Internet of Things – הגנה בסייבר בעולם ה-’אינטרנט של הדברים’

טרנד ה-IoT חושף את הפונטציאל השלילי הטמון בניצול חולשות מרכיבי התחום. מאמר מיוחד של ד"ר טל שטיינהרץ, הטכנולוג הראשי (CTO) של מטה הסייבר הלאומי ואייל בליצר, ראש תחום מחקר במטה

Internet of Things – הגנה בסייבר בעולם ה-’אינטרנט של הדברים’

אילוסטרציה: Shutterstock

חברות ההגנה בסייבר המובילות בעולם שבו והדגישו בשנה האחרונה את הפוטנציאל השלילי הטמון בניצול חולשות ברכיבי 'האינטרנט של הדברים' (Internet of Things; IoT), ולא בכדי. רק בתקופה האחרונה זכו דיווחים על יכולתן של ‘טלוויזיות חכמות’ לקלוט ולשדר את הנעשה בקרבתן, לתהודה משמעותית בתקשורת, בעוד הסנאט האמריקני הקדיש, לראשונה, שימוע שלם לדיון בנושא השלכות מגמת ה-IoT, וכן למעורבות הממשלתית הנדרשת לטובת הבטחת האיזון בין חדשנות לבין הגנת פרטיות ושמירת ביטחון המשתמשים בצל מגמה זו. הגם שהשימוש האינפלציוני במושג IoT גרם לחלק מן המומחים לזלזל במימדי התופעה, מסתמן כי זו אכן צפויה לחולל שינויים כבירים, לא רק בעולם הסובב אותנו, כי אם  גם בתפיסות המסורתיות שלנו כלפי צרכי ההגנה בסייבר של צרכנים פרטיים, תעשיות וממשלות. 

המונח IoT (ומונחים משיקים כגון Internet of Everything) מתאר מגמה הולכת וגוברת במסגרתה משובצים סנסורים ומערכות ממוחשבות ברכיבים פיזיים שונים (ממכשירים ביתיים, עבור במוצרים רפואיים ועד מכונות תעשייתיות), המחוברים לאינטרנט ולעיתים גם לרשתות נוספות. למעשה, ניתן יהיה להכיל בעולם האינטרנטי, ייצוג של רכיבים שהיו עד כה מנותקים ממנו, כגון גוף האדם, בעלי חיים (בפרט, אם הרכיבים האלקטרוניים מושתלים באורגניזם), צמחים ואף עצמים דוממים. ההערכה הרווחת היא כי עד שנת 2020 מספר המכשירים המחוברים לאינטרנט יעמוד על 25-50 מיליארד, בעוד שווי השוק של רכיבים אלה, והשירותים המוצעים במסגרתם, יעמוד על מאות מיליארדי – ואף טריליוני - דולרים. כך או כך, ההערכה היא כי כבר בעשור הקודם עלתה כמות 'הדברים' על פני כמות בני האדם המחוברים לאינטרנט. 

מרחב השימושים האפשריים ב-IoT הינו בלתי-מוגבל, הואיל ומספר העצמים הפיזיים המסוגלים להכיל מערכות תקשורת והיקף המידע שעשוי להיות מופק מהם הינם, באופן תיאורטי, בלתי-מוגבלים. לפיכך, רבים רואים במגמת ה- IoTהן ‘מנוע צמיחה’ פוטנציאלי רב-עוצמה עבור תעשיות קיימות (וכפועל יוצא, עבור המשק כולו), והן קטליזאטור ליצירת ועיצוב שווקים חדשים. כיום, מקודמות מספר רב של יוזמות ממשלתיות ופרטיות, חלקן חובקות עולם, במגוון תחומים (רפואה, תעשייה, תחבורה, אנרגיה, קמעונאות, ציוד ביתי וכיו”ב) המתעתדות לנצל את מגמת ה-IoT לטובת שיפור רווחתם של כלל האזרחים והצרכנים. בכל היוזמות הללו, היכולת לבצע ניטור של פעילות בזמן אמת באמצעות סנסורים, וגודש המידע המגוון הנוצר כתוצאה מכך, מסייעים להתייעלות ולשליטה ריכוזית מוגברת בפעילויות אנושיות, אשר מובילות בתורן להקטנת עלויות ולהגברת הביטחון והרווחה האנושית. 

