبيثة, حماية الخصوصية, والمراقبة.
لقد كانت شبكة الإنترنت ومجموعتها التكنولوجية موجودة منذ عقود. خلال هذا الوقت, كانت بنية العميل والخادم المركزية هي الأساس الذي بنيت عليه الأنظمة الأساسية والخدمات الحالية. يمكن أن تكون هذه البنى أيضًا مرهقة من منظور إنترنت الأشياء. على سبيل المثال, عندما يحتاج عدد لا يحصى من أجهزة الاستشعار اللاسلكية إلى إرسال بياناتهم مرة أخرى إلى خدمة مركزية, يجب أن تكون الخدمة المتجانسة قادرة على توزيع التحديثات الأمنية على شبكة استشعار لا مركزية أو موزعة. تستفيد شبكات الاستشعار هذه عادةً من بنية الاتصالات اللامركزية, التي لديها قدر كبير إلى حد ما فهي تدار ذاتيا. تقليديا, وكان العائق أمام إنشاء بنية لامركزية هو ثقة المشاركين الآخرين. يفترض طرح العملة المشفرة Bitcoin أنه ليست هناك حاجة للثقة بين الطرفين. يتم تحقيق ذلك من خلال دمج آلية الإجماع الموزعة كدليل على التحقق من صحة المعاملة الجديدة مع الاستفادة من سجل المعاملات السابقة. لذلك يمتد هذا إلى تصميم المعاملات المعممة خارج نطاق العملات المشفرة. اليوم, غالبًا ما تأخذ هذه الآلية المعممة اسم blockchain.
الاهتمام الأخير من المنظمين, وخاصة في الاتحاد الأوروبي, أدى إلى زيادة التركيز على الأمان والخصوصية في مجال إنترنت الأشياء. يتمتع اعتماد تقنية blockchain بإمكانات كبيرة كحل قابل للتطبيق لأنظمة إنترنت الأشياء المستقبلية لتلبية المتطلبات التنظيمية. فيما يتعلق بالمتطلبات التنظيمية لتصميم أجهزة إنترنت الأشياء, أصدر البرلمان الأوروبي مؤخرًا توجيهات ولوائح جديدة. هذه المتطلبات, والتي يمكن اعتبارها الأكثر صرامة في العالم, تنطبق على الشركات المصنعة للأجهزة وكذلك مقدمي الخدمات والأنظمة الأساسية إذا كانوا يقدمون إلى الاتحاد الأوروبي أو يعالجون البيانات الشخصية للمقيمين في الاتحاد الأوروبي.
فضلاً عن ذلك, توفر الدول الأعضاء في الاتحاد الأوروبي بعض اللوائح الخاصة بالقطاعات الخاصة بالمجالات التي تتعامل مع المعلومات الحساسة, مثل الرعاية الصحية والخدمات المالية. تفتقر الولايات المتحدة إلى قانون حماية البيانات العامة أو قانون الخصوصية وتعتمد بشكل أساسي على عدد صغير من التشريعات المتعلقة بالخصوصية والمتعلقة بالصناعة.. إن النهج الأمريكي في تصميم أنظمة المعلومات يجعل من الصعب التوصل إلى استنتاجات مشتركة حول الحفاظ على مستوى معين من الخصوصية. على سبيل المثال, بينما يمكن استخدام نفس نظام إنترنت الأشياء في مناطق مختلفة, ويشير عدم وجود متطلبات أو تعريفات مشتركة للخصوصية إلى ذلك. ولذلك يجب على الشركة المصنعة أن تتوقع إلى حد ما على الأقل الاستخدام المقصود لنظام التصميم, والاستخدام المقصود لنظام التصميم إذا تم منعه من دخول الولايات المتحدة. سوق.
على الجانب الآخر, يمكن للناس أن ينظروا إلى المتطلبات التنظيمية للاتحاد الأوروبي كمعيار للالتزامات التي يجب الوفاء بها عند التعامل مع البيانات الشخصية أو التعامل مع مشغلي بعض البنية التحتية المهمة. هناك نوعان من قوانين ولوائح الاتحاد الأوروبي المسؤولة عن تطوير وإدارة نظم المعلومات. هم اللائحة العامة لحماية البيانات (اللائحة العامة لحماية البيانات) وتوجيهات أمن الشبكات وأنظمة المعلومات (توجيه شيكل).
قد يكون لدى اللائحة العامة لحماية البيانات بعض الفروق الدقيقة بين الدول الأعضاء, ولكنه يضع الأساس لسوق رقمية موحدة داخل الاتحاد الأوروبي. كتوجيه, قد تتخذ الدول الأعضاء نهجا مختلفا تجاه نظام الاستخبارات الوطنية, على الرغم من أنه يحدد ما يمكن اعتباره الحد الأدنى من المسؤولية الأمنية لأنظمة المعلومات.
ما هو إنترنت الأشياء(إنترنت الأشياء) خصوصية?
مع تطور تكنولوجيا إنترنت الأشياء, لقد اخترقت التكنولوجيا الرقمية حياتنا وبيئتنا بشكل أكبر. وفقا لتحليلات الاستراتيجية, عدد الأجهزة المتصلة في جميع أنحاء العالم 22 مليار بنهاية 2018 ومن المتوقع أن يصل 50 مليار بواسطة 2030. بناء على بيانات متفائلة, إن الجمع بين إنترنت الأشياء والذكاء الاصطناعي سيخلق طريقة اتصال أكثر ذكاءً. إجمالي, سيكون التأثير الاجتماعي والاقتصادي لإنترنت الأشياء كبيرًا, مع الأجهزة المتصلة المدمجة في كل جانب من جوانب حياتنا, من الأجهزة القابلة للارتداء إلى إنترنت المركبات إلى المنازل الذكية إلى إنترنت كل شيء. إن راحة إنترنت الأشياء وانتشارها في كل مكان ستحقق فوائد هائلة, ولكنه يعني أيضًا أن جمع المعلومات ينتقل من عالم الإنترنت إلى العالم غير المتصل بالإنترنت, مع أن تصبح أجسادنا ومساحاتنا الخاصة مصدرًا لجمع المعلومات. في هذا السياق, إنترنت الأشياء, وخاصة قضايا الخصوصية المتعلقة بإنترنت الأشياء للمستهلك, أصبح محور الاهتمام. في سبتمبر 19, أصدرت جمعية الإنترنت تقريرًا حول خصوصية إنترنت الأشياء بعنوان "موجز السياسة".: خصوصية إنترنت الأشياء لصانعي السياسات ", الذي يحلل المخاطر والتحديات التي يجلبها إنترنت الأشياء لحماية الخصوصية الشخصية, ويطرح توصيات عمل محددة لصانعي السياسات, مقدمو خدمات إنترنت الأشياء وأصحاب المصلحة الآخرين, ويدعو إلى تعزيز نموذج حوكمة المشاركة التعاونية لأصحاب المصلحة المتعددين.
إن تطوير إنترنت الأشياء يمكّن من إنشاء الأشياء وأجهزة الاستشعار اليومية بخلاف أجهزة الكمبيوتر, تبادل واستهلاك البيانات مع تدخل بشري أقل. اليوم, يُظهر إنترنت الأشياء اتجاه التطور على نطاق واسع (يستمر عدد الأجهزة المتصلة في الزيادة), حميمية (الأجهزة القابلة للارتداء والأجهزة المزروعة في جسم الإنسان, إلخ.), واسع الانتشار, دائما على اتصال, وذكي. لكن هذا الحجم من التطور يمكن أن يؤثر على حماية الخصوصية, مما يتيح التعرف على الأفراد بسهولة أكبر, تتبع, لمحة, وتأثر.
