ثبات بخشیدن به بی‌نظمی : قوانینی برای امنیت IoT

با افزایش روزافزون تعداد حملات سایبری در سال‌های اخیر و افزایش تعداد قربانیان، از افراد و استارت آپ‌ها گرفته تا بیزنس‌های Fortune 500 ، سازمان‌های مجری قانون و دولت‌ها در سراسر جهان همچنان نگران امنیت سایبری خود هستند. امنیت IoT ، امروزه یکی از بزرگترین معضل‌های امنیت سایبری در جهان است.

برای بسیاری از مشاغل، امنیت سایبری یک معضل در سطح هیئت مدیره است. بر اساس گزارش مجمع جهانی خطرات در سال 2021، تهدیدات سایبری همچنان در بین خطرات بین‌المللی قرار دارند.

گسترش دستگاه‌های هوشمند، شبکه‌ای و ذاتاً ناامن، چشم‌انداز امنیتی را تغییر می‌دهد.  در این پست، چشم انداز قانونی امنیت سایبری در زمینه اینترنت اشیا مورد بررسی قرار می‌گیرد.

امنیت سایبری و اینترنت اشیا

در سال 1999، کوین اشتون، پیشگام تکنولوژی بریتانیایی، اصطلاح «اینترنت اشیا» را برای توصیف سیستمی که در آن اشیاء قابل لمس را می‌توان از طریق سنسورها به اینترنت متصل کرد، ابداع کرد.

در حال حاضر، اینترنت اشیا (IoT) تقریباً در هر بخشی که بتواند در آن جای بگیرد، سریعاً در حال رشد است. و زندگی روزمره اکثر افراد و شرکت‌ها با آن درگیر است. مصرف‌کنندگان از اشیاء به‌هم‌پیوسته IoT به روش‌های مختلف، از جمله وسائل روزمره، بهبود کیفیت زندگی و افزایش بهره‌وری سود می‌برند.

در نتیجه، مقامات و بازاریابان با هدف جمع‌آوری مقدار زیادی از داده‌های کاربران، مانند سبک زندگی، ترجیحات و سایر اطلاعات شخصی آنان از این تکنولوژی استفاده می‌کنند. از آن‌جایی که اینترنت اشیا تأثیر گسترده‌ای بر زندگی و سیستم‌های نرم افزاری کاربران دارد، در برابر مهاجمانی که قصد آسیب زدن به آن را دارند، آسیب‌پذیر است.

علاوه بر این، به دلیل تولید انبوه با بودجه کم، بسیاری از محصولات IoT دارای رویه‌های امنیتی بسیار محدودی برای دفاع از سیستم‌ها هستند. همچنین این واقعیت وجود دارد که این گجت‌ها به ندرت‌ آپدیت‌ها یا پچ‌هایی برای رفع آسیب‌پذیری‌هایشان ارائه می‌دهند. و در صورت ظهور یک سویه حمله جدید، عموم مردم را در معرض خطر قرار می‌دهند.

حمله Mirai Botnet

در سال 2016، هزاران کامپیوتر توسط حمله Mirai Botnet تحت کنترل قرار گرفتند.

به دلیل پیکربندی ایمنی ضعیف دستگاه‌های اینترنت اشیا، هکرها یک حمله انکار سرویس توزیع شده (DDoS) را علیه یک ارائه دهنده DNS راه‌اندازی کردند. که باعث قطع اینترنت مصرف‌کنندگان در آمریکای شمالی و اروپا شد.

این حمله توجه زیادی را به نیاز به ادغام رویکردهای امنیتی جدید در این دستگاه‌ها جلب کرد. و تحقیقاتی در زمینه معماری بر اساس بلاک‌چین برای محافظت در برابر حملات احتمالی در آینده، انجام گرفت.

صنعت نرم افزار باید خود را با آینده تطبیق دهد و اقدامات احتیاطی لازم را انجام دهد. مانند حفاظت از اجزای معماری و اجرای کنترل‌های امنیتی قابل مدیریت، که می‌توانند تا زمان دستیابی به امنیت دائمی، برخی از آسیب‌های احتمالی این دستگاه‌ها را کاهش دهند.