ככל שהקישוריות של רכיבים אלה תגבר, הן לרכיבים אחרים והן לאינטרנט, הדבר יאפשר הפעלה של כלי אנליזה המפיקים תובנות שהיו נסתרות או בלתי-נגישות עד כה. דהיינו, ניתן יהיה לנצל את הרכיבים באופן יעיל יותר ולזהות דפוסים שעשויים להפחית עומסים, לספק מענה ממוקד וייעודי לאינדיבידואל ולקצר זמני תגובה למול אירועים. זאת, תוך התבססות מגמה גוברת של אוטומטיזציה (Machine-to-Machine), אשר מובילה במעלה הדרך ל-’הסרת האדם מן מהתהליך’.

מגמת ה-IoT הוגדרה על ידי חברות טכנולוגיות מובילות כמהפכנית והשפעותיה זכו להכרה פומבית גם על ידי גופי ממשל ברחבי העולם. הגם שכך, לא ברור האם מגמה זו גם מייצרת שינוי פרדיגמאטי ביחס לתפיסות ההגנה המוכרות והמסורתיות במרחב הסייבר. 

לפי אסכולה אחת, מגמת ה-IoT מבטאת המשך טבעי, הגם שמואץ, למגמות קיימות אשר כבר הותירו חותמן על תחום ההגנה בסייבר. בהקשר זה, יוזכר כי אחד השינויים המרכזיים שהשפיעו על התחום בעשור האחרון הינו חיבורן של הרשתות התפעוליות ורכיבים מיושנים שהינם לא-תקשורתיים במהותם (Legacy Systems) לרשת האינטרנט (באמצעות מעבר מרשתות מבוססות פרוטוקולים ייעודיים לרשתות IP סטנדרטיות עם קישור חיצוני), על אף שרכיבים אלה, כמו גם הבקרים שמפעילים אותם (Industrial Control Systems), לא יוצרו תוך שילוב שיקולי הגנה בסייבר עדכניים. לפיכך, יש שיטענו כי ניתן לראות במגמת ה-IoT וההשלכות הנלוות אליה, כהמשך טבעי של התפתחות היסטורית המשקפת את הצמיחה המעריכית והדטרמיניסטית של הטכנולוגיה (ששורשיה התפיסתיים נעוצים ב-'חוק מור'). במסגרת המשכיות זו, טרם גובש מודל התמודדות הוליסטי ואפקטיבי עם בעיית ההגנה בסייבר המרכזית בעולם ה-IoT, שעודנה נעוצה, כבעבר, במתח הסטנדרטי והמסורתי בין הצורך של המשתמש ב-’פונקציונאליות’ ו-’זמינות’ לבין הדרישות
ל-’ביטחון’, ‘מהימנות’ ו-’פרטיות’. 

אף על פי כן, מגמת ה-IoT אינה נותרת במישור הקונספטואלי, שכן ניתן לזהות שינויים מהותיים שמגמה זו מחוללת ‘בשטח’, המשקפים התפתחויות בעלות אופי תקדימי: 

השפעה על עולם הטלקומוניקציה (כמויות אדירות של אינפורמציה שיש לאחסן, לעבד ולהנגיש);

השפעה מסחרית (מוקד עניין אשר ‘מושך’ הקצאת משאבים מצד התעשייה העולמית); 

השפעה פסיכולוגית-תרבותית (האצלת סמכויות של קבלת החלטות למערכות ממוחשבות ויחסית אוטונומיות); 

השפעה על המרחב האוטונומי האישי (חדירת מערכות ממוחשבות לסביבתנו הקרובה, ניטור שוטף של מיקומנו ופעילותנו ותלות גוברת בתהליכים ממוחשבים הנוגעים לסביבתנו המיידית ולבריאותנו האישית);
המגמה האחרונה באה לידי ביטוי, לדוגמא, בנתח השוק ההולך וגדל של מכשירים טכנולוגיים לבישים (Wearable Computing) וציוד רפואי ‘חכם’, המנטרים את פעילותינו הפיזית באופן שוטף.