تتضمن تحديات إنترنت الأشياء لحماية الخصوصية الشخصية ما يلي:: أولاً, تمتد حماية إنترنت الأشياء إلى نطاق واسع, بما في ذلك الحدود التنظيمية لمختلف الإدارات والولايات القضائية. من ناحية, تميل تشريعات الخصوصية إلى التقسيم حسب المجال, مثل الخصوصية الطبية, الخصوصية المالية, خصوصية الطالب, إلخ., ومن الصعب تصنيف أجهزة وخدمات إنترنت الأشياء. على الجانب الآخر, قد يكون لدى البلدان والمناطق المختلفة تشريعات خصوصية مختلفة لأجهزة وخدمات إنترنت الأشياء وستواجه لوائح مختلفة عند إجراء جمع البيانات ومعالجتها في ولايات قضائية مختلفة. ثانية, من الصعب على إنترنت الأشياء الحصول على موافقة مستنيرة من المستخدمين. عندما يتم نشر إنترنت الأشياء, بالإضافة إلى الحصول على موافقة مستنيرة من مالك الجهاز, فمن الصعب الحصول على موافقة الآخرين في نفس الوقت. لا تختلف أجهزة إنترنت الأشياء عن الأشياء الشائعة مثل الساعات, مكبرات الصوت, وأجهزة التلفاز, لذلك من الصعب معرفة ما إذا كان الجهاز يقوم بجمع البيانات ومعالجتها. أخيراً, تحديات إنترنت الأشياء مبدأ الشفافية لحماية الخصوصية. على سبيل المثال, على عكس المواقع, تطبيقات, إلخ., قد لا تتمكن أجهزة وخدمات إنترنت الأشياء من تقديم سياسات الخصوصية الخاصة بها للمستخدمين, وقد لا يقومون بعمل جيد في إعلام المستخدمين بأنهم يقومون بجمع البيانات.
ومن أجل مواجهة هذه التحديات بشكل أفضل وتعزيز حماية الخصوصية الشخصية المتعلقة بإنترنت الأشياء, وقد طرحت جمعية الإنترنت أربع توصيات: أولاً, تعزيز سيطرة المستخدمين الهادفة على أجهزة وخدمات إنترنت الأشياء, وتعزيز إدارة بيانات إنترنت الأشياء. خاصة, ويشمل: توضيح مسؤوليات مقدمي الخدمة, بما في ذلك الحصول على موافقة مستنيرة من المستخدمين عند جمع البيانات الشخصية, تعزيز الشفافية, وتخزين البيانات بشكل آمن, إلخ.; تعزيز المعايير المفتوحة وقابلية التشغيل البيني في أجهزة وخدمات إنترنت الأشياء; وتشجيع ممارسات تقليل البيانات. ثانية, تحسين شفافية جمع بيانات المستخدم واستخدامها. على سبيل المثال, إخطار المستخدمين بإمكانيات أجهزة إنترنت الأشياء وجمع البيانات بطريقة يسهل على المستخدمين فهمها, قم بإعداد وظائف الموافقة الفعالة وإلغاء الاشتراك للمستخدمين, تحسين وضوح سياسة الخصوصية, تحسين الشفافية طوال دورة حياة البيانات, وضمان الخصوصية والأمان. إنه محمي طوال دورة حياة المنتج, إلخ. ثالث, تشريعات وسياسات الخصوصية تواكب التطورات التكنولوجية. خاصة, ويشمل: تحسين قوانين الخصوصية وحماية المستهلك الحالية; مراجعة مدى قابلية التكيف ونطاق قوانين حماية الخصوصية; تعزيز الحماية القانونية للباحثين في مجال الخصوصية لضمان عدم تعرضهم لمخاطر قانونية من خلال التحقيق في قضايا الخصوصية; إن الاستخدام الواسع النطاق لشبكات التواصل لا يؤدي إلى تفاقم التمييز والممارسات غير العادلة; تقديم تقييم تأثير الخصوصية في تطوير إنترنت الأشياء, إلخ. الرابع, تعزيز مشاركة أصحاب المصلحة المتعددين. يتطلب حل المخاطر والتحديات المتعلقة بإنترنت الأشياء المشاركة المشتركة من جانب الحكومة, الجمهور, صناعة, الأوساط الأكاديمية, المنظمات الاجتماعية, والعاملين الفنيين. وينبغي إجراء حوار موسع على المستوى الاجتماعي, وينبغي إيلاء الاهتمام لحق المستهلكين في الكلام.
إجمالي, الجمع بين إنترنت الأشياء والتقنيات الناشئة مثل الحوسبة السحابية و الذكاء الاصطناعي سوف يغير اقتصادنا ومجتمعنا بطرق عديدة. التكنولوجيا تجلب فرصا عظيمة, ولكنه يأتي أيضًا مع المخاطر. ويتعين على المرء أن يتخذ الخطوات المناسبة للتأكد من أن فوائد إنترنت الأشياء تفوق بكثير مخاطر الخصوصية, حماية, إلخ. وهذا يتطلب تعاون جميع أصحاب المصلحة, بما في ذلك الحكومات, الشركات المصنعة, المستهلكين, إلخ., لضمان تطوير تقنيات إنترنت الأشياء بطريقة مسؤولة ومستدامة. تعمل الدول الأجنبية بالفعل على الترويج لتشريعات الخصوصية والأمن الخاصة بإنترنت الأشياء. يجب أن تأخذ التشريعات في الاعتبار خصائص أجهزة وخدمات إنترنت الأشياء وأن تعتمد آليات تنظيمية مرنة ومعقولة. على سبيل المثال, حتى في الناتج المحلي الإجمالي للاتحاد الأوروبي, موافقة المستخدمين المستنيرة ليست الأساس القانوني الوحيد لمقدمي الخدمة لجمع ومعالجة المعلومات الشخصية للمستخدمين. لذلك, لا ينبغي أن تقتصر سياسة خصوصية إنترنت الأشياء على الموافقة المستنيرة، بل يجب أن تأخذ في الاعتبار الخصائص التقنية, وتحت ظروف معينة, سيتم تحويلها من الإذن المسبق إلى التزامات حماية البيانات أثناء العملية وبعد الحدث. فضلاً عن ذلك, لقد استيقظ الوعي بخصوصية المستهلك. على سبيل المثال, في الاستطلاع, 77% من المستهلكين أشاروا إلى أن إمكانية حماية الخصوصية والأمان في إنترنت الأشياء من العوامل المهمة التي يجب مراعاتها عند اتخاذ قرارات الشراء. يجب على الشركات المصنعة لإنترنت الأشياء مراعاة خصوصية المستخدم وأمن البيانات عند تطوير وبناء إنترنت الأشياء. ممارسة مفهوم "الخصوصية حسب التصميم" وتعزيز سيطرة المستخدمين على البيانات.
لماذا أناست حماية شديد الأهمية?
01. لماذا يعد أمن إنترنت الأشياء أمرًا بالغ الأهمية اليوم؟
اليوم, تُستخدم أجهزة وتطبيقات إنترنت الأشياء على نطاق واسع في عمل الأشخاص وحياتهم, وستصبح جميع الكائنات تقريبًا ذكية للاستفادة من فوائد الاتصال بالإنترنت العالمي.
بينما في الأيام الأولى, تركزت تهديدات الشبكة على مرافق تكنولوجيا المعلومات الخاصة بالمؤسسات, وفي العالم الحديث أصبحت أكثر انتشارًا وتكرارًا. قبل مناقشة التدابير الأمنية لإنترنت الأشياء, من المهم فهم بعض نواقل تهديد الشبكة المحيطة بإنترنت الأشياء.
02. نواقل التهديد الشائعة لإنترنت الأشياء
تشير نواقل التهديد إلى المسارات أو الوسائل التي يمكن لمجرمي الإنترنت من خلالها الوصول إلى الأنظمة الأساسية للشركة العاملة في الشبكة. بعض نواقل التهديد الأكثر شيوعًا في إنترنت الأشياء هي:
(1) لا حدود مادية
تعد حدود شبكة إنترنت الأشياء أكثر انفتاحًا من حدود الإنترنت التقليدية. لم تعد طرق الأمان التقليدية لتقييد الوصول إلى الأجهزة متاحة. تنتقل أجهزة إنترنت الأشياء هذه إلى أي موقع جديد عند الحاجة وتتمتع بإمكانية الوصول إلى الشبكة.
