نوآوری در مدیریت برای توسعه پایدار

Kolnegar Private Media (Management Innovation for Sustainable Development)

2 آذر 1403 7:30 ب.ظ

چه کسی مسئول امنیت شبکه های اینترنت اشیا است؟

cybersecurity of IoT networks

توسط ریچارد آدیکاری سپتامبر 24 ، 2020

سخت است که بتوانید به سیستم صوتی خود بگویید که یک آهنگ خاص را انتخاب و پخش کند ، یا فقط با استفاده از صدای خود چیزی را بصورت آنلاین سفارش دهید یا در هنگام کمبود غذا از یخچال بخواهید به شما موضوع را اعلام کند یا چاپگر دفتر تان تشخیص دهد و به طور خودکار از فروشنده خدمات بخواهید.

ویژگی هایی از این قبیل تقاضا ها برای دفاتر هوشمند ، خانه های هوشمند ، وسایل هوشمند ، ساختمانهای هوشمند و شهرهای هوشمند – که همه از طریق اینترنت اشیا (IoT) متصل می شوند موضوع امنیت سایبری را برانگیخته است.

اینترنت اشیا شبکه اشیا فیزیکی مجهز به حسگر ، نرم افزار و سایر فناوری ها برای تبادل داده با دستگاه ها و سیستم های دیگر از طریق اینترنت است. اینها شامل سیستم های تعبیه شده ، شبکه های حسگر بی سیم ، سیستم های کنترل ، سیستم های اتوماسیون خانه و ساختمان و دستگاه های هوشمند خانه و همچنین تلفن های هوشمند و بلندگوهای هوشمند است.

طبق نظر شرکت تحقیقاتی تحول دیجیتال 7.6 میلیارد دستگاه اینترنت اشیا فعال در پایان سال 2019 در سراسر جهان وجود دارد و 24.1 میلیارد دستگاه در سال 2030 وجود خواهد داشت.

عروسک های متصل

مطمئناً با توجه به نیازهای داخل خانه ها  از سال 2020 ، افراد بسیاری دستگاه های غیر تجاری را نیز به شبکه های شرکتی خود متصل کرده اند. برخی قابل پیش بینی هستند و برخی دیگر ممکن است شگفت آور باشند. بر اساس گزارش امنیت جهانی IoT 2020 شرکت امنیت سایبری Palo Alto Networks برای مثال ، خرس های عروسکی و سایر اسباب بازی ها ، تجهیزات ورزشی ، دستگاه های بازی و اتومبیل های متصل ، افزایش تعداد و تنوع دستگاه های متصل به شبکه های اینترنت اشیا ، پیاده سازی امنیت سایبری را به تدریج دشوار می کند ، زیرا هر دستگاه یک نقطه ضعف بالقوه است.

به عنوان مثال ، می توان تعداد زیادی از اتومبیل های متصل را خاموش و هک کرد.

می توان ساختمان های هوشمند و حتی شهرها را هک کرد تا سیستم های خودکاری که سیستم های HVAC ، هشدارهای آتش نشانی و سایر زیرساخت های مهم را کنترل می کنند ، به خطر بیفتد.

گزارش شده است که متجاوزان دیجیتال از طریق ترموستات های هوشمند به خانه ها دسترسی پیدا کرده اند تا با ایجاد حرارت از راه دور باعث وحشت خانواده ها شوند. و سپس از طریق دوربین های متصل به اینترنت با ساکنان صحبت می کند.

اثرات هک در صنعت مراقبت های بهداشتی ، که در آن خرابی تجهیزات یا هواپیماربایی زندگی افراد را به خطر می اندازد ، شدیدترین حالت خواهد بود.

Anastasios Arampatzis ، نویسنده فروشنده ادوات امنیتی Tripwire ، نوشت: “دستگاه های پزشکی متصل – از پمپ های تزریق WiFi گرفته تا دستگاه های MRI هوشمند – سطح حمله دستگاه های مشترک اطلاعات را افزایش می دهند و نگرانی های امنیتی از جمله خطرات حریم خصوصی و نقض احتمالی مقررات حریم خصوصی را ایجاد می کنند .

