אתגרי הסייבר בעולם ה-IOT

עולם ה-Internet of things - IOT טומן בחובו הבטחה לחיים משוכללים ומשודרגים אך גם מהווה קרקע פורייה למתקפות סייבר בסדרי גודל שלא הכרנו

אתגרי הסייבר בעולם ה-IOT

אילוסטרציה: bigstock

אתה מגיע הביתה אחרי יום עבודה ארוך, מכין לעצמך משהו קטן לאכול ולוקח לעצמך בירה קרה מהמקרר החכם שלך (שכמובן מציין לעצמו מה לקחת ומעדכן את סל הקניות שיישלח בסוף השבוע לסופר). פתאום דפיקה בדלת, "נא לפתוח בבקשה", אתה פותח את הדלת ורואה שני אנשים חמורי סבר, "אנחנו מהרשות לפשעי סייבר" אומרים השניים ומציגים לך תעודות. "נשמח באם אדוני ילווה אותנו, זיהינו קמפיין פישינג שמקורו אצלך" "מה? אני?" אתה שואל בתדהמה. "מה זה פישינג בכלל?!", הסוכנים מסבירים לך שפישינג משמעו שליחת מיילים זדוניים אשר אמורים להדביק את המקבל בוירוסים או להפנותו לאתר זדוני/מתחזה. "איך זה יכול להיות? אין לי מושג במחשבים..." אתה עונה בתדהמה, בשלב זה הסוכנים מסבירים לך בנימוס כי כתובת ה-IP של המקרר שלך עלתה בבדיקה שעשו ככתובת זדונית האחראית על קמפיין הפישינג. "המקרר שלי? החדש שקניתי? הוא בסך הכל קצת יותר מתוחכם ממקרר רגיל, מזמין בסופר ומקרין לי מתכונים ולמה אתם מתכוונים כשאתם מדברים על כתובת IP?" אתה שואל. הסוכנים מסבירים לך שכתובת IP היא מספר ייחודי המשמש לזיהוי כל מחשב או התקן חכם ברחבי הרשת וכי גם למקרר שלך יש כתובת כזו ושלידיעתך המקרר שלך הוא בעצם מחשב קטן ואז הם נכנסים למטבח ובבדיקה קצרה מגלים שהמקרר שלך, כן כן, אותו מקרר חכם שעושה עבורך קניות ומקרין לך מתכונים, הינו אותו מקרר שבאמצעותו נשלחו אלפי מיילים זדוניים שהפילו בפח כמויות נכבדות של אנשים תמימים במסגרת קמפיין כופר. בסיומו של דבר, אתה נדרש ללוות את הסוכנים בחזרה לרשות שם תסביר לכל מי שיאזין שאין לך כל חלק בעניין ושאין לך בעצם מושג במחשבים.

מדע בדיוני אתם חושבים? ובכן, אני טוען שהתסריט הזה מחכה לנו כבר מעבר לפינה או יותר נכון הוא כבר כאן. לפני מספר חודשים הצליחו האקרים לשלוח דואר "זבל" (ספאם) ללמעלה מ- 50000 כתובות מייל שונות באמצעות פריצה למקרר חכם "ולגייסו" לצרכי הפצת הקמפיין וזו רק דוגמה אחת מיני רבות.

על מנת לסבר את האוזן, הגדרת עולם ה IOT הינה: רשת של חפצים פיזיים, או התקנים המשובצים מערכות מחשוב, תוכנה וחיישנים המאפשרים תקשורת מתקדמת בין החפצים ויכולות איסוף והחלפת מידע. ואכן, הטכנולוגיה מתקדמת בקצב מסחרר ואחד מראשי החץ שלה הינו עולם ה IOT – אוטופיית העולם המחובר, עולם בו הכול מדבר עם הכול. עולם בו הצמיד החכם שעל ידך יבדוק את הצורך שלך במקלחת בדרך הביתה, "ידבר" עם המכונית כדי לדעת כמה זמן ייקח לך להגיע, יודיע לדוד שלך שיידלק ויודיע למזגן להתחיל לפעול על מנת שהבית יהיה ממוזג לכשתגיע. 