(2) تسرب بيانات الواي فاي والبلوتوث
تعد تكوينات Wi-Fi وBluetooth في إنترنت الأشياء من المصادر الرئيسية لتسرب البيانات. بلوتوث ويمكن بسهولة سرقة شبكات WI-FI التي تحتوي على كلمات مرور ضعيفة من قبل مهاجمي الشبكات أثناء نقل البيانات. أيضًا, في معظم الحالات, لم يتم تعيين كلمة المرور المستخدمة للتكوين بشكل فريد لكل جهاز. إذا تعرض جهاز واحد فقط للهجوم والاختراق بواسطة الشبكة, يتم ترك فجوة للوصول غير المصرح به.
(3) الوصول المادي إلى أجهزة إنترنت الأشياء
يتمكن المهاجمون السيبرانيون من الوصول الفعلي إلى أجهزة إنترنت الأشياء وأحمال العمل, الأسوأ من بين جميع نواقل التهديد. مع هذا الوصول, يمكن للمهاجمين السيبرانيين الوصول بسهولة إلى المعلومات الداخلية لأجهزة إنترنت الأشياء ومحتوياتها. واستخدام أدوات مثل BusPirate, شكرا, أو المحللون المنطقيون, يمكنهم أيضًا قراءة كل حركة المرور على الشبكة. مع الوصول المادي, يمكن للمهاجمين السيبرانيين استخراج كلمات المرور, تعديل برامجهم, أو استبدالها بأجهزة أخرى يتحكمون فيها.
03. آيوت مقابل تكنولوجيا المعلومات
في حين أن العديد من أجهزة إنترنت الأشياء موجودة على الحافة, البنية التحتية لتكنولوجيا المعلومات موجودة في السحابة. قد تؤدي التهديدات التي يتعرض لها أمن إنترنت الأشياء إلى وصول المهاجمين السيبرانيين إلى شبكات تكنولوجيا المعلومات الأساسية من خلال نواقل تهديد إنترنت الأشياء. فيما يلي بعض الهجمات السيبرانية الواقعية.
- يؤدي الوصول إلى الشبكة من خلال نظام التدفئة والتهوية وتكييف الهواء (HVAC) إلى اختراق البيانات
بحسب تقارير إعلامية, شركة الهدف, واحدة من أعلى 10 تجار التجزئة في الولايات المتحدة, وقد تم اختراق لسرقة 40 مليون رقم بطاقة الائتمان من الشركة. إنها واحدة من أكبر خروقات البيانات في العالم. اخترق المتسللون أنظمة التدفئة والتهوية وتكييف الهواء (HVAC) عن طريق سرقة بيانات اعتماد الطرف الثالث ومن ثم تمكنوا من الوصول إلى شبكات الشركة.
- SubwayPoS يتعرض لهجوم القراصنة
توجد حاليًا بعض التقارير عن الأخطاء الأمنية المتعلقة بـ PoS. أدى الاختراق في SubwayPoS إلى خسارة $10 مليون, على الأقل 150 من امتيازات Subway المستهدفة. وحدث اختراق مماثل في متجر الكتب الأمريكي بارنز & النبيل, حيث قراء بطاقات الائتمان في 63 تعرضت المتاجر للهجوم والاختراق.
SamSam الفدية
هناك حالة أخرى معروفة لانتهاك النظام وهي الهجوم الإلكتروني الذي قام به برنامج SamSam Ransomware, التي ضربت إدارات مثل وزارة النقل في كولورادو وميناء سان دييغو في 2018 وأوقفت خدماتها فجأة.
04. لوائح إنترنت الأشياء
على الرغم من إصدار بعض لوائح إنترنت الأشياء من قبل بعض البلدان والمناطق, فهي ليست كافية للتخفيف من المخاطر التي تنطوي عليها الهجمات السيبرانية. تتمتع كاليفورنيا بلوائح معقولة على مستوى الأمان عندما يتعلق الأمر بالحد من الهجمات الإلكترونية. على نفس المنوال, نفذت المملكة المتحدة سياسة كلمة المرور الفريدة, ويجب على الشركات تقديم تفاصيل اتصال واضحة لأجهزة إنترنت الأشياء المتصلة بالبنية التحتية المحلية لتكنولوجيا المعلومات للكشف عن نقاط الضعف وإجراء تحديثات أمنية منتظمة. في حين أن هذه المبادئ التوجيهية التنظيمية موضع ترحيب من قبل العديد من المعلقين الأمنيين, ومن غير الواضح من سينفذ هذه السياسات. وأضاف المعلق أنهم كانوا يعملون على فهم كيفية تطبيق اللوائح من خلال الهيئات التنظيمية القائمة.
يتم تحديث استراتيجيات وإجراءات المهاجمين السيبرانيين بشكل أسرع بكثير, ويجوز إصدار هذه اللائحة أو تنفيذها بشكل سنوي أو نصف سنوي. لذلك, فمن الصعب مواكبة الهجمات التي ينفذها المهاجمون السيبرانيون فقط من خلال الاعتماد على السياسات التنظيمية.
05. ما هي التدابير الأمنية التي يجب على الشركات اتخاذها؟
مع الالتزام بالقواعد المذكورة أعلاه, يجب على الشركات تطوير إجراءاتها الأمنية لاعتماد أجهزة إنترنت الأشياء.
أولاً, يجب عليهم تحديد أمان أجهزة إنترنت الأشياء. من الضروري التأكد من أن أجهزة إنترنت الأشياء تتمتع بهويات فريدة, والتي هي أساس التدابير الأمنية الأخرى.
ثم, على أساس طبقة الهوية, البرنامج محمي بإجراءات مثل التعليمات البرمجية الموقعة, البرامج الثابتة, إلخ.
أخيراً, يجب أن تتمتع المؤسسة بالامتثال على المستوى الأعلى لتحديد إصدارات البرنامج التي سيتم تشغيلها.
آيوت أمن الأجهزة
في تصميم المنتجات الالكترونية, السلامة أمر بالغ الأهمية. هذا ينطبق بشكل خاص على المجمع, محدودة الموارد, وإنترنت الأشياء عالي الاتصال (إنترنت الأشياء). يتطلب تحقيق أمان إنترنت الأشياء الاعتماد على مبادئ أمنية مثبتة واليقظة ضد التهديدات المتطورة. لكن مهندسي التصميم يواجهون بعض التحديات الأمنية المتعلقة بإنترنت الأشياء عند طرح المنتجات في السوق.
01. إنترنت الأشياء يواجه تهديدات أمنية
يتم حاليًا دمج إنترنت الأشياء في معظم العمليات الصناعية والتجارية, بما في ذلك المرافق العامة, بنية تحتية حرجة, مواصلات, تمويل, بيع بالتجزئة, والرعاية الصحية. يمكن لأجهزة إنترنت الأشياء استشعار وقياس العالم المادي وجمع البيانات حول الأنشطة البشرية المختلفة, تسهيل نشر الذكاء على نطاق واسع, الآلي, وتقنيات القيادة والتحكم المستقلة. من خلال إنترنت الأشياء المتصل بالأجهزة الذكية في كل مكان, الشركات قادرة على إنشاء تقنيات ثورية حقًا من شأنها تحسين كل جانب من جوانب المجتمع البشري والحياة الاقتصادية في المستقبل. ومع ذلك، تنشر وسائل الإعلام الرئيسية كل أسبوع تقريبًا تقارير عن انتهاكات الأمن الرقمي. غالبًا ما تكون الخسائر المُبلغ عنها عبارة عن سرقة أو إساءة استخدام معلومات بطاقة ائتمان المستهلك, وهي مجرد قطرات في بحر مقارنة بآلاف الهجمات الإلكترونية التي تحدث كل يوم. تشمل الهجمات الأمنية سرقة البيانات القيمة والتسبب في أضرار واسعة النطاق, وحتى اكثر, السيطرة على الأنظمة الحيوية. من وجهة نظر المستهلك, رفض الخدمة الموزعة (DDoS) ربما تكون الهجمات هي التهديد الأكثر شيوعًا. الروبوتات ميراي, مما أدى إلى تعطيل شبكة الإنترنت بالكامل في 2016, دقت أجراس الإنذار الأولى, توعية الوكالات بالتهديد. بعد ميراي, إيدرا, Wifatch, وغافجيت, بالإضافة إلى شبكات الروبوت الجديدة مثل BCMUPnP, هنتر52, و توري53, لقد اخترقت بشكل تراكمي الملايين من أجهزة إنترنت الأشياء لنشر برامج DDoS الضارة الخاصة بها, عمال مناجم العملة المشفرة, والبريد العشوائي.