כאמור, בעיות האבטחה הנלוות לחיבורם של רכיבים פיזיים לרשת האינטרנט מוכרות מן העבר, בפרט בדמות בעיות הגנת הסייבר הנובעות מחיבור 'רכיבי Legacy’ לרשת. בעיות אלה היוו קטליזטור מרכזי למעבר הרעיוני בשנים אחרונות מתפיסה של 'אבטחת מידע' לתפיסת 'הגנה בסייבר', קרי, מעבר מהגנה על מידע גרידא המצוי במרחב הסייבר, להגנה מפני שימוש במרחב הסייבר לטובת יצירת אפקט החורג מהמרחב הלוגי. עם זאת, בעולם ה-IoT, היקף הרכיבים המחוברים, ביזורם, מידת חדירתם לחייהם הפרטיים של בני האדם, נגישותם הגבוהה ‘בזמן אמת’ וכמות המידע המופקת על ידם, מובילים ליצירת בעיה מסדר גודל חדש. 

לפיכך, ניתן לאמץ את הערכת Rezendes ו-Stephenson ב-Harvard Business Review, כי בדומה לאופן שבו תופעת ה-'Consumerization of IT’ השפיעה באופן מכריע על משטרי אבטחת המידע בתעשייה, כך גם תופעת
ה-IoT תוביל ל-’דמוקרטיזציה של המידע’ (דהיינו, מצב בו מידע ישותף באופן נרחב מבעבר וב-’זמן אמת’), ותשפיע בתורה, באופן מהותי, על אסטרטגיית ניהול הסיכונים במגזר הפרטי ובמגזר הציבורי, וכן על מערך השיקולים של הצרכן הביתי. עם זאת, ככל שצרכנים יישמרו על אדישות באשר לרמת הביטחון והפרטיות שמבטיחים יצרני רכיבי ה-IoT וספקי השירותים (ובהיעדר תמריצים או רגולציה מחייבת), כך מגמת השבחתם בהיבטים אלה, בפרט במוצרים ושירותים המיועדים לצרכנים פרטיים, תישאר איטית ומתונה יותר.  

ניתן להצביע על מספר תתי-מגמות מרכזיות הנגזרות ממגמת ה-IoT המשפיעות במישרין על תפיסות ההגנה המוכרות והמסורתיות בסייבר, ביניהן:

התעצמות איומי סייבר מוכרים – ריבוי רכיבים מבוססי-מחשב מתבטא, בין היתר,
בריבוי 'וקטורי תקיפה' והתעצמות כוח המחשוב שניתן לתעל לטובת קידום תקיפות סייבר מוכרות. כך, בינואר 14' דיווחה חברת האבטחה Proofpoint על מקרה בו רשת Botnet בת 100,000 מחשבים כללה, בין היתר, מכשירים ביתיים כגון מערכת אזעקה, מצלמות אינטרנט ואף מקרר ‘חכם’, באמצעותם נשלח ‘דואר זבל’ ובוצעו ‘מתקפות דיוג’. 

חיבור של רכיבי Legacy מיושנים נוספים לרשת – התיישנות הרכיבים, הפרוטוקולים ומערכות ההפעלה של מערכות מסוג CPS (Cyber-Physical Systems) מקשים על התקנת עדכוני אבטחה וממחישים את הצורך באימוץ של פתרונות אבטחה ‘תפורים לפי מידה’. יוזכר, כי מצד אחד, רובם המוחלט של רכיבים אלה לא תוכננו מלכתחילה לתמוך בקישוריות אינטרנטית, ולפיכך תוכננו ופותחו מבלי לקחת בחשבון שיקולים אבטחתיים עדכניים; ומצד שני, מדובר ברכיבי חומרה תשתיתיים, שהחלפתם ברכיבים עדכניים אינה תכופה ונשקלת בכובד ראש. 