כל הדוגמאות הללו הן רק טיפה בים של סביבת המחייה המיידית החדשה שלנו...מה לגבי עולם התשתיות? ערים חכמות? בית חכם? מוצרי Life science (מוצרים רפואיים)? נשקים חכמים? רק לאחרונה הצליחו האקרים לפרוץ לכוונת חכמה של רובה צלפים ולגרום לסטייה של כמטר בנקודת הפגיעה של הכדור וזאת בשעה שהיורה רואה את המטרה במרכז הכוונת. 

 

טכנולוגיה כחרב פיפיות

עולם ה-IOT טומן בחובו יתרונות רבים והראשון מביניהם הינו היותו מנוע צמיחה כלכלי המאפשר ממשק חכם בין האדם למכונות ובינן לבין עצמן, מה שיהפוך כל התקן או מערכת לחכם ויעיל יותר ויאפשר אסטרטגיה יעילה וחיסכון במשאבים לארגונים. אי אפשר להכחיש את העובדה שזהו עידן מרגש, חדשני ומלא אפשרויות מדהימות. אבל, ויש כאן אבל גדול, הטכנולוגיה הינה חרב פיפיות! הרשו לי לשים כעת את הכובע השחור ולהסתכל שנייה דרך עיני תוקף או פושע סייבר:

כל מערכת טכנולוגית ניתנת לפריצה ולתקיפת סייבר. על אחת כמה וכמה כאשר כולן תחוברנה אחת לשנייה, רק תארו לעצמכם כמה סוגי מערכות הפעלה תתחלנה לדבר אחת עם השנייה ומה לגבי מערכות Legacy וכמות הפיתוחים שתידרש כדי לחברן? וקטורי תקיפת הסייבר צפויים להתרבות ולהיות נגישים יותר ויותר. במציאות של היום, קיים יתרון גדול לתוקפי סייבר על פני המגנים בפני מתקפות אלו. ריבוי רכיבים, מכשירים, חברות ויצרנים רק צפוי להגדיל יתרון זה.

השילוב הקטלני של חדשנות ו-Time To Market ששולט בעולם ה-IOT גורר בעקבותיו חוסר התחשבות בעקרונות אבטחת מידע ובכל הקשור לפיתוח מאובטח.

באם חשבתם שהפרטיות בעידן זה מתה, רק תחשבו מה יקרה כאשר כל המכשירים מסביבנו יהיו מחוברים. לדוגמה: לפני קצת פחות משנה יצאה לשוק בובה מדברת. הבובה הבינה מה הילד אמר וענתה לו בהקשר המתאים (די דומה לסירי או לגוגל-טוק). הבובה עשתה זאת באמצעות חיבור Wifi וטכנולוגיות Voice recognition, אולם הורים חשדנים גילו שהיא אוספת מידע ומקליטה כל הזמן את כל מה שקורה בבית סביבה ומשדרת את המידע הזה לענן של היצרן.

ריבוי מתקפות מניעת שירות (DDO) הן בעצם משפחת תקיפות שנועדה להשבית מערכת מחשב על ידי יצירת עומס חריג על משאביה. מתקפה כזו יכולה למנוע מקבוצת משתמשים גישה למשאב מחשב או לאתר אינטרנט מסוים על ידי העמסת אותו המשאב כך שלמשתמשים הלגיטימיים לא יישארו משאבים. 

בנוגע למדיניות ה-Bring Your Own Device BOYD מונח המתאר את הנטייה החדשה בקרב עובדים, סטודנטים או תלמידים להביא לארגון מכשירים ממוחשבים שבבעלותם, כגון טלפונים חכמים ומחשבים ניידים, ולעשות בהם שימוש לצורכי עבודה או לימוד) של ארגונים, באם חשבתם שבעיית דלף המידע גדולה עכשיו, אתם טועים. גם כך, אפיק זה מהווה כיום את אחד מכאבי הראש הגדולים של האחראים על נושא דלף המידע בארגון. בעולם ה-IOT ריבוי המכשירים הממוחשבים הפרטיים שיובאו על ידי העובדים אל הארגון יהווה אתגר כפול ומכופל לנושא דליפת המידע.