مع ظهور المزيد من أجهزة إنترنت الأشياء في عملنا وحياتنا, الهجمات الأمنية المحتملة موجودة في كل مكان وعلى نطاق أوسع من أي وقت مضى. خذ التحكم الذكي في حركة المرور كمثال. تخيل مدينة كبرى فيها البنية التحتية لأجهزة الاستشعار, إشارات المرور, شبكات شبكة السيارات, وأجهزة التحكم التي تتحكم في تدفق حركة المرور معرضة للخصوم. لم يعد التحكم في إشارات المرور أو الاتصال بين المركبات عبر الشبكات اللاسلكية عند التقاطعات المهمة أمرًا شائعًا في هوليوود, لكنها قضية حقيقية وخطيرة.
فكر أيضًا في الأجهزة الطبية التي تدعم الإنترنت, الملصقات الذكية في المتاجر للمساعدة في تحسين تجربة التسوق بالتجزئة, وكيفية توصيل أجهزتنا. إذا كان بإمكانك استخدام هاتفك الذكي لبدء تشغيل الموقد, فتح القفل وإيقاف تشغيل نظام الإنذار, ماذا عن الجميع?
الأمثلة المذكورة أعلاه ذات صلة بنا جميعًا, ولكن هناك العديد من المواقف التي تكون غير مرئية للمستهلك العادي. تخيل إنترنت الأشياء الصناعية (إنترنت الأشياء) تم نشرها في بيئات التصنيع الآلية. ماذا ستكون الفوضى لو حدث خرق أمني, وما هي التكلفة المالية لتوقف الإنتاج وتلف المعدات?
مع تزايد احتمال الهجمات بشكل كبير, يجب أن يكون أمن إنترنت الأشياء شاملاً وقويًا, مع القدرة على التعافي بسرعة.
02. أنت لا يجب الاعتماد على نهج البرمجيات وحدها
إن محاولات التنصت على المكالمات الهاتفية أو الحصول على معلومات بشكل غير قانوني ليست جديدة. يعمل باحث الكمبيوتر الهولندي ويم فان إيك على هذا منذ ذلك الحين 1985. نجح في استخراج المعلومات من الشاشة عن طريق اعتراض مجالها الكهرومغناطيسي وفك تشفيره. وقد سلط عمله الرائد الضوء على حقيقة أنه من الممكن التحايل على الإجراءات الأمنية باهظة الثمن باستخدام مكونات غير مكلفة.
أصبحت مثل هذه الهجمات غير التدخلية والسلبية عبر القنوات الجانبية الكهرومغناطيسية أكثر تطورًا وواحدة من العديد من الأسلحة الهجومية. تتضمن أساليب الهجوم الأخرى على قناة الحافة تحليل الطاقة التفاضلي (إدارة حماية البيانات) و اخرين, والتي تُستخدم عادةً مع هجمات قناة الحافة الكهرومغناطيسية. من خلال هذا الهجوم, المعلومات الحساسة مثل مفاتيح التشفير, كلمات المرور, وسيتم "اختراق" الهويات الشخصية في وحدة التحكم الدقيقة لجهاز إنترنت الأشياء في شكل إشارات كهرومغناطيسية عند تنفيذ تعليمات معالجة التشفير. تعتبر أجهزة الاستقبال ذات النطاق العريض كتطبيقات راديوية محددة بالبرمجيات غير مكلفة للغاية حاليًا ويمكن استخدامها لكشف وتخزين الإشارات الكهرومغناطيسية أثناء التشغيل.
DPA هي طريقة سرقة أكثر تعقيدًا, والتي يمكنها فهم استهلاك طاقة المعالج أثناء تشغيل الجهاز من خلال تحليل بسيط للطاقة. نظرًا لأن الطاقة التي يستهلكها جهاز المعالجة ستختلف اعتمادًا على الوظيفة المنجزة, يمكن تحديد الوظائف المنفصلة من خلال معرفة استهلاك الطاقة. وظائف خوارزميات التشفير على أساس AES, إي سي سي, و RSA تتطلب الكثير من الحسابات ويمكن تحديدها من خلال تحليل قياس الطاقة. يكشف فحص استهلاك الطاقة على فترات زمنية بالميكروثانية عن العديد من العمليات الرقمية المستخدمة غالبًا في التشفير, مثل الضرب بالمجموع التربيعي. يضيف DPA الإحصائيات وتقنيات تصحيح الأخطاء إلى تحليل الطاقة البسيط, والتي يمكن أن تحقق فك تشفير المعلومات السرية بدقة عالية.
يمكن أن يؤدي تسرب البيانات عبر الاتصالات السلكية أو اللاسلكية أيضًا إلى كشف معلومات سرية. تعد القنوات السرية و"هجمات الوسيط" طرقًا فعالة لجمع البيانات من خلال الاستماع إلى الاتصال بين أجهزة إنترنت الأشياء والأنظمة المضيفة. يمكن أن يؤدي تحليل هذه البيانات إلى الكشف عن بروتوكولات التحكم في الجهاز والمفاتيح الخاصة اللازمة لتولي تشغيل الأجهزة المتصلة عن بعد.
أسلوب الهجوم الآخر الذي يستخدمه المتسللون هو هجمات الزرع على وحدات التحكم الدقيقة غير المحمية والنظام اللاسلكي على الشريحة (شركة نفط الجنوب) الأجهزة. في أبسط الحالات, يمكن لهذه التقنية أن تقلل أو تتداخل مع جهد إمداد وحدة التحكم الدقيقة, ارتكاب أخطاء غريبة. يمكن لهذه الأخطاء بعد ذلك تشغيل الأجهزة المحمية الأخرى لفتح السجلات التي تحتوي على معلومات سرية, مما يعرضهم للتطفل. العبث بإشارة ساعة النظام عن طريق تغيير التردد, زرع إشارة الزناد الخاطئة, أو يمكن أن يؤدي تغيير مستوى الإشارة أيضًا إلى حدوث خلل في أجهزة إنترنت الأشياء التي يمكن أن تكشف معلومات سرية أو تؤدي إلى التلاعب بوظائف التحكم. كلتا الحالتين تتطلب جسديا, ولكن ليس الغازية, الوصول إلى لوحات الدوائر المطبوعة داخل الجهاز.
نظرًا لأن العديد من تقنيات الأمان المستخدمة لتأمين أجهزة إنترنت الأشياء تعتمد على البرامج, من المرجح أن تتم قراءة المعلومات الأمنية بشكل غير قانوني. خوارزميات التشفير القياسية مثل AES, إي سي سي, و RSA يعملان كبرامج مكدسة على وحدات التحكم الدقيقة والمعالجات المدمجة. الأجهزة والبرامج التي تكلف أقل من $100 يمكن استخدامها ليس فقط لمعرفة استهلاك الطاقة ولكن أيضًا للحصول على المفاتيح والمعلومات الحساسة الأخرى باستخدام تقنية DPA. أصبح من السهل الآن الحصول على أدوات برمجية DPA جاهزة للاستخدام لأتمتة العملية بأكملها دون الحاجة حتى إلى إتقان هذه الأساليب التحليلية.
ولم تعد مثل هذه الهجمات مقتصرة على المجال النظري, وقد تم استخدامها على نطاق واسع من قبل المتسللين حول العالم.
مع تزايد شدة الهجوم, يحتاج مطورو أجهزة وأنظمة إنترنت الأشياء إلى إعادة النظر في أساليب الحماية الأمنية الخاصة بهم وتحسين وظائف الحماية الأمنية الخاصة بهم لجعلها أكثر قوة ومرونة.