מוכנות נמוכה לשיבוש התפקוד השוטף – לנוכח היותם של חלק מרכיבי ה-IoT נדבכים אינטגרליים בתשתיות קריטיות, או רכיבים המשפיעים במישרין על בריאותנו וסביבתנו הקרובה, מוכנות משתמשי הקצה להסכין לשיבושים בתפקוד הרכיבים ול-’מניעת שירות’ יזומה לטובת עדכוני אבטחה, מצטמצמת גם היא. בראייה צופה פני-עתיד, מציאות זו דורשת Pre-Validation Process לעדכונים הרלוונטיים, כדי להבטיח שלא יפגעו בפעילות השוטפת העתידית של הרכיב, ושל התשתית בכללותה. 

שיקולי אנרגטיקה משיתים אילוצים על היקף ההגנות שניתן ליישם ברכיבי הקצה -  מערכות מבוססות-מחשב זעירות (קל וחומר, רכיבי RFID) המשובצות על רכיבים פיזיים, לעיתים אינן מכילות זיכרון נרחב או יכולת עיבוד משמעותית (משיקולי אנרגטיקה), ולפיכך תוכנות האבטחה המותקנות בהן, וכן יכולתן לתמוך בתקני הצפנה עדכניים, נוטות להיות מצומצמות ואף זניחות. אף בהינתן קיומם של אמצעי הגנה סבירים בתוך הרכיב, לעיתים ה-Human-Machine Interface (HMI) המוצע למשתמש הינו מינימאלי ומרודד, באופן שמשליך לשלילה על מנעד הפעולות המצומצם שביכולתו לבצע ‘בזמן אמת’ לטובת הגברת חוסנו של התהליך המתנהל ברכיב.  

גידול ביזורם של רכיבי קצה ומאגרי נתונים – בעבר, Firewalls היוו אמצעים מספקים להגנה על רשתות. כיום, לנוכח הגידול בתפוצה ובביזור של רכיבי-קצה בעולם ה-IoT המתחברים לרשתות אלו (בדומה למגמת ה-Bring Your Own Device), וכן הצורך להותיר נגישות בזמן אמת ממערכות שונות למידע המופק על ידי רכיבי הקצה, לא ניתן להסתפק בהגנה היקפית על הרשת הארגונית כבעבר. לפיכך, נדרש לספק הגנה עבור כל רכיב ייחודי וכן להצפין לפחות חלק מן המידע העובר בינו לבין רכיבים אחרים ו/או הענן. בנוסף, מתחדד הצורך בניהול ריכוזי של אמצעי ומדיניות האבטחה של כלל הרכיבים המצויים ברשת רלוונטית. 

האצת מגמת האוטומטיזציה וה-M2M – לנוכח הקישוריות ההדדית והאוטונומיה הגוברת של רכיבי ה-IoT, מצטמצמת המעורבות האנושית בתהליך, באופן שדורש אוטומטיזציה של תהליכי הניטור, שיתוף המידע והאותנטיקציה הרלוונטיים. בהקשר זה, בנייר עבודה שהוכן לבקשת סגן המזכיר האמריקני לביטחון המולדת (DHS) ב-2011, הוזכר המונח ‘Healthy Cyber Ecosystem’, המתאר מצב בו כמות מספקת של רכיבים שונים חולקים מידע ומשתפים פעולה באופן אוטונומי, לעיתים אף באופן ‘מקומי’ ו-’כמעט בזמן אמת’ (Near-Real Time), לטובת חיזוק עצמאי של חוסנם וביטחונם במרחב הסייבר.