برای این‌که این دستگاه‌ها کاملاً ایمن باشند، فرآیند توسعه آن‌ها ممکن است نیاز به بازسازی داشته باشد تا بر ناتوانی آن‌ها در دریافت پچ، غلبه کند. یا این‌که بر اقدامات امنیتی مقرون به صرفه، به منظور دوام امنیت آن‌‌ها، تمرکز بیشتری شکل بگیرد.

چارچوب‌های قانونی برای امنیت IoT

در حال حاضر امنیت سایبری، مکرراً توسط سیاست‌گذاران مورد اشاره قرار می‌گیرد و اغلب در رأس برنامه‌های سیاسی قرار دارد. دولت‌های سراسر جهان تلاش کرده‌اند از فضای سایبری و سیستم‌های آن (حداقل روی کاغذ) محافظت کنند. آن‌ها ابتکارات متعددی را در زمینه امنیت سایبری ارائه و اجرا کرده‌اند.

کنوانسیون بوداپست برای امنیت IoT

کنوانسیون بوداپست در سال 2001 تصویب و در سال 2004 لازم‌الاجرا شد. این کنوانسیون برای مردم سراسر جهان آزاد است. تا به امروز 48 کشور این کنوانسیون را امضاء کرده‌اند. از جمله بسیاری از اعضای خارج از اتحادیه اروپا، مانند استرالیا، کانادا، ژاپن و ایالات متحده. شش ایالت نیز به عنوان عضو اصلی آن را امضا کردند. 12 کشور نیز در آستانه پیوستن به آن هستند.

پیگرد قانونی برای اقدامات بر علیه محرمانگی، یکپارچگی و در دسترس بودن داده‌ها و سیستم‌ای کامپیوتری (ماده 2-6) و (2) سرقت‌های موارد کامپیوتری (ماده 7-8) در چهار دسته از جرائم اساسی کنوانسیون بوداپست گنجانده شده است.

بنا به گزارش توجیهی، مواد 2 تا 6، که هک و ورود به حریم خصوصی کامپیوتر را پوشش می‌دهند (در چارچوب ایده کلی «نفوذ غیر مجاز»)، به منظور حفظ محرمانگی، یکپارچگی و در دسترس بودن داده‌ها و سیستم‌ای کامپیوتری است.

در نتیجه، کنوانسیون بوداپست به وضوح اهمیت (حفظ) سه‌گانه CIA را منعکس می‌کند. کنوانسیون بوداپست سیستم‌های کامپیوتری را به این صورت تعریف می‌کند:

«هر دستگاه یا مجموعه‌ای از دستگاه‌های متصل یا مرتبط که یک یا چند مورد از آن‌ها در پاسخ به یک برنامه، داده‌ها را به صورت خودکار پردازش می‌کند.» (ماده 1)

با وجود پذیرش گسترده آن، این کنوانسیون هنوز جهانی نیست. و به طور قابل توجهی، بخش عمده‌ای از کشورهای در حال توسعه را نادیده می‌گیرد، به این معنی که بخش قابل توجهی از کاربران اینترنت را پوشش نمی‌دهد.

دستورالعمل NIS

اتحادیه اروپا اقداماتی را برای مبارزه با جرائم سایبری و تقویت امنیت سایبری انجام داده است. اتحادیه اروپا مقررات و استراتژی‌های زیر را در این زمینه طراحی و تصویب کرده است: دستورالعمل NIS ، مقررات حفاظت از داده‌های عمومی (GDPR) و استراتژی تجارت دیجیتال اتحادیه اروپا (DSM) (که ترکیبی از ابتکارات در زمینه امنیت و به‌ویژه حفاظت از داده‌هاست).

