Article
December 17, 2019

Note to developers and developers: Pay attention to the security of the IoT components

מאת: שרון גורליקוב, אנליסטית סייבר בכירה בחברת Comm-IT

אבטחת התקני IoT הינה סוגיה ששמענו וקראנו אודותיה לא מעט בשנים האחרונות - ובכל זאת היא עדיין נשארת בכותרות. בחודש האחרון פורסם דיווחב- Inquirer ,ממנו עולה כי מיקרוסופט מפנה אצבע מאשימה כלפי האקרים רוסים מטעם המדינה, אשר לכאורה פורצים להתקני IoT. הסיבות לפריצות הללו, כפי שדווח, הן סיסמאות חלשות ותשתית שלא אובטחה ועודכנה באמצעות רכיבים ומערכות ייעודיות. נראה שלמרות המודעות הגבוהה, התקני ה- IoT רבים מיוצרים עדיין ללא רכיבי האבטחה המתאימים – וזה מתחיל כבר בתהליך הפיתוח.

בכתבה דווח על שלושה סוגי התקנים אליהם פרצו ההאקרים – טלפונים על בסיס VOIP, מדפסות משרדיות ובמערכות לקידוד וידאו. בין אם מדובר בהתקנים לבישים, מצלמות אבטחה, מערכות תאורה או כיבוי שרפה, טלוויזיות חכמות, בקרי ייצור ואפילו צעצועי ילדים, האקרים ממשיכים להשתמש בהם כאמצעי לפריצה לרשתות עלמנת לאסוף מידע, לצלם ולהקליט בלי אישור ולחדור לכל הנתונים הרגישים ברשת. במידע הזה הם סוחרים או משתמשים כדילסחוט את הקורבנות שלהם.

ההערכה היא שבתוך חמש שנים מספר המכשירים המחוברים בעולם יגיע לעשרות מיליארדים. זו הזדמנות עצומה, אך היא גםמביאה סיכון עצום. איך שומרים על מיליארדי מכשירים מאובטחים? איך מוודאים שהנתונים מכל אותם מכשירים אינם נפגעים?

 

מדוע התקני IoT עדיין לא מאובטחים?

חלק נכבד מרכיבי ה- IoT שנמצאים במכשירים שהזכרתי הם מיושנים או מיוצרים במזרח בעלות נמוכה על ידי ספקים חיצוניים.מעטים מהספקים הללו דואגים למומחי אבטחת מידע שיטמיעו במוצרים את מכלול כלי האבטחה. בנוסף לכך, הלקוחות שרוכשים את רכיבי ה- IoT לאתמיד שמים לב לנושא האבטחה ולא תמיד דורשים אותו כסטנדרט.

הבעיה קיימת לא רק ברכיבים זולים. גם בפרויקטי פיתוח רבי תקציב אלמנט האבטחה לעיתים קרובות נשכח. חברות עושות מאמץ אדיר לגייס את טובי המפתחים והמהנדסים, אך לא בהכרח דואגות לשילוב אנשי אבטחת מידע בפרויקטים. חשוב לציין שגם מהנדסי התוכנה והמפתחים המקצועיים ביותר, חסרים ברוב המקרים את הידע בתחום אבטחת המידע, זוהי מיומנות מסוג אחר. על מנת להטמיע אבטחת מידע ראויה בתהליך הפיתוח של התקני IoTיש לשכור את שירותיו של ארכיטקט תוכנה המתמחה גם באבטחת מידע או לבצע הכשרות ספציפיות למפתחים בתחום האבטחה.

 

כיצד תבטיחו אבטחת מידע בהתקני IoT?

כשפונים לספק חיצוני לצורך פיתוח התקני IoT ישנם מספר תנאים שיש לעמוד עליהם על מנת להבטיח אבטחת מידע ברמה גבוהה:

·        בדיקת חדירות אפליקטיבית למוצרים: בדיקות חדירות יוכלו לתת אומדן בנוגע ליכולת של האקר לחדור דרך ההתקן ולנצל אותו כדי לקבל גישה לרשת. במהלך בדיקה זאת יש לוודא שגם אם התוקף מקבל הרשאות חזקות, הוא לא יוכל לעבור דרך ההתקן למערכות אחרות ברשת או לשנות ערכים בהתקנים שיכולים לגרום לנזק.

·        בדקו שצוות הפיתוח כולל ארכיטקט אבטחת מידע: רק ארכיטקט אבטחת מידע יכול לקבועאת המדיניות על פיה המוצר יעבוד, איזה סוגי גישות יוגדרו, מה המוצר יכול לבצע ומהלא - ועבור מי.

·        צוות בדיקות התוכנה חייב להיות בקיא באבטחת מידע: צוות בדיקות התוכנה בודק את הפגיעויות האפשריות במוצר, עובר על הקוד ומוודא שמהנדסי התוכנה והמפתחים לא החמיצו דבר.

·        עמידה בתקני אבטחת מידע ורגולציות: בקשו לראות תעודות אבטחה שהיצרן עומד בהן, לדוגמא בתקן ISO 27030. הרגולציה בתחום אבטחת המידע להתקני IoTרק מתחילה לתפוס תאוצה, יש לקוות שיותר חברות יבינו שהן חייבות לעמוד בכל הסטנדרטים הללו.

·        אינטגרציה עם מערכות ויישומים נוספים בארגון: גם אם רכשתם התקן IoTברמה הגבוהה ביותר של אבטחת המידע, כאשר אתם מתקינים אותו, וודאו שהוא עובד בצורה נכונה עם שאר המערכות הארגוניות ושלא קיימת זליגה של מידע או אפשרות לגישה למידעלאחר החיבור. חשוב לנטר את אבטחת המידע בהתקני IoT כפי שמתבצע באבטחת המידע בכלל החברה.