תודעת אבטחה לקויה מצד משתמשים – המודעות הנמוכה לסיכוני הסייבר הטמונים ברכיבי IoT, הן ברמת התאגיד והן ברמת הצרכן הפרטי, מגבירה את הבעיה המסורתית של שימוש לקוי מצד המשתמשים ברכיבים מבוססי-מחשב (ובשירותים הניתנים על גבי אותם רכיבים) וכן מצד הגורמים האמונים לתחזוקם, ומעצימה כשלים כגון אי-התקנת עדכוני אבטחה שוטפים (בפרט, בהיעדר מנגנוני עדכון אוטומטיים). כך, לדוגמא, הקלות שבה האקרים מסוגלים לפרוץ כיום למצלמות ביתיות נובעת, בין היתר, מהיעדר מודעות של הצרכן הביתי לצורך בשינוי סיסמת ברירת-המחדל במצלמות אלה (ניתן לציין בהקשר זה גם את מנגנוני שחזור ואתחול הסיסמאות ‘החלשים’ הנפוצים ברכיבי IoT). 

התעצמות בעיות הנוגעות לפרטיות המשתמשים – הדרישה מצד משתמשים לשירותים רלוונטיים, בזמן-אמת ו-'תפורים לפי מידה', גוזרת איכון וניטור שוטף של המשתמש (לעיתים קרובות, באופן אוטומטי וללא ידיעתו), באופן שעשוי להוביל לחשיפה מוגברת מבעבר של ה-PII (Personally Identifiable Information) שלו בפני מגוון של גורמים אפשריים. בנוסף, גודש המידע הקיים בעולם ה-IoT (Big Data) עשוי לאפשר זיהוי של משתמש על בסיס אינטגרציה של מידע מסנסורים שונים, באופן שמגביר את מידת חשיפתו, גם בהיעדרם של פרטי זיהוי אינטימיים. 

ב-Staff Report של ה-Federal Trade Commission האמריקני מינואר 2015, עלה הצורך לדרוש מיצרני רכיבי IoT ומספקי השירותים על גבי הרכיבים לצמצם את אגירת המידע (Collection and Retention) האישי על משתמשים למינימום ההכרחי או לצמצמו באופן סביר (Data Minimization), לבצע פעילות אנונימיזציה על המידע הקיים ו/או לבקש אישור מפורש מהמשתמש על מנת לאסוף מידע שהנו רגיש או שאיסופו אינו עולה בקנה אחד עם הציפיות הסבירות של המשתמש.

העדר אחריות ריכוזית – בעולם של רכיבי IoT, ובפרט של אוטומטיזציה מוגברת, מתחדדת שאלת האחריות על הגברת הביטחון בסביבת ה-IoT והבעלות על המידע המופק בסביבה זו – קרי, האם היא נחה על כתפי המשתמש, ספק השירותים, חברת שירותי הענן ו/או יצרן הטכנולוגיה. בהיעדרה של אחריות ריכוזית, מתגלע הקושי, מטעמים טכניים וכלכליים, לייצר פתרון הוליסטי ומקיף למערכות מורכבות.

תת-מגמות אלה מדגישות את הצורך להרחיב את התפיסה המתמקדת בהגנת הרשת או הענן בלבד (שגם היא חיונית בפני עצמה, לנוכח אחסון כמויות עצומות של מידע, שצפוי להיות מעובד ומונגש למטרות שונות), כך שתכלול מיקוד גם באותנטיקציה וניהול הרשאות ברכיב-הקצה עצמו, וכן בהצפנת לפחות חלק מן המידע המועבר ברשת. כפועל יוצא, חלק מפתרונות האבטחה המגוונים המוצעים כיום בשוק מתיימרים להגן בצורה רציפה על כל שלבי התקשורת של רכיב ה-IoT עם הרשת הרלוונטית. בנוסף, נדרש לבסס קונספטי הגנת סייבר חדשניים שיאמצו הסתכלות הוליסטית על המערכת המורכבת (System of Systems) ועל התהליך כולו (לדוגמא, גישה המשקללת את האינטראקציות בין כלל הרכיבים הקיימים ב-'בית חכם'). גישה זו צריכה לקדם בחינה ביקורתית שיטתית של המערכת המורכבת, תוך עיגון שגרה של ניהול סיכונים ייעודי (גם בהיבטי הגנה על פרטיות המשתמש), על מנת להגן באופן מיטבי על המערכת בכללותה, מקצה לקצה (לרבות הגורם האנושי ושירותי הענן שבתווך).