علاوه بر این، با توجه به اهمیت مشارکت بخش خصوصی در مسابقه تسلیحاتی امنیت سایبری (با توجه به این واقعیت که اکثر شبکه‌ها و سیستم‌های اطلاعاتی به صورت خصوصی اداره می‌شوند)، اتحادیه اروپا در سال 2016 به صورت عمومی و خصوصی، یک مشارکت امنیت سایبری راه‌اندازی کرد. همانطوری که در سال 2015 در DSM این کار را کرد.

دستورالعمل NIS اولین قانون امنیت سایبری در سراسر اتحادیه اروپا است. اهداف اولیه آن دستیابی به حداقل هماهنگی منطقه‌ای در اروپا، و بهبود قابلیت اطمینان محیط آنلاین است که همه این‌ها به ایجاد DSM کمک می‌کند.

در تعریف دستورالعمل NIS از امنیت NIS ، سه‌گانه CIA به صراحت ذکر شده است، که می‌گوید:

«توانایی شبکه‌ها و سیستم‌های اطلاعاتی برای مقاومت، در سطح معینی از قابلیت اطمینان، برای مقابله با هرگونه اقدامی که در دسترس بودن، یکپارچگی یا محرمانگی داده‌های ذخیره‌شده، منتقل‌شده، پردازش‌شده یا خدمات مرتبط ارائه شده و یا با قابلیت دسترسی توسط آن شبکه، و سیستم‌های اطلاعاتی را به خطر می‌اندازد.»

قانون بهبود امنیت IoT در سال 2020

قانون بهبود امنیت سایبری IoT با حمایت‌های سناتور کوری گاردنر و سناتور مارک وارنر در سال 2017، توسط مجلس نمایندگان در اکتبر 2020 به تصویب رسید. این قانون برای ایجاد الزامات امنیتی اساسی برای همه دستگاه‌های اینترنت اشیائی است که توسط نهادهای دولتی خریداره شده‌اند. این قانون 26 حامی داشت. از جمله دموکرات‌ها و جمهوری‌خواهان، و در یک فضای سیاسی که در سال‌های اخیر مشابه آن چندان دیده نشده بود، از حمایت هر دو حزب برخوردار شد.

در 4 دسامبر 2020، رئیس جمهور وقت دونالد ترامپ، قانون بهبود امنیت IoT را امضا کرد. و آن را به اولین قانون فدرال اینترنت اشیا (IoT) تبدیل کرد.

نتیجه‌گیری

در امنیت سایبری، تنها چیز پایدار، تغییر است. با توجه به سرعت بالای تغییرات فعلی، هوش بالای مهاجمان، ارزش بالای اهداف احتمالی، و پیامدهای بعدی حملات، چشم‌انداز امنیت سایبری همیشه در حال تغییر و تحول است.

با توجه به رشد قریب‌الوقوع استفاده از محصولات متصل به اینترنت، تقویت امنیت اینترنت اشیا مانند همه چیزهای مربوط به سایبری، یک مشکل مهم، فوری و جهانی است.

تقویت اینترنت اشیا (IoT) نیازمند چارچوب‌های دقیق قانونی است. چالش موجود، ایجاد چارچوب‌هایی است که به اندازه کافی منعطف و غیر معمول باشند. تا با ذات تکنولوژی و تهدیداتی که به سرعت در حال تغییرند، سینک شوند.

در حالی که به ویژه در اتحادیه اروپا، پیشرفت قابل توجهی در این زمینه صورت گرفته است، (حداقل روی کاغذ) باید دید که ابزارهای قانونی جدید چگونه در عمل اجرایی خواهند شد.

با این حال، بهبود امنیت سایبری به طور کلی، و بهبود امنیت اینترنت اشیا به طور خاص، نباید به ابتکارات قانونی یا نظارتی محدود شود.

در عوض، مقررات در این زمینه باید شامل چندین مؤلفه باشد. (همانطور که اکنون هست). مؤلفه‌هایی مانند حاکمیت پویا و از پایین به بالا، مقرراتی با چندین ذی‌نفع و احتمالاً یک رویکرد پلی‌سنتریک یا چندمرکزی.

منبع: HackerNoon    نویسنده: صدرا ظفر