گام نخست تصویب قانون امنیت اینترنت اشیا در امریکا

بخش‌بندی یعنی محدود کردن دسترسی افراد مجاز بر اساس حیطه‌بندی و این ویژگی‌ها را دارد:

به پیشگیری از بروز تخلف کمک می‌کند؛

مقیاس احتمالی مخاطرات و سوءاستفاده‌های را محدود می‌کند؛

با فراهم ساختن امکان آزمون و به‌کارگیری فناوری‌های امیدبخش که ممکن است هنوز در مسیر رسیدن به امنیت مطلوب قرار داشته باشند، نوآوری را ممکن می‌سازد.

لایحه مذکور، اتخاذ راهبردها و معماری‌های بخش‌بندی را به درستی مورد تشویق قرار می‌دهد تا هوشمندانه اجازه ورود وسایل اینترنت اشیا به شبکه را فراهم سازد و در عین حال، اثر منفی احتمالی آن را محدود سازد. الزام «فهرست وسایل» که در این قانون پیش‌بینی شده، به شرکت‌ها یا کسب‌وکارها کمک می‌کند که هنگام انتخاب و اجرای وسایل اینترنت اشیا، نقطه شروعی عالی برای ارجاع دادن در اختیار داشته باشند؛ زیرا نظارت بر وسایلی که اتصال فعال به شبکه دارند، همچنان برای بسیاری از سازمان‌ها یک چالش باقی خواهد ماند. بخش‌بندی و نظارت مناسب نه تنها رده‌های وسایل و داده را جدا می‌سازد بلکه به مدیران اجازه می‌دهد دستگاه‌های ناسازگار را شناسایی و ایزوله نموده و آن گاه آنها را از روی سیاهه بررسی کنند و اصلاح مناسب را نه فقط برای دستگاه‌های آسیب دیده، بلکه برای کلیه دستگاه‌های مرتبط انجام دهند.

بخش‌بندی جزئی از راهبرد اساسی «طراحی عامدانه» است که در آن، آسیب‌پذیری‌ها و بردارهای احتمالی حمله، شناسایی شده و به جای آن که منحصراً بر فناوری امنیتی تکیه کنند، معماری (طراحی و ساخت) آنها بیرون از شبکه صورت می‌گیرد.

در یک گام جلوتر، محققان در حال آزمون راهبردی به نام «کسب اعتماد» هستند. در این راهبرد، وسایل اینترنت اشیا بر اساس سطوح اعتماد اظهار شده، دسترسی دریافت می‌کنند اما در عین حال، رفتارهای شبکه به طور خودکار تحت نظارت قرار دارد تا مشخص شود که آیا همان طور که اظهار شده است، عمل می‌شود یا خیر. آن گاه شبکه می‌تواند سطح دسترسی خود را به طور خودکار و بر مبنای رفتارهای خود تنظیم نماید. در این صورت همچنین می‌توانیم سطح نظارت یا دسترسی را برای وسایل مشابه بالا ببریم و در عین حال مشخص کنیم که آیا رفتار نادرست مشاهده شده، یک ناهنجاری است یا این که مختص تمام رده‌های این وسایل است.

در عین حال، گسترش اینترنت اشیا در بسیاری از رده‌ها (مصرف‌کننده، تجاری و صنعتی) بدین معناست که اکثر داده‌ها دیگر درون شبکه‌های سنتی قرار ندارند. معنای این سخن آن است که ایمن کردن صرفاً چند نقطه در شبکه دیگر کفایت نمی‌کند. به همین دلیل، ضرورت دارد که شرکت‌ها به اجرای نوعی راه‌کارهای امنیتی بپردازند که با شبکه آنها سازگار بوده و مکمل آنها باشد. این فناوری‌های امنیتی باید بتوانند سطوح حمله عظیم و بردارهای حمله جدید ناشی از ورود اینترنت اشیا به محیط شبکه‌ای توزیع شده که روزبه‌روز بر انعطاف‌پذیری آن افزوده می‌شود را شناسایی کرده و از زیرساخت‌ها در برابر آنها محافظت کنند.