03. نهج الأجهزة ل حماية أناست حماية
قبل تصميم جهاز إنترنت الأشياء الجديد, فمن الأفضل أن يكون لديك فهم شامل للهجمات التي من المحتمل أن يتعرض لها الجهاز, وما هي أنواع التهديدات التي يجب الحماية منها. ومن الحكمة مراجعة متطلبات الأمان منذ البداية ودمجها في مواصفات المنتج. تميل معظم أجهزة إنترنت الأشياء إلى الاستمرار لسنوات عديدة, وهذا وحده يمكن أن يؤدي إلى المزيد من الهجمات, لذلك لا بد من النظر فيها. لذلك, يجب إجراء تحديثات البرامج الثابتة عبر الهواء (عبر الهواء), والحماية من كافة الهجمات, مطلوب نهج من الشريحة إلى السحابة لتنفيذ تصميم أمني قائم على الأجهزة.
تعد شريحة الأمان OPTIGA® Trust M2 ID2 التي أصدرتها شركة Infineon مؤخرًا حلاً أمنيًا يعتمد على الأجهزة بالكامل, وأكبر ميزة لها هي قدرتها على مقاومة الهجمات على مستوى الأجهزة. ويستخدم بعض المنطق المبسط المصمم خصيصًا لحماية تخزين البيانات بشكل أفضل. على الرغم من الهندسة العكسية الاحترافية للغاية, لا يمكن اختراق البيانات الأصلية وكسرها بسهولة. يصعب في الواقع تحليل وفهم بعض التصميمات الاحترافية وتطبيقات التعليمات البرمجية غير القياسية. النقطة الأكثر أهمية هي أن حل شريحة الأمان المستند إلى الأجهزة يمكن أن يوفر "جذرًا" موثوقًا به للنظام بأكمله ومصدر ثقة للنظام.
آيوت أمن البرامج الثابتة
مع تزايد عدد محطات إنترنت الأشياء بسرعة فائقة, يتم تطبيق اللوائح والمعايير ذات الصلة بأمن إنترنت الأشياء تدريجيًا, وسيتم الاهتمام تدريجيًا بأمن البرامج الثابتة للأجهزة المدمجة منخفضة الموارد. كمنصة شاملة للكشف عن أمان إنترنت الأشياء, يقوم TinyScan بفحص المعلومات الحساسة والمخاطر الأمنية المخفية واستخراجها من المصدر. يمكن لكل من مطوري البرامج الثابتة ومستخدمي البرامج الثابتة استخدام هذه الأداة للتحكم في حالة الأمان للبرنامج الثابت المحدد وتنفيذ الحماية المستهدفة أو التهرب, وبالتالي تقليل عدد مشكلات أمان إنترنت الأشياء الناتجة عن ثغرات البرامج الثابتة.
في عصر إنترنت الأشياء, نموذج هيكلي ثلاثي الطبقات للإدراك, الانتقال, وغالبا ما يستخدم التطبيق, والأجهزة المدمجة مثل أجهزة الاستشعار, بوابات, وقد قدمت وحدات التحكم الموزعة في الطبقات الثلاث عددًا كبيرًا من مشكلات الأمان الجديدة: بنيان.
01. سأمن النظام
في الوقت الحالي, لا تزال أنظمة التشغيل المدمجة السائدة تهيمن عليها مشتقات Linux أو Linux, وتقوم الشركات المختلفة بتخصيص وتطوير أنظمة Linux وفقًا لمتطلبات منتجاتها وخصائصها. لكن, ويرجع ذلك إلى حقيقة أن موارد الأجهزة المدمجة محدودة, فمن الصعب نقل حلول الدفاع الأمني الحالية بالكامل إلى أجهزة إنترنت الأشياء.
02. أمان المكونات
لأن الأجهزة المدمجة تستخدم Linux كنظام تشغيل, لا بد من استخدام العديد من المكونات مفتوحة المصدر. يمكن إعادة اكتشاف المشكلات الخفية لبعض المكونات مفتوحة المصدر في وضع C/S واستخدامها في عصر إنترنت الأشياء. نظرًا لوجود عدد كبير من أجهزة إنترنت الأشياء المتطابقة في الفضاء في نفس الوقت, إذا لم تتم ترقية البرنامج الثابت للجهاز في الوقت المناسب بعد حدوث الثغرة الأمنية, فقد يتسبب في خسائر فادحة.
03. ر&د السلامة
في عصر الانترنت, لا يمكن للعميل الوصول مباشرة إلى الخادم والتحكم فيه, لكن هذه الظاهرة تغيرت في عصر إنترنت الأشياء. من خلال الأداة العكسية مفتوحة المصدر, يمكن للمستخدمين بسهولة الحصول على ملفات التكوين ومعلومات النص العادي المتبقية في البرامج الثابتة للجهاز, ومن ثم الحصول مباشرة على حقوق الوصول للجهاز, مما يشكل تهديدًا لعدد كبير من الأجهزة ذات المواصفات نفسها.
يجب علينا إجراء تحليل أمني على البرامج الثابتة من الأبعاد التالية, وإخراج نتائج التحليل في شكل تقارير.
(1) تحليل أمن خدمة نظام الملفات
● يقوم تلقائيًا بمسح المعلومات الأساسية لنظام ملفات البرنامج الثابت والحصول عليها, بما في ذلك بنية وحدة المعالجة المركزية, وقت الإعداد, وضع الضغط, يكتب, مقاس, ووضع تخزين نظام الملفات.
● بعد الحصول على المعلومات الأساسية حول نظام الملفات, يمكنك تحديد نوع هدف الفحص والتبديل إلى محركات فحص مختلفة.
(2) نظام & ترميز تحليل الخدمة
● الحصول على معلومات خدمة النظام, بما في ذلك مسار خدمة النظام وقيمة MD5.
● عن طريق الحصول على معلومات خدمة النظام, يمكن معرفة حالة بدء التشغيل الذاتي لخدمة النظام, ويمكن التعرف بسرعة على المعلومات، مثل ما إذا كانت هناك نصوص برمجية ضارة غير معروفة في خدمة بدء التشغيل الذاتي.
(3) المكون & تحليل سلامة البرمجيات SPA
● المسح الاتجاهي, الحصول على مكون النظام & معلومات البرمجيات, بما في ذلك المكون & مسار البرمجيات, وصف, وعنوان الموقع;
● عن طريق الحصول على المكون & معلومات البرمجيات, يمكنك الحصول بسرعة على معلومات إصدار المكون & البرامج المثبتة في البرامج الثابتة, ثم قم بإجراء المسح الأمني وفقًا لذلك.
(4) استرجاع كلمة مرور المستخدم
● مسح الاتجاه, الحصول على معلومات كلمة مرور المستخدم, بما في ذلك مسار الملف المتعلق بكلمة المرور, ومعلومات كلمة المرور;
● بعد استرجاع كلمة مرور المستخدم, يمكن الكشف عن تسرب معلومات كلمة المرور الناجم عن التطوير غير القياسي في البرامج الثابتة.
(5) تحليل أمان مصادقة التشفير
● يقوم تلقائيًا بمسح معلومات ملف مصادقة التشفير والحصول عليها, بما في ذلك معلومات المسار والتشفير لملف مصادقة التشفير;
● بعد الكشف عن مصادقة التشفير, يمكن الكشف عن تسرب معلومات مصادقة التشفير الناجم عن التطوير غير القياسي في البرامج الثابتة.
(6) تحليل الحساسة أمن المعلومات
يتضمن المسح التلقائي والحصول على المعلومات الحساسة المشبوهة في البرامج الثابتة، على سبيل المثال لا الحصر، الرمز المميز/المفتاح المشفر, تكوين كلمة المرور المشفرة, IP مشفر, عنوان HTTP المشفر, تسرب ملف ذاكرة التخزين المؤقت, إلخ., والتي يمكن أن تكشف تسرب المعلومات الحساسة الناجم عن التطوير غير القياسي في البرامج الثابتة.
(7) الكشف عن نقاط الضعف في مكافحة التطرف العنيف
اكتشف بسرعة معلومات الضعف في نظام الملفات CVE, بما في ذلك معرف CVE, وقت الافراج, وصف, والمستوى. بعد الكشف عن الثغرة الأمنية CVE, يمكنك الحصول على أحدث معلومات حول نقاط الضعف في CVE الخاصة بالبرنامج المثبت في البرنامج الثابت الحالي الذي تم فحصه.