نگه داشتن پاهای مدیر عامل شرکت در آتش

بنابراین ، چه کسی مسئول امنیت سایبری در یک شبکه اینترنت اشیا خواهد بود؟ فروشندگان لوازم شخصی یا تجهیزات؟ چه کسی شبکه را مالک است یا اداره می کند؟ شرکت یا سازمانی که از شبکه اینترنت اشیا استفاده می کند؟

شرکت تحقیقاتی و مشاوره ای جهانی گارتنر پیش بینی کرده است که تا سال 2024 ، 75 درصد از مدیران عامل شخصاً مسئول حملات به آنچه گارتنر سیستم های فیزیکی سایبری (CPS) می نامد ، خواهند بود.

گارتنر CPS ها را چنین تعریف می کند: “سیستم هایی که برای تنظیم روابط سنجش ، محاسبه ، کنترل ، شبکه و تجزیه و تحلیل طراحی شده اند تا با دنیای فیزیکی ، از جمله انسان تعامل داشته باشند.”

این سیستم ها “زیربنای تمام تلاش های متصل به فناوری اطلاعات ، فناوری عملیاتی (OT) و اینترنت اشیا  است که در آن ملاحظات امنیتی هم دنیای سایبری و هم جهان فیزیکی را شامل می شود ، مانند زیرساخت های حیاتی و سایر ادوات پزشکی و کنترلی”.

OT از سخت افزار و نرم افزاری تشکیل شده است که از طریق نظارت و کنترل مستقیم ، تجهیزات ، دارایی ها ، فرآیندها و رویدادها را شناسایی یا ایجاد می کند.

به عبارت دیگر ، 75 درصد از مدیران عامل می توانند تا سال 2024 مسئول نقص امنیت اینترنت اشیا باشند.

چرا مدیران عامل؟ از آنجا که ناظران و دولت ها قوانین و مقررات حاکم بر CPS را در پاسخ به افزایش حوادث جدی ناشی از عدم امنیت امنیت CPS به شدت افزایش می دهند  مسوول تحقیق گارتنر ، کاتل تیلمان نوشت . “به زودی ، مدیران عامل نمی توانند اظهار بی اطلاعی نموده و  یا با عقب نشینی در پشت بیمه نامه ها خود را در امنیت پنهان کنند.”

مسئولیت داشتن مدیرعامل “یک امکان قطعی است و با روشی که مدیرعامل در مورد صحت و اعتبار قانونی بودن گواهی نامه های مالی خود تحت قانون Sarbanes-Oxley در سال 2002 پاسخگو است ، مطابقت دارد”

آیا رویکرد مبتنی بر ریسک عملی است؟

شرکت مشاور مدیریت جهانی McKinsey & Co. در میان شرکتها به سمت اتخاذ یک رویکرد مبتنی بر ریسک برای امنیت سایبری حرکت کرده است ، اما این موضوع از مدیران عامل محافظت نمی کند.

با توجه به موضوع CDW ، راه حل های فناوری برای مشتریان تجاری ، دولتی ، آموزشی و بهداشتی در ایالات متحده ، انگلستان و کانادا ، رویکردهای مبتنی بر ریسک برای امنیت اطلاعات به سازمانها اجازه می دهد تا استراتژیهای متناسب با محیط عملیاتی منحصر به فرد خود ، چشم انداز تهدید و اهداف تجاری را اتخاذ کنند.

آنها به تصویب کنندگان اجازه می دهند تا “تأثیر تلاش برای کاهش ریسک ، درک جامع از ریسک و پر کردن خلا هایی را که ممکن است توسط سایر رویکردهای امنیتی ایجاد شود ، درک کنند. استفاده از یک رویکرد مبتنی بر ریسک کاملاً منطبق با استراتژی های مدیریت ریسک سازمانی (ERM) است که توسط بسیاری از سازمانها به تصویب رسیده است. “

کارپنتر گفت: “خطر همیشه بخشی از معادله است.” “این مشکل زمانی بوجود می آید که سازمانها یا مدیران عامل تحمل غیر قابل قبولی در برابر خطر را داشته باشند یا به سادگی تصمیم بگیرند سر خود را دربرف فرو کنند.”

به طور گسترده اذعان شده است که چیزی به نام سیستم کاملاً ایمن وجود ندارد ، بنابراین آیا مدیر عامل رمسئول خرابی بیش از حد مجاز است؟

کارپنتر گفت: “هدف داشتن 100 درصد محافظت نخواهد بود بلکه منظور اطمینان از وجود مراقبت های مناسب در نحوه معماری سیستم ها خواهد بود. مدیران عامل نمی توانند فقط دستان خود را بالا  برده و دست از کاربکشند به عنوان بهانه از این حالت استفاده کنند ، آنها باید با در نظر گرفتن ایمنی و انعطاف پذیری ایجاد شرایط امن را درک کنند. “

اشاره انگشتان خیلی ساده نیست

علی رغم موازات احتمالی قانون Sarbanes-Oxley ، حل مسئله آسان نخواهد بود.

