חלום האינטרנט של הדברים הוא קודם כל אתגר באבטחה קיברנטית

המומחים המשתייכים לקהילת האבטחה הקיברנטית לא יהססו לספר לכם כי "התגלית" החדשה – האינטרנט של דברים – לא באמת חדשה, אלא רק השם הוא חדש.

מהנדסי שליטה ובקרה (שו"ב) בנו מערכות כאלה כבר לפני שני עשורים והתנסו באתגרים הקשורים לתקשורת אמינה ומאובטחת. למרבה הצער, ציבור המתלהבים אינו קשוב לאזהרות של מומחי אבטחה ומשתוקק לקבל את טכנולוגיית האינטרנט של הדברים שמוצגת על ידי הספקים כברכה שנופלת מהשמיים.

סדרת מוצרים חכמים ומתקדמים המכונים בשם "Smart Things" מאפשרים מגוון פעולות "ביתיות", כגון לנעול את הדלת, להפעיל מאווררים ומערכות מיזוג אוויר, שואבי אבק מבוקרים על ידי מצלמה, ועוד. מפתחי פתרונות אלה מציעים יישומים שניתן להפעיל אותם מטלפונים חכמים וכמובן לשלוט על התקנים אלה המתקשרים באמצעות רשת אינטרנט ביתית ורשת ציבורית עם הטלפונים החכמים.

חשופים פגיעויות

התוכנה והחומרה של מכשירים אלה מאפשרות שליטה מרחוק, למרות שלא תוכננו עם אמצעי אבטחה שימנעו גישה על ידי גורם לא מורשה. לכן באותם המכשירים יש חולשת אבטחה שניתן לנצל (security vulnerability) על מנת לבצע תקיפה קיברנטית למטרה של גניבת מידע, השבתה וגרימת נזק חמור.

כאשר אנשים רואים בפרסומת בטלוויזיה הפעלה של מנעול דלת הכניסה מאפליקציה בטלפון הנייד, הרוב רוצים לראות בכך שדרוג בנוחות ושוכחים את היבטי האבטחה הקיברנטית והביטחון האישי. אבל מה קורה עם אתגרי האבטחה?

פגיעויות אלה קיימות בתוכנה של המכשירים הנשלטים, או בתוכנה שמותקנת בטלפונים החכמים מסוגים נפוצים. דפוס התנהגות רשלנית מופיעה בהקשר לטכנולוגיה חדשה. כעת אנו רואים הוכחה שזה קורה שוב עם הטכנולוגיה של האינטרנט של הדברים, שמייצרת נוחות מדהימה אבל גם סיכונים שעדיין קשה להעריך.

כאשר היישומים עברו באינטרנט אל מחשבים המותקנים במשרדים, בתים וגם אל המחשבים הניידים, בצייתנות למדנו את הסיכונים הנלווים והתקנו אמצעי אבטחה בנוספים לאלה שקיימים במערכות ההפעלה. אבל כאשר הופיעו יישומים בטלפונים החכמים, אנחנו – המשתמשים – התעלמנו מהשיעור שלמדנו בעבר, וחזרנו על אותן הטעויות.

אינטרנט של הדברים מייצר סכנה אמיתית.

בתרחישים הקשורים לאינטרנט של הדברים ובמיוחד עבור מכשירים ביתיים, התוכנה אינה כוללת אמצעים כדי להגן מפני איומים חדישים ומתפתחים שאנחנו רק מתחילים להכיר אותם.

על מנת לייצר פתרונות שליטה מרחוק על מכשירים אלה במחיר זול שאינו פוגע ביכולת הרכישה של לקוחות, יצרנים לא יכולים לכלול אמצעי הגנה נאותים ברמת החומרה והתוכנה כגון הצפנה וזיהוי המשתמש. עד שפתרונות זולים ויעילים יהיו זמינים, הצרכן שרוצה ליהנות מהחדשנות והנוחות חייב לקבל אחריות אישית על הסיכון, או לבטל את האפשרות של שליטה מרחוק על מערכות אלה.

אם הייתם יודע שהמנעול המכני על דלת הכניסה של ביתכם לא מספיק חזק כדי להגן עליו, האם הייתם ממשיכים להשתמש בו למטרת מניעת חדירה של פורצים וגנבים? כמובן שלא! אתם יכולים לראות את תפקודו של המנעול וסביר להניח כי תעשו כל מאמץ כדי להחליף אותו בהקדם או להוסיף אמצעי הגנה נוסף (מנעול, מצלמה, כלב, סורגים, ועוד).

ומה לגבי סוג של תקיפה על שואב אבק רובוטי שמצלם את הבית ושולח דרך האינטרנט את התמונות לתוקף בשידור חי? איך תדעו אם בתוכנה יש פגיעות או כבר התאפשרה חדירה סמויה למכשיר שלכם למרות שנזק עדיין לא נראה?

כאשר משתמשים במכשירים אלה ושוקלים את השאלות הקשורות לסיכונים ותועלות, יש לקחת בחשבון גם את הסוגיות הקשורות לשמירה על הפרטיות המעורבים. לדוגמה, סוגי הנתונים שהמערכת מתקשרת בין המכשירים הנשלטים בביתך לבין אמצעי השליטה ובקרה. האם נתונים אלה יכולים לחשוף פרטים הקשורים לאופן התנהלות של המשפחה שלך? כן בהחלט!

נתונים אלה יכולים בקלות לכלול מידע לגבי אופן ההתנהלות של הבית שלך ופרטים מדויקים לגבי מה שקורה בכל יום ובכל רגע נתון. הפורץ יודע האם ומתי אתה משאיר את הדלת לא נעולה. הוא יודע אם האזעקה מופעלת, וגם מתי המזגנים פועלים ומתי השואב האבק הרובוטי מנקה את הבית.

סיכום

המומחים בתחום מערכות שליטה ובקרה לא יהיו מופתעים לקרוא שורות אלה. הם חיים את המציאות ברמה המקצועית ומבינים כי מערכות בקרה חייבות להיות מוגנות בפני גורמים שרוצים לקבל מידע ולהשפיע על תהליכי הבקרה, במטרה לגרום להשבתה, תהליך פעולה לא תקין או גרימת נזק ממשי למערכות.

צרכן אינטליגנטי נבון שמתלהב ממוצרים ושירותים המבוקרים על ידי האינטרנט של הדברים, חייב לדעת כי יש מחיר לרמה חדשה ומשודרגת של נוחות. במצב שבו התוקפים משתמשים בכלי תוכנה חדישים ומסוכנים שיכולים לגרום נזק, הצרכנים חייבים להיות זהירים ומפוכחים לפני שמתלהבים מפתרונות אינטרנט של הדברים, ונגררים לרכישה והתקנה של מערכות שאת הסיכון הטמון בהן קשה להעריך.