پشت پرده امنیت ضعیف چیزنت ها
رسانه کلیک - کنگره آمریکا طی لایحهای خواستار تصحیح مشکلات امنیتی دخیل در اینترنت چیزها (IoT) یا چیزنت در این کشور شد.روز سهشنبه، سنس مارک وارنر (Sens. Mark Warner)، کوری گاردنر (Cory Gardner)، رون وایدن (Ron Wyden) و استیو دِینز (Steve Daines) لایحهای موسوم به «اقدام برای بهبود امنیت سایبری اینترنت چیزها» پیشنهاد دادند که شرکتهای فناوری را وادار میکند در صورتی که بخواهند دستگاههای خود را به دولت فدرال بفروشند، باید امنیتشان را بالا ببرند.
روز سهشنبه، سنس مارک وارنر (Sens. Mark Warner)، کوری گاردنر (Cory Gardner)، رون وایدن (Ron Wyden) و استیو دِینز (Steve Daines) لایحهای موسوم به «اقدام برای بهبود امنیت سایبری اینترنت چیزها» پیشنهاد دادند که شرکتهای فناوری را وادار میکند در صورتی که بخواهند دستگاههای خود را به دولت فدرال بفروشند، باید امنیتشان را بالا ببرند.
امنیت دستگاههای متصل به اینترنت همگام با بازاری که انتظار میرود تا سال ۲۰۲۰ در سراسر جهان ۲۰.۴ میلیارد دستگاه IoT داشته باشد پیشرفت نکرده است. طراحان گجت تلاش میکردند دستگاههای IoT خود را تا حد ممکن ساده طراحی کنند و سادگی اغلب به معنای فدا کردن ایمنی است.
به عبارت دیگر، هزاران دستگاه تحت چیزنت (IoT) - از دوربینهای امنیتی گرفته تا مانیتورهای کوچک - میتوانند به راحتی هک شوند. سناتورهای مذکور لایحهای تنظیم کردهاند تا مطمئن شوند که دستگاههای آسیب پذیر توسط دولت به کار گرفته نشود.
بر اساس این لایحه، دستگاههایی که به دولت فروخته میشود باید امکان پچ شدن داشته باشد و از گذرواژههای ثابت استفاده نکند. بخش دوم این شرط مهم است چون دستگاههای IoT معمولاً گذرواژهای مثل admin دارند که حدس زدن آن برای هکرها ساده است و امکان تغییرش وجود ندارد. به لطف هزاران دوربین و DVR، اکتبر سال گذشته، حمله گستردهای از نوع منع سرویس توزیع شده یا DDoS، موفق شد بخش بزرگی از اینترنت را از کار بیاندازد.
وارنر در این باره گفت: «امیدوارم که این قانون علاجی برای شکست مشهود بازار این دستگاهها باشد و تولید کنندگان را تشویق کند تا برای ارتقای سطح امنیت محصولاتشان به رقابت با یکدیگر بپردازند».
این لایحه همه دستگاههای مشمول چیزنت یا اینترنت اشیا که مشکل امنیتی شناخته شده داشته باشند را از دسترسی و استفادههای دولتی خارج کرده و سازندگان را ملزم به تصحیح مشکلات جدید میکند.
به موجب این قانون محققانی امنیتی که برای کشف نقایص جدید، دستگاههای IoT مورد استفاده دولت را هک میکنند هم میتوانند از قانون کلاهبرداری و سوء استفادهی کامپیوتری (Computer Fraud and Abuse Act) که برای متهم کردن هکرها استفاده میشد، مستثنی شوند.
به گفته تایلر شیلدز (Tyler Shields)، معاون راهبردی شرکت امنیتی Signal Sciences، این لایحه تقدیمی صرفاً استاندارد عریانی از حداقلهای لازم برای امنیت در زمینه اینترنت چیزهاست، که البته وجود آن خالی از لطف نیست.
شیلدز اشاره میکند که قادر بودن به تصحیح دستگاهها به طور دقیق بیانگر یک امنیت پیشرفته نیست. او میگوید در طولانی مدت، این قوانین حداقلی برای حل مسائل مربوط به امنیتی کافی نخواهند بود.
بر اساس گزارش مرکز نوآوری داده (Center for Data Innovation)، دولت فدرال برای کاهش هزینهها از دستگاههای IoT استفاده میکند. در سال ۲۰۱۶، ساختمانهای اداره خدمات عمومی آمریکا (General Services Administration) با استفاده از سنسورهایی که اطلاعات مربوط به مصرف انرژی را جمع آوری میکردند، توانست ۱۵ میلیون دلار در هزینههای خود صرفهجویی کند.
دولت فدرال برای تحقیقات علمی نیز از دستگاههای IoT استفاده میکند. مثلاً مراکز کنترل و حفاظت بیماریها (Centers for Disease Control and Protection) از دستگاههای متصل به اینترنت برای نظارت بهره میبرند و اداره ملی اقیانوسی و جوی آمریکا (National Oceanic and Atmospheric Administration) هم سنسورهایی برای مطالعه روی مهاجرت والها و آتشفشانهای زیر آب دارد.
شیلدز هدف از ارائه این لایحه را تنظیم حداقلهایی برای دولت و استانداردهایی برای بخشهای بازرگانی خواند و یادآور شد: «لازم است بیش از پیش امنیت اینترنت چیزها را به عنوان یک مسئله مهم مد نظر قرار دهیم».