انترنت الأشياء(إنترنت الأشياء) أمن البرمجيات
72% من قادة أمن المعلومات يقولون إن الحوسبة السحابية تمثل أولوية قصوى للتحول الرقمي. تعمل برامج إنترنت الأشياء المستندة إلى السحابة على دمج عناصر الأمان الرقمية والمادية بحيث يمكن الوصول إلى البيانات واستغلالها بواسطة هواتف أكثر أمانًا.
ما يمكن المستندة إلى السحابة برامج إنترنت الأشياء جلب إلى الحماية الأمنية? ستشرح لك هذه المقالة كيف يمكن لبرنامج إنترنت الأشياء أن يساعد بشكل فعال في تحسين الأمان في مجال الأمان. وسيقدم أيضًا كيفية الجمع بين عناصر الأمان الرقمية والمادية للتعامل مع الحوادث الأمنية.
01. تأثير برمجيات إنترنت الأشياء القائمة على السحابة
يتم استخدام برامج إنترنت الأشياء المستندة إلى السحابة في الأعمال التجارية بطرق مختلفة. وتجلب الحلول المستندة إلى السحابة فوائد إلى المجال الأمني. في الصميم, تعمل تكنولوجيا إنترنت الأشياء على إحداث تحول في قطاع الشركات, تجديد طريقة عمل الشركات.
02. دمج الحلول المستندة إلى السحابة للاستفادة من البيانات
البيانات مهمة جدًا في كل صناعة, والمجال الأمني ليس استثناءً. مع الحلول السحابية, يمكن أن يساعد تخزين البيانات والمعلومات على واجهة واحدة الشركات على مواكبة ما يجري في العمل.
فضلاً عن ذلك, من خلال الجمع بين البرامج المعززة بالذكاء الاصطناعي والحلول المستندة إلى السحابة, يمكن لموظفي الأمن تحديد التهديدات الأمنية المحتملة بشكل أفضل. يمكن أن يؤدي الاستفادة من تقنيات إنترنت الأشياء المستندة إلى السحابة إلى زيادة الإنتاجية. نظراً للمسؤوليات الكبيرة الملقاة على عاتق رجال الأمن, المراقبة في الوقت الحقيقي للكاميرات غير ممكنة. يمكن أن تساعد تقنية إنترنت الأشياء موظفي الأمن في تلقي معلومات الكاميرا وتسجيل الملاحظات في أي وقت, في أى مكان, المساعدة في وضع سياسات أمنية أفضل. توفر بعض حلول إنترنت الأشياء تنبيهات في الوقت الفعلي لموظفي الأمن والتي تجمع بين أدوات تحليل الفيديو والذكاء الاصطناعي في الوقت الفعلي لتعزيز وظائف نظام الأمان وتسريع الاستجابة للحوادث الأمنية.
03. يجمعه القوة المادية والسيبرانية حماية
يعد الجمع بين الأمان الرقمي والمادي مفيدًا لتحسين أنظمة أمان إنترنت الأشياء, المساعدة في حماية الأنظمة من الخروقات والانتهاكات عبر الإنترنت. زائد, تساعد إجراءات الأمان المادية على حماية المعلومات السرية من المتسللين. كلما كان اندماج عناصر الأمن الرقمي وفرق الأمن المادي أقوى, كلما كانت المنظمة أكثر حماية.
04. تحديثات البرامج التلقائية
يعد الحفاظ على تحديث جميع البرامج أمرًا في غاية الأهمية لضمان عدم تعرض مؤسستك لتهديدات الأمن السيبراني حتى لو تم اختراق أنظمة إنترنت الأشياء. تقليديا, تم تحديث أنظمة الأمان المحلية يدويًا بواسطة متخصصين معتمدين مع كل ترقية جديدة. استخدام البرامج السحابية, لا يمكن إجراء التحديثات في الموقع أو عن بعد فقط, ولكن يمكن أيضًا أن تكون آلية, خفض التكاليف بشكل كبير.
05. وظيفة عن بعد
مع التطوير المرن لتقنية إنترنت الأشياء السحابية, يمكن لموظفي الأمن تشغيل أدوات الأمان عن بعد باستخدام الأجهزة المحمولة. على سبيل المثال, يسمح نظام الاتصال الداخلي عبر الفيديو المستخدم في نظام التحكم في الوصول اليوم لموظفي الأمن بالتحقق من هوية الزائر عن طريق إجراء مكالمة فيديو مع الهاتف الذكي الخاص بالزائر. فضلاً عن ذلك, يدعم برنامج الاتصال الداخلي أيضًا فتح القفل عن بعد. عندما يتم التأكد من هوية الزائر, يمكن فتح الباب عن بعد للسماح للزائر بالدخول. من خلال استخدام تكنولوجيا إنترنت الأشياء القائمة على السحابة, تم تبسيط إجراءات المصادقة للزوار وتقصير وقت التحقق بشكل كبير حتى يتمكن الزوار من دخول المبنى بشكل أسرع.
06. لخص
اعتماد السحابة حل إنترنت الأشياء في استراتيجية الحماية الأمنية للمؤسسة يفضي إلى إنشاء نظام أمني يواكب العصر. الأمن السيبراني هو التهديد والتحدي الذي تواجهه المؤسسات عند استخدام تكنولوجيا إنترنت الأشياء. ولكن من خلال الجمع بين عناصر الأمان المادية والرقمية, يمكن حماية أنظمة إنترنت الأشياء المستندة إلى السحابة إلى حد كبير من نقاط الضعف وتوفير حماية أفضل لمساعدة الشركات على التعامل مع المشهد الأمني المتغير.
انترنت الأشياء(إنترنت الأشياء) أمن الشبكة
في نفس الوقت مع التطور السريع لإنترنت الأشياء, تظهر أيضًا مشكلات أمان إنترنت الأشياء بشكل متكرر. وقد وقعت بعض حوادث التعدين واختطاف المعدات بشكل متكرر. تستمر منتجات المنزل الذكي في اختراق الثغرات الأمنية, مما سيؤدي إلى خسائر اقتصادية لا رجعة فيها عند استغلال الثغرات. في نفس الوقت, كما أنه يعكس أهمية الأمن باعتباره البنية التحتية لتطبيق إنترنت الأشياء في المرحلة الأولى من بناء صناعة إنترنت الأشياء.
فى السنوات الاخيرة, مع اختراق التقنيات الرئيسية مثل 5ز, لقد تقدم تطوير إنترنت الأشياء بسرعة فائقة. في نفس الوقت, بسبب تأثير كوفيد-19, زادت أشكال العمل المكتبي عن بعد, والذي لا يوفر الراحة للمؤسسات فحسب، بل يوفر أيضًا الراحة للمتسللين لمهاجمة معلومات الشركة السرية.
لقد اخترقت إنترنت الأشياء جميع جوانب حياتنا. تهدد الهجمات المتكررة على الأجهزة الذكية الخصوصية والأمن الشخصي. تواجه البنية التحتية الحيوية أيضًا مخاطر كبيرة في تحقيق التحول في الشبكات الرقمية. يتطلب أمن إنترنت الأشياء إنشاء خطط ولوائح إدارية معقولة لضمان الكشف عن المخاطر في الوقت المناسب والتعافي الفعال من المخاطر.
تتعلق مشكلات أمان إنترنت الأشياء بشكل أساسي بأمن البيانات, خصوصية, تكرار, وتهديدات نظام RFID.
- الهجمات على RFID: تقنية تحديد الهوية بموجات الراديو هي تقنية إنترنت الأشياء الشائعة, تستخدم حاليا بشكل رئيسي في "محلات السوبر ماركت بدون طيار" وغيرها من المجالات.
- الهجوم على WSN: WSN هي شبكة الاستشعار اللاسلكية. الطبقة السفلية لإنترنت الأشياء هي طبقة الإدراك. تتضمن هذه الطبقة عددًا كبيرًا من أجهزة الاستشعار. عندما تعمل أجهزة الاستشعار, سوف يقومون بتوليد كمية كبيرة من البيانات. بمجرد اعتراضهم من قبل المجرمين أثناء عملية الإرسال, وستكون العواقب لا يمكن تصورها. لدى WSN حاليًا تطبيقات ذات صلة في الجيش.
