לידיעת המפתחים בכל התחומים: שימו לב לאבטחת רכיבי ה-IoT
מאת:
שרון גורליקוב, 16.12.19, 19:00
למרות המודעות הגבוהה לפגיעות התקני ה-IoT, התקני IoT רבים עדיין מיוצרים ללא רכיבי האבטחה המתאימים כבר בשלב הפיתוח. מדוע התקני IoT עדיין לא מאובטחים? כיצד תבטיחו אבטחת מידע בהתקני IoT?
אבטחת התקני
IoT היא סוגיה, ששמענו וקראנו אודותיה לא מעט בשנים האחרונות, ובכל זאת היא עדיין נשארת בכותרות. לאחרונה פורסם
דיווח ב-Inquirer, ממנו עולה, שמיקרוסופט מפנה אצבע מאשימה כלפי האקרים רוסים מטעם המדינה, שלכאורה פורצים להתקני
IoT.
הסיבות לפריצות הללו, כפי שדווח, הן סיסמאות חלשות ותשתית, שלא אובטחה ועודכנה כנדרש.
נראה, שלמרות המודעות הגבוהה לפגיעות התקני ה-
IoT והקושי לייצר להם סביבה מאובטחת כתוצאה מהמאפינים ומיקומי השימוש בהם (לדוגמא: חוסר יכולת להתקין רכיבי ההגנה הנלווים בכל עמוד תאורה), התקני
IoT רבים עדיין מיוצרים ללא רכיבי האבטחה המתאימים כבר בשלב הפיתוח.
בכתבה דווח על 3 סוגי התקנים אליהם פרצו ההאקרים - טלפונים על בסיס
VoIP, מדפסות משרדיות ומערכות לקידוד וידאו.
בין אם מדובר
בהתקנים לבישים, מצלמות אבטחה, מערכות תאורה או כיבוי שרפה, טלוויזיות חכמות, בקרי ייצור ואפילו צעצועי ילדים, האקרים
ממשיכים להשתמש בהם כאמצעי לפריצה לרשתות כדי לאסוף מידע, לצלם ולהקליט בלי אישור ולחדור לכל הנתונים הרגישים ברשת.
במידע הזה הם סוחרים או משתמשים כדי לסחוט את הקורבנות שלהם.
ההערכה היא, שבתוך 5 שנים מספר המכשירים המחוברים בעולם יגיע
לעשרות מיליארדים. זו הזדמנות עצומה, אך היא גם מביאה סיכון עצום. איך שומרים על מיליארדי מכשירים מאובטחים? איך מוודאים, שהנתונים מכל אותם מכשירים אינם נפגעים?
מדוע התקני IoT עדיין לא מאובטחים?
חלק נכבד מרכיבי ה-
IoT, שנמצאים בשוק, או כרטיסים המשמשים את הרכיבים הללו, הם מיושנים ו/או מיוצרים במזרח בעלות נמוכה ע"י ספקים חיצוניים. מעטים מהספקים הללו דואגים למומחי אבטחת מידע, שיטמיעו במוצרים את מכלול כלי האבטחה. בנוסף לכך, המודעות הנמוכה של הלקוחות, שרוכשים את רכיבי ה-
IoT, מובילה לחוסר תשומת לב לנושא האבטחה והם לא דורשים אותו כסטנדרט.
הבעיה קיימת לא רק ברכיבים זולים. גם בפרויקטי פיתוח רבי תקציב אלמנט האבטחה לעיתים קרובות נשכח. חברות עושות מאמץ אדיר לגייס את טובי המפתחים והמהנדסים, אך לא בהכרח דואגות לשילוב אנשי אבטחת מידע בפרויקטים וכנגזרת מכך גם אבטחת קיומו של מחזור פיתוח מאובטח
SSDLC- Security Software Development Lifecycle.
חשוב לציין, שגם מהנדסי התוכנה והמפתחים המקצועיים ביותר, חסרים ברוב המקרים את הידע בתחום אבטחת המידע, זו מיומנות מסוג אחר. כדי להטמיע אבטחת מידע ראויה בתהליך הפיתוח של התקני
IoT יש לשכור את שירותיו של ארכיטקט תוכנה המתמחה גם באבטחת מידע או לבצע הכשרות ספציפיות למפתחים בתחום האבטחה.
כיצד תבטיחו אבטחת מידע בהתקני IoT?
כשפונים לספק חיצוני לצורך פיתוח התקני
IoT ישנם מספר תנאים, שיש לעמוד עליהם, כדי להבטיח אבטחת מידע ברמה גבוהה:
- בדיקת חדירות והערכת פגיעויות אפליקטיבית ותשתית למוצרים ככלל ולרכיבי המוצר בפרט: בדיקות חדירות תוכלנה לתת אומדן בנוגע ליכולת של האקר לחדור דרך ההתקן ולנצל אותו כדי לקבל גישה לרשת. במהלך בדיקה זאת יש לוודא, שגם אם התוקף מקבל הרשאות חזקות, הוא לא יוכל לעבור דרך ההתקן למערכות אחרות ברשת או לשנות ערכים בהתקנים שיכולים לגרום לנזק.
- בדקו, שצוות הפיתוח כולל ארכיטקט אבטחת מידע: רק ארכיטקט אבטחת מידע יכול לקבוע את המדיניות על פיה המוצר יעבוד, איזה סוגי גישות יוגדרו, מה המוצר יכול לבצע ומה לא - ועבור מי.
- צוות בדיקות התוכנה חייב להיות בקיא באבטחת מידע: צוות בדיקות התוכנה בודק את הפגיעויות האפשריות במוצר, עובר על הקוד ומוודא, שמהנדסי התוכנה והמפתחים לא החמיצו דבר.
- עמידה בתקני אבטחת מידע ורגולציות: בקשו לראות תעודות אבטחה, שהיצרן עומד בהן, לדוגמא בתקן ISO 27030. הרגולציה בתחום אבטחת המידע להתקני IoT רק מתחילה לתפוס תאוצה, יש לקוות, שיותר חברות תבננה, שהן חייבות לעמוד בכל הסטנדרטים הללו.
- אינטגרציה עם מערכות ויישומים נוספים בארגון: גם אם רכשתם התקן IoT ברמה הגבוהה ביותר של אבטחת המידע, כאשר אתם מתקינים אותו, וודאו, שהוא עובד בצורה נכונה עם שאר המערכות הארגוניות ושלא קיימת זליגה של מידע או אפשרות לגישה למידע לאחר החיבור. חשוב לנטר את אבטחת המידע בהתקני IoT כפי שמתבצע באבטחת המידע בכלל החברה.
מאת: שרון גורליקוב, דצמבר 2019.
אנליסטית סייבר בכירה בחברת
Comm-IT