בנוסף צפויה התחזקות של הקשר שבין תקיפות סייבר לחיי אנוש. דמיינו למשל השתלטות על מערכת הזרקת אינסולין אוטומטית או על קוצב הלב של הקורבן (נשמע כמו פרק של דמיוני של סדרת מתח? ובכן, הדבר אפשרי וכבר הוכח לפני מספר שנים בעזרת חוקרים מבוסטון בכנס Black Hat כאשר הם הדגימו פריצה למשאבות אינסולין ויכולת לשנות כרצונם את המינון שמוזרק לחולה).

רמת המודעות למשמעויות וסכנות עידן הסייבר אצל רוב המשתמשים אינה גבוהה ואינה מספקת גם כך והפער רק יגדל בעידן המחובר. אכן, העתיד נראה ורוד מנקודת המבט של תוקפי ופושעי הסייבר, כל מוצר IOT מהווה עוד וקטור תקיפה אפשרי עבורם, הגיע הזמן להתחיל להסתכל על סיכוני אבטחת המידע והסייבר שעולם זה טומן בחובו ולפעול על מנת לצמצמם.

 

אבטחה בעידן ה-IOT

להלן מספר נקודות למחשבה על התמודדות עם אבטחה בעידן ה-IOT: רגולציה: אחד מהמבחנים המשמעותיים ביותר לעולם ה-IOT הינו נושא הרגולציה. שאלת הפרטיות או העדר הפרטיות בנוסף לשאלות האחריות (היצרן? הספק? הטכנאי?) הינן שאלות מהותיות לנושא. ריבוי הרכיבים והמכשירים יהווה מגבלה ליכולת הרגולטור להתייחס בפרוטרוט לכל רכיב בבחינת מותר ואסור. מצד שני רגולציה מסורבלת רק תפגע בעולם ה-IOT. אדגיש כי יש תנועה בכיוון הנכון (ה-FDA ורגולציית הפרטיות במכשירים רפואיים ועוד), אך ההיסטוריה מלמדת אותנו שייקח זמן לרגולציה להדביק את ההתקדמות הטכנולוגית.

סטנדרטיזציה: אקדים ואומר כי קיימים סטנדרטים שונים בעולם, אך העדר רגולציה והעדר אכיפה מצד אחד וריבוי המכשירים והרכיבים ובעיקר ריבוי היצרנים מצד שני מהווים מכשול לכך שכלל מכשירי ה-IOT יעמדו בסטנדרטים אלו ויפעלו על פיהם. אימוץ סטנדרטי פיתוח העוסקים ב-SSDLC (Secure Software Development Life Cycle) הינו הכרח מינימאלי ע"מ לשמר רמה בסיסית של אבטחת מידע במכשירי ה-IOT. בנוסף נדרש להמשיך ולשפר את סטנדרטי האבטחה בעולם ה IOT ולאמץ אותם כתנאי חובה לשחרור מוצר לשוק.

מודעות: בעיניי "פה קבור הכלב". למרות כל אירועי הסייבר, רמת המודעות של כלל הציבור נמוכה עד לא קיימת. בעידן בו הכול מחובר, תודעה לקויה זו רק תגביר את פגיעות הגורם האנושי ותגדיל את בעיית השימוש הלקוי של המשתמשים במכשירים אלו. אני סבור כי נדרשת פעילות ברמת מדינה על מנת לשקף את סיכוני הסייבר בעידן ה-IOT ולהכשיר את כלל האזרחים לשימוש מודע ובטוח במכשירים אלו. כמו תמיד, הגורם האנושי יהיה קו ההגנה האחרון בפני סיכוני עולם הסייבר. גישה ישירה, הסברים בגובה העיניים, ניהול נכון של קמפיין מודעות יתרום רבות לטיפול בנושא זה.

לסיכום, אני אחד מאלו המברכים את העידן החדש והאפשרויות הטמונות בו אך יש לעשות זאת עם עיניים פקוחות. הנקודות למחשבה אותן ציינתי הנן המפתח לצליחת המעבר אל העידן המחובר. ואם תשאלו אותי, מודעות לאיומי הפרטיות והסייבר הינה המפתח מבחינת המשתמשים כדי לצלוח עידן זה בשלום. 

הכותב הוא מנהל מודעות אבטחת המידע והסייבר – בנק הפועלים