- الهجمات على أجهزة التوجيه: تعد أجهزة التوجيه من أجهزة الشبكة المهمة جدًا. هاجم مرة واحدة, قد تكون الشبكة مشلولة. فضلاً عن ذلك, هناك هجمات على خطوط الاتصالات, الهجمات على المستخدمين, والهجمات على الخوادم.
خاصة, يمكن تلخيص التهديدات الأمنية الرئيسية التي تواجهها إنترنت الأشياء حاليًا في ثلاثة جوانب لـ "السحابة"., يضخ, وانتهى "الأمن:
(1) أمان محطة إنترنت الأشياء
الجانب الأول هو أمان محطة إنترنت الأشياء. كمنتج تمثيلي للتكامل العميق بين مساحة المعلومات والفضاء المادي, توسعت محطات إنترنت الأشياء بسرعة من المنتجات الرائدة للاستهلاك الشخصي إلى مختلف مجالات الاقتصاد والمجتمع. ويمنح التعليم, الرعاية الطبية, بيع بالتجزئة, طاقة, بناء, السيارات, والعديد من الصناعات الأخرى بوسائل خدمية جديدة, ويدعم تحسين الوظائف الحضرية الأساسية مثل المكاتب الحكومية, السلامة العامة, مواصلات, والخدمات اللوجستية. تركز المعدات الطرفية الحالية لإنترنت الأشياء على تحقيق الوظيفة, في حين أن الشركات المصنعة للمعدات التقليدية ليس لديها قدرات أمنية كافية, النظر في عوامل مثل الوقت والتكلفة, وتجاهل المشكلات الأمنية بشكل عام في تصميم المحطة الطرفية.
يمكن تقسيم محطات إنترنت الأشياء إلى محطات ذكية ومحطات غير ذكية. تحتوي معظم الأجهزة الطرفية الذكية على أنظمة تشغيل وتطبيقات طرفية مدمجة, في حين أن معظم الأجهزة الطرفية غير الذكية لها بنية ووظيفة واحدة, وتؤدي فقط وظائف مثل جمع البيانات ونقلها. لذلك, الأجهزة الطرفية الذكية لديها تهديد أكبر لأمن المعلومات.
(2) أمن خطوط أنابيب إنترنت الأشياء
الجانب الثاني هو أمن خطوط أنابيب إنترنت الأشياء. "أنبوب" إنترنت الأشياء هو خط الأنابيب الذي يربط بين "السحابة" و"النهاية". إن أمان "أنبوب" إنترنت الأشياء هو أمان خط أنابيب المعلومات ذو السعة الكبيرة والذكاء. وفقا للتحقيق في خط أنابيب المعلومات لإنترنت الأشياء, لقد وجد أن هناك أربعة تهديدات أمنية رئيسية لأمن خطوط أنابيب إنترنت الأشياء.
(3) أمان الخدمة السحابية لإنترنت الأشياء
ثالث, أمن خدمة إنترنت الأشياء السحابية. بشكل عام, تُستخدم الخدمات السحابية لإنترنت الأشياء عند مشاركة المعلومات مع أطراف أخرى. لذلك, تعد حماية أمن الخدمات السحابية أيضًا رابطًا رئيسيًا لحماية أمان إنترنت الأشياء.
طرق تحسين أمن إنترنت الأشياء
يجب على الشركات تحسين أمان أجهزة إنترنت الأشياء وإلا فإنها ستتسبب في خسائر مالية كبيرة وخسارة في السمعة. يعد تشفير البيانات والمراقبة الداخلية من بين الطرق التي يمكن للشركات من خلالها التركيز على تحسين أمان أجهزة إنترنت الأشياء.
01. استخدم البنية التحتية السحابية وحماية البرامج
يحافظ جهاز الشبكة الركامية على أمان الجهاز حيث يساعد في الحفاظ على سرية وسلامة المعلومات المسجلة بواسطة الجهاز. في نفس الوقت, يمكن تشفير المعلومات الموجودة في البورصة وحمايتها من المتسللين.
02. تصميم أ حماية جهاز وإنشاء شبكة منفصلة
يعد تصميم جهاز أفضل يركز على تحسين أمان أجهزة إنترنت الأشياء أمرًا مهمًا. تعد المراجعة الداخلية في الوقت المناسب لسلوك الجهاز في ظل ظروف معينة أمرًا مهمًا لتغيير نظام الجهاز.
03. يتقدم أناست واجهة برمجة التطبيقات ل الحماية من انتحال الهوية
يتمثل دور الحماية الأمنية لواجهة برمجة التطبيقات (API) في السماح للأجهزة المصرح لها فقط بالتواصل مع بعضها البعض. يمكن إخطار الشركات والمستخدمين بأي وصول وتشغيل غير مصرح به للنظام.
في عالم اليوم, يتزايد عدد أجهزة إنترنت الأشياء المستخدمة. في نفس الوقت, يواجه تطوير إنترنت الأشياء تحديات. يجب على الشركات أن تدرك تدريجياً أهمية أمن إنترنت الأشياء وأن تزيد من تعزيز التكنولوجيا لحماية أمن الأجهزة.
ما هي الصناعات الأكثر عرضة للخطر؟ أناست التهديدات الأمنية?
تنتشر مشكلات أمان إنترنت الأشياء في جميع الصناعات والمجالات. ذلك بالقول, ما دامت الصناعة مرتبطة بحياة الإنسان وممتلكاته, فهو عرضة للتهديد الأمني لإنترنت الأشياء.
على سبيل المثال, هجوم على نظام التبريد الذي يحتوي على عقار, تتم مراقبتها بواسطة نظام إنترنت الأشياء, يمكن أن يعطل صلاحية الدواء إذا تقلبت درجة الحرارة. على نفس المنوال, تأثير الهجمات على آبار النفط, أنظمة المياه, وشبكات الطاقة, البنية التحتية الحيوية التي تؤثر بشكل كبير على حياة الإنسان, يمكن أن تكون مدمرة.
لكن, ولا ينبغي الاستهانة بالهجمات الأخرى. على سبيل المثال, الهجوم على قفل الباب الذكي قد يسمح للصوص بدخول المنزل الذكي. أو, في حالات أخرى, مثل ال 2013 اختراق الهدف أو الخروقات الأمنية الأخرى, يمكن للمهاجمين تقديم برامج ضارة من خلال الأنظمة المتصلة (نظام التدفئة والتهوية وتكييف الهواء (HVAC) في الحالة المستهدفة) لسرقة معلومات التعريف الشخصية وإحداث الفوضى على المتضررين.
01. كيف يمكن أناست تتم حماية الأنظمة والأجهزة
يعتمد نهج أمان إنترنت الأشياء على تطبيق إنترنت الأشياء ومكان العمل في النظام البيئي لإنترنت الأشياء. يجب أن يكون تطوير البرامج الآمنة وتكاملها محورًا رئيسيًا في بداية برامج إنترنت الأشياء. يتطلب نشر أنظمة إنترنت الأشياء الاهتمام بالمصادقة وأمن الأجهزة. على نفس المنوال, للمشغلين, إبقاء الأنظمة محدثة, الحد من البرامج الضارة, البنية التحتية للتدقيق, وتأمين أوراق الاعتماد أمر بالغ الأهمية.