به‌کارگیری و یکپارچه‌سازی اینترنت اشیا مستلزم آن است که نگاهی نو به راهکارها و راهبردهای امنیتی فعلی داشته باشیم. امنیت شبکه، نه تنها مستلزم آن است که فعالانه جلوی نفوذ را بگیریم بلکه ضروری است با کاهش دادن زمان لازم برای تشخیص و پاسخگویی به تهدیدات جدید، خطر رخنه‌های جدی را به حداقل برسانیم. راهکارهای امنیتی باید اطلاعات را گردآوری و همرسانی کند، بین نشانه‌های مخاطره ارتباط برقرار ساخته و پاسخ به تهدید یا رخنه را به طور خودکار هماهنگ نمایند. دستیابی به این هدف در گروی اتخاذ رویکردی گسترده، قدرتمند و خودکار به امنیت است اما هنوز بسیاری از سازمان‌ها چنین رویکردی را در پیش نگرفته‌اند.

دوست دارم همزمان با پیشرفت این لایحه، با صنعت هم مشاوره بیشتری صورت گیرد. اگرچه تقدیم این لایحه، گامی مقدماتی در انگیزه بخشیدن به فرآیند احراز هویت است، به ممکن ساختن به‌کارگیری راهبرد کسب اعتماد هم نیاز دارد.

واکاوی و جمع‌بندی

اینترنت اشیا مزایای بسیاری با خود به ارمغان آورده اما حملات سایبری از قبیل انکار سرویس توزیع شده و نشت اطلاعات، این شبکه نوین را به طور جدی تهدید می‌کند. گسترش اینترنت اشیا، بردارهای حمله احتمالی را افزایش می‌دهد و دولت‌ها در تلاشند با انجام اقداماتی، به تأمین امنیت این شبکه کمک کنند. اطلاع‌رسانی‌های عمومی در کنار وضع قوانین مرتبط، راهکاری است که دولت امریکا در پیش گرفته است.

مدتی پیش، کمیسیون ارتباطات فدرال امریکا با انتشار گزارشی نسبت به ضعف امنیت سایبری در شبکه‌های خصوصی و مدیریت‌شده هشدار داده بود. گزارش مذکور با بیان این که ریسک ناشی از ناکامی بازار در تأمین و تقویت سامانه‌های امن موجب می‌شود که خدمات اضطراری و امنیت ملی در معرض تهدید فزاینده قرار گیرند، تأکید کرده بود: «زمانی که بازار از عهده مسئولیت پاسخگویی سایبری برنمی‌آید یا توان انجام چنین کاری را ندارد، به ترکیبی از محرک‌های بازارمحور و نظارت رگولاتوری مناسب نیاز داریم.»

فیل کوئید، کارشناس امریکایی، خبر ارائه قانون 2017 امنیت سایبری اینترنت اشیا را برای کسانی که در پی افشای آسیب‌پذیری‌ها هستند، به منزله استنشاق هوای تازه می‌داند. این مسئله از آنجا به فال نیک گرفته شده که بخشی از مجموعه‌های فعال در زیرساخت‌های حیاتی، گاهی از ترس جریمه‌های قانونی، محدودیت‌هایی بر سر راه به اشتراک گذاشتن اطلاعات آسیب‌پذیری‌ها ایجاد می‌کنند.

به اعتقاد کوئید، پیشنهاد الزامی کردن «پروتکل‌های استاندارد صنعتی» که در این قانون گنجانده شده، «هر چقدر هم که خیرخواهانه باشد، ممکن است به دلیل تأثیر احتمالی بر نوآوری، تبعات ناخواسته‌ای در پی داشته باشد.»

کارشناسان امنیت پیش‌بینی می‌کنند که استفاده از ابزارهای اینترنت اشیا به رشد خود ادامه دهد. بررسی ویژگی‌های امنیتی قبل از خرید وسایل اینترنت اشیا، استفاده از ارتباط سیمی در صورت امکان، انتخاب رمزهای قوی و به‌روزرسانی منظم نرم‌افزارها از جمله توصیه‌های این کارشناسان برای محافظت از ابزارهای اینترنت اشیا در برابر حملات سایبری است.