ברמת הרכיב, מתחדדת התובנה כי כדי להבטיח רמות בטיחות, ביטחון ואמינות התואמות לרמת הסיכון הנובעת ממנו, נדרש לאמץ גישה של Security by Design - דהיינו, לשלב תהליכי חשיבה מוכווני-הגנה, לרבות ניתוח סיכונים בהיבטי ביטחון ופרטיות, לכל אורך תהליכי המו”פ והייצור, ובפרט כבר בעת תכנון הרכיב הפיזי (בעת התאמתו לטובת חיבורו לרשת), ולא בדיעבד כטלאי נוסף למערכת. ניתן להצביע על הזדמנות בהקשר זה, לאור השלב הטרומי בו התעשייה מצויה בהיבטי היקפי הפיתוח של רכיבי IoT. זאת ועוד, פתרון המוצע בשלב מאוחר יחסית עשוי להיות לא רק פחות יעיל בהיבטי הגנה בסייבר, כי אם גם לא אופטימאלי משיקולי עלות מימוש. 

לטובת היערכות מתאימה לשינויים תפיסתיים אלה, תוך ‘הקדמת תרופה למכה’, נדרש לייצר ידע ותפיסות טכנולוגיות חדשות ופורצות-דרך, באמצעות שיתופי פעולה ותיאום בין החברות המובילות בתעשייה (חרף העובדה שאלו עשויות לקדם בשגרה סטנדרטים מתחרים), האקדמיה וגופי ממשלה. לצד זאת, נדרשים הכשרה מתאימה ועידוד מודעות בקרב מהנדסים ובכירים בחברות הרלוונטיות, וכן שינויים בהרגלי הצריכה ובתפיסות של הציבור הרחב ביחס לחשיבות ההגנה בסייבר ברכיבי IoT, כמו גם בדבר הצורך בשימור החשאיות והמהימנות של חלק מן המידע המופק על ידי רכיבים אלה.

בדומה לעולמות תוכן משיקים, נותרת שאלת מאפייני הרגולציה בעינה: האם נדרש מצד המדינה לקדם רגולציה ייעודית ומחמירה יותר, מעבר להכללת מוצרי IoT תחת החבות המשפטית לסטנדרטי בטיחות שלעיתים מוטלת על יצרנים במגזרים ספציפיים, או שמא עליה להימנע ממעורבות ולאפשר לתחרות ולכוחות השוק הקיימים להניע את הפירמות לעמוד בסטנדרטים גבוהים יותר של הגנה בסייבר? בנוסף, הקישוריות בין רכיבים המצויים במרחבים גיאוגרפיים שונים, ובפרט השפעת תופעת הענן על האופי הגלובלי של מגמת ה-IoT, מעלה תהיות באשר לסמכויות השיפוט והאכיפה בתרחיש של הפרת חוקים מקומיים או אמנות בינ”ל. 

מטה הסייבר הלאומי במשרד ראש הממשלה מקדם מחקר לטובת זיהוי וביאור השלכות מגמת ה-IoT על הגישות והתפיסות המסורתיות בתחום ההגנה בסייבר; לצד זאת, המטה בוחן אפשרויות לשיתוף פעולה עם חברות רב-לאומיות מובילות, המקדמות פעילויות בתחומים רלוונטיים ושהנן בעלות נוכחות ופעילות מו"פ משמעותית בישראל, לטובת שימור תפקידה המוביל ופורץ-הדרך של מדינת ישראל בתחום ההגנה בסייבר.  

***

ד"ר טל שטיינהרץ הינו הטכנולוג הראשי (CTO) במטה הסייבר הלאומי 

אייל בליצר הינו ראש תחום המחקר במטה הסייבר הלאומי

אולי יעניין אותך גם