المعايير والتشريعات الأمنية لإنترنت الأشياء (الولايات المتحدة وأوروبا)
01. المبادئ التوجيهية لأمن إنترنت الأشياء في الاتحاد الأوروبي
أصدرت وكالة الأمن السيبراني بالاتحاد الأوروبي إرشادات أمنية لإنترنت الأشياء. على 9 شهر نوفمبر 2020, وكالة الأمن السيبراني التابعة للاتحاد الأوروبي (إنيسا) نشر المبادئ التوجيهية الأمنية لإنترنت الأشياء (إنترنت الأشياء) (والمشار إليها فيما بعد بالمبادئ التوجيهية), والتي تهدف إلى مساعدة الشركات المصنعة لإنترنت الأشياء, المطورين, التكامل, وأصحاب المصلحة الذين يمتلكون سلاسل توريد إنترنت الأشياء يتخذون أفضل القرارات عند البناء, نشر, أو تقييم تقنيات إنترنت الأشياء. الهدف من المبادئ التوجيهية هو تحديد وتحديد التحديات والتهديدات الأمنية لإنترنت الأشياء لضمان أمن سلسلة توريد إنترنت الأشياء. تعطي المبادئ التوجيهية خمس توصيات: أولاً, يجب على كيانات إنترنت الأشياء بناء علاقات أفضل مع بعضها البعض, بما في ذلك إعطاء الأولوية للتعاون مع الموردين الذين يقدمون ضمانات الأمن السيبراني, العمل على تحسين الشفافية, تطوير نماذج الثقة المبتكرة, وتوفير الالتزامات الأمنية للعملاء. والثاني هو زيادة نشر المعرفة المهنية بأمن الشبكات, تعزيز صيانة وتدريب المهنيين, وتعزيز الوعي الأمني لمستخدمي إنترنت الأشياء. ثالث, يتم تحقيق الأمان من خلال تحسين معايير تصميم إنترنت الأشياء, بما في ذلك اعتماد مبادئ التصميم الأمني, استخدام التقنيات الناشئة للرقابة الأمنية والتدقيق, وتنفيذ آليات التحديث عن بعد. الرابع, اتخاذ نهج أكثر شمولا ووضوحا لتحسين الأمن, بما في ذلك وضع خطط اختبار شاملة, دمج آليات المصادقة في الدوائر, واستخدام إعدادات المصنع بشكل افتراضي. الخامس, الاستفادة الكاملة من المعايير الحالية والممارسات الناجحة لتحسين سلامة المنتج وجودة الخدمة في سلسلة التوريد.
02. الولايات المتحدة. إنترنت الأشياء السيبرانية قانون تحسين الأمن 2020
وقد تم تمرير مشروع القانون في سبتمبر 14, 2020. نظرًا لأن أمان أجهزة إنترنت الأشياء يمثل تحديًا إلكترونيًا ناشئًا له أولوية للأمن القومي, يهدف مشروع القانون إلى تحسين أمان الأجهزة الفيدرالية المتصلة بالإنترنت من خلال معالجة مخاوف الأمن السيبراني قبل إدخال أجهزة إنترنت الأشياء في الاستخدام الفيدرالي. يتطلب القانون من جميع أجهزة إنترنت الأشياء التي تستخدمها الحكومة الفيدرالية تلبية الحد الأدنى من معايير الأمان التي نشرتها NIST.
03. مدونة الممارسات الأسترالية: أناست حماية للمستهلكين
وقد نشرت الحكومة الأسترالية هذا القانون في سبتمبر/أيلول 3, 2020, ويُنظر إليه على أنه خطوة أولى نحو تحسين أمان أجهزة إنترنت الأشياء في الدولة. في ضوء الطبيعة العالمية لأمن أجهزة إنترنت الأشياء, تتوافق معايير الصناعة التي تقترحها مدونة قواعد السلوك مع المعايير الدولية الأخرى وتستند إلى 13 مبادئ, بما في ذلك عدم تكرار كلمات المرور الضعيفة أو الافتراضية, تنفيذ سياسات الكشف عن نقاط الضعف, تحديثات أمنية مستمرة للبرامج, يتم تخزين بيانات الاعتماد بشكل آمن, يتم ضمان حماية البيانات الشخصية, يتم تقليل التعرض لأسطح الهجوم, الاتصالات مؤمنة, يتم ضمان سلامة البرمجيات, الأنظمة مقاومة للانقطاعات, أنظمة مراقبة بيانات القياس, إلخ. فيما بينها, التشفير, الكشف عن الضعف, ويوصى بإجراءات التحديث الأمني باعتبارها المبادئ الثلاثة الأولى التي تعطيها الصناعة الأولوية لأنها تتيح أكبر قدر من المزايا الأمنية في فترة زمنية قصيرة.
04. أوجه التشابه والاختلاف بين الأوروبيين, نحن, وقوانين وإرشادات أمان إنترنت الأشياء الأسترالية
تعمل القوانين على تحسين معايير الحماية الأمنية لأجهزة إنترنت الأشياء بعدة طرق. تقدم هذه المقالة عددًا من معايير الأمان لأجهزة إنترنت الأشياء في الاتحاد الأوروبي, الولايات المتحدة, وأستراليا, مثل التأكد من أن درجة تعقيد كلمة مرور الجهاز عالية بدرجة كافية, طرق المصادقة متعددة العوامل, ضمان أمان بيانات اعتماد الهوية مثل التخزين الآمن, الكشف في الوقت المناسب, وإصلاح الثغرات الأمنية, توفير تحديثات أمنية منتظمة لتقليل التعرض للهجوم السيبراني والمزيد.
تركز القوانين الثلاثة جميعها على تعزيز حماية الخصوصية الشخصية في إنترنت الأشياء. القوانين والمبادئ التوجيهية في الاتحاد الأوروبي, نحن, وأستراليا جميعها تجعل حماية الخصوصية جزءًا مهمًا من أمن إنترنت الأشياء. على سبيل المثال, اقترحت أستراليا في مدونة قواعد الممارسة الخاصة بها أن تتمتع أجهزة إنترنت الأشياء بحماية الخصوصية بشكل افتراضي, ويجب معالجة البيانات الشخصية بموافقة مسبقة من المستخدم. ويجب أن يدعم الجهاز المستخدمين في حذف البيانات الشخصية في أي وقت وأن يكون لهم الحق والوقت في إلغاء الخصوصية, وذلك لتحقيق أقصى قدر من حماية الخصوصية الشخصية للمستخدمين والبيانات الحساسة.
تختلف التغطية والهدف من القوانين. إن مدونة قواعد السلوك الأسترالية موجهة نحو المستهلك, المساعدة في رفع مستوى الوعي بشأن وسائل الحماية الأمنية المرتبطة بأجهزة إنترنت الأشياء, زيادة ثقة المستهلك في تكنولوجيا إنترنت الأشياء, وتمكين أستراليا من الاستفادة من طرحه. تستهدف إرشادات الاتحاد الأوروبي كيانات سلسلة توريد إنترنت الأشياء مثل مطوري أجهزة وبرامج إنترنت الأشياء, الشركات المصنعة, خبراء الأمن, فرق المشتريات, وغيرها من كيانات سلسلة التوريد. من خلال الدراسة والاستجابة للتهديدات الأمنية المختلفة التي تواجهها سلسلة التوريد في مراحل مختلفة, تم تحقيق الغرض من بناء نظام بيئي آمن لإنترنت الأشياء. يغطي قانون الولايات المتحدة بشكل أساسي الحكومة الفيدرالية الأمريكية ويهدف إلى تنظيم التقييم الأمني الحكومي لأجهزة إنترنت الأشياء والتأكد من أن أجهزة إنترنت الأشياء التي تشتريها وتستخدمها الوكالات الحكومية تلبي معايير الأمان.
التنظيم الحكومي لأمن إنترنت الأشياء له تأثيرات متفاوتة. إن إرشادات الاتحاد الأوروبي ومدونة الممارسات الأسترالية ليست إلزامية كتدابير موصى بها من قبل الوكالات الحكومية ذات الصلة. الولايات المتحدة. مشروع القانون حكومي ويحتوي على عدة ولايات, مثل المتطلبات الواضحة للمعهد الوطني للمعايير والتكنولوجيا (نيست) لنشر المعايير والمبادئ التوجيهية لاستخدام أمن الأجهزة التي تدعم الإنترنت داخل 90 أيام من إصدار الوكالة الفيدرالية لمشروع قانون توجيه الوكالات التنفيذية والميزانيات لإجراء الرقابة على الإنترنت; لن تقوم الحكومة الفيدرالية والوكالات بشراء أو استخدام أجهزة إنترنت الأشياء التي لا تلبي المتطلبات الأمنية.