ساریو نایار ، مدیرعامل شرکت جهانی امنیت سایبری گوروکل ، به ما گفت: “در نهایت ، مدیر عامل مسئولیت عملکرد سازمان را دارا است ، اما واقعیت بسیار ظریف تر از این است که” فقط “اینجا متوقف شود”.

نایار گفت: “حملات سایبری پیچیده است و اغلب قطعات متحرک زیادی را شامل می شود.” “مسئولیت دادن به مدیر عامل به دلیل مدیر عامل بودن ممکن است مناسب نباشد.”

نایار خاطرنشان کرد ، مدیر عاملان باید در هنگام تعیین استاندارد بالایی برای تیم های امنیتی خود یا اطمینان از رسیدن به استاندارد ، شخصاً پاسخگو باشند.

سالواتوره استولفو ، بنیانگذار و مدیر ارشد فناوری Allure Security ، یک برنامه امنیتی به عنوان سرویس که از کلاهبرداری فیشینگ محافظت می کند ، به ما گفت که مشخص نیست چه کسی مسئول خواهد بود یا باید مسئول شود.

“آیا مدیران عامل شرکت هایی هستند که دستگاه های اینترنت اشیا ناامن تولید می کنند یا مدیران عامل شرکت هایی که آنها را خریداری و مستقر می کنند؟” او درخواست کرد. “هیچ قانونی وجود ندارد که بتواند روشن کند چه کسی از نظر تئوری مسئولیت را بر عهده دارد.”

یک گزینه جایگزین برای مسئولیت شخصی مدیران عامل ، تصویب پیشنهاد کمیسیون سولاریوم فضای مجازی (CSC) مبنی بر اینکه تولیدکنندگان دستگاه اینترنت اشیا مسئول فروش محصولات معیوب یا عدم ارائه ویژگی های امنیتی اساسی از جمله توانایی به روزرسانی نرم افزار دستگاه در هنگام مشخص شدن آسیب پذیری های امنیتی است. همانطور که توسط استولفو پیشنهاد شده است.

این یکی از 80 توصیه ای است که توسط CSC ارائه شده است ، که در سال 2019 برای توسعه اجماع در دفاع از ایالات متحده در فضای مجازی ایجاد شده است.

چگونه شبکه های اینترنت اشیا را ایمن تر کنیم

شبکه های پالو آلتو این مراحل را برای ایمن سازی شبکه های اینترنت اشیا توصیه می کند:

  • برای بدست آوردن اطلاعات دقیق و به روز از تعداد و انواع دستگاههای متصل به شبکه اینترنت اشیا، ، مشخصات ریسک و رفتارهای قابل اعتماد آنها رانسبت به دستگاه استفاده کنید.
  • شبکه خود را به گونه ای تقسیم کنید که شامل دستگاه های اینترنت اشیا در مناطق امنیتی کنترل شده خود باشد و آنها را از دارایی های IT جدا نگه دارد.
  • با استفاده از روشهای رمز عبور ایمن ، گذرواژه پیش فرض دستگاههای اینترنت اشیا یی را که به تازگی به آن متصل شده اند جایگزین کنید و موارد امنیتی را که به سیاستهای رمز عبور سازمانی پیوستند ، جایگزین کنید.
  • همچنان که در دسترس است ، سیستم عامل را وصله و به روز کنید. و دستگاه های اینترنت اشیا را همیشه فعال کنترل کنید.

آندره کارکانو ، بنیانگذار فناوری عملیاتی (OT) و شرکت امنیتی اینترنت اشیا N Nozomi Networks ، به ما گفت: امنیت شبکه های اینترنت اشیا نیاز به ترکیبی از خرید محصولاتی دارد که از نظر طراحی ایمن هستند و با نگرشی جامع به امنیت می پردازیم.

کارکانو گفت: “متخصصان فناوری اطلاعات دیگر نمی توانند فقط نگران امنیت و اتصال شبکه های IT خود باشند.” “آنها باید در مورد امنیت سیستم های سایبری و فیزیکی خود فکر کنند.”

TechNewsWorld – Technology News and Information

آیا این نوشته برایتان مفید بود؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *